マスタリングIPsec

[cover photo]
TOPICS
発行年月日
PRINT LENGTH
356
ISBN
4-87311-059-9
FORMAT

IPsecはIPパケットの暗号化と認証を行なう、TCP/IPネットワーク環境で汎用的に用いることができるセキュリティ技術であり、VPNを支える技術として注目を集めてます。本書では、インターネットセキュリティの全体像を把握し、脅威とその対策の類型化を経て、VPNとその中で用いられるIPsecを導入例を用いて解説します。ホスト−ゲートウェイ設定の参考書としても利用できる内容です。IPsecの最新仕様に対応しています。

著者による更新情報のページ

目次

まえがき

・部 IPsecの基礎
1章 IPsecの必要性
        1.1 あなたの通信は盗聴されている?
        1.2 IPsecの歴史
        1.3 保護すべきデータに必要なセキュリティ
        1.4 IPsecの特徴
        1.5 IPsecを補完する技術
        まとめ
参考文献

2章 暗号技術
        2.1 IPsecで使用される暗号技術
        2.2 共通鍵暗号
                2.2.1 共通鍵暗号とは
                2.2.2 代表的な共通鍵暗号アルゴリズム
                2.2.3 共通鍵暗号アルゴリズムの選択
        2.3 公開鍵暗号
                2.3.1 公開鍵暗号とは
                2.3.2 代表的な公開鍵暗号アルゴリズム
                2.3.3 公開鍵暗号アルゴリズムの選択
        2.4 一方向性ハッシュ関数
                2.4.1 一方向性ハッシュ関数とは
                2.4.2 代表的な一方向性ハッシュ関数
                2.4.3 一方向性ハッシュ関数の選択
        2.5 メッセージ認証コード(MAC)
                2.5.1 メッセージ認証コード(MAC)とは
                2.5.2 メッセージ認証コード(MAC)の種類
                2.5.3 メッセージ認証コード(MAC)の選択
        2.6 デジタル署名
                2.6.1 デジタル署名の基本的な仕組み
                2.6.2 代表的なデジタル署名アルゴリズム
                2.6.3 デジタル署名アルゴリズムの選択
        2.7 秘密鍵共有アルゴリズム
                2.7.1 代表的な秘密鍵共有アルゴリズム
                2.7.2 秘密鍵共有アルゴリズムの選択
        2.8 PKI
                2.8.1 CA(認証局)
                2.8.2 公開鍵証明書
        2.9 暗号技術に関する特許
        まとめ
参考文献

3章 セキュリティプロトコル
        3.1 セキュリティプロトコルの種類
                3.1.1 OSI参照モデル
                3.1.2 代表的なセキュリティプロトコル
        3.2 ネットワーク層プロトコルのセキュリティ
                3.2.1 IPsec
        3.3 トランスポート層プロトコルのセキュリティ
                3.3.1 SSL/TLS
        3.4 アプリケーション層プロトコルのセキュリティ
                3.4.1 Secure Shell
                3.4.2 TSIG、SIG(0)
        3.5 アプリケーションデータのセキュリティ
                3.5.1 S/MIME、OpenPGP
                3.5.2 DNSSEC
        3.6 セキュリティプロトコルの選択
        まとめ
参考文献

4章 IP-VPN
        4.1 IP-VPNとIPsec
        4.2 IP-VPNの機能
        4.3 IP-VPNの形態
                4.3.1 拠点間接続VPN
                4.3.2 リモートアクセスVPN
        4.4 トンネリングプロトコル
                4.4.1 IPsec
                4.4.2 L2TP
                4.4.3 MPLS
        4.5 IP-VPNの実現方式
                4.5.1 IPsec-VPN
                4.5.2 L2TP-VPN
                4.5.3 MPLS -VPN
                4.5.4 IP-VPN実現方式の比較
        まとめ
参考文献


・部 IPsecの詳細

5章 IPsecのアーキテクチャ
        5.1 IPsecプロトコルスイート
                5.1.1 IPsecを構成するプロトコル
                5.1.2 IPsecドキュメント体系
                5.1.3 IPsecで使用される用語
        5.2 IPsecが提供するサービス
                5.2.1 アクセス制御
                5.2.2 データの完全性確保
                5.2.3 データ送信元の認証
                5.2.4 リプレイ防御
                5.2.5 データの機密性確保
                5.2.6 トラフィック情報の機密性確保
        5.3 トランスポートモードとトンネルモード
                5.3.1 トランスポートモード
                5.3.2 トンネルモード
        5.4 セキュリティポリシー
                5.4.1 セキュリティポリシーによるパケットの処理
                5.4.2 セレクタ
                5.4.3 セキュリティポリシーデータベース(SPD)
        5.5 セキュリティアソシエーション
                5.5.1 セキュリティアソシエーションの概念
                5.5.2 セキュリティアソシエーションのパラメータ
                5.5.3 セキュリティアソシエーションデータベース(SAD)
        5.6 IPsec処理の流れ
                5.6.1 IPsec機器での出力処理
                5.6.2 IPsec機器での入力処理
                5.6.3 トンネリング処理
                5.6.4 リプレイ防御処理
                5.6.5 IPsecにおけるフラグメント処理
        5.7 IPsecの実装
参考文献

6章 認証ヘッダ(AH)
        6.1 AHの機能
        6.2 AHプロトコルフォーマット
                6.2.1 AHのヘッダフォーマット
                6.2.2 AHヘッダが挿入される位置
        6.3 認証アルゴリズム
                6.3.1 HMAC-MD5-96
                6.3.2 HMAC-SHA-1-96
                6.3.3 HMAC-RIPEMD -160-96
                6.3.4 DES -MAC
                6.3.5 AES -MAC
                6.3.6 Keyed-MD5(KPDK)
        6.4 AH処理の流れ
                6.4.1 送信側における処理(AH出力処理)
                6.4.2 受信側における処理(AH入力処理)
参考文献

