【ネスペ3問】IPsecからVPNまで(ネットワークスペシャリスト)
このNoteでは、ネスペR06~H21からIPsecの問題だけを集めました。
ネスペにおいてIPsecは最も重要なテーマ。なぜなら暗号化リモートアクセス「VPN」の実現手段だから。
午後問題に必ず絡んできます。在宅ワークが当たり前になり、VPNの需要は一般化しました。私も学生時代に大学にアクセスするために使っていました。
IPsecのモードの選び方、IPsecの暗号化によるルーティングの仕方など深い理解が必要な問題が出てきます。
このNoteではIPsec・構成要素(AH, ESP, IKE)・VPNに至るまでまとめ切りました。できればブクマして繰り返し読んで頂きたいです。
私の全てのNoteは、学生時代の独学合格体験、大学・IT専門学校での授業経験に基づいています。受ける側・教える側の実績があるので、少しでも信用して頂けたら嬉しいです。
それでは始めましょう!
\私の3ヶ月の学習記録/
IPsecはVPNに使われるので重要
IPsecは、ネスペのセキュリティプロトコルの中で一番重要な印象です。
暗号化と云えば、IPsecとSSL/TLSで決まりですね。>SSL/TLSのNote
IPsecはインターネット層のプロトコル(OSIのネットワーク層ぐらい)。IPレベルで暗号化・認証機能追加・改ざん検知などを行えます。
暗号化プロトコルは、HTTPSやSSHやSMTPSなどありますが、アプリケーションごとにしか使えません。HTTPSはWeb、SSHは遠隔操作、SMTPSはメール送信ですね。
例えるなら、鍵付きアタッシュケースを中身に応じて形の違うものを用意して、小包を入れて送るようなもの。
一方、IPsecはIPレベルで暗号化するので、Webでも遠隔操作でもメールでも気にせず全てセキュリティを高めることができます。
VPNは暗号通信路を作る技術です。IPsecを使って実現します(正確にはPPTPを使う方式もありますが気にせず)。
VPNで一度暗号通信路を作ってしまえば、その中で暗号化していないHTTPやTelnetやSMTPを使っても大丈夫。
例えるなら、外から見えないパイプやトンネルを作って、その中で小包を送るようなもの。
IPsecとVPNのモードが問題的に重要
午後問題では、プロトコルの名前や「モード」がよく問われます。
知らないと失点が確定。今後過去問やテキストで遭遇したら、ノートの裏に書き出した方が良いですね。
IPsecには2つのモード、VPNにも2つのモードがあるので要注意。モードは午後問題でよく問われます。
IPsecは使用環境によって適切なモードを選びます。
メインモード:IPアドレスが固定の場合に使う。LAN間接続を想定。
アグレッシブモード:IPアドレスが変わる場合に使う。リモートアクセスを想定。
VPNも2つのモードがあります。暗号化される場所・データ領域・準備作業などの違いを理解しておきます。
トランスポートモード:端末が暗号化する(端末にインストール作業必要)。ただしIPヘッダは暗号化されない。
トンネルモード:VPNゲートウェイが暗号化する。IPヘッダも暗号化(カプセル化)され、新たなIPヘッダを付けて伝送する
端末が多いとインストールが大変ですし、IPヘッダが平文なので攻撃者に手がかりを与えてしまいます。一方、VPNゲートウェイは準備が大変ですが、端末はゲートウェイに接続するだけで良いですし、IPヘッダも暗号化されます。
IPsecの重要な構成要素
IPsecを構成している/で使われる技術も出題されます。
具体的にはESP、AH、IKEなどです。
これがややこしい。全体の流れや詳細は無理なので、個別に何となくで良いので覚えていくのが良いです。どうしてもな方はテキストや調べるなどしてみてください。ただ、私はお薦めはしません。
ESPはIPsecが暗号化した時に用いる構造。
例えば暗号化計算するにはデータが小さければ、ダミーデータを追加するなどの処理も含まれます。
ESPのモードもVPNのモードと全く同じ動作です。
トランスポートモード:端末が暗号化する(端末にインストール作業必要)。ただしIPヘッダは暗号化されない。
トンネルモード:VPNゲートウェイが暗号化する。IPヘッダも暗号化(カプセル化)され、新たなIPヘッダを付けて伝送する
ペイロードの状態(伝送データの状態)も出題されます。
ネスペで暗号化やルーティングのために、カプセル化してヘッダを追加することは良くあります。今はIPsecやVPNの話ですが、MPLSやVLANでも注目点は同じです。
