ネットワークスペシャリスト 2016年午前2 問07

問題文

図はIPv4におけるIPsecのデータ形式を示している。ESPトンネルモードの電文中で、暗号化されているのはどの部分か。

選択肢

ア：ESPヘッダからESPトレーラまで

イ：TCPヘッダからESP認証データまで

ウ：オリジナルIPヘッダからESPトレーラまで（正解）

エ：新IPヘッダからESP認証データまで

IPv4におけるIPsecのESPトンネルモードの暗号化範囲【午前2 解説】

要点まとめ

結論：ESPトンネルモードでは「オリジナルIPヘッダからESPトレーラまで」が暗号化される。
根拠：トンネルモードは元のIPパケット全体をカプセル化し、新IPヘッダを付加して送信するため、元のIPヘッダ以降が暗号化対象。
差がつくポイント：ESPヘッダは暗号化されず認証に使われる点や、新IPヘッダは暗号化されない点を正確に理解することが重要。

正解の理由

ESPトンネルモードは、元のIPパケット（オリジナルIPヘッダ＋TCPヘッダ＋データ＋ESPトレーラ）を暗号化し、新たに付加した新IPヘッダでカプセル化します。ESPヘッダは暗号化されず、暗号化範囲はオリジナルIPヘッダからESPトレーラまでです。これにより、通信経路上で元のパケット内容が秘匿されます。

よくある誤解

ESPヘッダも暗号化されると誤解されがちですが、ESPヘッダは認証や暗号化の制御情報を含み、暗号化されません。新IPヘッダはルーティングに必要なため暗号化対象外です。

解法ステップ

ESPトンネルモードの動作を理解する（元パケット全体をカプセル化）。
図の構成要素を確認し、どこからどこまでが元のパケットかを把握。
ESPヘッダは暗号化されず、認証や制御に使われることを認識。
新IPヘッダは外部ルーティング用で暗号化されないことを確認。
以上から暗号化範囲は「オリジナルIPヘッダからESPトレーラまで」と判断。

選択肢別の誤答解説

ア: ESPヘッダからESPトレーラまで
→ ESPヘッダは暗号化されず、暗号化範囲はもっと広い。
イ: TCPヘッダからESP認証データまで
→ ESP認証データは暗号化されず、またオリジナルIPヘッダも暗号化対象。
ウ: オリジナルIPヘッダからESPトレーラまで
→ 正解。元のIPパケット全体が暗号化される範囲。
エ: 新IPヘッダからESP認証データまで
→ 新IPヘッダは暗号化されず、ESP認証データも暗号化対象外。

補足コラム

IPsecにはトランスポートモードとトンネルモードがあり、トランスポートモードはペイロード部分のみ暗号化します。一方トンネルモードは元のIPパケット全体を暗号化し、新IPヘッダを付加して送信するため、VPNなどの用途に適しています。

FAQ

Q: ESPヘッダはなぜ暗号化されないのですか？
A: ESPヘッダは暗号化や認証の制御情報を含み、受信側が復号・認証処理を行うために必要なため暗号化されません。

Q: 新IPヘッダはどのような役割ですか？
A: 新IPヘッダはトンネルモードでカプセル化されたパケットの外側に付加され、ルーティング情報を提供します。

関連キーワード: IPsec, ESPトンネルモード、IPv4, 暗号化範囲、VPN, トンネルモード

← 前の問題へ次の問題へ →

\ せっかくなら /

ネットワークスペシャリストを
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！