IPSec対応イーサネット・カード「Intel PRO/100 S」の効果

1. Intel PRO/100 Sを使ったIPSec通信


デジタルアドバンテージ
2000/12/19

 まず、PRO/100 Sについて簡単に紹介しよう(インテルのPRO/100 Sの製品紹介ページ)。PRO/100 Sは、Intel PRO/100+ マネージメント・アダプタにIPSecの暗号化/復号化のためのIntel 82594EDネットワーク暗号化コプロセッサを付加したものだ(インテルのPRO/100+の製品紹介ページ)。IPSecのハードウェア・サポートを除けば、基本的な機能や性能はPRO/100+と変わらない。イーサネット・コントローラも、PRO/100+と同じIntel 82559を採用する。Wired for Management(WfM) 2.0 、Wake on LAN、Desktop Management Interface(DMI) 2.0などの各管理機能もサポートする。IPSecのハードウェア・アクセラレーションを有効にしなければ、PRO/100+相当と思ってよいだろう。これらの機能をサポートすることからも分かるように、PRO/100 Sは主に大企業のクライアントPC、もしくは中小企業のエントリ・サーバ向けに位置付けら得る製品だ。

Intel PRO/100 S
PRO/100+にIntel 82594EDネットワーク暗号化コプロセッサを付加したものが、PRO/100 Sだ。→
 
PRO/100 Sの暗号化コプロセッサとイーサネット・コントローラ
PRO/100 Sのコントローラ部分のアップ。
  Intel 82594EDネットワーク暗号化コプロセッサ。このチップがIPSecのハードウェア・アクセラレートをサポートする。
  イーサネット・コントローラのIntel 82559。PRO/100+にも採用されているコントローラだ。

 価格は、PRO/100 Sが1万2300円なのに対し、PRO/100+は1万4800円と、IPSecのハードウェア・アクセラレート機能を付加しながら、ベースのPRO/100+よりも安価という、逆転現象を起こしている(実売価格ではPRO/100+のほうが安価になるだろう)。

PRO/100 Sを使ってみる

 では、実際にPRO/100 SをWindows 2000搭載のPCにインストールして、IPSecによる暗号化通信を試してみよう。なお、現在のところPRO/100 SのIPSecのハードウェア・アクセラレート機能は、Windows 2000のみでしかサポートされていない。

 カードのインストール作業は、通常のイーサネット・カードと同様である。ネットワーク・ドライバなどをインストールすれば、PRO/100+相当として通常のイーサネットによる通信が可能だ。もちろん、この状態ではIPSecは機能していないので、パケットは盗聴が可能だ。たとえば、マシンAからマシンBに、

ISAKMP ([MSST98]) provides a framework for authentication and key exchange but does not define them. ISAKMP is designed to be key exchange independant; that is, it is designed to support many different key exchanges.

といった文書のパケットを送ったとする。途中の経路でマシンCがパケットをモニタリング・ツールで盗聴していたとすると、

00000690: 00d0 b75c 5efe 00d0 b75c 5e0c 0800 4500 ...\^....\^...E.
000006a0: 0103 113b 4000 8006 9f4a c0a8 6414 c0a8 ...;@....J..d...
000006b0: 640a 0014 043f 417a 2516 b11f 81a1 5018 d....?Az%.....P.
000006c0: 4470 1e6c 0000 4953 414b 4d50 2028 5b4d Dp.l..ISAKMP ([M
000006d0: 5353 5439 385d 2920 7072 6f76 6964 6573 SST98]) provides
000006e0: 2061 2066 7261 6d65 776f 726b 2066 6f72 a framework for
000006f0: 2061 7574 6865 6e74 6963 6174 696f 6e20 authentication
00000700: 616e 6420 6b65 7920 6578 6368 616e 6765 and key exchange
00000710: 2062 7574 2064 6f65 7320 6e6f 7420 6465 but does not de
00000720: 6669 6e65 2074 6865 6d2e 2020 4953 414b fine them. ISAK
00000730: 4d50 2069 7320 6465 7369 676e 6564 2074 MP is designed t
00000740: 6f20 6265 206b 6579 2065 7863 6861 6e67 o be key exchang
00000750: 6520 696e 6465 7065 6e64 616e 743b 2074 e independant; t
00000760: 6861 7420 6973 2c20 6974 2069 7320 6465 hat is, it is de
00000770: 7369 676e 6564 2074 6f20 7375 7070 6f72 signed to suppor
00000780: 7420 6d61 6e79 2064 6966 6665 7265 6e74 t many different
00000790: 206b 6579 2065 7863 6861 6e67 6573 2e0d key exchanges..
000007a0: 0a
パケットのダンプ画面
Linux上で動作するtcpdumpというツールを使って、パケットをモニタリングしたもの。このようにパケットの内容が簡単に分かってしまう。

といった具合に中身を簡単に知ることができる。こうしてみると、イーサネットによる通信が非常に無防備なことが分かるだろう。各マシンをスイッチング・ハブなどで接続していれば、盗聴される危険性は低くなるが、それでも完璧とはいえない。

 そこで、Windows 2000のIPSec機能を有効にしてみよう。IPSecを有効にする方法は、「PC TIPS:Windows 2000のIPSec機能を有効にする」を参照していただきたい。先ほどと同じパケットを、IPSecが有効な状態で見てみると、

