【ネットワークスペシャリスト試験 令和4年度 春期 午後1 問2 No.2】

ネットワークスペシャリスト試験 令和4年度 春期 午後1 問2

【出典：ネットワークスペシャリスト試験 令和4年度 春期 午後1 問2（一部、加工あり）】

[新規ネットワークの検討]
 Q社のPaaS及びSGWサービスの導入は、N社の情報システム部のR主任が担当することになった。R主任が考えた新規ネットワーク構成と通信の流れを図2に示す。

 R主任が考えた新規ネットワーク構成の概要を次に示す。

• 本社のサーバ上で稼働するシステムを、Q社PaaSへ移行する。
• Q社SGWサービスを利用するために、本社及び営業所に導入する新IPsecルータ、並びにTPCは、Q社SGWサービスのPOPという接続点にトンネルモードのIPsec VPNを用いて接続する。
• PC及びTPCからP社営業支援サービス宛てのパケットは、Q社SGWサービスのPOPとFW機能及びインターネットを経由してP社営業支援サービスに送信される。
• Q社SGWサービスのFW機能は、パケットフィルタリングによるアクセス制御と、NAPTによるIPアドレスの変換を行う。

 R主任は、POPとの接続に利用するIPsec VPNについて、検討した。
 IPsec VPNには、IKEバージョン2と、ESPのプロトコルを用いる。新IPsecルータ及びTPCとPOPは、IKE SAを確立するために必要な、暗号化アルゴリズム、疑似ランダム関数、完全性アルゴリズム及びDiffie-Hellmanグループ番号を、ネゴシエーションとして決定し、IKE SAを確立する。次に、新IPsecルータ及びTPCとPOPは、認証及びChild SAを確立するために必要な情報を、IKE SAを介してネゴシエーションして決定し、Child SAを確立する。
 新IPsecルータ及びTPCは、IPsec VPNを介して転送する必要があるパケットを、長さを調整するESPトレーラを付加して（e）化する。次に、新しい（f）ヘッダと、（g）SAを識別するためのESPヘッダ及びESP認証データを付加して、POP宛てに送信する。
 R主任は、IPsec VPNの構成に用いるパラメータについて、現行の設計と比較検討した。検討したパラメータのうち、鍵の生成に用いるアルゴリズムと（h）を定めているDiffie-Hellmanグループ番号には、現行では1を用いているが、POPとの接続では1よりも（h）の長い14を用いた方が良いと考えた。

e：暗号

「新IPsecルータ及びTPCは、IPsec VPNを介して転送する必要があるパケットを、長さを調整するESPトレーラを付加して（e）化する。」
 IPsecの記述が続きますが、ある程度は基本的な概要を理解していた方が落ち着いて取り組めると思います。
 IPsec（Security Architecture for Internet Protocol）は、IPパケット単位での暗号化や認証、データの改ざん検出の機能を提供するプロトコルで、以下の特徴があります。

• 仮想的な通信路であるSA（Security Association）を生成して通信する。
  • IKE SAまたはISAKMP SA
    制御用のSAで、通信前に、暗号化プロトコルや暗号鍵の情報をやり取りする。
  • IPsec SA（IKEv2では、Child SA）
    通信用のSAで、通信相手ごとに上り用、下り用で一つずつ生成される。
• IKE（Internet Key Exchange）は、IPsecで使用する共通鍵を安全に交換するプロトコルで、IKEv1とIKEv2がある。
• ESP（Encapsulated Security Payload）は、作成した鍵を使ってデータの暗号化と認証を行うプロトコル
• IPsec SAで通信路を確立し、実際の通信を行う際のモードには、トランスポートモードとトンネルモードの二つがある。
  • トランスポートモード：IPヘッダとペイロードの間にESPヘッダ、ESP認証データが入る。
  • トンネルモード：元のIPパケットの前に新しいIPヘッダとESPヘッダ、ESP認証データが入る。

 設問に戻ると、IPsecでは暗号化してカプセル化（トンネルモードの場合）する流れですので、ESPによって最初に暗号化が行われます。

f：IP、g：Child

「次に、新しい（f）ヘッダと、（g）SAを識別するためのESPヘッダ及びESP認証データを付加して、POP宛てに送信する。」
 前の設問のとおり、新しいヘッダとあるので、トンネルモードで付加されるIPヘッダとESPヘッダ、ESP認証データが付加されます。
 そして、IKEv2を使うとあるのでESPはChild SAを識別します。

h：鍵長

「検討したパラメータのうち、鍵の生成に用いるアルゴリズムと（h）を定めているDiffie-Hellmanグループ番号には、現行では1を用いているが、POPとの接続では1よりも（h）の長い14を用いた方が良いと考えた。」
 Diffie-Hellman（DH）は、暗号鍵の鍵交換の仕組みで、共通鍵そのものを送ることなく、鍵の基となる乱数を交換することで共通鍵を生成する方式です。
 Diffie-Hellmanグループ番号は、問題文にあるように鍵の生成に用いるアルゴリズム（モジュラー指数と楕円曲線グループ）と、もう一つは鍵長によって1（768ビット）、2（1024ビット）、5（1536ビット）、14（2048ビット）の4種類があります。

POPとのIPsec VPNを確立できない場合に、失敗しているネゴシエーションを特定するためには、何の状態を確認するべきか。本文中の字句を用いて二つ答えよ。：IKE SA/Child SA

 POPとのIPsec VPNを確立するには、問題文のとおりIKEバージョン2のシーケンスであり、IKE SAとChild SAを生成する必要があります。
 したがって、IPsec VPNが確立できない場合には、この二つのSAの状態を確認すればいいでしょう。