ネットワークに関する問題を出題します。
拠点間で安全な通信を行うためにIPsecを利用したインターネットVPNの設定を行うことになりました。
対向の拠点の担当者に相手側の設定に関して情報を問い合わせたところ、以下の情報が
得られました。
・対向の拠点のグローバルIPアドレス
・フェーズ1に関する情報
| 認証方法 | 事前共有キーとキーとなる文字列 |
|---|---|
| ハッシュアルゴリズム | md5 |
| DHのグループ | 2 |
| ライフタイム | 7200 |
| 暗号化方式 | 3des |
・フェーズ2に関する情報
| モード | トンネル |
|---|---|
| メッセージ認証のアルゴリズム | md5 |
| 暗号化方式 | 3des |
| ライフタイム | 3600 |
| セキュリティプロトコル | ESP |
上記の情報以外にも確認しておく必要があるものについて選択して下さい。
1.対向の拠点内のLAN側ネットワークアドレス
2.対向の拠点にあるルータのデバイス名
3.対向の拠点のPPPoEのIDとパスワード
4.特に必要な情報はない
正解 1
IPsecの設定を行う際には対向のルータと合わせておかなければならない項目がいくつかあります。
IKEのフェーズ1のパラメータである「暗号化方式」「ハッシュアルゴリズム」「DHグループ」
「トンネルのライフタイム」「認証の方式」の値や
フェーズ2のパラメータである「モード」「メッセージ認証のアルゴリズム」「ライフタイム」「セキュリティプロトコル」「セキュリティプロトコル」の値です。
これらの値に関しては対向の拠点から情報を得られているので問題ありません。
しかし対向の拠点内のネットワークアドレスに関する情報がありません。
インターネット上のWebページを閲覧する際はパケットを暗号化する必要がありませんが、拠点間の通信は暗号化する必要があります。そのためどの通信をIPsecで暗号化するのかを指定する必要があります。
指定の方法はメーカにより変わりますが、参考までにCisco製のルータでは暗号化の対象となるパケットをACLで指定します。IPsecで通信を行う拠点同士のLAN側ネットワークを指定することでIPsecによる通信が可能となります。
よって今回は対向の拠点のLAN側のネットワークアドレスの情報も担当者から聞いておく必要があります。
