#『IPsec』(トンネル・ESP・ヘッダー付与..)をパパっと理解!

IPsec・VPN・トンネル

はじめに

トニーくん
トニーくん

ITの勉強において、やっぱり全範囲を網羅的に勉強しようと思ってもなかなか、先輩・上司に追いつき追い抜くことって時間がかかるものです。そのせいでモチベーション下がったり……

トニーくん
トニーくん

だったら、1つのことに1点集中して『これに関しては同レベルor自分の方が上だ!』と思える領域を少しずつ作っていきましょう!それを続けていけば、どんどんどんどん勝てる領域が多くなり、気づいたら自分が行きたい未来に辿りつきます!

トニーくん
トニーくん

そういえば、ネスペの過去問で「IPsecルータを利用したIPsecVPNで接続している」という文がありました。聞いたことはある単語たちなのに、全然イメージできなくてショックを受けました。みんなはこれを説明できる??

なので、今日はこれを教えてください!

哲学者トニーくん
哲学者トニーくん

分かったよ。結論を言うと、IPsecルーターを利用したIPsecVPNとは『IPsecという安全な通信プロトコル群を使い、仮想的な専用線(トンネル)をインターネット上に構築して、外部からは通信内容を見えなくすることで、安全にデータを送受信できる』ということを言っています。

では、解説を見ていきましょう!

基本知識

basic 土台

IPsecルータとは、インターネットや他のネットワークを安全に利用するための機能を持ったルーターのことです。

ルーター:

ネットワーク上でデータを送るときに、どのルート(経路)を通ってデータを送るかを決める装置です。

VPN:

VPN(Virtual Private Network)は、インターネットのような公衆ネットワーク上に仮想的な専用線を張る技術です。通常、専用線を物理的に敷設するのはコストが高いですが、VPNを利用することで、インターネット上にあたかも専用線のように通信できるトンネルを構築できます。

哲学者トニーくん
哲学者トニーくん

トンネルというのは、データの暗号化新しいIPヘッダーの付加により、外部からは通信内容や実際の送信元・受信先がわからない状態を作り出す仕組みです。

p.s.外部からはトンネルが張られていているということは分かりますが、中身が何なのかまでは知り得ることができません。

IPsec:

「Internet Protocol Security」の略で、データを安全に送るためのルール仕組みのことです。

インターネットでは、データは色々な経路を通って目的地まで送られます。その途中でデータが盗まれたり改ざんされたりしないよう、IPsecでは以下の2つの技術を使います。

  1. 暗号化:データを他の人が読めないように変換します。例えば、あなたが誰かにメッセージを送るとき、そのメッセージは意味がわからない形(暗号)にして送られます。
  2. 認証:送信者が本当に正しい相手かを確認します(受信者が確認)。主は送信側の正当性を確認することにありますが、状況によっては受信側も正しい相手かどうかを確認することができます。

これにより、第三者が通信内容を見たり改ざんしたりするのを防ぎ、安全な通信が可能になります。

哲学者トニーくん
哲学者トニーくん

IPsecはプロトコルそのものではなくプロトコル群(プロトコルの集まり)です。具体的には、データを暗号化し、認証し、安全にやり取りするための一連のプロトコルのセットです。IPsec自体が通信を保護するために使うプロトコルや仕組みは複数あり、それらが連携してセキュアな通信を実現しています。

トニーくん
トニーくん

じゃあ、次はIPsecのプロトコル群にはどのようなプロトコルがあるのか教えてください。

IPsecのプロトコル

basic 土台

IPsecには、データの安全性を保つために使われる複数のプロトコル機能があります。

AH(Authentication Header)

  • 役割:データの「認証」と「改ざん防止」を行います。送信元が正しいこと、データが途中で変更されていないことを保証します。
  • 特徴:AHはデータの暗号化は行いませんが、データが改ざんされていないことを確認できます。

ESP(Encapsulating Security Payload)

  • 役割:データの「暗号化」「認証」「改ざん防止」を行います。データの内容が第三者に見られないように暗号化しつつ、データが改ざんされていないことや送信元が正しいことを確認します。
  • 特徴:暗号化機能が含まれているため、セキュリティの面ではAHよりも多くの機能を提供しています。実際のIPsec VPNではESPが使われることが多いです。

IKE(Internet Key Exchange)

  • 役割:IPsecで暗号化通信を行う際、暗号鍵の交換セキュリティパラメータの設定を行います。これにより、安全な暗号鍵がやり取りされ、通信が保護されます。
  • 特徴:IPsecの暗号化の基盤となる「鍵交換」を安全に行うためのプロトコルです。IKEには、より安全な鍵交換を行うためのバージョン2(IKEv2)もあります。
哲学者トニーくん
哲学者トニーくん

では、次に動作モードについてみていきましょう!

