IPSEC AH vs ESPを使用する理由
IPSECについての理解を深めています。
IPSecは、IETFが定義したセキュリティサービスのセットであり、オープンスタンダードを使用して、ピア間のデータの機密性、整合性、および認証を提供します。
IPsecには2つのセキュリティサービスが含まれます。
- 認証ヘッダー(AH):これは送信者を認証し、送信中のデータの変更を検出します。 NATと互換性がありません。
- カプセル化セキュリティペイロード(ESP):これは、
送信者の認証だけでなく、送信されるデータも暗号化します
(守秘義務)。
なぜ誰もがAHを使用するのですか? ESPプラスになっています。つまり、なぜAHが指定されているのですか?また、AHのみのIPSECを展開または使用したことがある人はいますか?
AHはファイアウォールで簡単に検査できます。 ESP NULLも同様ですが(AFAIK)ファイアウォールはそれがNULL暗号であることを認識しておらず、接続が確立された後で簡単に知る方法がありません。
したがって、認証のみが必要な場合は、AHのプラスになります。
私の経験では、非常にまれなケースで、プロバイダーまたはエンドポイント間でESP(IPプロトコル50)をブロックするホップが見つかりました。トンネルは正常に確立されますが、トラフィックは通過しません。私はこれが起こるのを見て、標準の考えられる原因を除外し、AHに目を向けます。
私はAHを使用してプロバイダーにそれを「証明」し、プロバイダーに少なくともエンドを確認させました。修正できない場合でも、ESPが機能しないというまれなケースで、少なくともトランスポートメカニズムを提供します。
ESPではなくAHを使用するもう1つの理由:アプリケーションでの暗号化は禁止されています。
たとえば、アマチュアラジオでは、ライセンスされたスペクトラムを介したデータリンクは、いかなる暗号化も明示的に禁止されています。ただし、AHをスプーフィング防止として、または法律を破ることなく完全なVPNトンネリングを実行するために使用できます。
他の国でも同様の問題が発生する可能性があり、企業のネットワークポリシーでは、ほとんどの人がデータを検査する機能をブロックするため、暗号化を禁止する場合があります。
要するに、暗号化が望ましくない、または許可されないケースが存在し、それらのケースを満たすためにAHが存在します。
IPsecは、暗号化製品に適用される輸出規制が現在よりもはるかに厳格であったときに設計されました。
デプロイされたアプリケーションをハッキングして、(標準内で)トラフィックを暗号化するように強制する方法がないことを確認する必要がありました。この要件を満たすために、設計には次のものが含まれています。
- ユーザーのニーズに応じて暗号化and認証を一緒に、または個別に/個別に(認証のみ、または暗号化のみ)処理でき、構成によって制御されるESP。そして
- のみ認証を実行できるAH。 AHは、暗号化が制限された顧客への販売のみを目的としています。
ESPは、暗号化が望ましくない場合に対応するように設計されています。 AHは、エンドユーザーが何をしても、この製品への暗号化の有効化/追加が不可能であることを保証しなければならない場合のためにありました(もちろん、所定の規格内で)。
回線を介した暗号化は必須ではない場合や、ハードウェアが高速で暗号化できない場合があります。暗号化オフロードのないプラットフォームでは、ESPはコントロールプレーンに大きな負荷をかける可能性があります。