連載
» 2010年08月11日 00時00分 公開

ネットワークの基礎を学習する CCNA対策講座(33):VPNの基礎を学習する (2/2)

[内藤佳弥子,グローバル ナレッジ ネットワーク]
前のページへ 1|2       

正解

 a

解説

 正解は選択肢aのサイト間VPNです。選択肢bのセキュアアクセスVPNや選択肢dのセキュリティVPNという用語はありません。選択肢cのリモートアクセスVPNは、リモートのクライアントPCとVPNデバイスを接続する形態のVPNです。

IPSec

 IPSecは、IPSecという1つのプロトコルを指すのではなく、セキュリティに関連した複数のプロトコルの総称です。IPSecには中核をなす3つのプロトコルがあります。ESP(Encapsulating Security Payload)、AH(Authentication Header)、IKE(Internet Key Exchange)です。

  • ESP:暗号化、完全性、送信元認証、アンチリプレイをサポートする
  • AH:完全性、送信元認証、アンチリプレイをサポートする
  • IKE:ESPやAHで使用するアルゴリズムや鍵などの情報を安全に交換する

 上記の通り、暗号化を行えるのはESPです。

暗号化

 データを暗号化する際には鍵を使用します。鍵とは、暗号化を行うためのルールです。送信元とあて先の両方で鍵が必要です。暗号化方式には2種類あります。

  • 対称暗号化方式:
    暗号化と復号に同じ鍵を使用する。暗号化の処理速度が速いため、大量のメッセージを暗号化するのに適している暗号化と復号に同じ鍵を使用する。暗号化の処理速度が速いため、大量のメッセージを暗号化するのに適している
  • 非対称暗号化方式:
    暗号化と復号に異なる鍵を使用する。一方の鍵で暗号化したメッセージは、もう一方の鍵でしか復号することができない。対称暗号化方式で使用する鍵の交換や、通信相手の認証に使用される。公開鍵暗号方式とも呼ばれる暗号化と復号に異なる鍵を使用する。一方の鍵で暗号化したメッセージは、もう一方の鍵でしか復号することができない。対称暗号化方式で使用する鍵の交換や、通信相手の認証に使用される。公開鍵暗号方式とも呼ばれる

 対称暗号化方式では、暗号化と復号に同じ鍵を使用するので、送信元とあて先で同じ鍵を保持する必要があります。Diffie-Hellman(DH)法を使用すると、安全に鍵交換を行うことができます。

 対称暗号化方式で使用されるアルゴリズムには、DES、3DES、AESなどがあります。非対称暗号化方式で使用されるアルゴリズムには、RSAがあります。AESはDESや3DESの後継の暗号化方式として広く使用されており、米国政府の暗号化標準としても使用されている強力な暗号化アルゴリズムです。代表的な暗号化アルゴリズムと鍵の長さなどの特徴をまとめたのが表1です。

暗号化方式 暗号化アルゴリズム 鍵の長さなどの特徴
対称暗号化方式 DES IBMにより開発された。鍵長は56ビット。
3DES DESを改良したもの。DESでの処理を3回繰り返し、DESよりも高い暗号強度を実現する。
AES DESよりも強力なセキュリティを実現する。鍵長は128、192、256ビット。
非対称暗号化方式 RSA 512、768、1024ビットなどの鍵長を使用する。IPSecのメッセージの暗号化ではRSAは使用されず、対称暗号化方式で使用する鍵の交換や、通信相手の認証に使用される。
表1 暗号化方式と特徴

完全性

 データの完全性を保証するには、ハッシングというアルゴリズムを使用します。ハッシングでは送信側と受信側で同じハッシュ関数を使用し、完全性をチェックします。ハッシュ関数には、MD5やSHA-1があります。ハッシュ関数とは、一方向関数であり、算出された値から元の値を導き出すことはできません。算出された値をハッシュ値と呼びます。

送信元認証

 通信相手を認証する方式には2つあります。事前共有鍵(PSK)とRSA署名です。事前共有鍵(PSK)は、各ピアに手動で設定するパスワードのようなものです。RSA署名は、デジタル証明書を交換してピアを認証する方式です。

アンチリプレイ

 ESPやAHのヘッダに含まれるシーケンス番号をチェックすることにより、同じデータが送信されてきたときに、それを破棄します。

確認問題3

問題

 AHがサポートしている機能として正しいものを3つ選択してください。

a.アンチリプレイ

b.送信元認証

c.完全性

d.機密性

正解

 a、b、c

解説

 正解は選択肢a、b、cです。AHは機密性以外の機能をサポートしています。機密性(暗号化)をサポートしているのはESPです。

筆者プロフィール

内藤佳弥子(ないとうかやこ)

グローバル ナレッジ ネットワーク ソリューション本部に在籍。IT業界でヘルプデスク、ユーザーサポートを経てトレーナーになる。現在は、Cisco認定トレーナーとして、CCNA、CCNPのコースなどのCisco認定トレーニングコース、ネットワーク系オリジナルコースを担当している。グローバル ナレッジ ネットワーク講師寄稿記事一覧はこちら



前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。