【ネットワーク】セキュリティのプロトコル

概要

ここではセキュリティを実現するために使用されているプロトコルについて紹介します。

IPsecとVPN

セキュリティの確保に欠かせない技術として、VPN(Virtual Private Network)があります。VPNを利用することで、リモートワーカーが会社の内部ネットワークに安全に接続したり、異なる地域に分散したオフィス間で安全な通信を確保することができます。VPNを構築する際に一般的に使用されているプロトコルがIPsecです。

IPsecでは、IPヘッダの後ろにESP(Encapsulating Security Payload)と呼ばれる暗号ヘッダやAH(Authentication Header)と呼ばれる認証ヘッダを付加して、データとヘッダーの暗号化や認証を行います。受信側では、まず受け取ったIPsecパケットのESPヘッダやAHヘッダを解釈し、その後で暗号化されたデータを復号処理します。これにより、VPNを通じて送信されるデータが第三者による盗み見から守られ、データが改ざんされた場合でも検知することができます。ユーザーはこれらのセキュリティ対策を意識することなく安全に通信を行うことができます。

IPsecはネットワーク層のプロトコルであり、IPパケット単位での暗号化や認証を提供します。IPsecは以下のセキュリティアーキテクチャで構成されています。

ESPプロトコル番号50パケットの暗号化に関するヘッダ拡張を行う。
AHプロトコル番号51認証に関するヘッダ拡張を行う。
IKEUDPポート番号500ESPとAHに必要な公開鍵の交換方法を規定する。

IPsecは通信する機器間で同等な関係を確立し、SA(Security Association)と呼ばれる単方向のセキュリティコネクションを形成します。SAにはプロトコルや通信モードなどの暗号化に必要なパラメーターが含まれます。IPsecによる暗号化通信の手順は以下の通りです。

  1. IKEとISAKMPを使用してSAを確立する。
    ISAKMPはIKEが使用するフレームワークを提供し、セキュリティパラメータの交換や鍵管理を補助します。
  2. IPsecを使用してデータを暗号化し、実際にデータの転送を行う。

TLS/SSLとHTTPS

ネットショッピングなどでクレジットカード番号や口座番号などを入力して通信する際には、他人に読み取られることがないように情報を暗号化する必要があります。Web上では、TLS/SSL(Transport Layer Security / Secure Socket Layer)という仕組みを使用してHTTP通信を行います。この暗号化された通信のことをHTTPSと呼びます。HTTPSでは、共通鍵暗号方式でデータが暗号化され、公開鍵暗号方式が使われて共通鍵の安全な送信が行われます。公開鍵の正当性は、Webブラウザに組み込まれた認証局(Certificate Authority, CA)が発行した証明書で確認されます。Webブラウザに組み込まれていない認証の場合は、警告が表示され、利用者がその証明書の信頼性を判断する必要があります。

さらに、リモートアクセスVPNでは、TLS/SSLを利用したSSL-VPNとIPsecを利用したVPNがあります。SSL-VPNはセッション層で暗号化を行い、IPsecはネットワーク層での暗号化を提供します。どちらを選ぶかは使用目的によって選択する必要があります。

IEEE802.1X

IEEE 802.1Xは特定の機器がネットワークにアクセスできるように認証する仕組みであり、主に無線LANや有線LANで利用されます。一般的にはクライアント端末、アクセスポイント(無線基地局やレイヤ2スイッチ)、そして認証サーバーから構成されます。

具体的な接続手順は以下の通りです。

 

 

  1. 接続要求の送信
    未認証の端末がアクセスポイントに接続要求を送信します。
  2. 仮想LANへの接続
    アクセスポイントは最初にクライアントを認証用のVLANに接続し、一時的なIPアドレスが割り当てられます。
  3. 認証の開始
    アクセスポイントはクライアントに対して認証の開始を通知します(EAPoL-Start)。
  4. ユーザー認証の開始
    クライアントはユーザーIDとパスワードを入力し、認証サーバーに送信します。
  5. 認証の確認
    認証サーバーはクライアントの提供する認証情報を検証し、認証の成否を通知します。
  6. ネットワーク情報の通知
    認証成功時、アクセスポイントはクライアントに対して利用可能なネットワーク情報(VLAN番号など)を通知します。
  7. VLANの切り替えとIP設定
    クライアントは指定された正規のVLANに接続を切り替え、新しいネットワーク設定(IPアドレスなど)を取得します。
  8. ネットワークの利用
    最終的に、クライアントは正常に認証され、ネットワーク上で通信を行う準備が整います。
  •  

公衆無線LANでは、通常ユーザーIDとパスワードが暗号化されて認証されますが、より高度なセキュリティを求める場合は、ICカードや証明書の利用、MACアドレスの確認などによって第三者のアクセスを制限することも可能です。

一覧へ【

コメント

タイトルとURLをコピーしました