情報セキュリティ試験直前対策メモ２００６＝ＶＰＮ編＝

２００６年４月に情報処理技術者試験テクニカルエンジニア（情報セキュリティ）試験が実施されました。この試験の受験に向けて作成した直前対策メモを公開します。第２回目は、『ＶＰＮ』編です。

このメモは、キーワードを見て、自分なりに内容が理解できていることを確認するのが目的のため、詳しい解説は記載しておりません。今後、解説を付け加えていく予定です。

試験の受験テキスト、あるいは、専門書の選択時に、これらのキーワードの解説の有無や、解説の詳細さなどが、基準になるのではないかと思います。

IPSec（IP Security Protocol）

１：パケットの改ざんの検出

・認証ヘッダ（AH：Authentication Header）

　→ペイロード（データ部）およびIPヘッダのチェックサムが含まれており、これによりパケット改ざんを検出する

２：暗号化

・ESPヘッダ

　→暗号化されたペイロードおよびパケット認証のためのデータが含まれている

　→暗号化アルゴリズムには、最低限かぎ長56ビットのDES

３：トランスポートモード

・データ部分のみ暗号化

・コンピュータ同士の通信が暗号化

４：トンネルモード

・ゲートウェイ同士の通信が暗号化

・IPパケット全体を暗号化

５：かぎの交換

・かぎ交換プロトコル：ISAKMP/Oakley方式の IKE（Internet Key Exchange）

６：IPSecはVPN専用装置だけでなく、ファイアーウォールやルータにも実装されている

　→暗号化処理の負荷が高いため、ハードウェアで実装されているものもある

MPLS（Multi Protocol Label Switching）、IP-VPN

・通信事業者が運用する閉域ネットワークを利用するIP-VPNで利用

・エッジルータとラベルスイッチルータを使用

　→エッジルータでIPパケットのヘッダに20ビットの”ラベル”を付加⇒”ラベル”をもとにラベルスイッチルータは宛先エッジルータへ転送⇒宛先エッジルータで”ラベル”を取り除いて元のIPパケットに戻す

・”ラベル”には宛先とVPN識別子

・高速なパケット転送が可能

PPTP/L2TP

１：PPTP（Point to Point Tunneling Protocol）

・PPPの拡張

　→IPやIPX、NetBIOS/NetBUIEのデータグラムやフレームをトンネルにより送信する

　→PAP（Password Authentication Protocol）や CHAP（Challenge Handshake Authentication Protocol）による認証も可能

・リモート拠点と本社拠点間などで利用

２：L2TP（Layer2 Tunneling Protocol）

・IP接続を必須とせず、パケット方式のポイントツーポイント接続であれば利用可能

→ATM、フレームリレー、X.25など

VPN通信のアクセスコントロール

１：直列型構成

・VPN装置の内側インターフェースをファイアウォールのDMZに接続する

　→VPNを経由する通信のアクセスコントロールをファイアウォールで行う

２：並列型構成

・VPNを経由する通信のコントロールをVPN装置で行う

NATの問題点と対応方法

・IPSecのパケットは、TCPでもUDPでもなくポート番号を持たないため、NATの処理に対応できない

・IPSec NAT Traversal機能

　→IPSecパケットをUDPパケットにカプセル化する

VPN split tunneling

・端末から宛先のネットワークによっては、VPNトンネルを経由せず、端末から直接通信する

　→本社ネットワークへはトンネリング、インターネットへは直接

　→インターネットからリモート端末を踏み台にして不正アクセスの危険

SSL-VPN

・SSLプロトコルを使用する

　→SSL対応のWebブラウザを使用して利用できる

・HTTP、SMTP、POP などの一部のプロトコルに限られる

補足

・アプリケーション層（第７層）

　→PGP（mail）、S/MINE（mail）、SSH（ポートフォワーディングを併用）、SHTTP（WWW）

・トランスポート層（第４層）／セッション層（第５層）

　→SSL/TLS、SOCKS v5

・ネットワーク層（第３層）

　→IPSec

・データリンク層（第２層）

　→L2TP + IPSec、PPTP + IPSec