IPsec

特徴

  • IPsec(security architecture for IP)とは、TCP/IPネットワークで暗号通信を行うためのプロトコルの一つで、要素技術の組み合わせで実現される。
    • AH(Authentication Header):通信相手を確認してなりすましや改ざんを防止
    • ESP(Encapsulated Security Payload):データの暗号化
      • トランスポートモード:データ本体(ペイロード)のみを暗号化(IPヘッダは暗号化しない)
      • トンネルモード:パケット全体(IPヘッダとデータ本体)を暗号化。末端のPCなどがIPsecに対応していなくても良いため、VPNなどで利用される。
    • SA(Security Association):通信開始時に、暗号化方式や暗号鍵などの情報交換を行い、安全な通信路を確立すること。IPsecのSAはIKEにより行われる。SAは定期的に更新され、身元の確認と暗号鍵の再発行が行われる。
    • IKE(Internet Key Exchange):公開鍵を用いて安全に暗号鍵の交換を行う。IKEが使用するポートは500/udp。
  • IPsecはIPレベルで暗号化し、トランスポート層で暗号化するTLSなどと異なり、上位のプロトコルからはIPsecで暗号化することは認識しない。
  • IPsecの暗号化アルゴリズムとしては、AES、DES、3DESなどがサポートされている。

過去問

平成30年度秋期ネットワークスペシャリスト試験

【出典:ネットワークスペシャリスト試験 平成30年度 秋期 午前2 問19(一部、加工あり)】

 IPsecに関する記述のうち、適切なものはどれか。

  1. ESPのトンネルモードを使用すると、暗号化通信の区間において、エンドツーエンドの通信で用いる元のIPヘッダを含めて暗号化できる。
    →正解。
  2. IKEはIPsecの鍵交換のためのプロトコルであり、ポート番号80が使用される。
    →IKEが使用するポート番号は、500/udpです。
  3. 暗号化アルゴリズムとして、HMAC-SHA1が使用される。
    →HMAC-SHA1は、認証データ作成時に使用される鍵付きハッシュ関数です。
  4. ホストAとホストBとの間でIPsecによる通信を行う場合、認証や暗号化アルゴリズムを両者で決めるためにESPヘッダではなくAHヘッダを使用する。
    →認証や暗号化アルゴリズムは、IKEによって決定されます。

次の記事

IEEE 802.1X