328.4仮想プライベートネットワーク（VPN）

LinuCレベル3 303試験の出題範囲から「328.4 仮想プライベートネットワーク（VPN）」についての例題を解いてみます。
このテーマは、VPNの設定や知識に関する内容が含まれます。テレワークなどのリモートアクセス環境構築に必須となるため、しっかりと理解しておきましょう。

LinuCレベル3 303試験出題範囲

例題

仮想プライベートネットワーク(VPN)を実現するための主要なプロトコル技術としてL2TP(Layer 2 Tunneling Protocol)が、他のプロトコルと比較して持つ、最も特異的な技術的特徴として正しいものを一つ選びなさい。

Transport Layer Security((TLS) を基盤としファイアウォールの透過性に優れるため、ネットワーク層ではなくアプリケーション層で動作する。
単体では暗号化機能を持たず、OSI参照モデルのデータリンク層(Layer 2)で動作するため、機密性を確保するためには必ずIPsecと組み合わせて使用する必要がある。
IPsecの一部として開発され、認証ヘッダ(AH)とカプセル化セキュリティペイロード(ESP)の二つのプロトコルによって、トンネリングと暗号化を同時に実現する。
TCPポート500番と4500番のみを使用し、Linuxカーネルに完全に統合されているため、ユーザー空間でのIKEデーモン設定を必要としない。

※この例題は実際の試験問題とは異なります。

解答と解説

正解は、「2. 単体では暗号化機能を持たず、OSI参照モデルのデータリンク層(Layer 2)で動作するため、機密性を確保するためには必ずIPsecと組み合わせて使用する必要がある。」です。

L2TPは、データリンク層(Layer 2)で動作し、PPPフレームをカプセル化するトンネリングプロトコルです。セッション確立とPPP認証機能(PAP/CHAP/EAP)を提供しますが、パケットの機密性を守るための暗号化機能(コンフィデンシャリティ)を単体では提供していません。したがって、インターネットのような非保護ネットワーク上で安全に利用するためには、必ずL2TPトンネル全体をIPsecプロトコル(主にESP)でカプセル化し、暗号化と完全性の保護を外部に依存する「L2TP over IPsec」構成が必要となります。UDPポート1701を使用し、このプロトコルがセキュリティ機構を持たないという点が、L2TPの構造的な特異点です。

その他の選択肢は、正しくは以下となります。

１. この記述はOpenVPNの主要な特性です。OpenVPNは、OpenSSLライブラリに基づきTLS/SSLを使用し、トランスポート層(TCPまたはUDP、通常1194番)を経由して動作するため、ファイアウォールの設定変更が容易であり、高いネットワーク透過性を持ちます。OpenVPNはレイヤー4/7で動作し、セキュリティ機能を統合しています。

３. この記述はIPsecの主要な構成要素と動作原理を説明しています。IPsecは、L2TPとは異なりOSI参照モデルのネットワーク層(Layer 3)で動作し、AH(認証)とESP(暗号化と認証)という二つのプロトコルによって、セキュリティ機能をパケットレベルでネイティブに実現します。IPsecは単体で暗号化機能を提供できます。

４. IPsecは鍵交換にIKEプロトコルを使用し、通常はUDPポート500(IKE)および4500(NAT-T)を使用します(TCPではない)。また、IPsecのデータ転送自体はIPプロトコル番号50(ESP)および51(AH)を使用します。IPsecの鍵交換ポリシーやセキュリティアソシエーションの管理は、racoonなどのユーザー空間デーモンによって行われ、その設定が/etc/racoon/racoon.confなどに記述されます。