メインメニュー第19回メニュー > 問題と解説
  

第19回J検2級 コンピュータシステム 問題4

問題4 次のインターネットVPNとその利用に関する記述を読んで設問に答えよ。
 
 インターネットVPN(Virtual Private Network)とは,インターネットを,専用回線のようなプライベートなネットワークとして使用するための技術の総称をいう。
 インターネットのようにオープンなネットワークは盗聴や改ざんなどの危険があり,企業の拠点間の通信には使えなかった。しかし,インターネットVPNによりこれらのセキュリティ面の問題を解決できるようになり,採用する企業も多くなってきている。
 インターネットVPNを実現するプロトコルとしては,ネットワーク層のレベルで行うIPsecやデータリンク層のレベルで行うPPTPやL2TPなどがある。いずれのプロトコルも暗号化とカプセル化(トンネリング)の機能を持ち,送信するパケット全体を暗号化し,それに新しいヘッダを付加(カプセル化)してインターネットに流す。通常,これらのプロトコルはVPN装置と呼ぶ専用装置で実行することが多く,VPN装置間で仮想の通信路(これをVPNトンネルという)が作られ,このトンネルを使って安全な通信が可能になる(図1参照)。また,この暗号化には,公開かぎ暗号方式に比べ処理時間の短い[ (1) ]などの共通かぎ暗号方式が多く使われる。
 

 
 企業の拠点間を,ネットワーク層のレベルでインターネットVPNを実現するプロトコルを使って通信する例を考えてみよう。
 

 
 図2において,拠点1にあるホストXから拠点2にあるホストYへデータを送る場合,VPN装置1はホストXから送られてきたホストY宛のIPパケットを暗号化し,さらに,新しいIPヘッダを付加しインターネットに流す。新しいIPヘッダのアドレスはVPNトンネルの両端にあるVPN装置のアドレスになる。VPN装置2は受け取ったIPパケットのIPヘッダを取り除き,暗号化された部分を復号し元のIPパケットに戻して内部ネットワークへ流す。VPN装置によりカプセル化されるため,ホストX,ホストYのIPアドレスは[ (2) ]アドレスでもよい。この例において,通信途中のIPパケットが改ざんされた場合,これを検出できないという問題があるが,インターネットVPNプロトコルの本命といわれるIPsecでは,改ざんを検出する機能を持っている。
 企業がインターネットVPNを使う最大のメリットは,通信コストの削減である。インターネットを使えば専用線と違い通信料金が拠点間の距離に依存せず,基本的にプロバイダとの接続料金とプロバイダまでのアクセス回線料金の合計で済むことが理由である。さらに,a近年におけるインターネットアクセス回線のブロードバンド・低価格化により,ますますコスト削減の効果が大きくなってきている。
 インターネットVPNの接続形態としては,企業の拠点同士をつなぐLAN間接続のほかに,社員が自宅,出張先やホットスポットなどから拠点とをつなぐリモートアクセスがある。このリモートアクセスを使えば,従来ダイヤルアップ接続で必要あった[ (3) ]サーバが不要になり,その管理コストも省けることになる。しかし,リモートアクセスではなりすましによる不正アクセスの問題があるため,LAN間接続よりも強力な認証が必要になることに注意しなければならない。
 また,ファイアウォールを使用し,VPNトンネルがファイアウォール上を通過しているシステムでは,ファイアウォールでパケットの中身がチェックできなくなることや,bルータ上でNAT機能によりアドレス変換をしているシステムでは,インターネットVPN通信ができなくなる場合があるなど,インターネットVPNを運用する上でも十分に注意をしておく必要がある。
 
 
<設問1> 記述中の(1)〜(3)の[  ]に入れるべき適切な字句を解答群から選べ。
 
(1)の解答群
ア.DES イ.RSA
ウ.DH エ.だ円曲線暗号
 
(2)の解答群
ア.マルチキャスト イ.ブロードキャスト
ウ.グローバル エ.プライベート
 
(3)の解答群
ア.Web イ.アクセス
ウ.メール エ.ネーム
 
 
<設問2> 図2中の(1),(2)に入るヘッダのアドレスとして適切なものを次の解答群から選べ。図中のx,y,v1,v2はそれぞれ各装置のIPアドレスである。
 
(4)の解答群

 
 
<設問3> 下線部aについて,現在最も多く利用されているアクセス回線にADSLがある。このADSLに代表されるDSL技術について最も適切な記述を次の解答群から選べ。
 
(5)の解答群
ア. 既設の電話線を利用して高速通信を行う技術。電話と同じ周波数帯域を使うため,電話とDSL通信を同時には使用できない。
イ. 既設の電話線を利用して高速通信を行う技術。電話よりも低い周波数帯域を使うため,電話とDSL通信を同時に使用できる。
ウ. 既設の電話線を利用して高速通信を行う技術。電話よりも高い周波数帯域を使うため,電話とDSL通信を同時に使用できる。
エ. 専用のDSL綱を利用して高速通信を行う技術。DSL網は光ファイバで構成されているため,雑音に強い通信ができる。
 
<設問4> 下線部bについて,どのようなNAT機能を使用した場合にこの問題が発生するか。次の解答群から選べ。
 
(6)の解答群
ア. MACアドレスのみの変換を行うNATを使用した場合
イ. IPアドレスのみの変換を行うNATを使用した場合
ウ. IPアドレスとMACアドレスの両方の変換を行うNATを使用した場合
エ. IPアドレスとTCP/UDPのポート番号の両方の変換を行うNATを使用した場合
 
解説
 
(1)  DES(Data Encryption Standard)は,1977年にアメリカ商務省標準局(NBS, National Bureau of Standard, 現在のNIST, National Institute of Standrds and Technology)が定めた共通かぎ暗号方式の一種です。他の共通かぎ暗号方式として,DESの後継方式の3DES,RC4,RC2があります。RSA(Rivest Shamir Adleman),DHDH(Diffie-Hellman),だ楕円曲線暗号は,いずれも公開かぎ暗号方式です。
(2)  グローバルアドレスはWANで割り当てたアドレスであり,現在はインターネットで割り当てたIPアドレスの意味に用いられます。これに対しLANで割り当てたアドレスを,プライベートアドレスといいます。
(3)  ダイヤルアップ接続では通信開始時に,ユーザIDとパスワードでログイン操作が必要です。これを行う,利用者から見て受付用のサーバがアクセスサーバです。
(4)  IPアドレスは,より狭い範囲の接続地点との通信を成立させるように変換されます。
(5)  通話で確保されている周波数帯域の上限は4kHzであり,それより上の使われていない周波数帯域を使ってデータ通信を行います。
(6)  エは,拡張NAT(IPマスカレードともいいます)の説明です。
 
 
メニューに戻る
 
Certain right called neighbouring on copyright kimura-kouichi