IPsecのモード

basic 土台

IPsecにはトランスポートモードトンネルモードの2つの動作モードがあります。それぞれの違いと用途を詳しく説明します。

トランスポートモード

basic 土台

トランスポートモードは、主にエンドツーエンドの通信(例えば、クライアントとサーバー間)で使われるモードです。このモードでは、データ本体(ペイロード)だけが暗号化されるため、IPヘッダーはそのまま残ります。

哲学者トニーくん
哲学者トニーくん

エンドツーエンド通信とは、通信の出発点(送信者)から到達点(受信者)までの間で、中継機器(ルーターやスイッチなど)はデータの中身に触れずに、ただ中継するだけの方式です。逆に、NATやプロキシサーバのように経由時にアドレスを変換するような中継方式はホップバイホップや中間サーバー方式と呼ばれます。

特徴エンドツーエンド通信ホップバイホップ通信(または中間サーバー方式)
暗号化の範囲通信の送信者から受信者まで一貫して保護される各中継点でデータが処理され、中継ごとに暗号化・復号化されることがある
セキュリティ送信者と受信者間でのみデータを復号化、経路上の中継点は関与しない中継点でデータが見られる可能性がある
通信の用途個人間の安全な通信、VPN、メッセージングアプリなどプロキシサーバー、CDN、クラウドサービスなど
プライバシーの強さ高い中継点次第でプライバシーが弱まる可能性がある
エンドツーエンドと他の方式の違い
特徴:
  • 暗号化対象IPヘッダーは暗号化されず、データ本体(ペイロード)のみが暗号化されます。
  • 用途:通常、エンドツーエンドの通信に使用されます。例えば、クライアントとサーバー間、または内部ネットワークでのセキュリティ強化が目的の通信に向いています。
  • パフォーマンス:トンネルモードに比べて、IPヘッダーを暗号化しない分、パフォーマンスは比較的高いです。
  • IPアドレス:外部からは元のIPアドレスが見えます。
例:
  • PC(クライアント)とサーバーの間での安全な通信。
  • 企業内の安全な通信を実現するために使用されることがあります。

トンネルモード

basic 土台

トンネルモードは、ネットワーク間の通信(例えば、拠点間のVPN)で使われるモードです。元のIPパケット全体(IPヘッダーとペイロードの両方)が暗号化され、新しいIPヘッダーが付け加えられます。これにより、外部からは元の送信者や受信者のIPアドレスが見えない状態になります。

トニーくん
トニーくん

新しいIPヘッダーを付加する理由って何ですか?

哲学者トニーくん
哲学者トニーくん

新しいIPヘッダーを付加することで元のアドレスを隠すことができます。もうちょっと言うと、「新しいIPヘッダー」とは、IPsecルータorVPNゲートウェイ(出入口)のIPアドレスを意味します。

新しいIPヘッダーの送信元と宛先アドレス(VPNゲートウェイやIPsecルーターのIP)は外部から見えますが、このIPアドレスはあくまでトンネルの入り口と出口です。中の通信内容や、元々の送信元・宛先アドレス(元のIPヘッダー)は暗号化されているので、誰がどこに通信しているのかを外部の第三者が知ることはできません。

外部から見えるのは、どのゲートウェイ間でトンネルが張られているかだけです。この場合、外部の攻撃者がわかるのはVPNゲートウェイのIPアドレス同士が通信しているという情報に過ぎず、実際の内部ネットワークでどのデバイスがどのデバイスと通信しているかはわかりません。

特徴:
  • 暗号化対象IPヘッダーも含めた全パケットが暗号化されます。その後、暗号化されたパケットに新しいIPヘッダーが追加され、送信されます。
  • 用途:通常、拠点間VPNリモートアクセスVPNなど、ネットワーク間の通信で使用されます。インターネットを介して企業の異なる拠点を安全に接続する際に適しています。
  • セキュリティ:元のIPヘッダーが暗号化されるため、外部から送信元や宛先のIPアドレスが見えません。セキュリティが非常に高いです。
  • IPアドレス:新しいIPヘッダーが付けられるため、外部からは元のIPアドレスが見えません。
例:
  • サイト間VPN:本社と支社の拠点間でIPsecトンネルを通じて通信する場合。
  • リモートアクセスVPN:自宅から企業ネットワークに安全に接続するためのVPN。

