Why not register and get more from Qiita? 【ESP】IKEのフェーズ2で確立されたIPsec SA上でESPプロトコルを使ってIPsec通信が行われる。, 答えはCです。L2TPはレイヤ2のプロトコル、IPsecはレイヤ3のプロトコルです。L2TPはL2とありますし、IPsecはIPとあるのでレイヤ3(ネットワーク層)であるというのはわかりやすいですね。TLSはHTTPSで使用していますが、HTTPSはTCPプロトコルを用い、ポート番号を443用いることからわかるように、レイヤ4(トランスポート層)です。, 答えはウです。 What is going on with this article? 月餅VPNでは3つの接続方式を提供しています。 それぞれの方式を用途や使用する端末(パソコンやスマホ,ルータ)接続環境に照らし合わせながら選ぶことで、より高いパフォーマンスを発揮することが可能です。 L2TPは、Layer 2 Tunneling Protocolの略で、文字通りデータリンク層(第2層)においてある機器から任意のアドレスの別の機器まで仮想トンネルを作成し(トンネリング)、データを送受信するためのプロトコルです。仮想トンネルを作成し、PPP接続を確立することでVPN接続できます。もともとは、マイクロソフトなどが策定した「PPTP」とシスコシステムズなどが策定した「L2F」という2つのプロトコルが統合し、IETFによって標準化されました。, L2TPとIPsecとの大きな違いに、インターネット通信における安全性が挙げられます。L2TPは、データ暗号化の機能を持っていないため、安全面において問題があります。一方、IPsecはデータ暗号化や接続相手を認証する仕組みを提供しており、とても安全性の高いVPN接続方式といえるでしょう。また、伝送可能なプロトコルにも違いがあります。IPsecは、その名の通りIPのプロトコル上で伝送可能ですが、L2TPは、IPをはじめUDP/IPやATM、FRのプロトコル上で伝送可能です。, プロトコルとは、コンピュータ同士が通信する際に、滞りなくデータなどを相互に伝送できるよう、データ形式などを取り決めた通信の約束事を指します。人間同士の意思疎通にたとえてみると、「どの言語(日本語や英語など)」で「どのような媒体(電話や手紙など)」を通して意思疎通するのかあらかじめ決めておくようなものです。, VPNとは、Virtual Private Networkの略で、インターネットなどに接続された機器の間に仮想的な伝送路を構築し、プライベートなネットワーク、またはそれらを構築できる通信サービスを指します。VPNはネットワーク形態によって「LAN間接続VPN」と「リモートアクセスVPN」に分類されます。LAN間接続VPNは、会社の各拠点LAN同士を接続する形態で、リモートアクセスVPNは、PCやスマートフォンなどからインターネット経由で会社のLANに接続する形態を指します。, VPNは、高い安全性を保証します。仮にVPNを利用せずにインターネット上でデータをやり取りする場合、世界中のコンピュータをつなげたインターネット上では、盗聴や改ざんなどの被害に遭う恐れがあります。そこで活躍するのがVPNです。VPNは、主に「認証」「暗号化」「トンネリング」の3つの技術から成り立っており、データをやり取りする通信経路の途中に第三者が侵入できない安全なネットワークが構築されているからです。, L2TPは、安全面の不安を解消するために安全性の高いIPsecなどと組み合わせて利用される場合があります。L2TPとIPsecを組み合わせたVPN接続方式である「L2TP/IPsec」についてご紹介します。L2TP/IPsecは、スマートフォンやPCからインターネット経由で企業などのプライベートネットワークに通信できる仕組みを利用しているため安全性はPPTPよりも高いでしょう。実際のVPN構築には、会社側にL2TP/IPsecに対応したルータが必要です。, L2TPの基本を理解するために、基になるプロトコルやVPN、そしてL2TPの基礎知識をご紹介してきました。ここからは、より具体的で実践的にL2TPを見ていくために、まずはL2TPの持つ2つのメリットについてご紹介していきます。, 1つ目のメリットに「互換性の高さ」が挙げられます。L2TPは、さまざまなプロトコル上で伝送可能でIPをはじめUDP/IPやATM、FRのプロトコル上で伝送できます。