IPsec セキュリティ アソシエーションの概要

もう 1 つの IPSec の考慮事項は、実装するセキュリティ アソシエーション (SA) の種類です。SA は、IPSec 関係を確立するデバイス間でネゴシエートされた IPSec 仕様のセットです。これらの仕様には、IPSec 接続を確立するときに使用する認証、暗号化、および IPSec プロトコルの種類の基本設定が含まれています。SA は、ネットワーク管理者の選択に応じて、単方向または双方向のいずれかになります。SA は、SPI(セキュリティ パラメーター インデックス)、IPv4 または IPv6 の宛先アドレス、およびセキュリティ プロトコル(AH または ESP)識別子によって一意に識別されます。

事前設定された事前共有手動 SA を使用して IPSec を設定するか、IKE を使用して動的 SA を確立することができます。手動 SA では、すべての IPSec 要件を事前に指定する必要があります。逆に、IKE 動的 SA には、通常、最高レベルの認証と暗号化の構成デフォルトが含まれています。

IPSec を構成する場合、最後の主な考慮事項は、ネットワークに実装する IPSec モードの種類です。Junos OS は、以下の IPSec モードをサポートしています。

• トンネル モードは、Junos OS の AH と ESP の両方でサポートされており、ルーターの通常の選択肢です。トンネル モードでは、SA と関連プロトコルが、トンネリングされた IPv4 または IPv6 パケットに適用されます。トンネル モード SA の場合、外部 IP ヘッダーは IPSec 処理の宛先を指定し、内部 IP ヘッダーはパケットの最終的な宛先を指定します。セキュリティ プロトコル ヘッダーは、外部 IP ヘッダーの後、内部 IP ヘッダーの前に表示されます。さらに、AH と ESP で実装する場合、トンネル モードには若干の違いがあります。

  • AH の場合、外部 IP ヘッダーの一部と、トンネリングされた IP パケット全体が保護されます。

  • ESP の場合、外部ヘッダーではなく、トンネリングされたパケットのみが保護されます。

  セキュリティ アソシエーションの片側がセキュリティ ゲートウェイ(ルーターなど)である場合、SA はトンネル モードを使用する必要があります。ただし、トラフィック(SNMP コマンドや BGP セッションなど)がルーター宛ての場合、システムはホストとして機能します。この場合、システムがセキュリティ ゲートウェイとして機能せず、トランジット トラフィックを送受信しないため、トランスポート モードが許可されます。

• トランスポート モードは、2 つのホスト間にセキュリティ アソシエーションを提供します。トランスポート モードでは、プロトコルは主に上位層のプロトコルを保護します。IPv4 および IPv6 パケットの場合、トランスポート モード セキュリティ プロトコル ヘッダーは、IP ヘッダーとオプションの直後、上位層プロトコル (TCP や UDP など) の前に表示されます。AH と ESP で実装する場合、トランスポート モードには若干の違いがあります。

  • AH の場合、IP ヘッダーの選択された部分、および拡張ヘッダーの選択された部分、および IPv4 ヘッダー内の選択されたオプションが保護されます。

  • ESP の場合、上位層のプロトコルのみが保護され、IP ヘッダーや ESP ヘッダーの前にある拡張ヘッダーは保護されません。