5.1. Traffic Selector Authorization (トラフィックセレクタの認可)

5.1. Traffic Selector Authorization (トラフィックセレクタの認可)

IKEv2 はピアがどのような種類の Child SA を作成できるかを決定する際, PAD (Peer Authorization Database, ピア認可データベース) の情報に依存する. このプロセスは [IPSECARCH] の第 4.4.3 節に記述されている. ピアが一部のトラフィックセレクタ (Traffic Selectors) を伴う Child SA の作成を要求するとき, PAD には IKEv2 で認証された身元とトラフィックセレクタに許可されたアドレスを結び付ける "Child SA Authorization Data (子 SA 認可データ)" が含まれていなければならない.

例えば PAD を, 認証された身元 "sgw23.example.com" が 192.0.2.0/24 の Child SA を作成できるよう構成できる. これはこのセキュリティゲートウェイがこれらのアドレスに対する有効な "代表" であることを意味する. ホスト間 IPsec も同様のエントリを要し, 例えば "fooserver4.example.com" を 198.51.100.66/32 に結び付け, この身元が当該アドレスの有効な "所有者" または "代表" であることを意味する.

[IPSECARCH] に記されるとおり, "認証されたピアが他の正当なピアに関連付けられた ID を偽装することを防ぐため, 子 SA の作成にこれらの制約を課す必要がある". 上の例では PAD の正しい構成により, sgw23 はアドレス 198.51.100.66 の Child SA を作成できず, fooserver4 は 192.0.2.0/24 のアドレスの Child SA を作成できない.

特定のアドレスを用いて IKEv2 パケットを送るだけでは, トラフィックセレクタにそのアドレスを含む Child SA を作成する許可を意味しないことに注意が必要である. 例えば sgw23 が IP アドレスを 198.51.100.66 に偽装できても, fooserver4 のトラフィックに一致する Child SA は作成できない.

IKEv2 仕様は Configuration ペイロードを用いた IP アドレス割当が PAD とどう相互作用するかを正確には規定しない. 我々の解釈では, セキュリティゲートウェイが Configuration ペイロードでアドレスを割り当てるとき, 認証されたピアの身元と新たに割り当てられた内部アドレスを結び付ける一時的な PAD エントリも作成する.

PAD を正しく構成することが一部の環境では難しいことが認識されている. 例えば DHCP (Dynamic Host Configuration Protocol) でアドレスが動的に割り当てられる一対のホスト間で IPsec を用いる場合, 各 IP アドレスの正しい "所有者" を PAD が指定することは極めて難しい. これには DHCP サーバからアドレス割当を安全に伝え IKEv2 で認証された身元に結び付ける機構が必要となる.

この制限のため, 一部ベンダは認証されたピアが IKEv2 パケットに用いたのと同じアドレスを含むトラフィックセレクタで Child SA を作成できるよう PAD を構成してきたことが知られている. IP スプーフィングが可能な環境 (すなわちほぼすべて) では, これは事実上任意のピアが任意のトラフィックセレクタで Child SA を作成できることを意味する. ほとんどの状況でこれは適切またはセキュアな構成ではない. この問題と一般的なホスト間 IPsec の限界については [H2HIPSEC] に詳しい議論がある.