IPsec 要点まとめ (ネットワークスペシャリスト)｜ネットワークスペシャリストを目指して

IPsec

引用元：
「平成27年度秋期ネットワークスペシャリスト試験（NW）午後Ⅱ 問2」
「平成28年度秋期ネットワークスペシャリスト試験（NW）午後Ⅱ 問2」
「平成29年度秋期ネットワークスペシャリスト試験（NW）午後Ⅱ 問1」
「平成30年度秋期ネットワークスペシャリスト試験（NW）午後Ⅱ 問1」
※それぞれ一部改変しております。

IPsecとは

IPsec(Security Architecture for Internet Protocol)
・ネットワーク層（L3）で使われるプロトコル
・インターネットVPNで暗号化するために利用
・ユニキャストのIPパケットをカプセル化して転送
・暗号化とトンネリング（カプセル化）を行う

■メリット（用途）
・通信の暗号化（内容を見られないようにする）
・改ざん検知（内容を変えられたら気付けるようにする）
・認証（相手が正しいやつかを確認する）

■デメリット
・IPsecのみだとマルチキャストやブロードキャスト通信ができない

セキュリティプロトコル
・AH(Authentication Header)　認証機能、暗号化機能はない、プロトコル番号51
・ESP(Encapsulating Security Payload)　認証機能と暗号化機能の両方を担う、プロトコル番号49

IPsecのカプセル化方式

①トンネルモード
IPパケット全体をカプセル化し、新たにIPヘッダを追加
要は二重でカプセル化したやつ

②トランスポートモード
IPヘッダの後ろに、ESPヘッダ（暗号化、認証）またはAHヘッダ（認証）を挿入
要はもとのIPヘッダを使いまわすやつ

IPsec通信の準備

●IPsecを行うために必要な準備＝SA（Security Association）
　①暗号化を何で行うのか（DES,3DES,AESなど）
　②認証は何で行うのか（MD5,SHA-1など）
　③上記２つを決めるやり取りを共通鍵で暗号化

　・暗号化、認証アルゴリズム、共通鍵などのセキュリティ設定情報に提案・合意する際に利用されるコネクション、トンネルをSAという

●SAの確立方法
①手動設定
・設定変更するまで同じ鍵を使い続ける
・セキュリティ面で脆弱
・更新を忘れる可能性もある

②自動設定
・ IKE(Internet Key Exchange protocol)　自動的に共通鍵つくる鍵交換プロトコルを利用
・自動的・定期的に鍵情報を更新するため、セキュリティ面で堅牢

●SAの種類
①ISAKMP SA
・IPsec SAで利用する共通鍵の配送や更新を行うためのトンネル
・トンネルの通信は暗号化されていない
・IKEフェーズ1で決めた共通鍵の暗号化方針でやりとり

②IPsec SA
・パケットを暗号化して転送するためのトンネル
・トンネルの通信は暗号化されていない
・IKEフェーズ2で決めた共通鍵の暗号化方針でやり取り

●SA確立までの順番
(1)IKEフェーズ1
(2)ISAKMP SA
(3)IKEフェーズ2
(4)IPsec SA

*出典：「平成28年度秋期ネットワークスペシャリスト試験（NW）午後Ⅱ 問2　p*15」

GRE over IPsec

GRE（Generic Routing Encapsulation）
・ネットワーク層（L3）のプロトコルをカプセル化するプロトコル
・カプセル化する際にトンネリング用のIPヘッダ（20バイト）とGREヘッダ（4バイト）を付加

■デメリット
・暗号化、認証をできないため、セキュリティ面が脆弱

*出典：「平成28年度秋期ネットワークスペシャリスト試験（NW）午後Ⅱ 問2　p*17」

GRE over IPsec
・GREでルーティングプロトコルをカプセル化し、GREパケットをさらにIPsecでカプセル化し暗号化した技術
・IPsecでできなかったマルチキャストやブロードキャスト通信をGREで、GREでできなかった暗号化、認証をIPsecで可能にしたハイブリッド技術

GREの欠点　→　暗号化、認証をできない
IPsecの欠点　→　マルチキャストやブロードキャスト通信ができない

※下図はトランスポートモードを採用したGRE over IPsecのパケット形式

*出典：「平成28年度秋期ネットワークスペシャリスト試験（NW）午後Ⅱ 問2　p*19」

NATトラバーサル

●前提
IPsec通信　→　IPアドレスやポート番号を暗号化または認証
NAT（NAPT）　→ 　IPアドレスやポート番号を変換する

IPsec通信を行う機器間にNAT（NAPT）をしてしまうと問題がある

→AHの場合、IPヘッダが認証対象なので、IPアドレスがNAT（NAPT）で書き換えられると
認証データが計算値と一致しなくなるため、認証エラーが発生する
→ESPの場合、TCPまたはUDPヘッダが暗号化の対象であり、ポート番号が暗号化されるため、NAT機器を通過することができない
→ESPヘッダにはポート番号がないため、NAT変換をすることができない

*出典：「平成27年度秋期ネットワークスペシャリスト試験（NW）午後Ⅱ 問2　p*15」

IPsec NATトラバーサル
・ESPパケット（暗号化）をUDPでカプセル化
・NATによるIPアドレスとポート番号の変換を可能にする
・IPsec通信のNAT越えが可能となる
・IKEで自動的に行われる
・NAT（NAPT）で送信元ポート番号が変換されるので、IPsec機器（FWなど）では送信元ポートを500や4500以外のISAKMPメッセージも受信できるようにフィルタリング設定を変更する必要性がある

*出典：「平成27年度秋期ネットワークスペシャリスト試験（NW）午後Ⅱ 問2　p*16」

IPsec

IPsecとは

IPsecのカプセル化方式

IPsec通信の準備

GRE over IPsec

NATトラバーサル

ネットワークスペシャリスト 過去問 午後 解説【令和元年度 午後1 問2】

ネットワークスペシャリスト 過去問 解説【令和元年度 午後1 問1】

ネットワークスペシャリスト 平成30年 午後Ⅱ 問2 要点まとめ

【令和2年】2020年のネスペは中止！！コロナの影響で令和2年のネットワークスペシャリスト試験は令和3年の春期に延期！！

ネットワークスペシャリスト 過去問 解説【令和元年度 午後1 問3】

【令和元年度 過去問 午後1,2 解説 】ネットワークスペシャリスト（ネスペ）の過去問解説のまとめ！！

ネットワークスペシャリスト過去問午後解説【令和元年度午後1 問2】

ネットワークスペシャリスト過去問解説【令和元年度午後1 問1】

ネットワークスペシャリスト平成30年午後Ⅱ 問2 要点まとめ

ネットワークスペシャリスト過去問解説【令和元年度午後1 問3】

【令和元年度過去問午後1,2 解説】ネットワークスペシャリスト（ネスペ）の過去問解説のまとめ！！