next up previous contents
Next: 7.2.4 セキュリティポリシー Up: 7.2 IPsecの概略 Previous: 7.2.2 認証

7.2.3 ペイロード暗号化

IPsecでは、サイトのファイアーウォールなどを結ぶトンネルモード(例えば本社と 支社をつなぐために)と、ノードとノードが直接通信を暗号化するトランスポート モードがあります 。前者においては、内部から外に出ようとするパケット自体をIPヘッダまで含めて カプセル化し、そのカプセル化したペイロードが暗号化されますので、元々の IPヘッダも含めて暗号化される訳ですが、トランスポートモードでは、IPヘッダは そのままでTCPヘッダを含むデータが暗号化されます。いずれにせよ、IPヘッダと 拡張ヘッダは暗号化されず、それ以降のデータが暗号化されることになります。 当初は、このためにESPでは認証は入っておらず、認証はAHでという切り分けに なっていましたが、ヘッダからペイロードが切り離される点に問題があることが その後明らかになってきたために、現在ではESPには認証が含まれています。 従って、違いはIPヘッダに関する認証があるかないかという違いになります。



Noriyo Kanayama