ネットワーク講座-VPN の履歴(No.8)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ネットワーク講座-VPN へ行く。
  • 1 (2011-09-17 (土) 13:40:52)
  • 2 (2011-09-17 (土) 13:40:52)
  • 3 (2011-09-17 (土) 13:40:52)
  • 4 (2011-09-18 (日) 02:21:08)
  • 5 (2011-09-18 (日) 02:21:08)
  • 6 (2011-09-19 (月) 12:09:05)
  • 7 (2011-09-19 (月) 12:43:07)
  • 8 (2011-09-20 (火) 08:49:02)

---

ネットワーク講座 > VPN

#html{{

table><tr>

td width="33%">

table border="0" cellpadding="5"><tr><td valign="top">

a href="http://www.amazon.co.jp/exec/obidos/ASIN/4048676059/sagasite-22/"><img src="" border="0"></a>

/td>

td valign="top">

a href="http://www.amazon.co.jp/exec/obidos/ASIN/4048676059/sagasite-22/">すっきりわかった!VPN 改訂版 (すっきりわかったBOOKS)</a>

br>
ネットワークマガジン編集部<br>
アスキー・メディアワークス<br>
2009-03-02<br>

font color="orange">★★☆☆☆</font>

/td></tr></table>

/td>

td width="33%">

table border="0" cellpadding="5"><tr><td valign="top">

a href="http://www.amazon.co.jp/exec/obidos/ASIN/4822267687/sagasite-22/"><img src="" border="0"></a>

/td>

td valign="top">

a href="http://www.amazon.co.jp/exec/obidos/ASIN/4822267687/sagasite-22/">ヤマハルーターで挑戦 企業ネットをじぶんで作ろう</a>

br>
谷山 亮治<br>
日経BP社<br>
2011-06-21<br>

/td></tr></table>

/td>

td width="33%">

table border="0" cellpadding="5"><tr><td valign="top">

a href="http://www.amazon.co.jp/exec/obidos/ASIN/4899771673/sagasite-22/"><img src="" border="0"></a>

/td>

td valign="top">

a href="http://www.amazon.co.jp/exec/obidos/ASIN/4899771673/sagasite-22/">OpenVPNで構築する超簡単VPN入門―Windows/Mac OS X/Linux対応</a>

br>
ケイズプロダクション<br>
ラトルズ<br>
2006-09<br>

font color="orange">★★★★☆</font>

/td></tr></table>

/td>

/tr></table>
}}

VPN†

VPN（Virtual Private Network）は、公共ネットワークの中で、仮想的な専用線を作る技術。

• 専用線は、セキュリティと通信速度の点で、公共ネットワーク（インターネット）よりも優れているが、通信コストが高い。
• VPNは、専用線の代替として、公共ネットワークを仮想的に専用化し、通信コストを安くする用途で使われる。

VPNの種類†

http://itpro.nikkeibp.co.jp/article/COLUMN/20060922/248777/
「どこにVPNを通すか」「どんな技術を使って構築するか」によって分けられる。

インターネットVPN†

• 伝送路 ＝ インターネット

IPsec-VPN†

• 認証と暗号化にIPsecを使うインターネットVPN。
• 固定的な拠点間を結ぶのに最適。（東京支店と大阪支店を結ぶ、など）

SSL-VPN†

• 認証と暗号化にSSLを使うインターネットVPN。
• リモートアクセスで使うのに最適。（社外のノートPCと東京本社を結ぶ、など）

IP-VPN†

• 伝送路 ＝ 通信業者の広域IP網

MPLS-VPN†

• MPLSを使うIP-VPN。
• 固定的な拠点間を結ぶのに最適。（東京支店と大阪支店を結ぶ、など）

VPNの基本構成†

VPNの基本は、トンネリング＋暗号化＋認証の機能を提供すること。
http://fenics.fujitsu.com/products/ipcom/catalog/data/2/1.html

• トンネリング … VPNソフトやVPNゲートウェイの間で、データのカプセル化を行い、仮想的な経路を作る。
• 暗号化 … 伝送路の途中で、通信内容を盗聴されないようにする。
• 認証 … 成りすましによる不正アクセスを防ぎ、データ改ざんの有無を検出する。

VPNを実現するプロトコル†

VPNで利用されるプロトコルには、

• SSH
• TLS
• SSL
• SoftEther
• IPsec
• PPTP
• L2TP
• L2F
• MPLS
  などがある。

現在、多く使われているのは、IPsecとPPTPである。

• IPsecは、ネットワーク層（L3）のプロトコル
• PPTPは、データリンク層（L2）のプロトコル

IPsec†

• IPsecは、IPレベル（L3）でトンネリング（暗号化、認証、改ざんの検知）を行うプロトコル。
• IPv4ではオプション仕様だが、IPv6では標準仕様として採用されている。
• IPsecを採用するメリットは、従来IPを利用してきた機器を、大きく変更することなく、透過的に利用できること。

IPsecの各機能は、複数のプロトコルによって実現されている。
IPsecで使われるプロトコルには、

• IKE (Internet Key Exchange) インターネット鍵交換プロトコル
• XAUTH (eXtended AUTHentication) IKEの拡張プロトコル
• ESP (Encapsulated Security Payload) カプセル化セキュリティペイロードプロトコル
• AH (Authentication Header) 認証ヘッダプロトコル
  などがある。

IPsec-VPNの２つのモード†

IPsec-VPNは、接続形態の違いによって、トランスポートモードとトンネルモードという、２つのモードを使い分ける。

• ２つのモードは、IPパケットをカプセル化する方式が違う。
• ルータを超える、ネットワーク間のVPNは、トンネルモードを選ぶ。
• 社内LANなど、ホスト間のVPNで暗号化の必要がない場合は、トランスポートモードも選べる。

