ネットワーク講座-VPN
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
[[ネットワーク講座]] > VPN
| 暗号通信のポイント | 例 |h
| 最初は、[[公開鍵暗号]]を使う | → IPsecの[[IKEフェーズ>#...
| 次に、[[共通鍵暗号]]を使う | → IPsecの[[IPsecフェーズ>#...
|>| という2段階の手順で構成されている |
(参考)[[公開鍵暗号 - プログラミング探して!>http://prog...
>公開鍵暗号は秘密鍵暗号よりも処理が複雑になりがちであり、...
&color(red){このため、暗号通信に利用する場合は、実際の通...
* 目次 [#i84f6110]
#contents
* 参考書 [#oc942bd0]
#html{{
<table><tr>
<td width="33%">
<table border="0" cellpadding="5"><tr><td valign="top">
<a href="http://www.amazon.co.jp/exec/obidos/ASIN/4048676...
</td>
<td valign="top">
<a href="http://www.amazon.co.jp/exec/obidos/ASIN/4048676...
<br>
ネットワークマガジン編集部<br>
アスキー・メディアワークス<br>
2009-03-02<br>
<font color="orange">★★☆☆☆</font>
</td></tr></table>
</td>
<td width="33%">
<table border="0" cellpadding="5"><tr><td valign="top">
<a href="http://www.amazon.co.jp/exec/obidos/ASIN/4822267...
</td>
<td valign="top">
<a href="http://www.amazon.co.jp/exec/obidos/ASIN/4822267...
<br>
谷山 亮治<br>
日経BP社<br>
2011-06-21<br>
</td></tr></table>
</td>
<td width="33%">
<table border="0" cellpadding="5"><tr><td valign="top">
<a href="http://www.amazon.co.jp/exec/obidos/ASIN/4899771...
</td>
<td valign="top">
<a href="http://www.amazon.co.jp/exec/obidos/ASIN/4899771...
<br>
ケイズプロダクション<br>
ラトルズ<br>
2006-09<br>
<font color="orange">★★★★☆</font>
</td></tr></table>
</td>
</tr></table>
}}
* VPN [#nc09b677]
[[VPN]](Virtual Private Network)は、公共ネットワークの...
- 専用線は、セキュリティと通信速度の点で、公共ネットワー...
- VPNは、専用線の代替として、公共ネットワークを仮想的に専...
** VPNの種類 [#u20f025f]
http://itpro.nikkeibp.co.jp/article/COLUMN/20060922/248777/
「どこにVPNを通すか」「どんな技術を使って構築するか」によ...
CENTER:''VPNの種類''
| 伝送路 | 名称 | 使う技術 | 名称 |h
| インターネット | [[インターネットVPN]] | [[SSL]] | [[SS...
|~|~| [[IPsec]] | [[IPsec-VPN]] |
| 通信業者の広域IP網 | [[IP-VPN]] | [[MPLS]] | [[MPLS-VPN...
** インターネットVPN [#z57997ab]
- 伝送路 = インターネット
|メリット|デメリット|h
| 通信費が安い | 通信帯域は保証されない |
| 手軽=インターネットにアクセスできる環境なら、どの[[ノ...
*** IPsec-VPN [#tba136aa]
- 認証と暗号化に[[IPsec]]を使うインターネットVPN。
- 固定的な拠点間を結ぶのに最適。(東京支店と大阪支店を結...
*** SSL-VPN [#nff2c005]
- 認証と暗号化に[[SSL]]を使うインターネットVPN。
- リモートアクセスで使うのに最適。(社外のノートPCと東京...
** IP-VPN [#dfd8c67e]
- 伝送路 = 通信業者の広域IP網
|メリット|デメリット|h
| 帯域が保証されている、保守サービスがある | 通信費が高い |
*** MPLS-VPN [#hcda7848]
- [[MPLS]]を使うIP-VPN。
- 固定的な拠点間を結ぶのに最適。(東京支店と大阪支店を結...
* VPNの基本構成 [#la8963fd]
VPNの基本は、[[トンネリング]]+暗号化+[[認証]]の機能を提...
http://fenics.fujitsu.com/products/ipcom/catalog/data/2/1...
