Skip to main content

マスタリングIPsec 第2版

[cover photo]
TOPICS
Web , Security , System/Network
発行年月日
PRINT LENGTH
340
ISBN
4-87311-295-8
FORMAT

IPsecの強力な機能を効果的に利用するには、多くの機能の中から利用環境に合ったものを正しく選択する必要がある。本書では、IPsecの豊富な機能を理解できるように、暗号やVPNなども含めたIPsecの基礎から、体系立ててわかりやすく説明。また、利用環境に合わせて最適な機能を選択できるように、実際にIPsecを導入する際の手順や利用時の設定のポイントをわかりやすく解説している。IPsecの動作やパラメータの種類などをまとめた数多くの図や表も用意し、トラブルシューティングの際のリファレンスとしても利用できるように配慮している。IPsecを理解し、活用するための決定版。

正誤表

ここで紹介する正誤表には、書籍発行後に気づいた誤植や更新された情報を掲載しています。以下のリストに記載の年月は、正誤表を作成し、増刷書籍を印刷した月です。お手持ちの書籍では、すでに修正が施されている場合がありますので、書籍最終ページの奥付でお手持ちの書籍の刷版、刷り年月日をご確認の上、ご利用ください。

著者によるサポートページ

著者によるサポートページでは、本書の正誤情報の他、IPsec関連の最新情報なども公開しています。 下記のアドレスよりご参照ください。  http://www.tatsuyababa.com/MasteringIPsec/

目次

はじめに

I部 IPsecの基礎

1章 IPsecの必要性
	1.1 あなたの通信は盗聴されている?
	1.2 IPsecの歴史
	1.3 保護すべきデータに必要なセキュリティ
	1.4 IPsecの特徴
	1.5 IPsecを補完する技術
	1.6 まとめ
	1.7 参考文献

2章 暗号技術
	2.1 IPsecで使用される暗号技術
	2.2 共通鍵暗号
		2.2.1 共通鍵暗号とは
		2.2.2 代表的な共通鍵暗号アルゴリズム
		2.2.3 共通鍵暗号アルゴリズムの選択
	2.3 公開鍵暗号
		2.3.1 公開鍵暗号とは
		2.3.2  代表的な公開鍵暗号アルゴリズム
		2.3.3 公開鍵暗号アルゴリズムの選択
	2.4 一方向性ハッシュ関数
		2.4.1 一方向性ハッシュ関数とは
		2.4.2 代表的な一方向性ハッシュ関数
		2.4.3 一方向性ハッシュ関数の選択
	2.5 メッセージ認証コード(MAC)
		2.5.1 メッセージ認証コード(MAC)とは
		2.5.2 メッセージ認証コード(MAC)の種類
		2.5.3 認証付暗号化モード
		2.5.4 メッセージ認証コード(MAC)の選択
	2.6 デジタル署名
		2.6.1 デジタル署名の基本的な仕組み
		2.6.2 代表的なデジタル署名アルゴリズム
		2.6.3 デジタル署名アルゴリズムの選択
	2.7 秘密鍵共有アルゴリズム
		2.7.1 代表的な秘密鍵共有アルゴリズム
		2.7.2 秘密鍵共有アルゴリズムの選択
	2.8 PKI
		2.8.1 CA(認証局)
		2.8.2 公開鍵証明書
	2.9 暗号技術に関する特許
	2.10 まとめ
	2.11 参考文献

3章 セキュリティプロトコル
	3.1 セキュリティプロトコルの種類
		3.1.1 OSI参照モデル
		3.1.2 代表的なセキュリティプロトコル
	3.2 ネットワーク層プロトコルのセキュリティ
		3.2.1 IPsec
	3.3 トランスポート層プロトコルのセキュリティ
			3.3.1 SSL/TLS
	3.4 アプリケーション層プロトコルのセキュリティ
		3.4.1 Secure Shell
		3.4.2 TSIG、SIG(0)
	3.5 アプリケーションデータのセキュリティ
		3.5.1 S/MIME、OpenPGP
		3.5.2 DNSSEC
	3.6 セキュリティプロトコルの選択
	3.7 まとめ
	3.8 参考文献

