3.3. IPsecの実装場所 (Where IPsec Can Be Implemented)

IPsecは、ホスト内で実装するか、ルーターまたはファイアウォールと組み合わせてセキュリティゲートウェイを作成するか、または独立したセキュリティデバイスとして実装する多くの方法があります。

実装アプローチ

a. ネイティブIPスタック統合 (Native IP Stack Integration)

IPsecはネイティブIPスタックに統合できます。これにはIPソースコードへのアクセスが必要であり、ホストとセキュリティゲートウェイの両方に適用できますが、ネイティブホスト実装がこの戦略から最も恩恵を受けます。

b. スタック内挿入 (Bump-in-the-Stack, BITS)

「スタック内挿入 (BITS)」実装では、IPsecは既存のIPプロトコルスタック実装の「下」に、ネイティブIPとローカルネットワークドライバーの間に実装されます。このコンテキストでは、IPスタックのソースコードへのアクセスは必要ないため、この実装アプローチはレガシーシステムでの使用に適しています。

c. ワイヤー内挿入 (Bump-in-the-Wire, BITW)

専用のインラインセキュリティプロトコルプロセッサの使用は、軍事用システムおよび一部の商用システムの一般的な設計機能です。これは「ワイヤー内挿入 (BITW)」実装と呼ばれることがあります。このような実装は、ホストまたはゲートウェイのいずれかを提供するように設計できます。通常、BITWデバイス自体はIPアドレス指定可能です。

実装の柔軟性

このドキュメントでは、実装がネイティブ、BITS、またはBITWであるかに関係なく、ホストまたはセキュリティゲートウェイによるIPsecの使用について言及することがよくあります。これらの実装オプション間の区別が重要な場合、ドキュメントは特定の実装アプローチに言及します。

IPsecのホスト実装は、「ホスト」とは見なされないデバイスに現れる可能性があります。例えば、ルーターはIPsecを使用してルーティングプロトコル (例: BGP) および管理機能 (例: Telnet) を保護する可能性があり、ルーターを通過する加入者トラフィックに影響を与えません。このドキュメントで説明されているアーキテクチャは非常に柔軟です。