ネスペ

【ネスペ直前対策】IPsec 要点まとめ (ネットワークスペシャリスト)

【ネスペ直前対策】IPsec 要点まとめ

ネットワークスペシャリストの試験の過去問をまとめています!
ネットワークスペシャリストの直前対策として活用できるよう、要点をまとめます!

出題年度と内容

出題された年度と内容は以下の通りです。

平成27年 午後Ⅱ 問2IPsec NATトラバーサル
平成28年 午後Ⅱ 問2OSPFとIPsecの関係性
GREカプセル化のメリット
トンネルモードとトランスポートモードの理解
GRE over IPsecの暗号化範囲
平成30年 午後I 問3OSPFとIPsecの関係性
GRE over IPsecの目的
フルメッシュ構成のデメリット

参照元
「平成27年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2」
「平成28年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2」
「平成30年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3」

IPsecまとめ

IPsecとは

IPsec(Security Architecture for Internet Protocol)
  • ネットワーク層(L3)で使われるプロトコル
  • インターネットVPNで通信を暗号化するために利用される
  • ユニキャストのIPパケットをカプセル化して転送する

■メリット

  • 通信の暗号化(内容を見られないようにする)
  • 改ざん検知 (内容を変えられたら気付けるようにする)
  • 認証(相手が正しいやつかを確認する)

■デメリット

  • IPsecのみだとマルチキャストやブロードキャスト通信ができない
  • IPsec通信を行う機器間にNAT(NAPT)をしてしまうと問題がある

IPsecのセキュリティプロトコル

プロトコル名認証暗号化プロトコル番号
AH×51
ESP50

※AH・・Authentication Header
※ESP・・Encapsulating Security Payload

IPsecのカプセル化方式

トンネルモードIPパケット全体をカプセル化し、新たにIPヘッダを追加
二重でカプセル化したやつ
トランスポートモードIPヘッダの後ろに、ESPヘッダ(暗号化、認証)またはAHヘッダ(認証)を挿入
もとのIPヘッダを使いまわすやつ

IPsec通信の準備

IPsecを行うために必要な準備=SA(Security Association)

SAとは暗号化、認証アルゴリズム、共通鍵などのセキュリティ設定情報に提案・合意する際に利用されるコネクション、トンネルを指す。

SAで決めること
  1. 暗号化を何で行うのか(DES,3DES,AESなど)
  2. 認証は何で行うのか(MD5,SHA-1など)
  3. 上記2つを決めるやり取りを共通鍵で暗号化する方法

SAの確立方法

手動設定・設定変更するまで同じ鍵を使い続ける
・セキュリティ面で脆弱
・更新を忘れる可能性もある
自動設定(主流)自動的に共通鍵をつくる鍵交換プロトコル(IKE)を利用
・自動的・定期的に鍵情報を更新するため、セキュリティ面で堅牢

※IKE・・Internet Key Exchange protocol、ポート番号はUDP500

SA確立までの順番

  1. IKEフェーズ1
  2. ISAKMP SA
  3. IKEフェーズ2
  4. IPsec SA

出典:「平成28年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2 p15」

SAの種類

ISAKMP SA・IPsec SAで利用する共通鍵の配送や更新を行うためのトンネル
・IKEフェーズ1で決めた共通鍵の暗号化方針でやりとり
IPsec SA・パケットを暗号化して転送するためのトンネル
・IKEフェーズ2で決めた共通鍵の暗号化方針でやり取り

IPsec × ルーティング【GRE over IPsec】

GRE(Generic Routing Encapsulation)
  • ネットワーク層(L3)のプロトコルをカプセル化するプロトコル
  • カプセル化する際にトンネリング用のIPヘッダ(20バイト)とGREヘッダ(4バイト)を付加
  • デメリットしては、暗号化、認証をできないため、セキュリティ面が脆弱
【ネスペ】GREでカプセル化されたパケット形式

出典:「平成28年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2 p17」

GRE over IPsec
  • GREでルーティングプロトコルをカプセル化し、GREパケットをさらにIPsecでカプセル化し暗号化した技術
  • IPsecでできなかったマルチキャストやブロードキャスト通信 をGREで、GREでできなかった暗号化、認証をIPsecで可能にしたハイブリッド技術
  • GREの欠点 → 暗号化、認証をできない
  • IPsecの欠点 → マルチキャストやブロードキャスト通信ができない
【ネスペ】トランスポートモードを採用したGRE over IPsecのパケット形式

出典:「平成28年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2 p19」

IPsec × NAT【NATトラバーサル】

IPsec通信を行う機器間にNAT(NAPT)をしてしまうと問題がある

AHの場合、IPヘッダが認証対象なので、IPアドレスがNAT(NAPT)で書き換えられると認証データが計算値と一致しなくなるため、認証エラーが発生する
ESPの場合、TCPまたはUDPヘッダが暗号化の対象であり、ポート番号が暗号化されるため、NAT機器を通過することができない。かつ、ESPヘッダにはポート番号がないため、NAT変換をすることができない
NATプライペートIPアドレスの送信元IPアドレスをグローバルIPアドレスへ変換する
NAPTプライペートIPアドレスの送信元IPアドレスをグローバルIPアドレスへ変換することに加えて、送信元ポート番号も変換する

出典:「平成27年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2 p15」

IPsec NATトラバーサル
  • ESPパケット(暗号化)をUDPでカプセル化
  • NAPTによるIPアドレスとポート番号の変換を可能にする
  • IPsec通信のNAT越えが可能となる
  • IKEで自動的に行われる
  • NAPTで送信元ポート番号が変換されるので、IPsec機器(FWなど)では送信元ポートを500や4500以外のISAKMPメッセージも受信できるようにフィルタリング設定を変更する必要性がある

出典:「平成27年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2 p16」

おすすめの関連記事