メインコンテンツまでスキップ

5. Security Considerations (セキュリティに関する考察)

5. Security Considerations (セキュリティに関する考察)

定義上, IPsec-NAT 互換性は, IPsec を実装するホストとルーターが IP ヘッダーが暗号的に保護されていないパケットを安全に処理できることを要求します。これから生じるいくつかの問題は議論に値します。

IPsec AH は NAT を通過できないため, IPsec-NAT 互換性ソリューションを提供する副作用の1つは, 送信元と宛先の間に NAT が存在する場合に AH の代わりにヌル暗号化を使用した IPsec ESP が使用されることです。ただし, ヌル暗号化を使用した ESP は AH と同じセキュリティ特性を提供しないことに注意する必要があります。たとえば, IPv6 ソースルーティングに関連するセキュリティリスクがあり, これは AH によって排除されますが, ヌル暗号化を使用した ESP では排除されません。

さらに, 任意の変換を使用した ESP は送信元アドレスのスプーフィングから保護しないため, ある種の送信元 IP アドレスの健全性チェックを実行する必要があります。アンチスプーフィングチェックの重要性は広く理解されていません。通常, IPsec_{esp,ah}_input() の一部として送信元 IP アドレスにアンチスプーフィングチェックがあります。これにより, パケットが元の IKE フェーズ 1 およびフェーズ 2 セキュリティアソシエーション内で主張されたものと同じアドレスから発信されることが保証されます。受信ホストが NAT の背後にある場合, ユニキャストセッションではこのチェックは厳密には意味がない可能性がありますが, グローバルインターネットではこのチェックは [AuthSource] で説明されているスプーフィング攻撃を防ぐためにトンネルモードユニキャストセッションにとって重要です。これは, カプセル解除後の検証済み ESP パケットの送信元 IP アドレスに受信者のアクセス制御が依存している場合に発生する可能性があります。IPsec-NAT 互換性スキームは, 送信元アドレスをアクセス制御に使用する場合, アンチスプーフィング保護を提供すべきです。

(異なる) NAT の背後にある 2 つのホスト A および C を考えてみましょう。これらはルーター B への IPsec トンネルモード SA をネゴシエートします。ホスト A と C は異なる特権を持つ場合があります。たとえば, ホスト A は企業イントラネットの大部分にアクセスすることを信頼されている従業員のものである可能性がありますが, C は特定のウェブサイトにのみアクセスすることを許可された請負業者である可能性があります。

ホスト C が A の IP アドレスを送信元としてスプーフィングするトンネルモードパケットを送信する場合, このパケットに A に対応する特権が与えられないことが重要です。認証と完全性チェックが実行されるが, アンチスプーフィングチェック (発信 IP アドレスが SPI に対応することを検証する) が行われない場合, ホスト C は制限されているネットワークの部分に到達することが許可される可能性があります。その結果, IPsec-NAT 互換性スキームはある程度のアンチスプーフィング保護を提供しなければなりません。

最終更新