- [[トンネリング]] … VPNソフトやVPNゲートウェイの間で、デ...
- 暗号化 … 伝送路の途中で、通信内容を盗聴されないようにす...
- [[認証]] … 成りすましによる不正アクセスを防ぎ、データ改...
* VPNを実現するプロトコル [#dc1693af]
[[VPN]]で利用される[[プロトコル]]には、
- [[SSH]]
- [[TLS]]
- [[SSL]]
- SoftEther
- [[IPsec]]
- [[PPTP]]
- [[L2TP]]
- L2F
- [[MPLS]]
などがある。
現在、多く使われているのは、[[IPsec]]と[[PPTP]]である。
- [[IPsec]]は、[[ネットワーク層]](L3)のプロトコル
- [[PPTP]]は、[[データリンク層]](L2)のプロトコル
* IPsec [#q28297bc]
- [[IPsec]]は、[[IP]]レベル(L3)で[[トンネリング]](暗号...
- IPv4ではオプション仕様だが、IPv6では標準仕様として採用...
- IPsecを採用するメリットは、従来IPを利用してきた機器を、...
IPsecの各機能は、複数のプロトコルによって実現されている。
IPsecで使われるプロトコルには、
- [[IKE]] (Internet Key Exchange) インターネット鍵交換プ...
- [[XAUTH]] (eXtended AUTHentication) IKEの拡張プロトコル
- [[ESP]] (Encapsulated Security Payload) カプセル化セキ...
- [[AH]] (Authentication Header) 認証ヘッダプロトコル
などがある。
** IPsec-VPNの2つのモード [#a28d2f67]
[[IPsec-VPN]]は、接続形態の違いによって、[[トランスポート...
- 2つのモードは、[[IPパケット]]をカプセル化する方式が違...
- [[ルータ]]を超える、ネットワーク間のVPNは、[[トンネルモ...
- 社内LANなど、ホスト間のVPNで暗号化の必要がない場合は、[...
| 通信モード | ネットワークへの適用例 |h
| [[トランスポートモード]] | [[IPsec]]が実装された&color(...
| [[トンネルモード]] | [[IPsec]]が実装された&color(red){...
CENTER:[[IPsec - トランスポートモード・トンネルモード ->h...
*** トランスポートモード [#vff33701]
[[IPsec]]の[[トランスポートモード]]では、通信を行う端末(...
- トランスポートモードでは、すべての端末に、&color(red){V...
- データ([[ペイロード]])は暗号化される。
- [[IPヘッダ]]は暗号化されず、そのまま。 → 不正アクセスの...
*** トンネルモード [#ef5c915f]
[[IPsec]]の[[トンネルモード]]では、VPN[[ゲートウェイ]]を...
- トンネルモードでは、端末にVPNソフトのインストールは不要...
- [[IPヘッダ]]もデータ([[ペイロード]])も暗号化される。
- VPNゲートウェイが、新たなIPヘッダを追加する。
(=逆に言えば、VPNゲートウェイを通過しないLAN内部分の通...
** IPsecの通信手順 [#je4ce9de]
[[IPsec]]の通信には、[[IKE]]フェーズと[[IPsec]]フェーズと...
+ [[IKE]]フェーズ … 準備の段階。暗号化方法と鍵の[[ネゴシ...
+ [[IPsec]]フェーズ … 本番の段階。暗号化されたデータのや...
CENTER:&ref(ipsec02.gif);
>https://www.fmmc.or.jp/fm/nwts/nwmg/keyword02/vpn/ipsec....
IPsec通信のスタート
(参考) http://itpro.nikkeibp.co.jp/article/COLUMN/2007101...
CENTER:&ref(ipsec_zu1.jpg);
CENTER:&ref(ipsec_zu2.jpg);
*** セレクタとは? [#l5c17848]
[[IPsec]]では、まずIPsecを適用する条件と方法を定義する。
「Aの条件に合致したら、B方式でIPsec通信を確立する」といっ...
PCやルータ、VPNゲートウェイなどの[[ノード]]は、パケットに...