また、伝送可能なプロトコルもIPsecやGREに比べてバリエーションがあり、L2(PPP)やL3(IP、IPX、etc)のプロトコルを伝送できます。, 2つ目のメリットは「セキュリティの高さ」です。「L2TPの通信方法」での紹介した通り、IPsecの恩恵を受けたものとなっています。IPsecは、インターネット上での安全な通信を実現するために考えられたVPN接続方式で、データの暗号化や接続相手の認証、トンネリングなどの技術を駆使して、LAN間接続VPNでは最高クラスの安全性を持つVPN接続方式です。この恩恵を受けているL2TP/IPsecは、とても安全性の高いVPNプロトコルといえます。, L2TPやL2TP/IPsecについて紹介してきましたが、いかがでしたか。「L2TPが最も優秀なVPNプロトコルなのでは」と思った方もいるでしょう。複数のVPNプロトコルをそれぞれ比較して、どれが自分にとって最適なものなのか見極めるために、ここではしっかりとL2TPのデメリットについてみていきます。, L2TPのデメリットの1つに、あまり多様性がないことが挙げられます。PPTPと同様に、ポートが少ないことが原因です。仮にNATファイアウォールを有効にしていても面倒な状況になったり、有効でない場合は使用できるポート数の少なさから簡単にブロックされたりしてしまいます。, L2TPは、単体での安全面の不安からIPsecと併用して利用されることが多く、セキュリティ性の高い接続を保持できています。しかし、併用が諸刃の剣となり、デメリットともなりえます。L2TPはIPsecと併用している影響でデータの処理に2回分の工程が必要となり、通信速度の低下につながっています。, L2TPについて、基本的なところからメリット・デメリットまで、さまざまなことを紹介してきました。しかし、当たり前ですが、VPNプロトコルはL2TPだけではありません。ここからは、自分の目的に合ったVPNプロトコルを見つけ出せるよう、4つのVPNプロトコルについてメリット・デメリットを紹介していきます。この機会に、自分が利用しているVPNプロトコルを見直してみてください。, SSTPは、マイクロソフトがWindows向けに開発したVPNプロトコルです。メリットは、「高い安全性」と「ファイアウォールの回避」です。デメリットは、「互換性の低さ」と「オープンソースでないこと」です。メリットはいくつかありますが、それよりも大きなデメリットがあり、お勧めされることの少ないVPNプロトコルです。速度面や安全面の点からもL2TPの方が総合的に優れているでしょう。, OpenVPNは現時点でのVPNプロトコルの中で、比較的新しく信頼性の高いものといえます。OpenVPNのメリットは、「高い安全性」「通信速度の速さ」「オープンソースである」「カスタマイズ可能」「ファイアウォール回避」ととても多くあります。デメリットは、「サードパーティアプリが必要な場合がある」ことです。お勧めされることも多いVPNプロトコルです。, シスコシステムズとマイクロソフトによって開発された比較的新しいVPNプロトコルが、このIKEv2です。IKEv2のメリットは、「高い安全性」「SSTPやL2TPに比べて通信速度が速いこと」「通信の自動追従」「BlackBerry(スマートフォンの一種)に対応」が挙げられます。デメリットは、「プラットフォームが限られていること」が挙げられます。IKEv2の大きな特徴に「通信の自動追従」があり、頻繁にWi-Fi環境を移動する方にはお勧めのVPNプロトコルでしょう。, PPTPは、Windowsにより初めて導入されたVPNプロトコルで、VPN確立初期から利用されているものです。PPTPのメリットは、「通信速度の速さ」「多くの端末に対応可能」が挙げられます。デメリットは、「低い安全性」「NSA(米国安全保障局)に解読されている」が挙げられます。速度が速いという特徴がありますが、安全面に大きな問題があり、最近ではあまり使われていないVPNプロトコルです。, L2TPを中心として、さまざまなVPNプロトコルを紹介しました。結論としては、通信速度の速さをあまり気にせず、セキュリティ最優先の一般的な使用にはL2TPをお勧めします。これは、ほぼすべてのデスクトップPCやモバイル端末、タブレットなどでシステムを利用できるという互換性の高さに注目した結果です。VPNプロトコルを導入する際には、ご自分の通信の利用目的を基準に選んでみてください。.
