5.2.6 セキュリティ
●IPセキュリティ(IPSec)
IP層レベルでのセキュリティを提供するメカニズムがIPSec(IPセキュリティ)であり,Windows 2000ではIPSec v2がサポートされている。インターネットプロトコルとしてIETFによって設計されたIPSecは,ホスト間,セキュリティゲートウェイ間,あるいはホストとセキュリティゲートウェイ間で,ネットワークレベルの認証,データ完全性,暗号化を実現する。
IPSecは,大雑把にいうと,次の3つのプロトコルで構成されている。
- AH(Authentication Header)プロトコル
- 認証用の拡張ヘッダ(AHヘッダ)を付加する。AHヘッダは,送信元のコンピュータを認証し,完全性のあるデータ通信を実現する。
- ESP(Encapsulating Security Payload)
- IPパケットの認証と暗号化,カプセル化を実現する。ESPは,認証と完全性に加えて,DES-CBC(Data Encryption Standard-Cipher Block Chaining)アルゴリズムを使用した機密性を提供する。
- ISAKMP(Internet Security Association and Key Management Protocol)/Oakley
- 鍵を交換したり管理したりする。
ISAKMPは,SA(Security Association)を確立して暗号化を管理するプロトコルである。SAとは,通信を保護するためのセキュリティプロトコルに必要となるサービスとメカニズムを定義するパラメータセットである。
Oakleyは,共通秘密鍵とDH(Diffie-Hellman)鍵交換アルゴリズムを使用する鍵交換メカニズムである。ISAKMPと一緒に利用されることが多いので,ISAKMP/Oakleyと呼ばれる。
Fig.5-26 IPSecの設定
 |
Chapter 5 23/25 |  |