*** SA(セキュリティ・アソシエーション)とは? [#ad4f06b0]
IPsec通信を行う場合、各[[ノード]]は、[[SA]](セキュリティ...
*** IKEフェーズ [#d5e43db8]
- 最初に、[[IKE]]フェーズ用の[[SA]](IKE SA)が作られる。
- IKE SAを通して、暗号化方式の決定と鍵の生成・交換が行わ...
- IKEフェーズでは、&color(red){''公開暗号鍵''};が使われる。
*** IPsecフェーズ [#c9dbf43a]
- 次に、IPsecフェーズ用の[[SA]](IPsec SA)が作られる。
- IPsec SAは、送信用と受信用が別々に作られる。
- IPsecフェーズでは、&color(red){''共通暗号鍵''};が使われ...
** IKEフェーズの動作モード [#c46f92fd]
IKEフェーズには、[[メインモード]]と[[アグレッシブモード]]...
固定IPアドレスの有無によって、通信相手の特定=[[認証]]の...
- メインモードは、LAN間接続(固定のIPアドレス)
- アグレッシブモードは、リモートアクセス(動的なIPアドレ...
での利用を想定している。
*** メインモード [#e76233d0]
[[メインモード]]は、&color(red){通信相手の認証にIPアドレ...
そのため、IPアドレス固定の環境で使う。
*** アグレッシブモード [#xed72a81]
[[アグレッシブモード]]は、通信相手の認証は任意の情報を用...
そのため、[[DHCP]]等で[[IPアドレス]]が変更される環境でも...
** IPsecフェーズのプロトコル [#l9b20ed4]
IPsecフェーズには、[[ESP]]や[[AH]]というプロトコルが使わ...
*** ESP [#bb5c0ee8]
IPsec SAで使われるセキュリティプロトコル(フレームフォー...
[[ESP]]のフォーマットには、
- 暗号化に必要なSPI情報
- 着信時に[[ヘッダ]]情報を検証するための[[IPヘッダ]]([[...
- [[ノード]]の認証と改ざん検出を行うための認証データ
が挿入される。
ESPの認証データは、メッセージダイジェストによって構成され...
*** AH [#n615238f]
IPsec SAでは、[[ESP]]の他に、[[AH]](Authentication Heade...
(ESPがよく使われており、AHはあまり使われない。)
- AHは、認証と改ざんの検出を行う。(ESPと違って、暗号化は...
- AHは、ESPと組み合わせて使うこともできる。
- AHヘッダには、[[IPヘッダ]]とデータ部分([[ペイロード]]...
* PPTP [#e652570d]
- [[PPTP]](Point to Point Tunneling Protocol)は、マイク...
- [[データリンク層]]で、暗号化や認証、改ざんの検出を行う。
- そのため、上位層の[[ネットワーク層]]で[[IP]]以外のプロ...
PPTPでも、[[IPsec]]の[[IKE]]フェーズのように、データ通信...
CENTER:''PPTPのネゴシエーション''
| 認証 | MS-[[CHAP]](Microsoft Challenge Handshake Authe...
| 暗号化 | MPPE(Microsoft Point to Point Encryption) |
** PPTPフレームフォーマット [#xbe87f8b]
CENTER:http://program.sagasite.info/wiki/index.php?plugin...
PPTPのフレームフォーマットは、[[PPP]]をもとに構成されてい...
PPPと異なっているのは、[[GRE]](Generic Routing Encapsula...
*** IPsecとPPTPの違い [#pac42058]
- PPTPは、暗号化アルゴリズムとしてRC4が指定されているため...
- 動作する階層が違う。
| | IPsec | PPTP |h
| 暗号化アルゴリズム | 選択可能 | RC4(指定) |
| 動作する階層 | [[ネットワーク層]](レイヤー3)| [[デー...
* L2TP [#zf65a153]
[[L2TP]]は、[[PPTP]]の[[認証]]手段などを拡張したVPNプロト...
