メインコンテンツまでスキップ

4.2. SA機能 (SA Functionality)

SAが提供するセキュリティサービスのセットは、選択されたセキュリティプロトコル、SAモード、SAのエンドポイント、およびプロトコル内のオプションサービスの選択に依存します。

例えば、AHとESPの両方が完全性と認証サービスを提供しますが、各プロトコルのカバレッジは異なり、トランスポートモードとトンネルモードでも異なります。IPv4オプションまたはIPv6拡張ヘッダーの完全性を送信者と受信者の間の経路で保護する必要がある場合、AHはこのサービスを提供できますが、送信者が予測できない方法で変更される可能性のあるIPまたは拡張ヘッダーは除きます。ただし、一部のコンテキストでは、パケットを運ぶトンネルにESPを適用することで同じセキュリティを実現できる場合があります。

提供されるアクセス制御の粒度は、各SAを定義するセレクターの選択によって決定されます。さらに、IPsecピアが使用する認証手段、例えば、IKE (子SAではなく) SAの作成中に使用される認証手段も、提供されるアクセス制御の粒度に影響します。

トラフィックフロー機密性

機密性が選択されている場合、2つのセキュリティゲートウェイ間のESP (トンネルモード) SAは、部分的なトラフィックフロー機密性を提供できます。トンネルモードの使用により、内部IPヘッダーを暗号化でき、(最終的な)トラフィックソースと宛先の識別情報を隠すことができます。さらに、ESPペイロードパディングを呼び出してパケットのサイズを隠し、トラフィックの外部特性をさらに隠すこともできます。モバイルユーザーがダイヤルアップコンテキストで動的IPアドレスを割り当てられ、企業のファイアウォール (セキュリティゲートウェイとして機能) への (トンネルモード) ESP SAを確立する場合、同様のトラフィックフロー機密性サービスが提供される可能性があります。細粒度のSAは、多くの加入者からのトラフィックを運ぶ粗粒度のSAよりもトラフィック分析に対して脆弱である傾向があることに注意してください。

注意: 準拠した実装は、NULL暗号化と完全性アルゴリズムなしの両方を使用するESP SAのインスタンス化を許可してはなりません (MUST NOT)。このようなSAをネゴシエートしようとする試みは、開始者と応答者の両方にとって監査可能なイベントです。このイベントの監査ログエントリには、現在の日付/時刻、ローカルIKE IPアドレス、およびリモートIKE IPアドレスを含めるべきです (SHOULD)。開始者は、関連するSPDエントリを記録すべきです (SHOULD)。

最終更新