やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

トップ > ネットワークスペシャリスト > IPsecのIKE SA/トンネルモード・トランスペアモード/パケットサイズ【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問2】

IPsecのIKE SA/トンネルモード・トランスペアモード/パケットサイズ【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問2】

ネットワークスペシャリスト ネットワークスペシャリスト-午後解説

 情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。

 今回は、「IPsecのIKE SA/トンネルモード・トランスペアモード/パケットサイズ」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問2」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問2

問3 社内ネットワークとクラウドサービスとのネットワーク接続に関する次の記述を読んで、設問1〜4に答えよ。

(略)

f:id:aolaniengineer:20200701182847p:plain

(略)

【インターネットVPN接続の検討】

 L社クラウドサービスのVPNルータとK社NWのVPNルータでは、互いのグローバルIPアドレスを利用して、RFC1853に記載されているIP in IPを用いて、トンネルが構成される。このトンネルの通信を、IPsecを用いて暗号化する。

 暗号化は、フェーズ1と呼ばれるIKE SAの確立、フェーズ2と呼ばれるIPsec SAの確立を経て行われる。

 フェーズ1では、接続する相手を認証する方式として、両方の機器であらかじめ、(イ:事前共有鍵)と呼ばれる同じ鍵を共有する方式を利用する。

イ:事前共有鍵

 SA(Security Association)とは、暗号化通信に先立ち、暗号化方式や暗号鍵などの情報を交換して確立された仮想的な暗号通信路(トンネル)のことです。

 IKE(Internet Key Exchange)は、暗号鍵を交換するために利用される通信プロトコルのことで、接続する機器であらかじめ鍵を共有する方式は、事前共有鍵(PSK:Pre-Shared Key)といいます。

 フェーズ2では、①IPヘッダを暗号化対象とするトンネルモードではなく、IPヘッダを暗号化対象としないトランスポートモードを選択する。

①について、今回の構成では、トランスポートモードを選択している。選択した根拠を、IPアドレスに着目して30字以内で述べよ。:暗号化対象の通信がグローバルIPアドレス間の通信だから。

 まず、IPsecを用いて暗号化する箇所を再確認します。

 本文に「L社クラウドサービスのVPNルータとK社NWのVPNルータでは、互いのグローバルIPアドレスを利用して、RFC1853に記載されているIP in IPを用いて、トンネルが構成される」とあるように、IP in IPで元々のIPパケットを新たなIPヘッダでトンネル化しています。

 そして新たなIPヘッダにグローバルIPアドレスを使用してインターネット経由で通信することになります。

 したがって、IPヘッダ(←新たなIPヘッダ)を暗号化対象としないトランスポートモードを採用するのが適切です。

 IP in IPでトンネルを構成し、更にIPsecを用いて暗号化することによって、②元のIPパケットと比較してパケットサイズは大きくなる。そこで、IP in IPで作成されたトンネルインタフェースではMTUのサイズを適切な値に設定し、さらに、トンネルインタフェースを通過するパケットのTCP MSS(Maximum Segment Size)を適切な値に書き換える。

【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3(一部、加工あり)】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm1_qs.pdf

②について、IP in IPで作成されたトンネルインタフェースのMTUの値を1,500とした場合、VPNルータで発生する処理を、30字以内で述べよ。ここで、インターネットを含む全てのインタフェースのMTUの値を1,500とする。:フラグメントとリアセンブルの処理が発生する。

 IP in IPでのトンネル化とIPsecを用いた暗号化で、元のIPパケットからどれくらいパケットサイズが大きくなるのでしょうか。

 まず、IP in IPでは、新たなIPヘッダとして20バイト分が付加されます。

 IPsecでは、暗号化通信のESP(Encapsulated Security Payload)では、ESPヘッダ8バイト、ESPトレーラとESP認証データがそれぞれ十数バイト分付加されます。

 したがって、全体で40バイト程度、元のIPパケットよりもパケットサイズが大きくなります。

 そして、元のIPパケットが最大1,500バイトのパケットを送信する場合、トンネルインタフェースでは1,540バイトのパケットサイズとなり、MTU(Maximum Transfer Unit:最大パケット長)の1,500バイトを超過することになります。

 このとき、発生する処理としては、送信側ではIPパケットを分割するフラグメント、受信側では再構成するリアセンブルとなります。