RFC2661で定義されている。
- セッションにUDPを使う点が、PPTPと異なる。
- 1つのトンネルで、複数のセッションを張ることができる。
終了行:
[[ネットワーク講座]] > VPN
| 暗号通信のポイント | 例 |h
| 最初は、[[公開鍵暗号]]を使う | → IPsecの[[IKEフェーズ>#...
| 次に、[[共通鍵暗号]]を使う | → IPsecの[[IPsecフェーズ>#...
|>| という2段階の手順で構成されている |
(参考)[[公開鍵暗号 - プログラミング探して!>http://prog...
>公開鍵暗号は秘密鍵暗号よりも処理が複雑になりがちであり、...
&color(red){このため、暗号通信に利用する場合は、実際の通...
* 目次 [#i84f6110]
#contents
* 参考書 [#oc942bd0]
#html{{
<table><tr>
<td width="33%">
<table border="0" cellpadding="5"><tr><td valign="top">
<a href="http://www.amazon.co.jp/exec/obidos/ASIN/4048676...
</td>
<td valign="top">
<a href="http://www.amazon.co.jp/exec/obidos/ASIN/4048676...
<br>
ネットワークマガジン編集部<br>
アスキー・メディアワークス<br>
2009-03-02<br>
<font color="orange">★★☆☆☆</font>
</td></tr></table>
</td>
<td width="33%">
<table border="0" cellpadding="5"><tr><td valign="top">
<a href="http://www.amazon.co.jp/exec/obidos/ASIN/4822267...
</td>
<td valign="top">
<a href="http://www.amazon.co.jp/exec/obidos/ASIN/4822267...
<br>
谷山 亮治<br>
日経BP社<br>
2011-06-21<br>
</td></tr></table>
</td>
<td width="33%">
<table border="0" cellpadding="5"><tr><td valign="top">
<a href="http://www.amazon.co.jp/exec/obidos/ASIN/4899771...
</td>
<td valign="top">
<a href="http://www.amazon.co.jp/exec/obidos/ASIN/4899771...
<br>
ケイズプロダクション<br>
ラトルズ<br>
2006-09<br>
<font color="orange">★★★★☆</font>
</td></tr></table>
</td>
</tr></table>
}}
* VPN [#nc09b677]
[[VPN]](Virtual Private Network)は、公共ネットワークの...
- 専用線は、セキュリティと通信速度の点で、公共ネットワー...
- VPNは、専用線の代替として、公共ネットワークを仮想的に専...
** VPNの種類 [#u20f025f]
http://itpro.nikkeibp.co.jp/article/COLUMN/20060922/248777/
「どこにVPNを通すか」「どんな技術を使って構築するか」によ...
CENTER:''VPNの種類''
| 伝送路 | 名称 | 使う技術 | 名称 |h
| インターネット | [[インターネットVPN]] | [[SSL]] | [[SS...
|~|~| [[IPsec]] | [[IPsec-VPN]] |
| 通信業者の広域IP網 | [[IP-VPN]] | [[MPLS]] | [[MPLS-VPN...
** インターネットVPN [#z57997ab]
- 伝送路 = インターネット
|メリット|デメリット|h
| 通信費が安い | 通信帯域は保証されない |
| 手軽=インターネットにアクセスできる環境なら、どの[[ノ...
*** IPsec-VPN [#tba136aa]
- 認証と暗号化に[[IPsec]]を使うインターネットVPN。
- 固定的な拠点間を結ぶのに最適。(東京支店と大阪支店を結...
*** SSL-VPN [#nff2c005]
- 認証と暗号化に[[SSL]]を使うインターネットVPN。
- リモートアクセスで使うのに最適。(社外のノートPCと東京...
** IP-VPN [#dfd8c67e]
- 伝送路 = 通信業者の広域IP網
|メリット|デメリット|h
| 帯域が保証されている、保守サービスがある | 通信費が高い |
*** MPLS-VPN [#hcda7848]
- [[MPLS]]を使うIP-VPN。
- 固定的な拠点間を結ぶのに最適。(東京支店と大阪支店を結...
* VPNの基本構成 [#la8963fd]
VPNの基本は、[[トンネリング]]+暗号化+[[認証]]の機能を提...
http://fenics.fujitsu.com/products/ipcom/catalog/data/2/1...
