社内勉強会でIPsecについて説明した時の

1. IPsecについて
野村裕佑
1

2. 概要
IPsecの位置づけ
IPsecの構成要素と機能
IPsecの仕組み
SA管理と 管理(IKEv2)
参考文献：
“マスタリングIPsec第2版,” 馬場達也, O’REILLY, 2006.
2

3. IPsecの必要性
インターネット上の通信は原理的に全て盗聴可能
tcpdump, snoopなどによるパケットキャプチャ
SMTPサーバの一時保存データ
IPsecを使えば盗聴や改ざんによる被害からあなたを
守ってくれます
ただし非常に複雑で難しいのでがんばってください
3

4. データのセキュリティ
機密性(Confidentiality)
データの内容を第三者に知られないようにする
安全性(Integrity)
改ざんされないようにする
認証(Authentication)
相手が正当であることを確認（相手認証）
改ざんされていないことを確認（メッセージ認証）
否認防止(Non-repudiation)
データ送信したことを否定させない
4

5. IPsecの特徴
ネットワーク上のデータの機密性を確保
ネットワーク上のデータの安全性を確保
データの送信元を認証
IETF標準
将来性がある（IPv6では標準機能(?)）
アルゴリズム選択の柔軟性
IP層であり、エンドユーザに透過的
VPN構築（トンネルモード）
5

6. IPsecでできること／できないこと
ホスト IPsec機器 IPsec機器 ホスト
・データ暗号化
・メッセージ認証
・相手認証
保護できない IPsecで保護できる 保護できない
6

7. IPsecを補完する技術
ホスト上のデータの暗号化
ホスト上のデータのメッセージ認証（Tripwire）
アクセス制御（ファイアウォール）
アクセス元の認証（ワンタイムパスワード）
不正アクセス監視（IDS）
脆弱性の発見と修正（脆弱性スキャナ）
7

8. セキュリティプロトコル
データ通信のセキュリティを確保するプロトコル
IPsec
SSL/TLS
SSH
TSIG, SIG(0)
S/MIME, PGP
DNSSEC
など……
目的に合わせて適切に選択しましょう
8

9. セキュリティプロトコルの関係
www E-mail rlogin DNS
メッセージ DNS
アプリケーション Web
Data
データ コンテンツ S/MIME, PGP DNSSEC
アプリケーション層 HTTP DOMAIN
POP3 SMTP IMAP4 SSH +
TSIG
SSL/TLS
トランスポート層
TCP UDP
IPsec
ネットワーク層
IP
データリンク層 PPP Ethernet ATM
9

10. IPsecの構成要素と機能
10

11. IPsec関連の主なRFC
非常に多い。ドラフトも多いので注意
IPsecアーキテクチャ
4301
セキュリティプロトコル
4302, 4303, 3173
セキュリティプロトコル用アルゴリズム
4305, 2405, 2410, 2451, 3602, 3686, 2403, 2404, 3566,
4543, 2394, 2395, 3051
管理プロトコル
4306
管理プロトコル用アルゴリズム
4307, 3526, 4434
11

12. IPsecを構成するプロトコル群
AH(Authentication Header)
IPパケットの完全性確保
ESPで代用可能なのでv3から実装は必須ではない
ESP(Encapsulating Security Payload)
IPパケットの機密性と完全性を確保
IKEv2(Internet Key Exchange version 2) 500/UDP, 4500/UDP
やアルゴリズム等の情報交換のためのプロトコル
IPsecとは独立
IPComp(IP Payload Compression Protocol)
IPパケットの圧縮（省略）
12

13. IPsecで利用する暗号技術
IPsec
データの暗号化：共通 暗号
メッセージ認証：メッセージ認証コード(MAC)
IKEv2（ 交換プロトコル）
メッセージ暗号化：共通 暗号
メッセージ認証：メッセージ認証コード(MAC)
秘密 の共有：Diffie-Hellman 共有アルゴリズム
秘密 共有時の相手認証：デジタル署名
相手認証用の公開 入手：PKI（公開 基盤）
13

