問1 問2 問3 問4 問5 問6 解答例(若林研二氏)
問 3
VPN に関する次の記述を読んで,設問 1〜4 に答えよ。
二つのサイト A,B 間で,セキュリティが確保された通信を行う方式の一つに
VPN (Virtual Private Network)がある。図 1 に,ホスト A,B 間で,VPN
装置 A,B
を経由し,IP を用いて通信を行う場合のシステム構成を示す。VPN 装置
A,B 間の
通信に必要な情報,例えば暗号化の鍵やルーティング情報などは,事前に適切に設
定されているものとする。
図 1 中の VPN 装置は,自サイト内のホストから VPN 通信を行うサイトあての
IP
パケットを受け取ると,次の変換を行い,相手サイトの VPN 装置へ送信する。
(1)受け取った IP パケット全体を秘密鍵方式で暗号化する。
(2)暗号化したパケットに,自分から相手サイトの VPN 装置あてとなる
IP ヘッダを
付ける。
(3) IP ヘッダと暗号化したパケット全体からハッシュ関数の値を計算し,認証デー
タとしてパケットに設定する。
変換後の送信パケットの構成を図 2 に示す。
|
|
データ |
IPパケット |
VPN 装置が相手サイトの VPN 装置からパケットを受け取ると,次の処理を行う。
(4) VPN 通信を行っているサイトの VPN 装置からのパケットであることを確認後,
認証データが正しいかどうかチェックする。
(5)認証データが正しい場合,受信したパケットの中から暗号化されているバケッ
ト部を取り出して復号し,復号した IP パケットの送信先アドレスへ転送する。
設問 1
VPN 装置のパケット変換について,次の問いに答えよ。
(1)パケットを暗号化することは,セキュリティ上,何を防止するためか。5
字
以内で答えよ。
(2)パケットにハッシュ関数値を付加することは,セキュリティ上,何を防止
するためか。5 字以内で答えよ。
設問 2
ホスト A からホスト B に VPN を使ってパケットを送信するときに,表に示す
それぞれの区間で,IP ヘッダ内に現れる送信元アドレスと送信先アドレスは何
になるか。次の表中の【 ア 】〜【 エ 】に入れる適切な字句を答えよ。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
設問 3
次の記述の中で,問題文中に示されている VPN の実現方式の特徴を述べてい
るものをすべて挙げ,記号で答えよ。
ア VPN を使用するアプリケーションは,専用のライブラリをリンクする必要
がある。
イ VPN を使用するためには,サイト間に必ず専用線を引かなければならない。
ウ 公衆通信網の電話網やフレームリレー網を使っても,セキュリティが確保
された通信を実現できる。
エ サイト間の通信方式を,VPN を使用しない方式から VPN を使用する方式に
変更しても,アプリケーションの変更は必要としない。
オ データリンク層(レイヤ 2 )でトンネリングを行っている VPN の実現方式
である。
カ 特定のアプリケーションだけが, VPN を使用できる。
設問 4
サイトA,B 内のホストアドレスをインターネット側に公開しないために,ル
ータ A,B に IP パケット内の特定の内側アドレスをインターネット側アドレス
に変換する NAT 機能をもたせることにし,VPN 装置 A,B だけインターネット
側にアドレスを公開することにした。しかし,NAT 機能を導入したことによっ
て,サイト A,B 間の VPN 通信ができなくなってしまった。その理由について
述べた次の記述中の【 オ 】〜【 キ 】に入れる適切な字句を
10 字以内
で答えよ。ここで,VPN 装置 A,B のインターネット側 IP アドレスをそれぞれ
VPN 装置 AX,VPN 装置 BX とする。
NAT 機能を導入した場合,サイト A からサイト B へ送るパケットの
IP ヘッ
ダ内のアドレスは,VPN 装置 A から送り出す時点では,送信先が【 オ 】,
送信元が VPN 装置 A である。また,VPN 装置 B が受け取った時点の
IP ヘッダ
内のアドレスは,送信先は VPN 装置 B,送信元は【 カ 】である。このよ
うに,IP ヘッダの内容が変更されていて,VPN 装置 B での【 キ 】に失敗
してしまうので,VPN 通信ができなくなる。
------------------------------------------------------------------------