サイトアイコン やさしいネットワークとセキュリティ

【ネットワークスペシャリスト試験 令和4年度 春期 午後1 問2 No.2】

ネットワークスペシャリスト試験 令和4年度 春期 午後1 問2

【出典:ネットワークスペシャリスト試験 令和4年度 春期 午後1 問2(一部、加工あり)】

[新規ネットワークの検討]
 Q社のPaaS及びSGWサービスの導入は、N社の情報システム部のR主任が担当することになった。R主任が考えた新規ネットワーク構成と通信の流れを図2に示す。

 R主任が考えた新規ネットワーク構成の概要を次に示す。

 R主任は、POPとの接続に利用するIPsec VPNについて、検討した。
 IPsec VPNには、IKEバージョン2と、ESPのプロトコルを用いる。新IPsecルータ及びTPCとPOPは、IKE SAを確立するために必要な、暗号化アルゴリズム、疑似ランダム関数、完全性アルゴリズム及びDiffie-Hellmanグループ番号を、ネゴシエーションとして決定し、IKE SAを確立する。次に、新IPsecルータ及びTPCとPOPは、認証及びChild SAを確立するために必要な情報を、IKE SAを介してネゴシエーションして決定し、Child SAを確立する。
 新IPsecルータ及びTPCは、IPsec VPNを介して転送する必要があるパケットを、長さを調整するESPトレーラを付加して(e)化する。次に、新しい(f)ヘッダと、(g)SAを識別するためのESPヘッダ及びESP認証データを付加して、POP宛てに送信する。
 R主任は、IPsec VPNの構成に用いるパラメータについて、現行の設計と比較検討した。検討したパラメータのうち、鍵の生成に用いるアルゴリズムと(h)を定めているDiffie-Hellmanグループ番号には、現行では1を用いているが、POPとの接続では1よりも(h)の長い14を用いた方が良いと考えた。

e:暗号

新IPsecルータ及びTPCは、IPsec VPNを介して転送する必要があるパケットを、長さを調整するESPトレーラを付加して(e)化する。
 IPsecの記述が続きますが、ある程度は基本的な概要を理解していた方が落ち着いて取り組めると思います。
 IPsec(Security Architecture for Internet Protocol)は、IPパケット単位での暗号化や認証、データの改ざん検出の機能を提供するプロトコルで、以下の特徴があります。

 設問に戻ると、IPsecでは暗号化してカプセル化(トンネルモードの場合)する流れですので、ESPによって最初に暗号化が行われます。

f:IP、g:Child

次に、新しい(f)ヘッダと、(g)SAを識別するためのESPヘッダ及びESP認証データを付加して、POP宛てに送信する。
 前の設問のとおり、新しいヘッダとあるので、トンネルモードで付加されるIPヘッダとESPヘッダ、ESP認証データが付加されます。
 そして、IKEv2を使うとあるのでESPはChild SAを識別します。

h:鍵長

検討したパラメータのうち、鍵の生成に用いるアルゴリズムと(h)を定めているDiffie-Hellmanグループ番号には、現行では1を用いているが、POPとの接続では1よりも(h)の長い14を用いた方が良いと考えた。
 Diffie-Hellman(DH)は、暗号鍵の鍵交換の仕組みで、共通鍵そのものを送ることなく、鍵の基となる乱数を交換することで共通鍵を生成する方式です。
 Diffie-Hellmanグループ番号は、問題文にあるように鍵の生成に用いるアルゴリズム(モジュラー指数と楕円曲線グループ)と、もう一つは鍵長によって1(768ビット)、2(1024ビット)、5(1536ビット)、14(2048ビット)の4種類があります。

POPとのIPsec VPNを確立できない場合に、失敗しているネゴシエーションを特定するためには、何の状態を確認するべきか。本文中の字句を用いて二つ答えよ。:IKE SA/Child SA

 POPとのIPsec VPNを確立するには、問題文のとおりIKEバージョン2のシーケンスであり、IKE SAとChild SAを生成する必要があります。
 したがって、IPsec VPNが確立できない場合には、この二つのSAの状態を確認すればいいでしょう。

モバイルバージョンを終了