どこからどこまでがカプセル化されているか、元の宛先IPアドレスはどこにあるか/変化したか、は伝送を紐解くためにめちゃくちゃ大事です。丁寧に理解します。
IPsecではAHという構造も使います。
AHでは認証・改ざん検知を行う役割を果たします。暗号化はしません。ESPと併用できます。とはいえ、具体的なフレーム構造は出題されていないので、用語として覚えるに留めてOK。
IKEは、IPsec通信を確立するために必要な情報をやり取りするプロトコル。暗号鍵を交換します。
問題演習
正答はア。「ネットワーク層」「カプセル化(=秘匿, 暗号化)」「トンネリング」からIPsecと判断。IPsecで使うESPのトンネルモードですね。
PPP→PPTP(ウ)→L2TP(イ)と理解を進めます。>PPPのNote
ウ:PPTP。PPPを基に作られたプロトコル。PPPは第二層(データリンク層)なので、PPPTPも同じ。設問文の「ネットワーク層」と比較して弾きます。
PPTPはVPNの実現方式の1つ。データをGREプロトコルでカプセル化します(IPsecにおけるESPによるカプセル化と同じ)。
イ:L2TP。「L2」から第二層(データリンク層)なので、設問文の「ネットワーク層」と比較して弾けますね。
L2TPは、VPNに使われるPPTPを基に作られました。VPNと同じように仮想的なトンネルを作るプロトコルで、データリンク層で働きます。暗号化機能がないため、IPsecと組み合わせてVPN接続の実現方式の1つになっています。
VPN実現方式には、IPsec方式、PPTP方式、L2TP&IPsec方式などがあるということ。
エ:RSTP。ネットワークの障害や変更があった時に、素早く再計算できるプロトコル。STP(スパニングツリープロトコル)にR(rapid、素早い)が付いています。>STPのNote
ネットワークスペシャリスト 平成30年秋午前2問19
情報セキュリティスペシャリスト 平成28年秋午前2問15
情報セキュリティスペシャリスト 平成27年秋午前2問09
情報セキュリティスペシャリスト 平成22年秋午前2問17
情報セキュリティスペシャリスト 平成18年秋午前2問23
正答はウ。
ア:「ポート番号80」が誤り(HTTPですよね)。UDP/500ですが覚えなくてOKです。それよりも「IKEはIPsecの鍵交換のためのプロトコル」が重要です。
イ:HMAC-SHA1はハッシュ関数を使うので、暗号化ではなく改ざん検知で使います。
ウ:トンネルモードでは、IPヘッダもデータも全て暗号化(カプセル化)して、新しいIPヘッダを付与して伝送します。
エ:AHは認証や改ざん検知を行う役割で暗号化をしません。暗号化はESPで行います。
正答はエ。
IPsec絡みは3つが重要でしたね。
ESP:暗号化→ア
AH:認証・改ざん検知→エ
IKE:鍵交換→ウ
正答はウ。すごく大事。午後問題では、送信先/元のIP/MACアドレスの把握が正解に必要不可欠ですから。
IPsecには「トランスポートモード」と「トンネルモード」があります。
トランスポートモード:IPヘッダは暗号化されない
トンネルモード:IPパケット全てが暗号化される
今回は「トンネルモード」なので、オリジナルIPヘッダ~ESPトレーラまでが暗号化されます。なお、ESPトレーラは暗号化に適したバイトに調整するために追加したので、暗号化の対象になります。
まとめ
お疲れ様でした!
IPsecは超重要なテーマで、覚えることも多いうえに複雑でしたね。まとめておきます。
IPsecの構成要素(AH, ESP, IKE)とモードが重要です。
IPsec:
IPパケットの暗号化
VPNの実現方式。
IPsecのモード
メインモード:IPアドレスが固定の場合
アグレッシブモード:IPアドレスが変わる場合
IPsecの構成要素
ESP:暗号化
AH:認証・改ざん検知
IKE:鍵交換
ESPのモード
トランスポートモード:端末が暗号化する。IPヘッダは暗号化されない。
トンネルモード:VPNゲートウェイが、IPヘッダごと暗号化(カプセル化)
VPNのモード:ESPと同じ
IPsecは暗号化プロトコルの基盤なので、知識が定着するまでは、このNoteをブクマして何度も読んで頂けたら嬉しいです。
次回は>【ネスペ用】デジタル署名/証明書のNote でお会いしましょう。でわでわ。
\私の3ヶ月の学習記録/
いいなと思ったら応援しよう!
