ネットワークスペシャリスト 2018年 午前2 問19
問題文
IPsecに関する記述のうち、適切なものはどれか。
選択肢
ア:ESPのトンネルモードを使用すると、暗号化通信の区間において、エンドツーエンドの通信で用いる元のIPヘッダを含めて暗号化できる。(正解)
イ:IKEはIPsecの鍵交換のためのプロトコルであり、ポート番号80が使用される。
ウ:暗号化アルゴリズムとして,HMAC-SHA1が使用される。
エ:ホストAとホストBとの間でIPsecによる通信を行う場合、認証や暗号化アルゴリズムを両者で決めるためにESPヘッダではなくAHヘッダを使用する。
IPsecに関する記述のうち、適切なものはどれか【午前2 解説】
要点まとめ
- 結論:ESPのトンネルモードは元のIPヘッダを含めて暗号化できるため、通信の秘匿性が高い。
- 根拠:ESPは暗号化と認証を提供し、トンネルモードでは元のIPパケット全体をカプセル化して暗号化する。
- 差がつくポイント:IKEのポート番号やHMAC-SHA1の役割、AHとESPの違いを正確に理解することが重要。
正解の理由
選択肢アは、ESP(Encapsulating Security Payload)のトンネルモードが元のIPヘッダを含めて暗号化できることを正しく述べています。トンネルモードでは、元のIPパケット全体を新しいIPヘッダで包み込み、内部のパケットを暗号化するため、通信経路上での秘匿性が確保されます。
よくある誤解
IKEは鍵交換プロトコルですが、ポート番号は80ではなくUDPの500番を使用します。HMAC-SHA1は認証に使われ、暗号化アルゴリズムではありません。
解法ステップ
- IPsecの主要な構成要素(ESP、AH、IKE)を理解する。
- ESPのモード(トランスポートモードとトンネルモード)の違いを把握する。
- IKEの役割と使用ポート番号を確認する。
- HMAC-SHA1の用途(認証)と暗号化アルゴリズムの違いを区別する。
- AHとESPの機能の違いを整理する。
選択肢別の誤答解説
- イ:IKEは鍵交換プロトコルで正しいが、使用するポート番号はUDPの500番であり、HTTPの80番ではない。
- ウ:HMAC-SHA1は認証アルゴリズムであり、暗号化アルゴリズムではない。暗号化にはAESや3DESなどが使われる。
- エ:認証や暗号化アルゴリズムの交渉はIKEで行い、ESPヘッダは暗号化と認証を提供する。AHは認証のみで暗号化はしない。
補足コラム
IPsecはVPN構築に広く使われる技術で、ESPとAHの2つのプロトコルを組み合わせて通信の機密性と完全性を確保します。ESPのトンネルモードは特にネットワーク間のVPNで利用され、元のIPパケット全体を暗号化するため、通信内容を秘匿できます。
FAQ
Q: IKEはどのポート番号を使いますか?
A: IKEはUDPの500番ポートを使用して鍵交換を行います。
A: IKEはUDPの500番ポートを使用して鍵交換を行います。
Q: ESPとAHの違いは何ですか?
A: ESPは暗号化と認証を提供し、AHは認証のみを提供します。
A: ESPは暗号化と認証を提供し、AHは認証のみを提供します。
Q: HMAC-SHA1は暗号化に使われますか?
A: いいえ、HMAC-SHA1は認証に使われるアルゴリズムです。
A: いいえ、HMAC-SHA1は認証に使われるアルゴリズムです。
関連キーワード: IPsec, ESP, トンネルモード、IKE, HMAC-SHA1, AH, VPN, 暗号化、認証
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!