web-dev-qa-db-ja.com

IPsecの使い方は?

IPsecは、IP上に構築されたプロトコルスイートです。元々はIPv6で設計されていましたが、IPv4にも存在します。

IPsecは、IPレベルでホスト間の暗号化された通信を可能にします(つまり、TCP、HTTP、HTTPSなどの上位層、SSLはその存在を認識する必要はありません)。

まあそれはいいですね。 superuser.com (またはUDPトレントトラフィック)へのhttpトラフィックを暗号化する必要があります。どうすればそれを実現できますか?

10年以上にわたってWindowsはIPsecをサポートしてきましたが、すべてのインターネットトラフィック(つまり、インターネットプロトコルを使用するもの)が暗号化されているとは考えていません。どうすればそれを実現できますか?


IPsecに関する技術的な詳細を無限に読むことができます。

  • 認証ヘッダー
  • セキュリティペイロードのカプセル化
  • セキュリティアソシエーション
  • トランスポートモード/トンネルモード

しかし、それを使用する方法についての情報はまだ見つかりません。

少なくとも[〜#〜] vpn [〜#〜]は理にかなっています。 VPNクライアントを見つけ、それを使用してVPNサーバーに接続する必要があります。

enter image description here

ただし、もう一方の端にvpnサーバーが必要です。この例では、superuser.comがポート1723でリッスンしているvpnserverを実行していないため、機能しません。ただし、IPsecには "サーバー"は必要ありません。 IPsecは組み込みIPであり、完全に透過的です。

では、すべてのIP接続を暗号化するにはどうすればよいですか?どのように私はIPsecを使用しますか?


「インターネットプロトコルセキュリティ」(IPsec)について読むほど、「インターネット」では使用できず、ローカルエリアネットワークでしか使用できないようです。

4
Ian Boyd

IPSecはIPv4の上に構築され、IPv6に組み込まれています。ただし、これは、話しているすべてのサイトがIPv6を介している場合に、IPSecを「オン」にすることができるという意味ではありません。

2つのポイント間のトラフィックを暗号化するには、両方のエンドポイントが暗号化に参加する必要があります。そうです、superuser.comはIPSec VPNエンドポイントを実行していないため、IPSecVPNクライアントを接続できません。 IPv6を実行している場合でも、キー交換を実行して2つのパーティの信頼性を検証し、暗号化キーとメソッドを確立する必要があります。

それが発生するまで、superuser.comまたは他のWebサイトと通信するときに、IPSecVPNでデータをエンドツーエンドで暗号化する方法はありません。暗号化されたセッションを提供するWebサイトは、通常、SSLを使用して提供します。

IPSecが推奨される方法である場合にできる最善の方法は、安全に通信するサイトの「近く」にあるVPNサービスプロバイダーを特定することです。接続するVPNゲートウェイとアクセスするサイトからのホップの量が少ないという点で近い。これは、暗号化されていないトラフィックがインターネット上でより短い距離を通過することを意味します。

IPv4上のIPSecは、ネイティブ形式のNATに問題がありますが、NATをトラバースできるようにするプロトコルへの標準的な追加が多数あります。最も一般的で、ほぼ普遍的に実装されているのはNAT-です。 D、ESP直接ではなく、UDP/4500をトランスポートとして使用します。

3
Paul