②について,事業者閉域IP網内の利用者トラフィック中継処理において,タグ情報を利用する目的を25字以内で述べよ。, より深く理解するためには、ネットワークスペシャリストの過去問を解くことをお勧めします。以下に過去の出題をまとめました。特に、午後Iの出題は技術を問うものが多いのでお勧めです。, you can read useful information later efficiently. L2TPv3は、L2フレームにL2TPv3ヘッダーを付与します。さらに、UDPヘッダーを付加することで、ルーター間でのL2フレーム転送を可能にします。, L2TPv3に関連する用語です。L2TPv3をより理解したいときに、ご覧ください。. イは間違いです。HMAC-SHA1は暗号化アルゴリズムではりません。IPsecでメッセージ認証(改ざんの検知)で用いられていたハッシュ関数です。SHA1やSHA256というのはハッシュ関数の名称です。ハッシュ関数とは、あるデータが与えられた時に任意の固定長の文字列に変換する関数で、ハッシュ関数で得られた値を比較することで、送られたデータが改ざんされていないかを確認することができます。 Help us understand the problem. By following users and tags, you can catch up information on technical fields that you are interested in as a whole, By "stocking" the articles you like, you can search right away. 外出先や自宅、出張先から社内ネットワークにアクセスするのにvpn接続の導入を考える方も多いでしょう。この記事では、ipsec-vpnとは何かといった概要をはじめ、よく比較されているssl-vpnとの違いについて、仕組みや接続方法、おすすめの活用シーンなどをわかりやすく紹介します。 チェックサムフィールドもIPv4のヘッダに含まれるもので、IPv6にはありません。, 正解はエです。MPLSはラベルと呼ばれる識別子を利用してパケットがどの利用者のものであるかを区別します。 Copyright © 2020 FEnetインフラ All Rights Reserved. PPTP,L2TP/IPsec,OpenVPNその違いとは. イ. IPv6は128ビットです。IPv6は例えば、省略せずに書くと、2001:0db8:1234:5678:90ab:cdef:0000:0000といった形で表記されます。16進数4つで構成されたブロックが8つあります。16進数1文字は何ビットでしょうか?15は二進数で表すと1111になります。すなわち、16進数一文字は4ビットということです。4x4x8=128で128ビットと覚えましょう。
まだIPAの正解が出ていないので、現状での私の回答ですが、「パケットがどの利用者のものであるかを識別するため」(25字)としました。 エは間違いです。AHは認証のみで暗号化アルゴリズムは用いられません。, トンネルモードですので、暗号化範囲はIPヘッダ〜ESPトレイラです。暗号化範囲はESPヘッダの次から、認証範囲は、ESPヘッダからとしっかりと覚えておきましょう。, 正解はイです。IPsecは何もインターネットVPNのためだけの技術ではありません。その役割は、認証と暗号化です。IPv6はIPsecのサポートが必須となっています。IPv4に比べ、セキュリティ機能が強化されているわけです。IPv6において、IPヘッダは40バイトと固定長で、IPsecのヘッダはIPヘッダには入ってきません。IPv6には、拡張ヘッダというものがあり、ここにIPsecに関する情報が入ってきます。, 正解はエです。4で説明した通り、IPv6はIPsecのサポートが必須です。 問1アで説明した通り、答えはMPLSです。
ここでは、VPN接続方式について説明します。VPN接続方式は、目的や用途に応じて以下のように使い分けます。, IPsec(IP Security Architecture)は、インターネットで安全な通信を実現するために考えられたVPN接続方式です。盗聴や改ざんなどの脅威があるインターネットにおいて、データの暗号化や接続相手の認証、トンネリングなどを行う仕組みを提供します。各拠点のLAN同士を接続(LAN間接続)する場合、最も安全性の高いVPN接続方式です。, 実際にVPN(LAN間接続)を構築するには、各拠点にIPsecに対応したルーターが必要です。, では、簡単にIPsecの仕組みを紹介します。IPsecでVPNを実現するには、一般的にIKEやESPといったプロトコルを利用します。ESPは暗号化を行うプロトコルで、IKEは暗号化に必要な「鍵」と呼ばれる情報を管理するプロトコルです。, IKE(Internet Key Exchage)には、IKEv1とIKEv2があります。ここでは、IKEv1について説明します(以降、IKEと呼びます)。, IPsecでは、安全性の高い通信を行うために、鍵と呼ばれる情報(パスワードや暗証番号のようなもの)を使用してデータを暗号化します。