9.2 IPsec Tunnels (IPsec トンネル)
9.2 IPsec Tunnels (IPsec トンネル)
IPsec は、中間ルーターなどの潜在的に安全でないネットワークコンポーネントを介した安全な通信をサポートします。IPsec プロトコルは、トランスポートモード (transport mode) とトンネルモード (tunnel mode) の 2 つの動作モードをサポートし、広範なセキュリティ要件と動作環境をカバーします。トランスポートモードセキュリティプロトコルヘッダーは、IP (IPv4 または IPv6) ヘッダーと上位層プロトコルヘッダー (たとえば TCP) の間に挿入されるため、トランスポートモードは接続のエンドツーエンドセキュリティにのみ使用できます。IPsec トンネルモードは、元の「内部」IP ヘッダーとその関連パケットをカプセル化する新しい「外部」IP ヘッダーを追加することに基づいています。トンネルモードセキュリティヘッダーは、これら 2 つの IP ヘッダー間に挿入されます。トランスポートモードとは対照的に、新しい「外部」IP ヘッダーとトンネルモードセキュリティヘッダーは、接続の途中の中間ポイントで追加および削除でき、セキュリティゲートウェイがエンドポイントがセキュリティプロトコルに参加することなく、接続の脆弱な部分を保護できるようにします。トンネルモードセキュリティの重要な側面は、元の仕様では、外部ヘッダーがトンネル出口で破棄されることで、IP ヘッダーの変更に基づくセキュリティ脅威がそのトンネルエンドポイントを超えて伝播しないことを保証していたことです。IPsec の詳細な議論は [RFC2401] にあります。
最初に [ESP, AH] で定義された IPsec プロトコルは、内部ヘッダーの ECN フィールドがトンネル出口ノードの IPsec カプセル化解除処理によって変更されないことを要求していました。これにより、ECN の完全な機能モードの可能性が排除されます。同時に、これにより、敵対者による ECN フィールドへの変更が IPsec トンネルエンドポイントを越えて盗難またはサービス拒否攻撃を開始するために使用できないことが保証されます。そのような変更はトンネルエンドポイントで破棄されるためです。
原則として、IPsec トンネルの外部ヘッダーでの ECN 機能の使用を許可することは、敵対者がトンネルエンドポイントを超えて伝播する情報を改ざんする可能性があるため、セキュリティ上の懸念を引き起こします。これらの問題と関連するリスク (セクション 18 および 19 に含まれる) の分析に基づいて、私たちの全体的なアプローチは、ECN との競合を排除するために IPsec 変更に構成サポートを提供することです。
特に、トンネルモードでは、IPsec トンネルはセクション 9.1.1 で概説されている制限された機能オプションをサポートする必要があり、セクション 9.1.1 で概説されている完全な機能オプションをサポートすべきです。
これにより、IPsec トンネルの外部ヘッダーでの ECN 機能の使用の許可が、対応する IPsec Security Association (SA) の構成可能な部分になり、リスクが利点を上回ると考えられる場合に無効にできます。その結果、IPsec セキュリティ管理者は、IPsec トンネル内での ECN 対応接続の動作に、前述の制限された機能の代替案と完全な機能の代替案という 2 つの代替案を提供できます。
さらに、本文書は、IPsec トンネルのエンドポイントがセキュリティポリシーに基づいて、そのトンネルの外部ヘッダーでの ECN 機能の有効化をネゴシエートする方法を規定しています。トンネルエンドポイント間で ECN 使用をネゴシエートする機能により、セキュリティ管理者は、リスク (たとえば、輻輳通知を失うリスク) が ECN の利点を上回ると考える場合に ECN を無効にできます。
[ESP, AH] で定義されている IPsec プロトコルは、暗号化計算に IP ヘッダーの ECN フィールドを含めません (トンネルモードの場合、外部 IP ヘッダーの ECN フィールドを含めません)。したがって、ネットワークノードによる ECN フィールドへの変更は、IPsec 完整性チェックの失敗を引き起こさないため、IPsec のエンドツーエンドセキュリティに影響を与えません。したがって、IPsec は、敵対者による ECN フィールドの変更 (つまり中間者攻撃) に対する防御を提供しません。敵対者の変更も IPsec のエンドツーエンドセキュリティに影響を与えないためです。一部の環境では、IPsec 完整性チェックに影響を与えずに ECN フィールドを変更できる能力が隠蔽チャネルを構成する可能性があります。そのようなチャネルを排除するか、その帯域幅を減らす必要がある場合は、制限された機能モードで IPsec トンネルを動作させるべきです。