HOME»応用情報技術者試験掲示板»令和4年春期午後問5
投稿する
令和4年春期午後問5 [3650]
ぴよさん(No.1)
https://www.ap-siken.com/kakomon/04_haru/pm05.html
設問1の(1)の解説について質問です。
解説には「IPはエンドツーエンドの通信を実現するプロトコルなので宛先IPアドレスには最終的にパケットを届けたい相手を指定します。」という記載があり、これについては理解できるのですが、営業所のNPCからプロキシサーバにパケットが届けられる具体的な流れの表においてIPsecルータ2⇒IPsecルータ1の部分だけ宛先/送信元IPアドレスが変わってしまっています。
なぜこのようなことになるのか理解ができません。
今回の設問は(あ)の部分を流れるパケットについてのものだったのでよかったですが、IPsecルータ2⇒IPsecルータ1の部分について問われたら正解できる気がしません。
よろしければご説明いただけると嬉しいです。
よろしくお願いいたします。
設問1の(1)の解説について質問です。
解説には「IPはエンドツーエンドの通信を実現するプロトコルなので宛先IPアドレスには最終的にパケットを届けたい相手を指定します。」という記載があり、これについては理解できるのですが、営業所のNPCからプロキシサーバにパケットが届けられる具体的な流れの表においてIPsecルータ2⇒IPsecルータ1の部分だけ宛先/送信元IPアドレスが変わってしまっています。
なぜこのようなことになるのか理解ができません。
今回の設問は(あ)の部分を流れるパケットについてのものだったのでよかったですが、IPsecルータ2⇒IPsecルータ1の部分について問われたら正解できる気がしません。
よろしければご説明いただけると嬉しいです。
よろしくお願いいたします。
2022.09.11 18:22
yutaさん(No.2)
解説に"パケットを暗号化し、新たなIPヘッダを付けて~"とあるので、
営業所のNPCからIPsecルータ2に送られた時IPsecルータ2がそのパケットを暗号化し、
"新たな"IPヘッダ(送信元IPアドレス、宛先IPアドレス等)をつけてIPsecルータ1に送っているからではないでしょうか。
その後IPsecルータ1で暗号化されていた部分を復号しているので、元々の営業所のNPCで設定したIPヘッダ(送信元IPアドレス、宛先IPアドレス等)が再び現れているのかなと思いました。
営業所のNPCからIPsecルータ2に送られた時IPsecルータ2がそのパケットを暗号化し、
"新たな"IPヘッダ(送信元IPアドレス、宛先IPアドレス等)をつけてIPsecルータ1に送っているからではないでしょうか。
その後IPsecルータ1で暗号化されていた部分を復号しているので、元々の営業所のNPCで設定したIPヘッダ(送信元IPアドレス、宛先IPアドレス等)が再び現れているのかなと思いました。
2022.09.11 19:09
ぴよさん(No.3)
ありがとうございます。
ご回答いただいた通り、暗号化により新たなIPヘッダが付与されたため宛先/送信元IPアドレスが変わったということは理解いたしました。
問題文にIPsecルータ1、2の役割については何も記載がありませんが、この前提条件だけで「IPsecルータ2⇒IPsecルータ1」間のパケットが暗号化されていると言い切ることはできますでしょうか?
IPsecは暗号化のプロトコルなので問題文中に役割の記載がなかったとしてもIPsecルータ間で暗号化・復号が行われていると推察することができる。といった感じでしょうか。
要するに「IPsecルータ2⇒IPsecルータ1」間のパケットが暗号化されているというのは解説ありきのものなのではないかということです。
また、追加の質問で恐縮ですが、本問題では営業所のNPCから出発したパケットが暗号化されているのは上記の通り「IPsecルータ2⇒IPsecルータ1」間のみです。
つまりIPsecルータ1以降の経路においては平文のままパケットが進んでいくこととなり、盗聴し放題な気がしますが、「IPsecルータ2⇒IPsecルータ1」間のパケットだけを暗号化するメリットは何かあるのでしょうか?
IPsecに詳しくないので的外れな質問かもしれませんが、どなたかご教示いただけると助かります。
ご回答いただいた通り、暗号化により新たなIPヘッダが付与されたため宛先/送信元IPアドレスが変わったということは理解いたしました。
問題文にIPsecルータ1、2の役割については何も記載がありませんが、この前提条件だけで「IPsecルータ2⇒IPsecルータ1」間のパケットが暗号化されていると言い切ることはできますでしょうか?
IPsecは暗号化のプロトコルなので問題文中に役割の記載がなかったとしてもIPsecルータ間で暗号化・復号が行われていると推察することができる。といった感じでしょうか。
要するに「IPsecルータ2⇒IPsecルータ1」間のパケットが暗号化されているというのは解説ありきのものなのではないかということです。
また、追加の質問で恐縮ですが、本問題では営業所のNPCから出発したパケットが暗号化されているのは上記の通り「IPsecルータ2⇒IPsecルータ1」間のみです。
つまりIPsecルータ1以降の経路においては平文のままパケットが進んでいくこととなり、盗聴し放題な気がしますが、「IPsecルータ2⇒IPsecルータ1」間のパケットだけを暗号化するメリットは何かあるのでしょうか?
IPsecに詳しくないので的外れな質問かもしれませんが、どなたかご教示いただけると助かります。
2022.09.12 00:53
yutaさん(No.4)
前半のご質問については問題文の
"IPsecルータを利用してインターネットVPNで接続している"
との記述から推察できるのではないでしょうか。
VPNとは暗号化の技術によって経路にインターネットを使いながらも専用線のように使う技術です。なので図1の"インターネット"の部分に関しては何かしらの暗号化がされていないとVPNで接続していると言えなくなってしまうのではないでしょうか。
そして何のプロトコルを使ってVPN接続しているかという所で、IPsecルータとの記述があるのでこれを使ってIPパケットを暗号化し新たなIPヘッダを付ける手法でIPsecルータ間の通信、つまりインターネットの部分を暗号化しているのだなとわかります。
後半のご質問についてはIPsecルータ以降は内部のネットワークなので問題ないのではないでしょうか。暗号化したIPパケットを復号した上で本来の宛先に渡しているので外部からのアクセスも考えにくい気がします。IPsecルータ~IPsecルータ間はインターネット上なので盗聴されないために暗号化します。
"IPsecルータを利用してインターネットVPNで接続している"
との記述から推察できるのではないでしょうか。
VPNとは暗号化の技術によって経路にインターネットを使いながらも専用線のように使う技術です。なので図1の"インターネット"の部分に関しては何かしらの暗号化がされていないとVPNで接続していると言えなくなってしまうのではないでしょうか。
そして何のプロトコルを使ってVPN接続しているかという所で、IPsecルータとの記述があるのでこれを使ってIPパケットを暗号化し新たなIPヘッダを付ける手法でIPsecルータ間の通信、つまりインターネットの部分を暗号化しているのだなとわかります。
後半のご質問についてはIPsecルータ以降は内部のネットワークなので問題ないのではないでしょうか。暗号化したIPパケットを復号した上で本来の宛先に渡しているので外部からのアクセスも考えにくい気がします。IPsecルータ~IPsecルータ間はインターネット上なので盗聴されないために暗号化します。
2022.09.12 08:43