【ネスペ対策】【IPsec】ESPでカプセル化したパケット構成について
はじめに
お世話になります、hosochinです
今回はIPAのネットワークスペシャリスト対策ってことでIPsecで利用される 「ESP」 について、パケット構造について整理してみます
ESPカプセル化パケットの構成
ESP(Encapsulating Security Payload)でカプセル化されたパケット構成は以下のようになります
緑になっているのがオリジナルパケットに追加される項目になります
パケット構成要素:
- 新IPヘッダ (トンネルモードのみ)
- ESPヘッダ
- 元IPヘッダ (トンネルモード) / TCPヘッダ (トランスポートモード)
- ペイロード
- ESPトレーラ
- ESP認証データ
重要なポイント
ネスペ用に覚えておくといい重要なポイント:
- 暗号化範囲はモード関係なしに、ESPヘッダの後ろからESPトレーラまで
- 認証範囲はモード関係なしに、暗号化範囲にESPヘッダを加えた範囲まで
- ESP認証データはモード関係なしに、暗号化範囲にも認証範囲にも含まれない
- トンネルモードは新IPヘッダが追加される(IPヘッダまで暗号化される)
暗号化・認証範囲の比較
| 項目 | 範囲 |
|---|---|
| 暗号化範囲 | ESPヘッダの後ろ ~ ESPトレーラ |
| 認証範囲 | ESPヘッダ ~ ESPトレーラ |
| 認証対象外 | ESP認証データ |
モード別の特徴
| モード | 特徴 |
|---|---|
| トランスポートモード | 元のIPヘッダをそのまま使用 |
| トンネルモード | 新しいIPヘッダを追加、元のIPヘッダも暗号化 |
まとめ
ESPパケットの構造を理解する際は、暗号化範囲と認証範囲の違い、ESP認証データの位置、トンネルモードでの新IPヘッダ追加がポイントです。ネットワークスペシャリスト試験では、これらの範囲を正確に把握しているかが問われます。
IPsecについて詳しくは以下でまとめています
関連記事:【ネスペ対策】VPNの全体像について整理する