4章 VPN
	4.1 VPNとIPsec
	4.2 VPNの機能
	4.3 VPNの形態
		4.3.1 拠点間接続VPN
		4.3.2 リモートアクセスVPN
	4.4 トンネリングプロトコル
		4.4.1 IPsec
		4.4.2 PPTP
		4.4.3 L2TP
		4.4.4 MPLS
	4.5 VPNの実現方式
		4.5.1 IPsec-VPN
		4.5.2 PPTP-VPN
		4.5.3 L2TP-VPN
		4.5.4 SSL-VPN
		4.5.5 MPLS-VPN
		4.5.6 VPN実現方式の比較
	4.6 まとめ
	4.7 参考文献

II部 IPsecの詳細

5章 IPsecのアーキテクチャ
	5.1 IPsecプロトコルスイート
		5.1.1 IPsecを構成するプロトコル
		5.1.2 IPsecのドキュメント構成
		5.1.3 IPsecで使用される用語
	5.2 IPsecが提供するサービス
		5.2.1 アクセス制御
		5.2.2 データの完全性確保
		5.2.3 データ送信元の認証
		5.2.4 リプレイ防御
		5.2.5 データの機密性確保
		5.2.6 トラフィック情報の機密性確保
	5.3 トランスポートモードとトンネルモード
		5.3.1 トランスポートモード
		5.3.2 トンネルモード
	5.4 セキュリティポリシー
		5.4.1 セキュリティポリシーによるパケットの処理
		5.4.2 セレクタ
		5.4.3 セキュリティポリシーデータベース(SPD)
	5.5 セキュリティアソシエーション
		5.5.1 セキュリティアソシエーションの概念
		5.5.2 セキュリティアソシエーションのパラメータ
		5.5.3 セキュリティアソシエーションデータベース(SAD)
	5.6 相手認可データベース(PAD)
		5.6.1 PADエントリ
	5.7 IPsec処理の流れ
		5.7.1 IPsec機器での出力処理
		5.7.2 IPsec機器での入力処理
		5.7.3 トンネリング処理
		5.7.4 リプレイ防御処理
		5.7.5 IPsecにおけるフラグメント処理
	5.8 SCTPへの対応
	5.9 IPsecの実装
		5.9.1 ネイティブIPスタックへの統合
		5.9.2 Bump-in-the-stack(BITS)
		5.9.3 Bump-in-the-wire(BITW)
	5.10 参考文献

6章 認証ヘッダ(AH)
	6.1 AHの機能
	6.2 AHプロトコルフォーマット
		6.2.1 AHのヘッダフォーマット
		6.2.2 AHヘッダが挿入される位置
	6.3 認証アルゴリズム
		6.3.1 HMAC-SHA-1-96
		6.3.2 HMAC-MD5-9
		6.3.3 HMAC-RIPEMD-160-96
		6.3.4 AES-XCBC-MAC-96
		6.3.5 AES-CMAC-96
		6.3.6 AES-GMAC
		6.3.7 Keyed-MD5(KPDK)
	6.4 AH処理の流れ
		6.4.1 送信側における処理(AH出力処理)
		6.4.2 受信側における処理(AH入力処理)
	6.5 参考文献

7章 カプセル化セキュリティペイロード(ESP)
	7.1 ESPの機能
	7.2 ESPプロトコルフォーマット
		7.2.1 ESPのパケットフォーマット
		7.2.2 ESPが挿入される位置
	7.3 暗号化アルゴリズム
		7.3.1 3DES/RC5/IDEA/CAST-128/Blowfish-CBC
		7.3.2 AES-CBC
		7.3.3 Camellia-CBC
		7.3.4 SEED-CBC
		7.3.5 AES-CTR
		7.3.6 DES-CBC
		7.3.7 NULL暗号化アルゴリズム
	7.4 認証アルゴリズム
	7.5 認証付暗号化アルゴリズム
		7.5.1 AES-GCM
		7.5.2 AES-CCM
	7.6 ESP処理の流れ
		7.6.1 送信側における処理(ESP出力処理)
		7.6.2 受信側における処理(ESP入力処理)
	7.7 参考文献

8章 IPペイロード圧縮(IPComp)
	8.1 IPレベルでの圧縮の必要性
	8.2 IPCompアソシエーション(IPCA)
	8.3 IPCompプロトコルフォーマット
		8.3.1 IPCompのヘッダフォーマット
		8.3.2 IPCompヘッダが挿入される位置
	8.4 拡大防止ポリシー
	8.5 圧縮アルゴリズム
		8.5.1 DEFLATE
		8.5.2 LZS
		8.5.3 LZJH
	8.6 IPComp処理の流
		8.6.1 送信側における処理(IPComp出力処理)
		8.6.2 受信側における処理(IPComp入力処理)
	8.7 参考文献

