Web教材一覧ネットワーク

ネットワークの閉域化・暗号化

セキュリティを考慮したネットワーク

インターネットは不特定多数に接続されますが、セキュリティのためには自社事業所、関係会社、取引先など限定した相手間に限定したネットワークが望まれます。そのようなネットワークには専用回線がありますが、通信を暗号化することによって、インターネットを特定の相手間だけに限定する(閉域化といいます)ことにより、コスト面や運用面でのメリットが得られます。

IPsec

IPsec(Security Architecture for the Internet Protocol)は,ネットワーク層での暗号プロトコルで、IPパケットを暗号化して送信するプロトコルです。その方法にはトランスポートモードとトンネルモードがあります。なお、IPv6ではIPsecは必須の機能として規定されています。

IPsecのヘッダ
トランスポートモード
元のパケットのデータの部分(TCPヘッダや本文)だけを暗号化(カプセル化といいます)して,その前にIPsecのヘッダを付加し,それ全体をデータとして,IPヘッダを付加します。
トンネルモード
元のパケット全体をカプセル化します。それ以外はトランスポートモードと同じです。

IPsecを構成している主なプロトコル
•IKE(Internet Key Exchange)鍵交換のプロトコル
•ESP(Encapsulating Security Payload)データの転送に利用するプロトコル
•AH(Authentication Header)完全性と認証のためのプロトコル

VPN

VPN(Virtual Private Network:仮想私設回線網)とは、トンネル技術を利用して公衆回線網を専用回線のように利用する方法の総称です。暗号化と復号のために専用のVPNルータを用います。

IP-VPNの図
インターネットVPN
 
IPsecのトンネルモードやPPTP,L2TPなどにより,すべてのパケットをカプセル化することにより,一般のインターネットを通りながら,暗号化および認証機能を持ち,VPNルータでなければ解読できないようになっています。
IP-VPN
インターネットVPNと同じ機能ですが、通常は、通信事業者が独自に構築したインターネットを用いたものをIP-VPNといいます。加入者以外はネットワークにアクセスできないことから、インターネットVPNよりも安全性が高くなります。

なお、切り口は異なりますが、特定のアプリケーションにSSLを用いたVPNをSSL-VPNといいます。SSL-VPNでは、サーバ側にはSSL-VPN装置が必要ですが、クライアント側には不要です。

RASとRADIUS

RAS(Remote Authentication Server)とは,社員が自宅から会社にアクセスするように,外部から社内ネットワークにダイヤルアップ接続するときのアクセスサーバです。RADIUS(Remote Authentication Dial In User Service)はそのプロトコルで,ユーザ認証、アクセス制御、アカウント情報管理を統括的に行う仕組みです。無線LANやVPN接続などで利用者を認証するためにも用いられます。

上位層での暗号通信プロトコル

IPsecやIP-VPNはIPレベルでの暗号化プロトコルですが,それよりも上位層での暗号化通信には多くのプロトコルがあります。

SSH(Secure SHell)
暗号化通信を行う端末エミュレータです。ネットワーク上を流れるデータはすべてRSAやDSAに基づいて圧縮・暗号化されます。UNIXで広く用いられてきましたが,Linuxサーバでもよく用いられています。
SSL(Secure Socket Layer)
HTTPやFTPなどの上位のプロトコルを利用するアプリケーションソフトでの情報を暗号化して送受信するプロトコルで,通常のWebブラウザに標準装備されています。公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数などのセキュリティ技術を組み合わせ、データの盗聴や改ざん、なりすましを防ぐことができます。
HTTPS
SSLの暗号化通信をHTTPに実装したものです。WebブラウザとWebサーバ間の経路における通信内容の盗聴・改ざんの危険性はほぼ回避できます。
S/MIME
MIME(Multipurpose Internet Mail Extension)は,電子メールで画像,音声,動画などを扱うための規格ですが,S/MIME(Secure MIME)はMIMEの機能拡張版で,メッセージの暗号化と電子署名を行う機能を持ちます。
なお、SSLとS/MINEは異なるプロトコルです。SSLではサーバの「サーバ証明書」が本人確認になりますが、S/MIMEではクライアントの「ユーザー証明書」が本人確認に用いられます。
WPA(Wi-Fi Protected Access)
無線LANの暗号化方式です。暗号鍵を一定時間毎に自動的に更新するTKIP(Temporal Key Integrity Protocol)と呼ばれる暗号化プロトコルやユーザ認証機能を備えています。
なお、無線LANでは、他の無線との混線を避けるため、アクセスポイントと端末の間のネットワークに名前をつけ、それが一致しない端末とは通信しないようにしています。それをESS-ID(Extended Service Set Identifier)といいます。これはセキュリティとは直接の関係はありません。

理解度チェック

過去問題: 「ネットワークの閉域化・暗号化」