ネットワークスペシャリスト 2012年 午前2 問12
問題文
図はIPv4におけるIPsecのデータ形式を示している。ESPトンネルモードの電文中で、暗号化されているのはどの部分か。
選択肢
ア:ESPヘッダからESPトレーラまで
イ:TCPヘッダからESP認証データまで
ウ:オリジナルIPヘッダからESPトレーラまで(正解)
エ:新IPヘッダからESP認証データまで
IPv4におけるIPsec ESPトンネルモードの暗号化範囲【午前2 解説】
要点まとめ
- 結論:ESPトンネルモードでは「オリジナルIPヘッダからESPトレーラまで」が暗号化されます。
- 根拠:トンネルモードは元のIPパケット全体をカプセル化し、新IPヘッダを付加して送信するため、元のIPヘッダ以降が暗号化対象です。
- 差がつくポイント:ESP認証データは暗号化されず、ESPヘッダは暗号化範囲の先頭に含まれますが、選択肢の範囲指定に注意が必要です。
正解の理由
ESPトンネルモードでは、元のIPパケット(オリジナルIPヘッダ+TCPヘッダ+データ+ESPトレーラ)が暗号化されます。新IPヘッダは暗号化されず、ESP認証データも暗号化範囲外です。したがって、「オリジナルIPヘッダからESPトレーラまで」が暗号化範囲となり、選択肢の中でウが正解です。
よくある誤解
ESP認証データも暗号化されると誤解されがちですが、認証データは暗号化されず、改ざん検知のために送信されます。新IPヘッダは暗号化対象外です。
解法ステップ
- IPsecのESPトンネルモードの構造を理解する。
- 新IPヘッダは外側のIPヘッダで暗号化されないことを確認。
- ESPヘッダからESPトレーラまでが暗号化範囲であることを把握。
- オリジナルIPヘッダは暗号化される範囲に含まれることを確認。
- ESP認証データは暗号化されず、認証用に付加されることを理解。
- 選択肢の範囲と図の構成を照らし合わせて正解を選ぶ。
選択肢別の誤答解説
- ア: ESPヘッダからESPトレーラまで
→ オリジナルIPヘッダが含まれていないため不正解。トンネルモードでは元のIPヘッダも暗号化される。 - イ: TCPヘッダからESP認証データまで
→ ESP認証データは暗号化されず、またオリジナルIPヘッダも暗号化範囲に含まれるため不正解。 - ウ: オリジナルIPヘッダからESPトレーラまで
→ 正解。トンネルモードの暗号化範囲を正しく示している。 - エ: 新IPヘッダからESP認証データまで
→ 新IPヘッダは暗号化されず、ESP認証データも暗号化範囲外なので不正解。
補足コラム
IPsecにはトランスポートモードとトンネルモードがあり、トランスポートモードはペイロード部分のみ暗号化、トンネルモードは元のIPパケット全体を暗号化し新IPヘッダを付加します。ESP(Encapsulating Security Payload)は暗号化と認証を提供し、ESP認証データは改ざん検知用のハッシュ値で暗号化されません。
FAQ
Q: ESP認証データはなぜ暗号化されないのですか?
A: 認証データは改ざん検知用のハッシュ値であり、受信側が検証できるように暗号化されずに送信されます。
A: 認証データは改ざん検知用のハッシュ値であり、受信側が検証できるように暗号化されずに送信されます。
Q: トランスポートモードとトンネルモードの違いは何ですか?
A: トランスポートモードはペイロードのみ暗号化し、トンネルモードは元のIPパケット全体を暗号化して新IPヘッダを付加します。
A: トランスポートモードはペイロードのみ暗号化し、トンネルモードは元のIPパケット全体を暗号化して新IPヘッダを付加します。
関連キーワード: IPsec, ESPトンネルモード、IPv4, 暗号化範囲、ESP認証データ、トンネルモード
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!