 |
||
|
IP Security--IPSec
IPSec概要
安全なネットワークは強固なセキュリティポリシーを定義することから始まります。 ポリシーは情報へのアクセス権限を決め、セキュリティの浸透を計ります。シスコは 様々な状況に対応するインターネット、エクストラネット、リモート・アクセスでの セキュリティテクノロジーを提供します。これらは拡張性を持ち、エンタープライズ ワイドのネットワーク・セキュリティを確立させます。シスコの包括的なソリューシ ョンはファイアウォール、ユーザ認証、データ・プライバシーを含んでいます。この トータル・ソリューションのなかでIPSecはキーのテクノロジーとなります。インターネット上で重要な情報をやり取りする必要があるような業務アプリケー ションのための守秘、安全、認証をシスコのIPSecは提供します。シスコはネットワ ーク・インフラストラクチャでのEnd-to-Endで透過的にIPSecを利用できる唯一のベ ンダです。シスコのEnd-to-End IPSecテクノロジーはWindows PCからCisco IOSやCisco PIX= Firewallまでカバーします。
IPsecはインターネットで安全な通信を実現するためのオープン・スタンダードと してのフレームワークです。IETF(Internet Engineering Task Force)が開発した規格に基づいて、公衆網をまたがったデータ通信の秘密、安全、権限を確立します。ネットワーク全体のセキュリティ・ポリシーを展開するための標準のまた柔軟性を持ったソリューションのなかの欠かせないコンポーネントとなります。
特長
シスコは次のテクノロジーを全体的なソリューションのなかのパーツとして実装して います。:- IPSec--IPSecはプライベート・ネットワーク同士の接続においてデータ・コ ンフィデンシャリティ、安全性、ユーザ権限を提供する暗号化テクノロジーです。シ スコはESP(Encapsulating Sesurity Payload)およびAH(Authentication Header)をサポートします。
- IKE--IKE(Internet Key Exchange)は以前ISAKMP(Internet Seucrity= Association Key Management Protocol)/OakleyとしてしられていたSA(セキュリティ・アソシエイツ)管理を実現します。IKEはIPSecトランザクションのそれぞれ相手を認証し、ポリシーをネゴシエイトし、セッションキー交換を取扱ます。シスコはIETFインターネット・ドラフトを書きまたIKEフリーウェアを開発することでIKEの標準化作業をリードしています。
- 認証管理--シスコはデバイス認証のためのX509.V3認証システムを全面的にサ ポートしています。シスコとベリサインは、認証局とコミュニケーションするプロト コル、CeP(Certificate Enrollment Protocol)を共同で開発しました。ベリサンとエントラストを含むいくつかのベンダはシスコのCEPをサポートしています。この認証ソリューションは階層的な認証構造をサポートし、PKI(Public Key Infrastructure)に必要な横断的な認証が可能になります。
- Diffie-Hellman, 公開鍵による鍵交換方法--この機能はIKEのなかで利用され 、短期間のセッションキーを確立します。
- DES--The Data Encryption Standard (DES) をパケットデータの暗号化アルゴリズムとして使います。.
- MD5/SHA--The Message Digest 5/SHAハッシュアルゴリズム はパケットの認証のために使われます。.
- IPSecとIKEについての最新のRFCおよびインターネット・ドラフト:
-
- ESP is per draft-ietf-ipsec-esp-v2-04.txt
- AH is per draft-ietf-ipsec-auth-header-05.txt
- IKE is per draft-ietf-ipsec-ISAKMP/Oakley-07.txt
- Entire IPSec implementation is per draft-ietf-ipsec-arch-sec-04.txt= (Security Architecture for the Internet Protocol)
- IPSecとIKEの暗号化アルゴリズム:
-
- DES-CBC with Explicit IV
- 40-bit DES-CBC with Explicit IV
- DES-CBC with Derived IV as specified in RFC 1829
- 認証アルゴリズム:
-
- HMAC-MD5
- HMAC-SHA
- Keyed MD5 as specified in RFC 1828
利点
IPSecはシスコのEnd-to-Endネットワーク・サービスのなかの鍵となるテクノロジー ・コンポーネントです。エンタープライズ・セキュリティ・アライアンスのパートナ ーとの協業により、シスコはカスタマが必要になればどこでもIPSecを提供します。 シスコはアライアンス・パートナーと共同でネットワーク・デバイスまで広い範囲の プラットフォームでIPSecを利用可能にします。また、シスコはIETFとの密接な作業 によってIPSecがあらゆるプラットフォーム上で利用できるように迅速な規格化をす すめています。シスコのIPSecの利用者は全てのコンピュータにかける費用の変化なしでネットワ ーク・インフラストラクチャを安全にすることができます。またIPSecのネットワー ク・アプリケーションに展開すれば個々のユーザやアプリケーションのなんの影響も 与えずに秘密を守り、安全性、また認証の管理上にメリットがでてきます。
IPSecはリモートユーザに対するソリューションにもなります。移動中の遠隔地の 従業員はL2TP(Layer 2 Tunneling Protocol)とのコンビネーションでIPSecを利用することができます。リ モートアクセスのコストが削減されダイアルアップ・接続の安全性は向上します。
アプリケーション
インターネットはビジネスの変化に伴い変わります。コミュニケーションのスピード が向上する一方で、コストはさげなければいけません。いままでにない生産性向上の 可能性を潜在的にもっており、それを活用するに値します。インターネットが可能に することといえば :- エクストラネット--今日では、この接続は専用線または低速なダイアルアッ プで行わざるを得ません。インターネットの活用で即時にオンデマンドに高速な通信 が実現します。
- イントラネット--とんどの大企業はそれほど広範囲ではなくてもコストがか かるWANを維持しています。専用線のコストが大幅にさがっても、インターネットの ほうがより画期的にコスト削減を提供することは疑いがありません。
- リモート・ユーザ--リモートユーザのコーポレートネットワークへのアクセ スをインターネットは低コストに実現します。大量のアクセスサーバや電話代の請求 を抱え続けるよりも、インターネットを経由したコーポレートネットワークへのアク セスが可能です。ISPへの市内電話によってネットワークへアクセスできるのです。
リリース
IPSecはCiscoIOSソフトウェアのv11.3.(3)Tからサポートされています。暗号化はCiscoIOSソフトウェアの追加機能になります。Cisco IPSecがサポートされているプラットフォームはCisco 1600、2500、2600、3600、4000、4500、5300、7200、7500シリーズルータです。IPSec特長と利点概要
| 特長 | 内容 | 利点 |
|---|---|---|
| データの機密性、安全性、信頼性 | IPSecの暗号化と認証技術で提供 |
|
| 統合ソリューション | ネットワーク・インフラストラクチャのソフトウェアのみのアップグレード でIPSecが利用可能。 |
|
| 認証サポート | 電子認証の活用でデバイスが自動的に認証 。 |
|
| IKE | SA(Security Association)のネゴシエーションで自動的に使われるプロトコル。 |
|
| 柔軟なセキュリティ・ポリシー | 拡張アクセスリストに基づいてトラフィックが選別される。 |
|
| 標準ソリューション | IPSecは IETF標準。 |
|