IPSec VPN
IPSec VPN は、インターネット プロトコル (IP) ネットワーク上で安全でプライベートな通信を確保するために使用される一般的なプロトコルのセットで、2 つのエンドポイント間の IP パケットの認証と暗号化によって実現されます。
IPSecとは何ですか?
インターネット プロトコル セキュリティ (別名 IPSec) は、オープン スタンダードのフレームワークです。これは Internet Engineering Task Force (IETF) によって開発され、ネットワーク トラフィックに暗号ベースのセキュリティを提供します。また、データ発信元の認証、機密性、整合性、リプレイ防止も可能になります。
IPv4 と IPv6 の両方のサポートを提供する IPSec は、VPN の実装時に導入されます。 「IPSec VPN」または「VPN over IPSec」という用語は、IPSec プロトコルを介して接続を作成するプロセスを指します。これは、セキュリティで保護されていないインターネット上に仮想の暗号化されたリンクを作成するための一般的な方法です。
対応するもの (SSL) とは異なり、IPSec はサードパーティのクライアント ソフトウェアが必要であり、Web ブラウザ経由で実装できないため、設定が比較的複雑です。さらに、複数の場所にあるオフィス間の安全なリモート アクセスにもよく使用されます。
IPSec VPN の主な機能
アンチリプレイ保護
IPSec はリプレイ攻撃に対する保護を提供します。各パケットに一意のシーケンス番号を割り当てます。重複するシーケンス番号を持つパケットが検出された場合、そのパケットは再実行され、ドロップされます。
データ発信元の認証
ハッシュ メッセージ認証コード (HMAC) は、パケットが変更されていないことを検証します。
完全前方秘匿性
IPSec VPN サービスの PFS は、VPN 接続のセキュリティを強化します。これは、ネゴシエーションごとに一意のセッション キーを確保することによって行われます。
透明性
IPSec はトランスポート層の下で動作するため、ユーザーやアプリケーションに対して透過的です。したがって、ルーターまたはファイアウォールにソフトウェアを実装するときに、ソフトウェアを変更する必要はありません。
動的な再キーイング
設定された間隔でキーを再生成することで、秘密キーを手動で再構成する必要がなくなります。また、ほとんどの傍受やなりすまし攻撃に対する保護も保証します。
機密保持
パケットは送信前に送信者によって暗号化されます。その結果、機密データは意図した受信者にのみ到達します。
IPSec と SSL の比較
以下は、ニーズに最適なものを選択できるように、SSL と IPSec の詳細な比較です。
| 特徴 | IPSec | SSL |
|---|---|---|
| パフォーマンス | クライアント上のソフトウェアを介して動作するため、接続のネゴシエーションにしばらく時間がかかる場合があります。 | Web ブラウザ経由で動作するため、接続のネゴシエーションが若干速くなります。 |
| 安全 | データの整合性と機密性だけでなく、リプレイ保護とネットワークレベルの認証もサポートします。 | 暗号化には SSL または TLS を使用し、認証には公開キー、秘密キー、デジタル証明書を使用します。 |
| 使いやすさ | 通常、実装と構成のプロセスには時間がかかります。 | 事実上あらゆる最新の Web ブラウザを使用して展開できます。 |
| ファイアウォールトラバーサル | ファイアウォールによるブロックは比較的簡単です。 | 安全な HTTPS トラフィックのデフォルト ポートであるポート 443 を使用するため、ファイアウォールのバイパスに適しています。 |
| コントロール | 内部ネットワークまたはアプリケーションへの広範なアクセス。セキュリティ上の懸念につながる可能性があります。 | より詳細なアクセス制御が可能ですが、より多くの管理が必要になります。 |
| データ認証 | インターネット鍵交換 (IKE) | 楕円曲線暗号 (ECC) や RSA などの鍵交換アルゴリズム。 |
| 攻撃から守る | ネットワーク全体へのリモート アクセスを提供するため、攻撃対象範囲が広くなります。 | 特定のアプリケーションやシステムへのリモート アクセスが可能になるため、攻撃対象領域が限定されます。 |
| 結論 | サイト間 VPN として最適です。 | きめ細かなリモート アクセスに推奨されます。 |
IPSec VPN プロトコルの長所と短所
利点
- すべての主要デバイスに対するネイティブ互換性。
- 3DES、AES、AES-256 などのさまざまな暗号を使用するため、最高のセキュリティが提供されます。
- 特にネットワークを切り替えたり、接続が切断された後に再接続したりする場合に安定しています。
- ネットワーク レベルで動作するため、アプリケーションの依存性を心配する必要はありません。
- サイト間の VPN 接続をサポート
短所
- 制限的なファイアウォールを使用してブロックできます。
- これは最速のプロトコルではありません。 L2TP/IPSec はデータを 2 回カプセル化するため、接続が遅くなります。
- かなりの帯域幅と処理時間を必要とします。
- より広範な攻撃対象領域
よくある質問
IPSec プロトコルはどのように機能しますか?
IPSec VPN は、トンネリングを使用してネットワーク トラフィックのプライベート接続を確立します。アプリケーション層で機能する他のプロトコルとは異なり、ネットワーク層で動作します。これにより、プロトコルがパケット全体を暗号化できるようになります。
まさにこの目的のために、さまざまな暗号化アルゴリズムが機能していますが、それらを以下で説明する 2 つの主要なメカニズムに掘り下げることができます。 IPSec は、データの安全性を確保するために、Advanced Encryption Standard を他のテクノロジーとともに使用します。IPSec で定義されている 2 つのプロトコルとは何ですか?
IPSec は、情報をエンコードするために次のコア プロトコルに依存します。
- IPSec 認証ヘッダー (AH) このプロトコルは、データとネットワークを保護するために各パケットにデジタル署名を保証します。これは、コンテンツを発見せずに変更することはできないことを意味します。また、受信者は、受信したパケットが実際に発信者によって送信されたものかどうかを確認することもできます。 AH はリプレイ攻撃からも保護します。
- セキュリティ ペイロード (ESP) AHのカプセル化により、パケットの改ざんが防止され、ESP がパケットの暗号化を処理します。パケットのペイロードは、ESP ヘッダー、ESP トレーラー、および ESP 認証ブロックを介して暗号化されます。
これらのプロトコルは両方とも連携して動作し、認証、セキュリティ、プライバシーを提供します。
IPSec VPN の使用方法
Android および Windows デバイスの場合、IPSec は L2TP および IKEv2 プロトコルで使用できます。ただし、iOS および Mac デバイスに関しては、IPSec を単独で使用することしか選択できません。
IPSec はどのポートを使用しますか?
多くの場合、IPSec VPN ポートはファイアウォール内で開いています。そうでない場合は、UDP ポート 500 を開くことで機能させることができます。これにより、ISAKEP トラフィックがファイアウォールを介して転送されるようになります。また、IP プロトコル ID 50 では ESP トラフィックが許可され、IP プロトコル ID 51 では AH トラフィックが許可されます。トラフィックは、受信と非バインドの両方のファイアウォール フィルターで転送されます。
PureVPN は IPSec over IPv6 をサポートしていますか?
IPSec over IPv6 をセットアップすることは可能ですが、PureVPN は IPSec over IPv6 をサポートしません。