まとめ

ポート番号 summary

要するに…

IPsecルーターを利用したIPsec VPN接続は、インターネット上で安全な通信を実現するための技術です。IPsecは、安全な通信をサポートするためのプロトコル群で、ルーターを使って仮想的な専用線(≒トンネル)を構築します。このトンネルを使うことで、外部から通信の内容が見えなくなり、インターネット上を安全にデータ通信することが可能になります。

具体的には、IPsecルーターやVPNゲートウェイが、通信の際にトンネルを構築し、データの暗号化新しいIPヘッダーの付加を行います。外部の第三者から見えるのは、この新しいIPヘッダーだけで、そこにはゲートウェイのIPアドレスが書かれているため、送信元や宛先のIPアドレスは見えません。これにより、トンネルが張られていることだけは外部から確認できても、そのトンネル内でやり取りされているデータの内容や、どのクライアント間で通信が行われているかは完全に隠蔽されます。この暗号化と新しいIPヘッダーの付加により、仮想的な専用線を構築し、安全な通信が可能となるのです。

IPsecで使用されるプロトコルには、AH(Authentication Header)とESP(Encapsulating Security Payload)、そしてIKE(Internet Key Exchange)があります。AHはデータの改ざん防止認証を担当しますが、データの暗号化は行いません。ESPはデータの暗号化に加え、認証と改ざん防止も行うため、IPsec VPNでは主にESPが使われます。IKEは、IPsecの暗号化通信を行う際のセキュリティパラメーターの設定暗号鍵の交換を担当し、より安全な暗号化通信を実現します。IKEの最新版であるIKEv2は、特に効率的で安全性が高く、再接続モバイル環境でも安定した通信を提供するため、広く使われています。

IPsecにはトランスポートモードトンネルモードの2つの動作モードがあります。トランスポートモードでは、データそのものは暗号化されますが、IPヘッダーは暗号化されずにそのまま送信されます。このため、主にエンドツーエンドでの通信に適しており、経由するルーターや中継機器がパケットの中身に触れることなく中継を行います。暗号化と復号化は、クライアントやサーバー自体が行うため、このモードは企業内ネットワークなどで使用されることが多いです。

一方で、トンネルモードでは、データだけでなくIPヘッダーも暗号化されます。さらに新しいIPヘッダーが付加され、送信側と受信側のIPsecルーターやVPNゲートウェイのIPアドレスが外部から見える形で使われます。このため、外部からはゲートウェイ間にトンネルが張られていることは確認できますが、そのトンネル内でやり取りされている通信内容や、実際の送信元と受信先は全く見えません。トンネルモードは、サイト間VPNリモートアクセスVPNで使われ、非常に高いセキュリティを提供します。

要するに、IPsecルーターを使ったIPsec VPNは、インターネット上に仮想的な専用線を構築し、外部からは通信内容や送信元、宛先が見えない安全な通信を可能にする仕組みです。特にトンネルモードでは、データとIPヘッダーが暗号化され、新しいIPヘッダーを付加することで、通信全体を隠蔽できるため、非常に高いセキュリティを提供します。

おわりに

goal
トニーくん
トニーくん

本日は『IPsecルータを利用したIPsecVPNで接続している』について知見を深まりました!今までは「トンネル、VPN、IPヘッダーの付加」とかがよく分からなかったけど、今回でしっかり理解できました!

哲学者トニーくん
哲学者トニーくん

やはり、知識をつけることは大切じゃからのぉ。知識があれば大抵のことはできる。逆に知識がなければ、できるもんもできない。これが世の理じゃよ。

でも焦らず、1つずつ・1っ歩ずつ進んでいくことが大切じゃ!これからも一緒に頑張っていこう!

DJトニーくん
DJトニーくん

今日のSeeYouソングは「Sorry – Justin Biber 」です。これは仲良しな人とすれ違いや誤解で心が重くなったときに聴くと、その思いを少しだけ浄化してくれるかのような優しさを感じることができる曲です。イントロとかもオシャレでGoodです!では、どうぞ!

Sorry – Justin Biber
タイトルとURLをコピーしました