IPSec
同義 : Internet Protocol Security
from ゼロトラストネットワーク ―― 境界防御の限界を超えるためのセキュアなシステム設計
ネットワークセキュリティスイートのひとつ
複数のプロトコルの集まり
IPv6 の仕様のために開発されたもので、もともとは IPv6 の要件だったが、最終的には勧告どまり
IPSec の課題
ネットワークのサポート
IPSec は新しいプロトコルを導入
そのうち、ESP と AH は新しい IP プロトコル → ネットワークによってはこれらがサポートされない
この問題への対処として、IPSec では UDP フレームにトラフィックをカプセル化する事も可能
デバイスのサポート
セキュリティ侵害が発覚すると暗号スイートが切り替えられるが、システムのカーネルで実装されているので、新しいプロトコルと暗号スイートの導入が進みづらい
アプリケーションのサポート
TLS と比較して、システム設定について追加の要件があり、複雑
IKE (Internet Key Exchange) が IPSec の鍵交換コンポーネント
RFC 6379 で Suite B 暗号スイートが定義されている
IPSec 暗号スイートの選択にあたって広く利用されている
IPSec のセキュリティアソシエーション (SA) は IKE ネゴシエーションの最終的な結果
IPSec SA は SPI (Security Parameter Index) によって一意に識別される
IPSec には 2 つのモードがある
トンネルモード
IP ヘッダを含む IP パケット全体がカプセル化される
本来の IP パケットの送信先と暗号化された IP パケットの送信先が異なりうる
→ 経路の途中で暗号化が解除されうるので、ゼロトラストネットワークの思想に反する
トランスポートモード