IPsec

特徴

  • IPsec(security architecture for IP)とは、TCP/IPネットワークで暗号通信を行うためのプロトコルの一つで、要素技術の組み合わせで実現される。
    • AH(Authentication Header):通信相手を確認してなりすましや改ざんを防止
    • ESP(Encapsulated Security Payload):データの暗号化
      • トランスポートモード:データ本体(ペイロード)のみを暗号化(IPヘッダは暗号化しない)
      • トンネルモード:パケット全体(IPヘッダとデータ本体)を暗号化。末端のPCなどがIPsecに対応していなくても良いため、VPNなどで利用される。
    • SA(Security Association):通信開始時に、暗号化方式や暗号鍵などの情報交換を行い、安全な通信路を確立すること。IPsecのSAはIKEにより行われる。SAは定期的に更新され、身元の確認と暗号鍵の再発行が行われる。
    • IKE(Internet Key Exchange):公開鍵を用いて安全に暗号鍵の交換を行う。IKEが使用するポートは500/udp。
  • IPsecはIPレベルで暗号化し、トランスポート層で暗号化するTLSなどと異なり、上位のプロトコルからはIPsecで暗号化することは認識しない。
  • IPsecの暗号化アルゴリズムとしては、AES、DES、3DESなどがサポートされている。
  • IPsec以外にIPレベルでトンネリングするプロトコルには、GRE(Generic Routing Encapsulation)がある。
  • IPv6を利用した通信を行う場合、ネットワーク層で暗号化を行うときに利用される

過去問

高度試験(共通)令和2年度 秋期 午前1 問12

【出典:高度試験(共通) 令和2年度 秋期 午前1 問12(一部、加工あり)】

PCからサーバに対し、IPv6を利用した通信を行う場合、ネットワーク層で暗号化を行うときに利用するものはどれか。

  1. IPsec
    →正解
  2. PPP
    →PPP(Point-to-Point Protocol)は、2点間でデータ通信を行うための通信プロトコルの一つで、電話回線のダイヤルアップ接続などシリアルインタフェース上で利用されます。
  3. SSH
    →SSH(Secure Shell)は、暗号化や認証の技術を利用して、安全にリモートコンピュータと通信するためのプロトコルです。
  4. TLS
    →TLS(Transport Layer Security)は、暗号化通信プロトコルの一つで、ディジタル証明書を利用した認証、改ざん検出などが可能です。

ネットワークスペシャリスト試験 令和元年度 秋期 午前2 問1

【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午前2 問1(一部、加工あり)】

ネットワーク層のパケットを対象としてIPパケットでカプセル化し、トンネリングを行えるプロトコルはどれか。

  1. IPsec
    →正解
  2. L2TP
    →L2TP(Layer2 Tunneling Protocol)はデータリンク層のプロトコルで、PPP(Point to Point Protocol)などデータリンク層のフレームをカプセル化しIPデータグラムに渡します。L2TPには暗号化機能はないため、IPsecと併用する必要があります。
  3. PPTP
    →PPTP(Point to Point Tunneling Protocol)はデータリンク層のプロトコルで、データリンク層のフレームをカプセル化しIPデータグラムに渡します。暗号化機能を有します。
  4. RSTP
    →RSTP(Rapid Spanning Tree Protocol)はL2ネットワークのループ回避のプロトコルであるSTPの改良版で、経路切替の収束時間が30秒以上から数秒に短縮できます。

ネットワークスペシャリスト試験 平成30年度 秋期 午前2 問19

【出典:ネットワークスペシャリスト試験 平成30年度 秋期 午前2 問19(一部、加工あり)】

 IPsecに関する記述のうち、適切なものはどれか。

  1. ESPのトンネルモードを使用すると、暗号化通信の区間において、エンドツーエンドの通信で用いる元のIPヘッダを含めて暗号化できる。
    →正解。
  2. IKEはIPsecの鍵交換のためのプロトコルであり、ポート番号80が使用される。
    →IKEが使用するポート番号は、500/udpです。
  3. 暗号化アルゴリズムとして、HMAC-SHA1が使用される。
    →HMAC-SHA1は、認証データ作成時に使用される鍵付きハッシュ関数です。
  4. ホストAとホストBとの間でIPsecによる通信を行う場合、認証や暗号化アルゴリズムを両者で決めるためにESPヘッダではなくAHヘッダを使用する。
    →認証や暗号化アルゴリズムは、IKEによって決定されます。