平成14年度テクニカルエンジニア(ネットワーク)午後Ⅱ 問2設問4 解答と解説
目次
解答
(1)元のIPヘッダのプライベートアドレスをそのまま利用するため。(30字)
(2)① a
② j
③ c
④ h
解説
(1)
まずは、IPSecについて簡単に解説します。
IPSecはIP Securityの略で、IP、つまりネットワーク層のレベルでパケットを暗号化しセキュリティを確保することができます。IPSecを利用すると、アプリケーションに依存せずにすべてのIPパケットのセキュリティを確保することができます。IPSecはインターネットVPNを実現するための技術として、広く利用されています。
ネットワークセキュリティの目的は大きく次の3つを提供することにあります。
・データの機密性
正当なユーザ以外、データの中身を見られないようにすることをさしています。暗号化することによって提供できます。
・データの完全性
データが改ざんされていないことを保証することをさしています。デジタル署名などによって、署名されたデータが送信元が送信したものと変更されていないことを保証することができます。
・サービスのアベイラビリティ
いつでもサービスを提供することができることをさしています。ネットワークやシステムを冗長化し、クラッカーからの不正アクセスを適切に防止します。
IPSecを利用することによって、「データの機密性」と「データの完全性」を提供し、セキュアなデータ転送を行います。
IPSecは実際には、いくつかのプロトコルが組み合わさって動作します。そのプロトコルは、
・IKE(Inernet Key Exchange)
・ESP(Encapsulating Security Payload)
・AH(Authentication Header)
です。
IKEはIPSecによる暗号化通信に必要となる暗号鍵を交換するためのプロトコルです。通信相手同士でIKEによってネゴシエーションをして、SA(Security Association)という合意を得ることになります。
ESPはデータの暗号化、接続先およびデータが改ざんされていないことの認証といった機能を提供します。つまり、データの機密性とデータの完全性を提供することができます。
AHは暗号化せずに、接続先およびデータが改ざんされていないことの認証を行います。
独立したプロトコルを利用しているため、必要とする機能を組み合わせて利用することができるようになっています。
IPSecには、「トランスポートモード」と「トンネルモード」という2つのモードがあります。これにはESP、AHまたは両方の組み合わせのパターンがありますが、ESPの場合を考えてみます。
トランスポートモードは、元のIPヘッダはそのまま残します。データ部分だけを暗号化の対象としています。ホスト間の接続を行うときにトランスポートモードを利用します。
トンネルモードは、元のIPヘッダとデータ部分をすべて暗号化の対象としています。そして、新しくIPヘッダを付加します。VPNゲートウェイによって、LAN間接続を行うときにトンネルモードを利用します。新しいIPヘッダはVPNゲートウェイのIPアドレスの情報が記載されることになります。
IPSecの基本的な解説は以上とします。この問題を解答するためには、このぐらいのことを知っていればよいでしょう。ぼくもまだ勉強中ですので、今後、もっと勉強して、あらためて解説していこうと思います。
さて、問題を考えてみましょう。
VPN装置ではNATが実装されていないので、この構成ではトランスポートモードが利用できない
という理由がなぜか?ということを答えればいいわけですね。
トランスポートモードでは、IPヘッダは元のものをそのまま使っています。つまり、送信元IPアドレスが首都圏IDCのDBサーバであり、送信先IPアドレスが関西地区IDCのDBサーバです。DBサーバのIPアドレスはプライベートアドレスです。すると、インターネット上ではプライベートアドレスのパケットは流すことができませんので、トランスポートモードを利用することができなくなります。
30字以内でまとめると、
元のIPヘッダのプライベートアドレスをそのまま利用するため。(30字)
です。
(2)
これはぜんぜん難しくないですね。レプリケーションするための元のIPパケットは首都圏IDCのDBサーバから関西地区IDCのDBサーバへ送るパケットなので、送信元IPアドレスは「a」、送信先IPアドレスは「j」です。
この元のIPパケットがVPN装置で暗号化されて、新しいIPヘッダが付加されます。この新しいIPヘッダはVPNを終端するVPN装置のIPアドレスを利用します。しかも、インターネットを通すためにグローバルアドレスが必要です。つまり、新しいIPヘッダの送信元IPアドレスは首都圏IDCのVPN装置のグローバルアドレスである「c」、送信先IPアドレスは関西地区IDCのVPN装置のグローバルアドレスである「h」となります。
最新過去問の解答と詳細解説はGene製作のテクニカルエンジニア(ネットワーク)
平成15,16,17年度分午後問題完全解説集!
詳細はこちら→//www.n-study.com/library/2006/05/post.html