14. 暗号化方式
共通 のブロック暗号方式：ECB, CBC, CFB, OFB, CTR
共通 暗号：DES, 3DES, AES, IDEA, RC2, RC4, RC5, RC6,
Blowfish, Twofish, CAST-128, CAST-256, Camella, SEED
公開 暗号：RSA, ElGamal, ECC
一方向ハッシュ関数：MD2, MD4, MD5, SHA-1, SHA-256,
SHA-384, SHA-512, RIPEMD-160, RIPEMD-128
MAC:HMAC, CBC-MAC, XCBC-MAC, CMAC, GMAC
デジタル署名：RSA署名, DSA署名(DSS), ECDSA署名
秘密 共有アルゴリズム：Diffie=Hellman 共有アルゴリ
ズム, 公開 暗号を利用した 配送方式
PKI：CAと公開 証明書
14

15. IPsecが提供するサービス
アクセス制御
データの完全性確保
データ送信元の認証
リプレイ防御
データの機密性確保
トラフィック情報の機密性確保
15

16. アクセス制御
AHまたはESPにより提供
セキュリティポリシー（IPsecポリシー）の設定
パケットに対してIPsecを適用するか、しないか、破
棄するかを記述
16

17. データの完全性確保
AHまたはESPにより提供
メッセージ認証コード(MAC)を利用
IPなのでコネクションレスの完全性のみ確保
前後のパケットを見ない
17

18. データ送信元の認証
AHまたはESPにより提供
メッセージ認証コード(MAC)を利用
共有秘密 の交換は手動 or IKEv2
18

19. リプレイ防御
AHまたはESPにより提供（オプション）
再送攻撃を防御
パケットにシーケンス番号を付与し、受信側で重複を
検出する
19

20. データの機密性確保
ESPにより提供
データを共通 暗号により暗号化
20

21. トラフィック情報の機密性確保
ESPにより提供
どのような種類のアクセスが行われたかを隠
プロトコルヘッダの暗号化
トンネルモードでは始点と終点のIPアドレスも隠
送信データ量もある程度は隠 可能
IPsecではアクセス時刻や頻度は隠 できない
21

22. IPsecの要素まとめ
IPsecポリシーによる
アクセス制御
フィルタリング
AH
IPsec 完全性
シーケンス番
ESP 送信元認証
トンネリング
IPComp リプレイ防御
HMAC, CBC-MAC...
機密性 MAC 3DES, AES...
CBC...
ペイロード圧縮
トラフィック情報 共通 暗号 SHA-1...
の機密性
RSA署名, DSS...
デジタル署名
公開 基盤 RSA, ECC, ElGamal
IKEv2
Diffie-Hellman 共有アルゴリズム CA
22

23. IPsecの仕組み
23

24. IPsecプロトコルモード
トランスポートモード
トンネルモード
24

25. トランスポートモード
ホスト間のIPsec接続に使用
主にIPペイロードのセキュリティを確保
IPsec接続
端末 端末
IPv4 TCP
データ
ヘッダ ヘッダ
IPv4 ESP/AH TCP ESP
データ
ヘッダ ヘッダ ヘッダ トレーラ
25
暗号化

26. トンネルモード
ゲートウェイ間でのトンネル構築に使用
IPパケット全体を保護
IPsec接続
端末 IPsec機器 IPsec機器 端末
IPv4 TCP
データ
ヘッダ ヘッダ
トンネル ESP/AH IPv4 TCP ESP
データ
IPv4ヘッダ ヘッダ ヘッダ ヘッダ トレーラ
26 暗号化

27. IPsecの通信手順
セキュリティポリシー
セキュリティアソシエーション
ESPヘッダ
処理の流れ
27

28. セキュリティポリシー
パケットに対して、IPsecを適用する(PROTECT)、IPsecを適
用しない(BYPASS)、破棄(DISCARD)の3つの操作を行う
セレクタ：パケットを指定するための情報（条件式）
送信元アドレス、送信先アドレス
次レイヤプロトコル
送信元ポート、送信先ポート
ICMPメッセージタイプ／コード
名前（実装依存）
操作ごとにセキュリティポリシーデータベース(SPD)に登録
28