- [[トンネリング]] … VPNソフトやVPNゲートウェイの間で、デ...
- 暗号化 … 伝送路の途中で、通信内容を盗聴されないようにす...
- [[認証]] … 成りすましによる不正アクセスを防ぎ、データ改...
* VPNを実現するプロトコル [#dc1693af]
[[VPN]]で利用される[[プロトコル]]には、
- [[SSH]]
- [[TLS]]
- [[SSL]]
- SoftEther
- [[IPsec]]
- [[PPTP]]
- [[L2TP]]
- L2F
- [[MPLS]]
などがある。
現在、多く使われているのは、[[IPsec]]と[[PPTP]]である。
- [[IPsec]]は、[[ネットワーク層]](L3)のプロトコル
- [[PPTP]]は、[[データリンク層]](L2)のプロトコル
* IPsec [#q28297bc]
- [[IPsec]]は、[[IP]]レベル(L3)で[[トンネリング]](暗号...
- IPv4ではオプション仕様だが、IPv6では標準仕様として採用...
- IPsecを採用するメリットは、従来IPを利用してきた機器を、...
IPsecの各機能は、複数のプロトコルによって実現されている。
IPsecで使われるプロトコルには、
- [[IKE]] (Internet Key Exchange) インターネット鍵交換プ...
- [[XAUTH]] (eXtended AUTHentication) IKEの拡張プロトコル
- [[ESP]] (Encapsulated Security Payload) カプセル化セキ...
- [[AH]] (Authentication Header) 認証ヘッダプロトコル
などがある。
** IPsec-VPNの2つのモード [#a28d2f67]
[[IPsec-VPN]]は、接続形態の違いによって、[[トランスポート...
- 2つのモードは、[[IPパケット]]をカプセル化する方式が違...
- [[ルータ]]を超える、ネットワーク間のVPNは、[[トンネルモ...
- 社内LANなど、ホスト間のVPNで暗号化の必要がない場合は、[...
| 通信モード | ネットワークへの適用例 |h
| [[トランスポートモード]] | [[IPsec]]が実装された&color(...
| [[トンネルモード]] | [[IPsec]]が実装された&color(red){...
CENTER:[[IPsec - トランスポートモード・トンネルモード ->h...
*** トランスポートモード [#vff33701]
[[IPsec]]の[[トランスポートモード]]では、通信を行う端末(...
- トランスポートモードでは、すべての端末に、&color(red){V...
- データ([[ペイロード]])は暗号化される。
- [[IPヘッダ]]は暗号化されず、そのまま。 → 不正アクセスの...
*** トンネルモード [#ef5c915f]
[[IPsec]]の[[トンネルモード]]では、VPN[[ゲートウェイ]]を...
- トンネルモードでは、端末にVPNソフトのインストールは不要...
- [[IPヘッダ]]もデータ([[ペイロード]])も暗号化される。
- VPNゲートウェイが、新たなIPヘッダを追加する。
(=逆に言えば、VPNゲートウェイを通過しないLAN内部分の通...
** IPsecの通信手順 [#je4ce9de]
[[IPsec]]の通信には、[[IKE]]フェーズと[[IPsec]]フェーズと...
+ [[IKE]]フェーズ … 準備の段階。暗号化方法と鍵の[[ネゴシ...
+ [[IPsec]]フェーズ … 本番の段階。暗号化されたデータのや...
CENTER:&ref(ipsec02.gif);
>https://www.fmmc.or.jp/fm/nwts/nwmg/keyword02/vpn/ipsec....
IPsec通信のスタート
(参考) http://itpro.nikkeibp.co.jp/article/COLUMN/2007101...
CENTER:&ref(ipsec_zu1.jpg);
CENTER:&ref(ipsec_zu2.jpg);
*** セレクタとは? [#l5c17848]
[[IPsec]]では、まずIPsecを適用する条件と方法を定義する。
「Aの条件に合致したら、B方式でIPsec通信を確立する」といっ...
PCやルータ、VPNゲートウェイなどの[[ノード]]は、パケットに...