IPsecで使用される鍵は、データの暗号化、復号の両方に同じ鍵を使用することから「共通鍵」と呼ばれます。この共通鍵の生成、交換、更新を自動で行い、管理するプロトコルが「IKE」です。, IKEは、2つの段階(フェーズ1、フェーズ2)を経て、暗号化通信に必要な鍵情報の交換を行います。それぞれのフェーズでは、暗号アルゴリズム(3DES/AESなど)や認証アルゴリズム(MD5/SHA-1など)、鍵などの情報を交換して、合意を交わします。合意した情報の集合体をSA(Security Association)と呼びます。, ESP(Encapsulating Security Payload)は、データの暗号化や認証(※)を提供するプロトコルです。データをESPパケットとしてカプセル化することにより、暗号化を実現します。暗号化、および復号には、IKEで交換した共通鍵を使います。※ ここでの認証とは、発信者の認証、およびデータの完全性(改ざんされていないこと)の認証を指します。, L2TP/IPsec は、「L2TP」と「IPsec」の2つのプロトコルを併用したVPN接続方式です。モバイル端末(スマートフォン、PCなど)から、インターネット経由で企業などのプライベートネットワークへ安全に通信(リモートアクセス)できる仕組みを提供します。, なお、リモートアクセスは、PPTPでも実現できます。L2TP/IPsecとの違いの1つは、認証するタイミングです。PPTPでは、暗号化されていない状態で認証を行います。一方、L2TP/IPsecでは、IPsecで暗号化されたトンネルの中で認証を行います。そのため、PPTPよりもL2TP/IPsecの方が、安全性が高いといわれています。, L2TPには、L2TPv2(L2TP version 2)とL2TPv3(L2TP version 3)の異なる2つのプロトコルが存在します。バージョンによって用途が異なりますので、ご注意ください。L2TP/IPsecでは、L2TPv2を使用しています。一般的に、L2TPv2をL2TP、L2TPv3をL2TPv3と表現することが多いため、本稿でもそのように呼ぶことにします。L2TPv3については、こちらをご覧ください。, 実際にVPNを構築するには、会社側にL2TP/IPsecに対応したルーターが必要です。また、外出先には、スマートフォンやPC(YMS-VPN8ソフトウェアライセンス版、または、YMS-VPN8同時接続ライセンス版をインストールしたもの)などが必要です。, では、簡単にL2TP/IPsecの仕組みを紹介します。L2TP/IPsecは、前述したとおり、L2TPとIPsecを併用したものです。L2TPはリモートアクセスを可能にするプロトコルで、IPsecはインターネットで安全な通信を実現するために考えられたプロトコルです。, L2TP(Layer 2 Tunneling Protocol)とは、データリンク層(L2)でのトンネリングを実現するプロトコルです。認証、トンネリングに対応しています。PPPフレームに、L2TPヘッダーとUDPヘッダーを付加することで、IPネットワークで転送できるようにします。, L2TPは暗号化に対応していません。そこで、IPsec(トランスポートモード)と組み合わせることによって、データを暗号化し、機密性や完全性を確保します。IPsecの詳細は、こちらをご参照ください。, PPTP(Point to Point Tunneling Protocol)は、Microsoft社によって提案されたプロトコルで、Point-to-Pointプロトコル(PPP)と呼ばれる2点間を接続する技術を拡張したVPN接続方式です。1つの接続方式で、LAN間接続とリモートアクセスを実現できます。, PPTPは、認証、暗号化、トンネリングに対応していますが、IPsecに比べて安全性は低くなります。一方、LAN間接続とリモートアクセスを併用する場合、1つのVPN接続方式で実現できる手軽さがメリットです。また、Windows PCをPPTPクライアントとして気軽に利用できる点もメリットです。, 実際にVPNを構築するには、各拠点にPPTPに対応したルーターが必要です。また、リモートアクセスする場合は、外出先にPPTPに対応したスマートフォンやPCなどが必要です。, では、簡単にPPTPの仕組みを紹介します。PPTPの実現には、GRE(Generic Routing Encapsulation)とMPPE(Microsoft Point-to-Point Encryption)を利用します。GREは、PPPフレームをカプセル化するプロトコルで、MPPEは暗号化方式です。, IPIP(IP over IP)は、トンネリングに特化した簡易的なVPN接続方式です。IPsecやPPTPのような認証や暗号化には、対応していません。機密性の高い閉域網などを使って、簡単な設定でLAN間接続を実現できます。, では、簡単にIPIPの仕組みを紹介します。IPIPは、IPパケットにさらにIPヘッダーを付加することで、トンネリングを実現します。