IPsecに関しては、過去問(H28秋NW午後Ⅱ問2)で、用語を含めて詳しい解説があるので紹介します。



〔インターネットVPNの構築技術の検討〕
J君はまず,インターネットVPNの構築に広く利用されているIPsecを調査し,その結果を次のとおり整理した。
(1)IPsecルータ
・ IPsecで使用される認証方式,暗号化方式,暗号鍵などは,IPsecルータ同士によるIKE (Internet Key Exchange)のネゴシエーションによって,IPsecルータ間で合意される。この合意は,SA(Security Association)と呼ばれる。
・ SAの内容が確定すると,SAに関連付けされたSPI (Security Parameters Index)が,[  ア:32 ]ビットの整数値で割り当てられる。SPIは,IPsec 通イ言の各パケツト中に挿入され,そのパケットに適用されたSAの識別キーとなる。
・IPsecルータは,通信相手のIPsecルータにパケットを送信するとき,IPsec通信を行うか否か,  IPsec ji信を行うときはどのSAを使うかなど,当該パケットに施す処理を示したセキュリティポリシ(以下,  SPという)を選択する。処理には,PROTECT(IPsecを適用して送信),  BYPASS (IPsecを適用せずに送信),DISCARD(廃棄)の3種類がある。
・SPを選択するキーを[ イ:セレクタ ]と呼び,IPアドレス,プロトコル,ポート番号などが利用される。SPは,SPデータベースで管理される。 SPデータベースは経路表に似た構造をもっている。
・IPsecルータは,通信相手のIPsecルータからパケットを受信すると,パケット中のSPIでSAを識別し,当該SAに関連する情報を取り出す。その情報を基に,受信したパケットを処理する。

(2)IPsecの通信
・IPsecの通信手順は,図2のとおりである。
180417_H28秋NW午後Ⅱ問2_図2
・IKEフェーズ1では,  IKEフェーズ2で使用するISAKMP (Internet SecurityAssociation and Key Management Protocol)SA又はIKE SA (以下,両方をISAKMP SA という)に必要なパラメータの交換,鍵交換及び認証が行われる。
IKEフェーズ1には,メインモードと[ ウ:アグレッシブ ]モードがある。メインモードでは3往復の通信が行われるが,[ ウ ]モードは1往復半の通信で完了する。IKEフェーズ1で決定されるパラメータを表1に示す

     表1 IKEフェーズ1で決定されるパラメータ(抜粋)
パラメータ説明
暗号化方式ISAKMPメッセージの暗号化アルゴリズム
ハッシュ方式ISAKMPメッセージの完全性の検証と鍵計算に使用するハッシュアルゴリズム
ライフタイムISAKMP SA の生存期間
認証方式IPsec 通信相手機器の認証方式
鍵交換方式鍵交換のためのアルゴリズム

・ IKEフェーズ2では,  IPsec SA に必要なパラメータが決定される。IKEフェーズ2で決定されるパラメータを表2に示す。

     表2 IKEフェーズ2で決定されるパラメータ(抜粋)
パラメータ説明
セキュリティプロトコルIPsec通信で使用するセキュリティプロトコル
暗号化方式IPsec 通信で使用する暗号化アルゴリズム
認証方式IPsec通信で使用する認証アルゴリズム
ライフタイムIPsec SA の生存期間
通信モードトンネルモード又はトランスポートモード

・IKEフェーズ2の通信は,  IKEフェーズ1で確立したISAKMP SAを使って行われる。IKEフェーズ2では, 1往復半の通信でIPsec SAを確立する。IPsec 通イ言は,IKEフェーズ2で確立したIPsec SA を使って行われる。
・IPsecは,暗号化機能とトンネリング機能をもち,通信相手のIPsecルータの認証,安全な鍵生成,転送データの暗号化,転送データの完全性の認証などを行う。
・トンネリングは,インターネットのような共用ネットワーク上の2点間で,仮想の専用線を構築することである。トンネリングは,あるプロトコルのトラフィックを別のプロトコルでカプセル化することで実現する。
・IPsecでは,ユニキヤストのIPパケットをカプセル化して転送する。
調査の結果,Y社で検討中のIPsecルータは、OSPFの通常の設定では、リンクステート情報の交換パケットをカプセル化できないので. J君は,  IPsecによってインターネットVPNを構築したとき,  OSPFを稼働することができないと考えた。静的経路制御でも広域イーサ網との間で負荷分散を行うことができるが,運用管理を容易にするためにOSPFを稼働させたい。
そこで. J君は,調査結果を基にN主任に相談したところ,“他のトンネリング技術についても調査するように”という指示を受けた。