トランスポートモード†

IPsecのトランスポートモードでは、通信を行う端末（ノード）が、直接データの暗号化を行う。

• トランスポートモードでは、すべての端末に、VPNソフトをインストールする必要がある。
• データ（ペイロード）は暗号化される。
• IPヘッダは暗号化されず、そのまま。 → 不正アクセスの可能性あり。

トンネルモード†

IPsecのトンネルモードでは、VPNゲートウェイを設置して、暗号化を行う。

• トンネルモードでは、端末にVPNソフトのインストールは不要。VPNゲートウェイによって、透過的な通信が可能。
• IPヘッダもデータ（ペイロード）も暗号化される。
• VPNゲートウェイが、新たなIPヘッダを追加する。
  （＝逆に言えば、VPNゲートウェイを通過しないLAN内部分の通信は暗号化されていない、という欠点もある。）

IPsecの通信手順†

IPsecの通信には、IKEフェーズとIPsecフェーズという２段階がある。

1. IKEフェーズ … 準備の段階。暗号化方法と鍵のネゴシエーションを行う。
2. IPsecフェーズ … 本番の段階。暗号化されたデータのやりとりを行う。

https://www.fmmc.or.jp/fm/nwts/nwmg/keyword02/vpn/ipsec.htm
IPsec通信のスタート

(参考) http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/284403/

セレクタとは？†

IPsecでは、まずIPsecを適用する条件と方法を定義する。
「Aの条件に合致したら、B方式でIPsec通信を確立する」といったもので、この定義をセレクタという。
PCやルータ、VPNゲートウェイなどのノードは、パケットに対してセレクタを適用し、合致した場合はそこで定義されている方法によってIPsec通信を行う。

SA（セキュリティ・アソシエーション）とは？†

IPsec通信を行う場合、各ノードは、SA（セキュリティ・アソシエーション）という仮想的な通信路（トンネル）を作成する。

IKEフェーズ†

• 最初に、IKEフェーズ用のSA（IKE SA）が作られる。
• IKE SAを通して、暗号化方式の決定と鍵の生成・交換が行われる。 → Diffie-Hellman法で安全。
• IKEフェーズでは、公開暗号鍵が使われる。

IPsecフェーズ†

• 次に、IPsecフェーズ用のSA（IPsec SA）が作られる。
• IPsec SAは、送信用と受信用が別々に作られる。
• IPsecフェーズでは、共通暗号鍵が使われる。

IKEフェーズの動作モード†

IKEフェーズには、メインモードとアグレッシブモードという２つの動作モードがある。
固定IPアドレスの有無によって、通信相手の特定＝認証の方式が違っている。

• メインモードは、LAN間接続（固定のIPアドレス）
• アグレッシブモードは、リモートアクセス（動的なIPアドレス）
  での利用を想定している。

メインモード†

メインモードは、通信相手の認証にIPアドレスを使う。
そのため、IPアドレス固定の環境で使う。

アグレッシブモード†

アグレッシブモードは、通信相手の認証は任意の情報を用いることができる。
そのため、DHCP等でIPアドレスが変更される環境でも使える。

IPsecフェーズのプロトコル†

IPsecフェーズには、ESPやAHというプロトコルが使われる。

ESP†

IPsec SAで使われるセキュリティプロトコル（フレームフォーマット）がESP（Encapsulation Secrity Payload）。

ESPのフォーマットには、

• 暗号化に必要なSPI情報
• 着信時にヘッダ情報を検証するためのIPヘッダ（トンネルモード時）
• ノードの認証と改ざん検出を行うための認証データ
  が挿入される。

ESPの認証データは、メッセージダイジェストによって構成される。

AH†

IPsec SAでは、ESPの他に、AH（Authentication Header 認証ヘッダ）というセキュリティプロトコル（フレームフォーマット）もある。
（ESPがよく使われており、AHはあまり使われない。）

• AHは、認証と改ざんの検出を行う。（ESPと違って、暗号化はしない。）
• AHは、ESPと組み合わせて使うこともできる。
• AHヘッダには、IPヘッダとデータ部分（ペイロード）から作られたICV（Integrity Check Vector）と呼ばれるチェックサムが含まれており、改ざんを検出できる。

PPTP†

• PPTP（Point to Point Tunneling Protocol）は、マイクロソフトが作ったVPNプロトコル。
• データリンク層で、暗号化や認証、改ざんの検出を行う。
• そのため、上位層のネットワーク層でIP以外のプロトコルを利用していて、IPsecが使えない環境でもVPNを構築できる。

PPTPでも、IPsecのIKEフェーズのように、データ通信に先立って各種のネゴシエーションを行う。

PPTPフレームフォーマット†

PPTPのフレームフォーマットは、PPPをもとに構成されている。
PPPと異なっているのは、GRE（Generic Routing Encapsulation）というプロトコルでカプセル化する点で、これはIPsecのESPによるカプセル化と同様である。

IPsecとPPTPの違い†

• PPTPは、暗号化アルゴリズムとしてRC4が指定されているため、暗号化アルゴリズムに関するネゴシエーションが不要。
• 動作する階層が違う。

L2TP†

L2TPは、PPTPの認証手段などを拡張したVPNプロトコル。
RFC2661で定義されている。

• セッションにUDPを使う点が、PPTPと異なる。
• １つのトンネルで、複数のセッションを張ることができる。