目次
問題文
IPsecに関する記述のうち,適切なものはどれか。
ア ESPのトンネルモードを使用すると,暗号化通信の区間において,エンドツーエンドの通信で用いる元のIPヘッダーを含めて暗号化できる。
イ IKEはIPsecの鍵交換のためのプロトコルであり,ポート番号80が使用される。
ウ 暗号化アルゴリズムとして,HMAC-SHA1が使用される。
エ 二つのホストの間でIPsecによる通信を行う場合,認証や暗号化アルゴリズムを両者で決めるためにESPヘッダーではなくAHヘッダーを使用する。
解説
解答
ア
ア ESPのトンネルモードを使用すると…
ESP(Encapsulating Security Payload)のトンネルモードでは、元のIPパケット全体(元IPヘッダー+上位層データ)を暗号化し、新しいIPヘッダーを付与して送信します。
これにより、区間内の経路装置からは元の宛先や通信内容が見えないため、安全に拠点間VPNを構築できます。
したがって正しい記述です。
イ IKEはIPsecの鍵交換プロトコルで、ポート番号80が使用される
IKE(Internet Key Exchange)は確かにIPsecの鍵交換プロトコルですが、利用するポート番号は UDP 500番(NAT環境ではUDP 4500)です。
ポート80はHTTPに割り当てられているため誤りです。
ウ 暗号化アルゴリズムとして、HMAC-SHA1が使用される
HMAC-SHA1は暗号化ではなく認証(メッセージ認証コード)に使われます。
暗号化アルゴリズムとして用いられるのはAESや3DESなどです。したがってこれは誤りです。
エ 二つのホスト間でIPsec通信を行う場合…ESPではなくAHを使用する
IPsecのアルゴリズム交渉はIKEによって行われるのであり、ESPやAHの役割ではありません。
AH(Authentication Header)はパケットの完全性確認や認証に使いますが、鍵交換の手段ではありません。
この記述は不正確です。