000003a0: 4500 0128 05e2 4000 8032 aa52 c0a8 6414 E..(..@..2.R..d.
000003b0: c0a8 640a edb3 a2fa 0000 0079 49a1 5af2 ..d........yI.Z.
000003c0: acbf 121c 8317 035f b7dc 9caa 7500 1d15 ......._....u...
000003d0: 4c55 182a f12a a76e e326 b851 557c bb1a LU.*.*.n.&.QU|..
000003e0: 45c7 662d 363a 7714 af0b bc6e 6606 c007 E.f-6:w....nf...
000003f0: bcc7 8c80 6674 8f3c 92fe 4f6f 7145 bf07 ....ft.<..OoqE..
00000400: 15ba 5b41 62f9 3ec7 791d a5e9 718a 8022 ..[Ab.>.y...q.."
00000410: 2b46 2771 ec26 3991 84af 7c5b 53ec e03c +F'q.&9...|[S..<
00000420: 6936 2d9c 0b97 38eb 510c 9941 65fa 7270 i6-...8.Q..Ae.rp
00000430: 3e3b e8f0 811e c19c f1d6 4799 89b6 8840 >;........G....@
00000440: 531a 8d07 b677 8010 8eb3 05c9 2f57 67f3 S....w....../Wg.
00000450: c7ae ecab 07d3 d89a cb49 f352 6aef c45e .........I.Rj..^
00000460: 2124 872f 2376 b371 d0d6 7ac1 2cc4 0e46 !$./#v.q..z.,..F
00000470: 31b5 c14a 732b 8502 26b2 1b0f 8993 60d2 1..Js+..&.....`.
00000480: e10b 655a aa23 36a6 283a 7e2f 33ec 52e3 ..eZ.#6.(:~/3.R.
00000490: 4dae d816 bfa4 ba3f 8a12 02e6 007e 16c8 M......?.....~..
000004a0: b0a0 b56e 5bbe d826 37fa 2a7d f8e3 b0f5 ...n[..&7.*}....
000004b0: 73ec eaa2 85c2 227c c9a0 8061 4c20 4704 s....."|...aL G.
000004c0: 7481 bbff 58b7 55dd 6cac 7038 5f83 0900 t...X.U.l.p8_...
IPSecのパケットのダンプ画面
IPSecのパケットでは、画面のように内容がまったく分からなくなる。画面は一部を切り出したものだが、以降のパケットも同様に内容の判別はできない。

となり、このように内容を判別することが不可能なデータになる(以降のパケットも同様のデータになり、文字列を読み出すことは不可能)。PRO/100 Sを使用していなくても、Windows 2000であればIPSecは利用可能だ。ただし、暗号化/復号化の処理は非常に重いため、PCの負荷が高くなってしまう。

IPSec処理のCPU負荷
IPSecをソフトウェアで処理すると、暗号化/復号化の作業でかなりのCPUパワーが必要とされる。これに対し、IPSecをハードウェアでアクセラレートする機能を有効にした場合、大幅な性能向上が見られることが分かる。

 PRO/100 Sの場合、Windows 2000のIPSec機能を有効にすると、自動的にハードウェア・アクセラレートされるので、PRO/100 S側には特に設定の必要はない(IPSecをサポートしていない相手に対しては、自動的にIPSec機能が無効になる)。また、通信相手は別にWindows 2000でIPSecを有効にしてあれば、PRO/100 SでなくてもIPSecによる通信が可能だ。グラフを見ても分かるように、IPSecを利用した場合、大幅な性能向上が期待できる。盗聴などを懸念してIPSecの導入を検討しているところでは、PRO/100 Sは非常に有効なことが分かる。

Windows 2000日本語版に付属する[IPセキュリティ モニタ]の画面
[IPセキュリティ モニタ]では、IPsecに関する統計情報などを知ることができる。

 すでに米Intelでは、Intel 82594EDネットワーク暗号化コプロセッサを1チップに統合したイーサネット・コントローラを発表しており、今後はネットワーク暗号化コプロセッサを標準装備していくとしている(IntelのIPSec対応イーサネット・カードに関するリリース)。日本では、2001年の第2四半期にIPSecのハードウェア・アクセラレーション機能を標準装備したネットワーク・カードへの全面的な切り替えが行われる予定だ。社内でも、データ通信の安全性確保のためにIPSecが標準的に使われる日が近いかもしれない。記事の終わり

  関連記事
Windows 2000のIPSecで3DESによる暗号化を有効にする方法
Windows 2000のIPSec機能を有効にする
 
  関連リンク
インテルのPRO/100 Sの製品紹介ページ
インテルのPRO/100+の製品紹介ページ
IntelのIPSec対応イーサネット・カードに関するリリース
 
 
 

 INDEX

  [実験]IPSec対応イーサネット・カード「Intel PRO/100 S」の効果
  1.Intel PRO/100 Sを使ったIPSec通信
 
「PC Insiderの実験」


System Insider フォーラム 新着記事
  • Intelと互換プロセッサとの戦いの歴史を振り返る (2017/6/28)
     Intelのx86が誕生して約40年たつという。x86プロセッサは、互換プロセッサとの戦いでもあった。その歴史を簡単に振り返ってみよう
  • 第204回 人工知能がFPGAに恋する理由 (2017/5/25)
     最近、人工知能(AI)のアクセラレータとしてFPGAを活用する動きがある。なぜCPUやGPUに加えて、FPGAが人工知能に活用されるのだろうか。その理由は?
  • IoT実用化への号砲は鳴った (2017/4/27)
     スタートの号砲が鳴ったようだ。多くのベンダーからIoTを使った実証実験の発表が相次いでいる。あと半年もすれば、実用化へのゴールも見えてくるのだろうか?
  • スパコンの新しい潮流は人工知能にあり? (2017/3/29)
     スパコン関連の発表が続いている。多くが「人工知能」をターゲットにしているようだ。人工知能向けのスパコンとはどのようなものなのか、最近の発表から見ていこう
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

System Insider 記事ランキング

本日 月間