ソフトウェア開発技術者
平成14年午後I問3
二つのサイトA、B間で、セキュリティが確保された通信を行う方式の一つに
VPN(VirtualPrivateNetwork)がある。図1に、ホストA、B間で、VPN装置A、B
を経由し、IPを用いて通信を行う場合のシステム構成を示す。VPN装置A、B間の
通信に必要な情報、例えば暗号化の鍵やルーティング情報などは、事前に適切に設
定されているものとする。
図1中のVPN装置は、自サイト内のホストからVPN通信を行うサイトあてのIP
パケットを受け取ると、次の変換を行い、相手サイトのVPN装置へ送信する。
(1)受け取ったIPパケット全体を秘密鍵方式で暗号化する。
(2)暗号化したパケットに、自分から相手サイトのVPN装置あてとなるIPヘッダを
付ける。
(3)IPヘッダと暗号化したパケット全体からハッシュ関数の値を計算し、認証デー
タとしてパケットに設定する。
変換後の送信パケットの構成を図2に示す。
|
|
データ |
IPパケット |
VPN装置が相手サイトのVPN装置からパケットを受け取ると、次の処理を行う。
(4)VPN通信を行っているサイトのVPN装置からのパケットであることを確認後、
認証データが正しいかどうかチェックする。
(5)認証データが正しい場合、受信したパケットの中から暗号化されているバケッ
ト部を取り出して復号し、復号したIPパケットの送信先アドレスへ転送する。
設問1
VPN装置のパケット変換について、次の問いに答えよ。
(1)パケットを暗号化することは、セキュリティ上、何を防止するためか。5字
以内で答えよ。
(2)パケットにハッシュ関数値を付加することは、セキュリティ上、何を防止
するためか。5字以内で答えよ。
設問2
ホストAからホストBにVPNを使ってパケットを送信するときに、表に示す
それぞれの区間で、IPヘッダ内に現れる送信元アドレスと送信先アドレスは何
になるか。次の表中の【 ア 】~【 エ 】に入れる適切な字句を答えよ。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
設問3
次の記述の中で、問題文中に示されているVPNの実現方式の特徴を述べてい
るものをすべて挙げ、記号で答えよ。
ア VPNを使用するアプリケーションは、専用のライブラリをリンクする必要
がある。
イ VPNを使用するためには、サイト間に必ず専用線を引かなければならない。
ウ 公衆通信網の電話網やフレームリレー網を使っても、セキュリティが確保
された通信を実現できる。
エ サイト間の通信方式を、VPNを使用しない方式からVPNを使用する方式に
変更しても、アプリケーションの変更は必要としない。
オ データリンク層(レイヤ2)でトンネリングを行っているVPNの実現方式
である。
カ 特定のアプリケーションだけが、VPNを使用できる。
設問4
サイトA、B内のホストアドレスをインターネット側に公開しないために、ル
ータA、BにIPパケット内の特定の内側アドレスをインターネット側アドレス
に変換するNAT機能をもたせることにし、VPN装置A、Bだけインターネット
側にアドレスを公開することにした。しかし、NAT機能を導入したことによっ
て、サイトA、B間のVPN通信ができなくなってしまった。その理由について
述べた次の記述中の【 オ 】~【 キ 】に入れる適切な字句を10字以内
で答えよ。ここで、VPN装置A、Bのインターネット側IPアドレスをそれぞれ
VPN装置AX、VPN装置BXとする。
NAT機能を導入した場合、サイトAからサイトBへ送るパケットのIPヘッ
ダ内のアドレスは、VPN装置Aから送り出す時点では、送信先が【 オ 】、
送信元がVPN装置Aである。また、VPN装置Bが受け取った時点のIPヘッダ
内のアドレスは、送信先はVPN装置B、送信元は【 カ 】である。このよ
うに、IPヘッダの内容が変更されていて、VPN装置Bでの【 キ 】に失敗
してしまうので、VPN通信ができなくなる。
sponsored link
このページ
のTOPへ