9章 SA管理と鍵管理(IKEv2)
	9.1 鍵管理プロトコルの必要性
	9.2 鍵管理プロトコルの決定経緯
	9.3 IKEv1 からの変更点
	9.4 IKE_SA
	9.5 IKEv2 の持つ機能
		9.5.1 相手認証
		9.5.2 SAの折衝と管理
		9.5.3 共有秘密鍵の管理
		9.5.4 サービス妨害攻撃からの防御
	9.6 IKEv2 メッセージフォーマット
		9.6.1 IKEv2 ヘッダフォーマット
		9.6.2 IKEv2 ペイロードフォーマット
	9.7 IKEv2 におけるアルゴリズムの実装要求レベル
		9.7.1 暗号化アルゴリズム
		9.7.2 擬似乱数関数
		9.7.3 完全性アルゴリズム
		9.7.4 Diffie-Hellmanグループ
	9.8 IKEv2 の動作
		9.8.1 IKE_SA_INIT交換およびIKE_AUTH交換
		9.8.2 CREATE_CHILD_SA交換によるCHILD_SAの確立
		9.8.3 CREATE_CHILD_SA交換によるIKE_SAのリキー
		9.8.4 INFORMATIONAL交換
		9.8.5 IKEv2 パケットの受信処理
	9.9 参考文献

10章リモートアクセスVPN機能
	10.1 リモートアクセスVPN環境で求められる機能
	10.2 NAT環境への対
		10.2.1 NATの機能
		10.2.2 NAT環境におけるIPsecの問題点
		10.2.3 NATが適用できる条件
		10.2.4 NATトラバーサル
	10.3 内部ネットワーク情報の設定
		10.3.1 コンフィギュレーションペイロード
		10.3.2 コンフィギュレーションペイロードによる設定の例
	10.4 ユーザ認証
		10.4.1 IKEv2 でのユーザ認証の仕組み
	10.5 参考文献

III部 IPsecの導入

11章 IPsec導入時の検討事項
	11.1 IPsec導入時の手順と検討事項
	11.2 IPsecポリシーの検討
		11.2.1 IPsecを適用するトラフィックの検討
		11.2.2 適用するプロトコルの検討
		11.2.3 IPsec SAおよびIPCAで使用するパラメータの選択
	11.3 鍵管理ポリシーの検討
		11.3.1 鍵管理方式の選択
		11.3.2 IKEv2 で使用するパラメータの選択
	11.4 IPsec暗号スイート
	11.5 ネットワーク設計(VPNの場合)
		11.5.1 セキュリティゲートウェイの設置場所の検討
		11.5.2 IPルーティングの設定
		11.5.3 DNS問い合わせ経路の設定
		11.5.4 メール配送経路の設定
		11.5.5 ファイアウォールの設定
	11.6 IPsec機器の選定と設定
		11.6.1 IPsec機器の選定
		11.6.2 IPsec機器の設定
	11.7 接続試験とトラブルシューティング
		11.7.1 接続試験
		11.7.2 導入時のトラブルシューティング
		11.7.3 運用時のトラブルシューティング
	11.8 参考文献

12章 IPsecの設定例
	12.1 IPsec実装機器の比較
	12.2 Windows XP
	12.3 Linux(Fedora Core 5)
	12.4 Mac OS X
	12.5 Solaris 10

13章 IPsec導入への課題と取り組み
	13.1 PKIの利用
		13.1.1 IKEv2 におけるPKIを利用した認証
	13.2 DNSによる公開鍵の配布
	13.3 モビリティへの対応
	13.4 マルチキャストへの対応
		13.4.1 マルチキャストにおける問題
		13.4.2 マルチキャストセキュリティ参照フレームワーク
		13.4.3 マルチキャスト通信の保護
		13.4.4 グループ鍵管理
	13.5 Kerberos環境での利用
		13.5.1 Kerberosの動作
		13.5.2 KINK
	13.6 セキュリティポリシーの管理
	13.7 マルチプロトコル環境への適用
	13.8 相互接続
		13.8.1 相互接続試験291
		13.8.2 仕様準拠試験291
		13.8.3 IPsecのバージョンの違い
	13.9 参考文献

付録A IPsecプロトコルの解析
	A.1 TCPDUMPによる解析
	A.2 Etherealによる解析

付録B IPsecに関する仕様
	B.1 IETFにおけるIPsecに関する標準化活動
	B.2 IPsec関連RFC
	B.3 IPsec関連インターネットドラフト

索引

関連書籍