平成18年 テクニカルエンジニア(ネットワーク) 午後Ⅰ 問1 ネットワークの再構築 設問1


平成18年 テクニカルエンジニア(ネットワーク) 午後Ⅰ問題


解答

[ア] ISAKMP
[イ] 秘密
[ウ] カプセル
[エ] セレクタ
[オ] ToS

解説

IPSecに関する用語の穴埋め問題です。

[ア]
IPSecの通信を行うためのSA(IPSec SA)の生成・管理を行うプロトコルがIKE(Internet Key Exchange)です。IPSec SAを生成するには、利用する暗号化アルゴリズムやハッシュアルゴリズムを決定しなければいけません。また、SAを生成するデバイスが正しいデバイスであるかを認証(ピア認証)する必要があります。そして、暗号化を行うための暗号鍵を決めないといけません。IPSecの暗号化は秘密鍵暗号方式を利用します。秘密鍵をデータの送信側と受信側で共有しなければいけません。

さらに、同じ暗号鍵をずっと使い続けると、暗号が解読される可能性が増大します。そのため、定期的に暗号鍵を変更することも必要です。こうした作業を手作業で行うのはとても手間がかかります。人間の手がかかるほど、設定ミスの可能性も増えるし、暗号鍵が漏れてしまう危険性も増えてしまいます。

IPSec SAの暗号化アルゴリズム、ハッシュアルゴリズム、ピア認証や暗号鍵の共有・更新などを自動的に行うことがIKEの目的です。

IKEの制御情報を安全にピア間でやりとりするためには、IKEの制御情報も暗号化し、整合性を確認するためにISAKMP SAを生成します。

[イ]
IPSec SAの暗号化は秘密鍵暗号方式を利用します。秘密鍵暗号方式は、暗号化を行うデバイスで暗号鍵を共有して、暗号化と復号に同じ暗号鍵を利用する暗号化方式です。
共有する暗号鍵は、秘密鍵や共有鍵、対称鍵などと呼ばれます。

[ウ]
IPSec SAにパケットを転送する際には、元のIPパケットにIPSecのESP(Encapsulating Security Payload)やAH(Authentication Header)などでカプセル化します。空欄は「カプセル」化です。ESPはパケットの暗号化、接続先の認証およびパケットが改ざんされていないことの認証といった機能を提供します。つまり、データの機密性とデータの完全性を提供することができます。AHは暗号化せずに、接続先およびパケットが改ざんされていないことの認証を行います。

どのようにESP/AHヘッダを付加するかによって、トランスポートモードとトンネルモードにわかれます。
トランスポートモードは、元のIPヘッダはそのまま残します。データ部分だけを暗号化の対象としています。ホスト間の接続を行うときにトランスポートモードを利用します。
トンネルモードは、元のIPヘッダとデータ部分をすべて暗号化の対象としています。そして、新しくIPヘッダを付加します。VPNゲートウェイによって、LAN 間接続を行うときにトンネルモードを利用します。新しいIPヘッダはVPNゲートウェイのIPアドレスの情報が記載されることになります。

AHのトランスポートモード、トンネルモードのカプセル化の様子は次の図のようになります。

H18TENW_01.png 
図 1 AHトランスポートモードとトンネルモード

また、ESPのトランスポートモード、トンネルモードのカプセル化の様子は次の図のようになります。

H18TENW_02.png
図 2 ESPトランスポートモードとトンネルモード

以上のように、IPSecにはAH、ESPのプロトコルと、トランスモード、トンネルモードの動作モードがあり、暗号化の必要性やどのような用途に利用するかによって、これらを組み合わせて利用します。

たとえば、インターネットVPNを利用して拠点間を接続するには、ESPトンネルモードでパケットの暗号化と認証を行います。社内LANなどのコンピュータ間の通信では、AHトランスポートモードやESPトランスポートモードを利用します。

[エ]
どのようなIPパケットを暗号化してIPSec SAを通じて転送するかを決めている規則をセレクタと呼びます。セレクタの条件に一致したパケットは、IPSecのESP or AHでカプセル化されてIPSec SAへと転送されます。セレクタの条件に一致しないパケットは、通常のルーティングが行われます。
セレクタを含めて、どのようなモードでどのような暗号化アルゴリズムを利用して暗号化するなどを定義しているのがセキュリティポリシーです。

[オ]
IPヘッダ内でパケットの優先順位を定義できるフィールドはTosフィールドです。

 

H18TENW_03.png
図 3 IPヘッダ Tosフィールド

ToSフィールドは8ビットです。ToSフィールド内の3ビットもしくは6ビットを利用して、パケットをグループ化して優先制御を行うことができます。ToSフィールドの上位3ビットを利用する場合は、IP Precedenceです。上位6ビットを利用する場合は、DSCP(Differential Service Code Point)です。

参考URL