29. セキュリティポリシーの例
セレクタ
評価 適用する
リモート ローカル 次レイヤ その他
順序 処理
アドレス アドレス プロトコル （ポートなど）
トンネルモード
始点：10.1.1.1
1 10.2.1.0/24 10.1.1.0/24 ANY ANY 終点：10.2.1.1
ESP：AES-CBC
AES-XCBC-MAC-96
トランスポートモード
始点：10.1.1.1
2 10.1.1.0/24 10.1.1.0/24 ANY ANY 終点：10.1.1.1
ESP：AES-CBC
AES-XCBC-MAC-96
O1 10.3.1.0/24 10.1.1.0/24 ANY ANY BYPASS
O2 ANY ANY ANY ANY DISCARD
I1 10.3.1.0/24 10.1.1.0/24 ANY ANY BYPASS
I2 ANY ANY ANY ANY DISCARD
29

30. セキュリティアソシエーション
IPsecホスト間の約束（単方向コネクション）
IPsecプロトコルモード（トンネルorトランスポート）
IPsecプロトコル種別（AH or EPS）
暗号化アルゴリズム、認証アルゴリズム
アルゴリズムのパラメータ（ など）
単方向なので双方向通信するためには2本必要
セキュリティポリシーに従って生成される
セキュリティアソシエーションデータベース(SAD)に格納
セキュリティパラメータインデックス(SPI)で識別
30

31. ESPパケットフォーマット
0 31
セキュリティパラメータインデックス(SPI)
ESPヘッダ
シーケンス番号
初期ベクトル(IV)（可変長）
ペイロード
データ（可変長）
TFCパディング（可変長）
パディング（可変長）・次ヘッダ番号 ESPトレーラ
完全性チェック値(ICV)（可変長）
31

32. IPsec処理の流れ
L3パケット
DISCARD IPsec処理部
（破棄） SPD
パケット情報
ポリシー
処理 DISCARD, BYPASS,
PROTECT
SAあり
SAなし SPI
（ESPヘッダ）
SA SAD
IKEv2
SA確立
登録
BYPASS 暗号化・認証
（適用しない） 送信など
32

33. IPsecのフラグメント処理
IPsecではヘッダが増えるのでIPパケットが大きくなる
MTUを超えるとスループットが低下するので注意
トランスポートモードではMTUを超えてもフラグメント
処理をしない
IPヘッダを使いまわすため、元のIPヘッダのMFビット
との整合性をとれなくなる
トンネルモードではフラグメント処理できる
トンネルモードでは新たにIPヘッダを付加するから
第2フラグメント以降はTCPヘッダ等がないので別の
セキュリティポリシーが適用される
33

34. 経路MTU探索
IPsecでは送信元アドレスがわからない事がある
中継IPsecノードがICMP経路MTUメッセージを受け
取り、SADから探す
メッセージにはESPヘッダの一部まで含まれる
それらしきホスト全部に経路MTUメッセージを送信
IPsecでは、SAにMTU値を格納
トンネルモードではDF(Don’t Fragment Flag)を指定可能
DFセット、セットしない、元のIPヘッダからコピー
34

35. SA管理と 管理(IKEv2)
35

36. IKEv2概要
生まれた経緯
暗号は時間をかければ解読可能（原理的には）
共有秘密 は頻繁に変更した方が安全
手動でやるのは面倒なので自動化
500/UDP
IPsec SAのパラメータを保護するためにIKE_SAを利用
IKE_SAは双方向（IPsec SAは単方向）
IKE_SA確立後にIKE_SAを使ってIPsec SAを確立する
IKEv1ではISAKMP SAと呼ばれていた
36

37. IKEv2の機能
相手認証
SAの折衝と管理
共有秘密 の管理
サービス妨害攻撃からの防御
37

38. 相手認証
AHまたはESPで秘密 を共有する際に利用
IKE_AUTH交換で実行される
相手認証方式は2種類
事前共有秘密 認証
あらかじめ手動で秘密 を共有させておく
デジタル署名認証
互いのデジタル署名を検証する（RSA、DSS）
38

39. SAの折衝と管理
IKE_SAとCHILD_SA(IPsecSA)を折衝
Initiatorが複数のSAパラメータを提案（プロポーザル）
→ Responderがその中から選択
最初に一本のIKE_SAを確立、
これを使ってIPsecSAを二本確立
39