*** SA(セキュリティ・アソシエーション)とは? [#ad4f06b0]
IPsec通信を行う場合、各[[ノード]]は、[[SA]](セキュリティ...
*** IKEフェーズ [#d5e43db8]
- 最初に、[[IKE]]フェーズ用の[[SA]](IKE SA)が作られる。
- IKE SAを通して、暗号化方式の決定と鍵の生成・交換が行わ...
- IKEフェーズでは、&color(red){''公開暗号鍵''};が使われる。
*** IPsecフェーズ [#c9dbf43a]
- 次に、IPsecフェーズ用の[[SA]](IPsec SA)が作られる。
- IPsec SAは、送信用と受信用が別々に作られる。
- IPsecフェーズでは、&color(red){''共通暗号鍵''};が使われ...
** IKEフェーズの動作モード [#c46f92fd]
IKEフェーズには、[[メインモード]]と[[アグレッシブモード]]...
固定IPアドレスの有無によって、通信相手の特定=[[認証]]の...
- メインモードは、LAN間接続(固定のIPアドレス)
- アグレッシブモードは、リモートアクセス(動的なIPアドレ...
での利用を想定している。
*** メインモード [#e76233d0]
[[メインモード]]は、&color(red){通信相手の認証にIPアドレ...
そのため、IPアドレス固定の環境で使う。
*** アグレッシブモード [#xed72a81]
[[アグレッシブモード]]は、通信相手の認証は任意の情報を用...
そのため、[[DHCP]]等で[[IPアドレス]]が変更される環境でも...
** IPsecフェーズのプロトコル [#l9b20ed4]
IPsecフェーズには、[[ESP]]や[[AH]]というプロトコルが使わ...
*** ESP [#bb5c0ee8]
IPsec SAで使われるセキュリティプロトコル(フレームフォー...
[[ESP]]のフォーマットには、
- 暗号化に必要なSPI情報
- 着信時に[[ヘッダ]]情報を検証するための[[IPヘッダ]]([[...
- [[ノード]]の認証と改ざん検出を行うための認証データ
が挿入される。
ESPの認証データは、メッセージダイジェストによって構成され...
*** AH [#n615238f]
IPsec SAでは、[[ESP]]の他に、[[AH]](Authentication Heade...
(ESPがよく使われており、AHはあまり使われない。)
- AHは、認証と改ざんの検出を行う。(ESPと違って、暗号化は...
- AHは、ESPと組み合わせて使うこともできる。
- AHヘッダには、[[IPヘッダ]]とデータ部分([[ペイロード]]...
* PPTP [#e652570d]
- [[PPTP]](Point to Point Tunneling Protocol)は、マイク...
- [[データリンク層]]で、暗号化や認証、改ざんの検出を行う。
- そのため、上位層の[[ネットワーク層]]で[[IP]]以外のプロ...
PPTPでも、[[IPsec]]の[[IKE]]フェーズのように、データ通信...
CENTER:''PPTPのネゴシエーション''
| 認証 | MS-[[CHAP]](Microsoft Challenge Handshake Authe...
| 暗号化 | MPPE(Microsoft Point to Point Encryption) |
** PPTPフレームフォーマット [#xbe87f8b]
CENTER:http://program.sagasite.info/wiki/index.php?plugin...
PPTPのフレームフォーマットは、[[PPP]]をもとに構成されてい...
PPPと異なっているのは、[[GRE]](Generic Routing Encapsula...
*** IPsecとPPTPの違い [#pac42058]
- PPTPは、暗号化アルゴリズムとしてRC4が指定されているため...
- 動作する階層が違う。
| | IPsec | PPTP |h
| 暗号化アルゴリズム | 選択可能 | RC4(指定) |
| 動作する階層 | [[ネットワーク層]](レイヤー3)| [[デー...
* L2TP [#zf65a153]
[[L2TP]]は、[[PPTP]]の[[認証]]手段などを拡張したVPNプロト...
RFC2661で定義されている。
- セッションにUDPを使う点が、PPTPと異なる。
- 1つのトンネルで、複数のセッションを張ることができる。
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
