ESPとAH
ESPとAHの2種類のセキュリティプロトコルがある。
ESP(Encapsulating Security Payload)が一般的で,暗号化と認証の両方の機能を持つ。
一方AH(Authentication Header)は,認証のみの機能を持ち,あまり利用されていない。

IKE(Internet Key Exchange)
鍵交換のプロトコル。IPsec通信のための鍵交換を安全に実施する仕組みであるが,IPsecに必須な機能ではない。。しかし,鍵交換を自動で行ってくれるため,IKEを利用することが多い。

ESPのパケット構造
以下の問題を参考にしながら、解説をする。

図はIPsecのデータ形式を示している。ESPトンネルモードの電文中で,暗号化されているのはどの部分か。

IP

ヘッダ

EPS

ヘッダ

オリジナル

IPヘッダ

TCP

ヘッダ

データ

ESP

トレーラ

ESP

認証データ


ア ESPヘッダからESPトレーラまで
イ TCPヘッダからESP認証データまで
ウ オリジナルIPヘッダからESPトレーラまで
エ 新IPヘッダからESP認証データまで

(H20NW午前問26より)
・ESPヘッダ:SAを識別するためのSPIや,シーケンス番号
・ESPトレーラ:パケットの長さを調整するためのパディング(詰め物)等
・ESP認証データ:パケットが改ざんされていないかを確認するための情報

この問題の正解はウである。オリジナルIPヘッダからESPトレーラまでが暗号化されている。
なので、第三者が見ると、以下のような状態だ。

IP

ヘッダ

EPS

ヘッダ

XXXXXXX

XXXX

XXX

XXX

ESP

認証データ

15863853
あれ?
TCPやUDPにあるようなポート番号がありませんね。




そう。ESPにはポート番号がない。
だからポート番号を使ったNATであるNAPTができないので,VPNパススルーやNATトラバーサルなどが活用される。