たとえば、LAN側にIPv4のIPアドレス、WAN側にIPv6のIPアドレスを利用している場合を考えてください。IPv4とIPv6には互換性がありませんが、IPv4パケットにIPv6ヘッダーを付加してカプセル化することで、LAN間で通信が可能になります。, L2TPv3(Layer 2 Tunneling Protocol version 3)は、データリンク層(L2)でルーター間でのトンネリングを実現するVPN接続方式です。各拠点をLAN間接続して、同一セグメントのネットワークを構築できます。, L2TPには、L2TPv2(L2TP version 2)とL2TPv3(L2TP version 3)の異なる2つのプロトコルが存在します。バージョンによって用途が異なりますので、ご注意ください。リモートアクセスを実現するためのプロトコルであるL2TPv2(L2TP version 2)については、こちらをご覧ください。, L2TPv3は、認証、トンネリングに対応していますが、暗号化には対応していません。そのため、L2TPv3だけで使用する場合は、閉域網など安全性が確保された環境で使用するのが一般的です。インターネットで使用する場合は、IPsec(トランスポートモード)を併用して、暗号化することができます。併用した方式を、「L2TPv3/IPsec」といいます。, では、簡単にL2TPv3の仕組みを紹介します。
イ. L2TPの説明です。L2TPはL2Fの前2文字とPPTPの後ろ2文字を合わせた略称なので覚えやすいですね。MPLSはレイヤ3の技術なので、データリンク層ではありません。 http://www.fujitsu.com/jp/products/network/security-bandwidth-control-load-balancer/ipcom/material/data/2/3.html, https://www.infraexpert.com/study/security8.html, WebブラウザからJavaアプレットなどのモジュールが自動でダウンロードし、モジュールがSSLを確立, ポート番号がHTTPSのポート番号(一般的には443)でないアプリケーションを、HTTPSのポート番号に変換。企業イントラネット内で使えるサーバのポート番号をVPN装置に定義する, アプリケーションのデータをHTTPのパケットに入れてカプセル化し、SSL で暗号化。, 仕事でAWSとクライアントが使用しているエントリーVPNとを接続する必要がありました。その際に社内でエントリーVPNなのに専用線と言う人もいて、インターネットVPN以外を総じて専用線と言ってしまっているのではないかと思いました。加えて、プライベートネットワークとして用いられる方法にどういうものがあるのか、ネットワークスペシャリスト試験の勉強をしている中で整理しておきたかったのでまとめてみました。, 一口にVPNと言っても様々な種類があります。プライベートネットワークとして使われる専用線、広域イーサネットも含めた比較を表にしました。, VPNはトンネリングプロトコルの視点からとリモートアクセスVPNの方法の視点からの2つの視点から整理すると分かりやすいと思います。まずは、トンネリングプロトコルから。, 暗号化を行わない他のプロトコルとIPsecを組み合わせて使う場合もあります。この場合、IPsecはトンネリングを行わないトランスポートモードとして用いられることが多くなります。, L2TP over IPsec(eg. ウは正解です。暗号化範囲に関しては、この記事で記述した通りです。 ウ.
ア. IPSecの説明です。暗号化はESP、認証はESPおよびAHが担います。 L2TP/IPsec は、「L2TP」と「IPsec」の2つのプロトコルを併用したVPN接続方式です。モバイル端末(スマートフォン、PCなど)から、インターネット経由で企業などのプライベートネットワークへ安全に通信(リモートアクセス)できる仕組みを提供します。
アでは、ポート番号80が間違いです。IKEはポート番号500を用います。ポート番号に関しては「ネットワークスペシャリスト試験で出題されがちなポート番号まとめ」もご覧ください。 ア. TOSフィールドはIPv4のヘッダに含まれるもので、IPv6にはありません。 問3. IPsecとの相違点. 仕事でAWSとクライアントが使用しているエントリーVPNとを接続する必要がありました。その際に社内でエントリーVPNなのに専用線と言う人もいて、インターネットVPN以外を総じて専用線と言ってしまっているのではないかと思いました。加えて、プライベートネットワークとして用いられる方法にどういうものがあるのか、ネットワークスペシャリスト試験の勉強をしている中で整理しておきたかったのでまとめてみました。 H28.午後I問2, H28.午後II問2), GRE over IPsec(eg. しかしl2tpの設定は端末ごとに異なるため、異なる種類の端末が混在する環境では設定方法の統一が困難です。 一方ipsec vpnやssl vpnであればクライアントソフトを端末にインストールすることで、一律の設定方法でvpn接続を確立することが可能です。