ネットワークスペシャリスト試験 令和6年度 春期 午前Ⅱ 問21
【出典:ネットワークスペシャリスト試験 令和6年度 春期 午前Ⅱ(一部、加工あり)】
IPsecに関する記述のうち、適切なものはどれか。
ア ESPのトンネルモードを使用すると、暗号化通信の区間において、エンドツーエンドの通信で用いる元のIPヘッダーを含めて暗号化できる。
イ IKEはIPsecの鍵交換のためのプロトコルであり、ポート番号80が使用される。
ウ 暗号化アルゴリズムとして、HMAC-SHA1が使用される。
エ 二つのホストの間でIPsecによる通信を行う場合、認証や暗号化アルゴリズムを両者で決めるためにESPヘッダーではなくAHヘッダーを使用する。
IPsec(Security Architecture for Internet Protocol、またはInternet Protocol Security)は、インターネットなどのTCP/IPネットワーク上でデータ通信を安全に行うためのプロトコルスイート(プロトコルのグループ)です。
主な特徴と機能は以下の通りです。
- 暗号化と認証
IPsecは、通信データ(IPパケット)を暗号化することで内容の秘匿性を高め、さらに認証によってパケットの改ざんやなりすましを防ぎます。 - VPNとの組み合わせ
IPsecは企業の拠点間ネットワークやリモートアクセスVPNなど、公衆ネットワーク上で安全な通信を実現するためによく利用されます。 - パケット単位のセキュリティ
通信経路全体を通じて、個々のIPパケットを保護します。これにより、データの完全性と機密性が確保されます。 - モードの違い
- トンネルモード:ネットワークの境界(ルーターやゲートウェイ)間で、IPパケット全体を暗号化・カプセル化します。主に拠点間通信に使われます。
- トランスポートモード:通信端末同士でペイロード(データ本体)のみを暗号化します。主に端末間の通信に使われます。
- 主要なプロトコル
- AH(Authentication Header):パケットの認証と改ざん検知
- ESP(Encapsulating Security Payload):データの暗号化と認証
- IKE(Internet Key Exchange):鍵交換と通信相手の認証
- SA(Security Association)
通信相手との間で暗号化や認証のための設定情報(SA)を共有し、安全な通信経路を確立します。
ア ESPのトンネルモードを使用すると、暗号化通信の区間において、エンドツーエンドの通信で用いる元のIPヘッダーを含めて暗号化できる。
正解です。
- ESPは、IPsecのプロトコルの一つで、暗号化と認証の機能を持ちます。
- トンネルモードでは、元のIPパケット全体(IPヘッダー+データ部)を暗号化し、新しいIPヘッダーを付けて送信します。
元のIPヘッダーも含めて暗号化されるため、経路上の第三者から通信の内容や宛先・送信元などを隠せます。 - 主にVPNやゲートウェイ間通信で使用されます。
イ IKEはIPsecの鍵交換のためのプロトコルであり、ポート番号80が使用される。
誤りです。
- IKEは、IPsecで使用する鍵やアルゴリズムなどのセキュリティパラメータを自動的に交換・設定するためのプロトコルです。
- IKEで使用されるポートは UDPの500番 および 4500番(NATトラバーサル時) です。
- ポート番号80はHTTPで使用されるものであり、関係ありません。
ウ 暗号化アルゴリズムとして、HMAC-SHA1が使用される。
誤りです。
- HMAC-SHA1は、認証アルゴリズム(改ざん検知)として使われるもので、暗号化アルゴリズムではありません。
- IPsecで使われる暗号化アルゴリズムには、AES(Advanced Encryption Standard)や3DESなどがあります。
- 認証にはHMAC(Hash-based Message Authentication Code)とSHA-1やSHA-2の組み合わせがよく使われます。
エ 二つのホストの間でIPsecによる通信を行う場合、認証や暗号化アルゴリズムを両者で決めるためにESPヘッダーではなくAHヘッダーを使用する。
誤りです。
- IPsecで使う認証や暗号化アルゴリズムの交渉は、IKEによって行われます。
- ESPやAHは、データの暗号化・認証を実行するプロトコルであり、交渉には関与しません。
- つまり、ESPやAHは交渉結果に基づいてパケット処理を行うだけです。
試験対策ポイント
ESP vs AHの違い
- ESP:暗号化 + 認証(認証は任意)
- AH:認証のみ、暗号化はしない
トランスポートモード vs トンネルモード
- トランスポート:IPヘッダーはそのまま、ペイロードだけ暗号化
- トンネル:元のIPパケット全体を暗号化し、新しいIPヘッダーを付ける
IKEの役割:セキュリティパラメータの交渉、自動鍵交換