7章 暗号ペイロード(ESP)
        7.1 ESPの機能
        7.2 ESPプロトコルフォーマット
                7.2.1 ESPのパケットフォーマット
                7.2.2 ESPが挿入される位置
        7.3 暗号化アルゴリズム
                7.3.1 DES-CBC
                7.3.2 その他のCBCモード暗号化アルゴリズム
                7.3.3 NULL暗号化アルゴリズム
                7.3.4 AES -CBC
        7.4 認証アルゴリズム
        7.5 ESP処理の流れ
                7.5.1 送信側における処理(ESP出力処理)
                7.5.2 受信側における処理(ESP入力処理)
参考文献

8章 IPペイロード圧縮(IPComp)
        8.1 IPレベルでの圧縮の必要性
        8.2 IPCompアソシエーション(IPCA)
        8.3 IPCompプロトコルフォーマット
                8.3.1 IPCompのヘッダフォーマット
                8.3.2 IPCompヘッダが挿入される位置
        8.4 拡大防止ポリシー
        8.5 圧縮アルゴリズム
                8.5.1 DEFLATE
                8.5.2 LZS
                8.5.3 LZJH
        8.6 IPComp処理の流れ
                8.6.1 送信側における処理(IPComp出力処理)
                8.6.2 受信側における処理(IPComp入力処理)
参考文献

9章 SA管理と鍵管理
        9.1 自動鍵管理プロトコルの必要性
        9.2 鍵管理プロトコルの決定経緯
        9.3 IPsecにおける鍵管理プロトコルの構成
                9.3.1 ISAKMP
                9.3.2 IKE
                9.3.3 DOI
                9.3.4 ISAKMP SA
        9.4 IKEの持つ機能
                9.4.1 相手認証
                9.4.2 SAの折衝と管理
                9.4.3 共有秘密鍵の管理
        9.5 ISAKMPメッセージフォーマット
                9.5.1 ISAKMPヘッダフォーマット
                9.5.2 ISAKMPペイロードフォーマット
        9.6 IKEの動作
                9.6.1 ISAKMP SAの確立(フェーズ1)
                9.6.2 セキュリティプロトコルのSAの確立(フェーズ2)
                9.6.3 その他のメッセージ交換
        9.7 IKEによる折衝パラメータ
                9.7.1 ISAKMP SAパラメータ
                9.7.2 IPsec SAパラメータ
参考文献


・部 IPsecの導入

10章 IPsec導入時の検討事項
        10.1 IPsec導入時の手順と検討事項
        10.2 IPsecポリシーの検討
                10.2.1 IPsecを適用するトラフィックの検討
                10.2.2 適用するプロトコルの検討
                10.2.3 IPsec SAおよびIPCAで使用するパラメータの選択
        10.3 鍵管理ポリシーの検討
                10.3.1 鍵管理方式の選択
                10.3.2 IKEで使用するパラメータの選択
        10.4 ネットワーク設計(VPNの場合)
                10.4.1 セキュリティゲートウェイの設置場所の検討
                10.4.2 IPルーティングの設定
                10.4.3 DNS問い合わせ経路の設定
                10.4.4 メール配送経路の設定
                10.4.5 ファイアウォールの設定
        10.5 IPsec機器の選定と設定
                10.5.1 IPsec機器の選定
                10.5.2 IPsec機器の設定
        10.6 接続試験とトラブルシューティング
                10.6.1 接続試験
                10.6.2 導入時のトラブルシューティング
                10.6.3 運用時のトラブルシューティング
参考文献

11章 IPsecの設定例
        11.1 IPsec実装の比較
        11.2 Windows 2000(およびWindows XP)
        11.3 Linux(FreeS/WAN)
        11.4 FreeBSD(KAME)
        11.5 Solaris 8

12章 IPsec導入への課題と取り組み
        12.1 PKIの利用
                12.1.1 IKEにおけるPKIを利用した認証
                12.1.2 X.509公開鍵証明書の登録と取得
        12.2 NAT環境への適用
                12.2.1 NATの機能
                12.2.2 NAT環境におけるIPsecの問題点
                12.2.3 NATが適用できる条件
                12.2.4 IPC-NAT(IPsecポリシー制御NAT)
                12.2.5 IPsec NAT-Traversal
        12.3 リモートアクセス環境への適用
                12.3.1 リモートアクセス環境に求められる機能
                12.3.2 ISAKMP-Config
                12.3.3 IPsec-DHCP
                12.3.4 XAUTH
                12.3.5 PIC
        12.4 QoS制御
        12.5 マルチプロトコル環境への適用
        12.6 マルチキャストへの対応
                12.6.1 マルチキャストにおける問題
                12.6.2 マルチキャストセキュリティフレームワーク
                12.6.3 マルチキャスト通信の保護
                12.6.4 グループ鍵管理
        12.7 Kerberos環境での利用
                12.7.1 Kerberosの動作
                12.7.2 KINK
                12.7.3 IKEにおけるGSS-API Kerberos認証方式
        12.8 セキュリティポリシーの管理
                12.8.1 セキュリティゲートウェイの発見とポリシーの取得
                12.8.2 IPsecのポリシー制御
        12.9 相互接続
                12.9.1 相互接続試験
                12.9.2 仕様準拠試験
        12.9.3 IPsecのバージョンの違い
参考文献

付録A IPsecプロトコルの解析
         TCPDUMPによる解析
         Etherealによる解析
付録B IPsecに関する仕様
         IETFにおけるIPsecに関する標準化活動
         IPsec関連RFC
         IPsec関連インターネットドラフト

索 引