40. プロポーザルの例
プロポーザル番号 プロトコル トランスフォームID SA属性
ENCR_AES_CBC 長128bit
ESP
ENCR_3DES なし
1
AUTH_AES_XCBC_96 なし
AH
AUTH_HMAC_SHA1_96 なし
ENCR_AES_CBC 長128bit
ENCR_3DES なし
2 ESP
AUTH_AES_XCBC_96 なし
AUTH_HMAC_SHA1_96 なし
40

41. 共有秘密 の管理
IKEv2では定期的に共有秘密 を変更
Diffie-Hellman 共有アルゴリズム
PFS(Perfect Forward Secrecy)保証
ある が解読されてもその情報から次の が解読さ
れない性質
IKEv2では有効/無効を選択可能
擬似乱数関数(PRF: Pseudo-Random Function)
HMAC-SHA-1, HMAC-MD5, AES-XCBCが利用される
41

42. Diffie-Hellman 共有アルゴリズム
p, g
pとgの合意 pとgの合意
秘密 Xaの生成 秘密 Xbの生成
公開 Yaの生成 公開 Ybの生成
Ya = g^Xa mod p Ya Yb Yb = g^Xb mod p
共有秘密 Kの生成 共有秘密 Kの生成
K = Yb^Xa mod p K = Ya^Xb mod p
42

43. サービス妨害攻撃からの防御
大量のIKEv2メッセージが送られるとサービスが妨害
される
cookieを利用したチェックを行う（下図参照）
クライアント ターゲット
リクエスト ・cookieの値
・クライアント情報
cookie
・リクエスト内容
リクエスト+cookie をチェックする
接続処理
レスポンス
43

44. リモートアクセスVPN
44

45. こんな時
LAN
自席の端末に
つなぎたい
GW
IPsec接続
外部端末 IPsec機器
端末
45

46. 必要な機能
NAT対応
内部IPアドレスの割り当てと内部ネットワーク情報の
設定
外部端末でも内部のアドレスやDNS等の情報が必要
ユーザ認証
端末が盗まれた時のため
セキュリティポリシーの動的設定
外部端末のアドレスが不定なため
ファイアウォール通過設定
46

47. NATとIPsecの問題
IPsecではTCP/UDPヘッダが暗号化または無い
→ ポート番号が無い
ベーシックNAT（NAPTではない方）なら適用できる
かも
送信元IPアドレスが変換される
完全性チェック値(ICV)の不一致で破棄される
チェックサムにアドレス情報が入らなければ可能？
AHではダメ
ESPトンネルモードもしくはICMPならデータ次第で可
能
47

48. NATトラバーサル
経路上のNAT/NAPTを検出し、IPsecパケットを通過さ
せる技術
IPsecパケットをUDPでカプセル化
IKEv2のIKE_SA_INIT交換で、始点IPアドレスと終点
ポート番号を含むメッセージを交換
→ パケットヘッダの情報と異なればNATがあると判断
NATが存在する場合、IKEv2はポートをUDP500から
UDP4500に変更
NATキープアライブ
48

49. 内部ネットワーク情報の設定
IKEv1では、ISKMP-Config, IPsec-DHCPなどがあった
IKEv2ではISKMP-Configを元にコンフィギュレーション
ペイロードを利用
面倒なので略
手動でも良い
49

50. ユーザ認証
IKEにワンタイムパスワード、チャレンジレスポンス
などの機能は無い
v1で提案はされたが標準化されず
IKEv2では標準で組み込まれた
IKE_AUTH交換でEAP(PPP Extensible Authentication
Protocol)を使える
（よく調べてないができるらしい）
50

51. IPsec導入
51

52. 検討事項
IPsecポリシー
IPsecを適用するトラフィック・プロトコル
管理ポリシー
IKEv2でよい
IKEv2パラメータ
暗号アルゴリズム
いくつかスイートが用意されている
ネットワーク設計
ゲートウェイの場所
メール・DNSへの経路
52

53. まとめ
便利だけど要素が多くて面倒くさい
53