目次
【ネスペ直前対策】IPsec 要点まとめ
ネットワークスペシャリストの試験の過去問をまとめています!
ネットワークスペシャリストの直前対策として活用できるよう、要点をまとめます!
出題年度と内容
出題された年度と内容は以下の通りです。
| 平成27年 午後Ⅱ 問2 | IPsec NATトラバーサル |
|---|---|
| 平成28年 午後Ⅱ 問2 | OSPFとIPsecの関係性 GREカプセル化のメリット トンネルモードとトランスポートモードの理解 GRE over IPsecの暗号化範囲 |
| 平成30年 午後I 問3 | OSPFとIPsecの関係性 GRE over IPsecの目的 フルメッシュ構成のデメリット |
参照元
「平成27年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2」
「平成28年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2」
「平成30年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3」
IPsecまとめ
IPsecとは
IPsec(Security Architecture for Internet Protocol)
- ネットワーク層(L3)で使われるプロトコル
- インターネットVPNで通信を暗号化するために利用される
- ユニキャストのIPパケットをカプセル化して転送する
■メリット
- 通信の暗号化(内容を見られないようにする)
- 改ざん検知 (内容を変えられたら気付けるようにする)
- 認証(相手が正しいやつかを確認する)
■デメリット
- IPsecのみだとマルチキャストやブロードキャスト通信ができない
- IPsec通信を行う機器間にNAT(NAPT)をしてしまうと問題がある
IPsecのセキュリティプロトコル
| プロトコル名 | 認証 | 暗号化 | プロトコル番号 |
| AH | ○ | × | 51 |
| ESP | ○ | ○ | 50 |
※AH・・Authentication Header
※ESP・・Encapsulating Security Payload
IPsecのカプセル化方式
| トンネルモード | IPパケット全体をカプセル化し、新たにIPヘッダを追加 二重でカプセル化したやつ |
|---|---|
| トランスポートモード | IPヘッダの後ろに、ESPヘッダ(暗号化、認証)またはAHヘッダ(認証)を挿入 もとのIPヘッダを使いまわすやつ |
IPsec通信の準備
IPsecを行うために必要な準備=SA(Security Association)
SAとは暗号化、認証アルゴリズム、共通鍵などのセキュリティ設定情報に提案・合意する際に利用されるコネクション、トンネルを指す。
SAで決めること
- 暗号化を何で行うのか(DES,3DES,AESなど)
- 認証は何で行うのか(MD5,SHA-1など)
- 上記2つを決めるやり取りを共通鍵で暗号化する方法
SAの確立方法
| 手動設定 | ・設定変更するまで同じ鍵を使い続ける ・セキュリティ面で脆弱 ・更新を忘れる可能性もある |
|---|---|
| 自動設定(主流) | ・自動的に共通鍵をつくる鍵交換プロトコル(IKE)を利用 ・自動的・定期的に鍵情報を更新するため、セキュリティ面で堅牢 |
※IKE・・Internet Key Exchange protocol、ポート番号はUDP500
SA確立までの順番
- IKEフェーズ1
- ISAKMP SA
- IKEフェーズ2
- IPsec SA
出典:「平成28年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2 p15」
SAの種類
| ISAKMP SA | ・IPsec SAで利用する共通鍵の配送や更新を行うためのトンネル ・IKEフェーズ1で決めた共通鍵の暗号化方針でやりとり |
|---|---|
| IPsec SA | ・パケットを暗号化して転送するためのトンネル ・IKEフェーズ2で決めた共通鍵の暗号化方針でやり取り |
IPsec × ルーティング【GRE over IPsec】
GRE(Generic Routing Encapsulation)
- ネットワーク層(L3)のプロトコルをカプセル化するプロトコル
- カプセル化する際にトンネリング用のIPヘッダ(20バイト)とGREヘッダ(4バイト)を付加
- デメリットしては、暗号化、認証をできないため、セキュリティ面が脆弱
出典:「平成28年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2 p17」
GRE over IPsec
- GREでルーティングプロトコルをカプセル化し、GREパケットをさらにIPsecでカプセル化し暗号化した技術
- IPsecでできなかったマルチキャストやブロードキャスト通信 をGREで、GREでできなかった暗号化、認証をIPsecで可能にしたハイブリッド技術
- GREの欠点 → 暗号化、認証をできない
- IPsecの欠点 → マルチキャストやブロードキャスト通信ができない
出典:「平成28年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2 p19」
IPsec × NAT【NATトラバーサル】
IPsec通信を行う機器間にNAT(NAPT)をしてしまうと問題がある
↓
| NAT | プライペートIPアドレスの送信元IPアドレスをグローバルIPアドレスへ変換する |
|---|---|
| NAPT | プライペートIPアドレスの送信元IPアドレスをグローバルIPアドレスへ変換することに加えて、送信元ポート番号も変換する |
出典:「平成27年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2 p15」
IPsec NATトラバーサル
- ESPパケット(暗号化)をUDPでカプセル化
- NAPTによるIPアドレスとポート番号の変換を可能にする
- IPsec通信のNAT越えが可能となる
- IKEで自動的に行われる
- NAPTで送信元ポート番号が変換されるので、IPsec機器(FWなど)では送信元ポートを500や4500以外のISAKMPメッセージも受信できるようにフィルタリング設定を変更する必要性がある
出典:「平成27年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2 p16」