ネットワーク講座 > VPN
VPN†
VPN(Virtual Private Network)は、公共ネットワークの中で、仮想的な専用線を作る技術。
- 専用線は、セキュリティと通信速度の点で、公共ネットワーク(インターネット)よりも優れているが、通信コストが高い。
- VPNは、専用線の代替として、公共ネットワークを仮想的に専用化し、通信コストを安くする用途で使われる。
VPNの種類†
http://itpro.nikkeibp.co.jp/article/COLUMN/20060922/248777/
「どこにVPNを通すか」「どんな技術を使って構築するか」によって分けられる。
VPNの種類
インターネットVPN†
| メリット | デメリット |
| 通信費が安い | 通信帯域は保証されない |
| 手軽=インターネットにアクセスできる環境なら、どのノードからもVPNが使える | 面倒=基本的に、設定はユーザー自身が行う |
SSL-VPN†
認証と暗号化にSSLを使うインターネットVPN。
IPsec-VPN†
認証と暗号化にIPsecを使うインターネットVPN。
IP-VPN†
| メリット | デメリット |
| 帯域が保証されている、保守サービスがある | 通信費が高い |
MPLS-VPN†
MPLSを使うIP-VPN。
VPNの基本構成†
VPNの基本は、「トンネリング = 暗号化 + 認証」の機能を提供すること。
- 暗号化 … 伝送路の途中で、通信内容を盗聴されないようにする。
- 認証 … 成りすましによる不正アクセスを防ぎ、データ改ざんの有無を検出する。
VPNの2つのモード†
VPNには、トランスポートモードとトンネルモードという、2つのモードがある。
トランスポートモード†
トランスポートモードでは、通信を行う端末(ノード)が、直接データの暗号化を行う。
- トランスポートモードでは、すべての端末に、VPNソフトをインストールする必要がある。
- データ(ペイロード)は暗号化される。
- IPヘッダは暗号化されず、そのまま。 → 不正アクセスの可能性あり。
トンネルモード†
トンネルモードでは、VPNゲートウェイを設置して、暗号化を行う。
- トンネルモードでは、端末にVPNソフトのインストールは不要。VPNゲートウェイによって、透過的な通信が可能。
- IPヘッダもデータ(ペイロード)も暗号化される。
- VPNゲートウェイが、新たなIPヘッダを追加する。
(=逆に言えば、VPNゲートウェイを通過しないLAN内の通信は暗号化されない、という欠点もある。)
VPNを実現するプロトコル†
VPNで利用されるプロトコルには、
現在、多く使われているのは、IPsecとPPTPである。
IPsec†
- IPsecは、IPレベル(L3)でトンネリング(暗号化、認証、改ざんの検知)を行うプロトコル。
- IPv4ではオプション仕様だが、IPv6では標準仕様として採用されている。
- IPsecを採用するメリットは、従来IPを利用してきた機器を、大きく変更することなく、透過的に利用できること。
IPsecの通信手順†
IPsecの通信には、IKEフェーズとIPsecフェーズという2段階がある。
- IKEフェーズ … 準備。暗号化方法と鍵のネゴシエーションを行う。
- IPsecフェーズ … 本番。暗号化されたデータのやりとりを行う。
https://www.fmmc.or.jp/fm/nwts/nwmg/keyword02/vpn/ipsec.htm
IPsec通信のスタート
セレクタ†
IPsecでは、まずIPsecを適用する条件と方法を定義する。
「Aの条件に合致したら、B方式でIPsec通信を確立する」といったもので、この定義をセレクタという。
PCやルータ、VPNゲートウェイなどのノードは、パケットに対してセレクタを適用し、合致した場合はそこで定義されている方法によってIPsec通信を行う。
SA(セキュリティ・アソシエーション)†
IPsec通信を行う場合、各ノードは、SA(セキュリティ・アソシエーション)という仮想的な通信路を作成する。
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
