[用語]VPNメモ

Virtual Private Network(バーチャル プライベート ネットワーク、VPN)または仮想プライベートネットワーク

VPNで利用されるプロトコルには、SSH/TLS/SSL/SoftEther/IPsec/PPTP/L2TP/L2F/MPLS
インターネットを介し自前でVPNを構成する『インターネットVPN』と、ISPが提供するIP網を利用する『IP-VPN』の二種類が主流
http://www.atmarkit.co.jp/fsecurity/special/22fivemin/fivemin02.html

「トンネリング(Tunneling)」 パケットに新しいヘッダを付け加え、カプセル化(Encapsulation)して通信を行うこと

「通信パケットを暗号化する機能」 トンネリングされたパケットの盗聴や改ざんなどを防止するために、パケットを暗号化して伝送する

暗号化/復号化には大きく分けて「秘密鍵暗号化方式」と「公開鍵暗号方式」の2つの方法があり、VPNでは、これらの暗号化方式を組み合わせて使うのが一般的

IPSecは、IPパケットの暗号化と認証を行う仕組みで、IETF(The Internet Engineering Task Force)が標準化を進めている暗号化通信方式の標準規格である。IPSecサービスでは、「認証ヘッダ(AH:Authentication Header)」と「暗号ペイロード(ESP:Encapsulating Security Payload)」の2つのプロトコルが用意されている。

AHは、IPパケットを認証するためのプロトコルで、パケットが通信途中で改ざんされずに届いたことを保証するものだ。一方、ESPは、IPパケットを暗号化するプロトコルである。これらはそれぞれ独立して動作するので、必要に応じてどちらか一方または両方を使うことができる。

問題点
例えば、ファイアウォールとVPNを併用する場合、ファイアウォールでは、VPNのためにカプセル化した暗号化パケットなどを通さなければならない。
アドレス変換を行うIPマスカレードとの併用はできない

VPN環境におけるアクセス制御も問題 VPN接続を許可しているユーザーやサイトに対し利用するアプリケーションに制限を設けることは少ない。さらに、暗号化されている通信であるため、やりとりしているデータの中味をファイアウォールなどでチェックできず、VPNを介して不正プログラムが侵入してしまう可能性もある。

VPN装置の背後に別途ファイアウォール配置して、再度アクセスコントロールを行う場合もあるが、運用面などを考えると現実的ではない。

VPNの最大のメリット
インターネットを使うことにより、ISPの利用料金とアクセス回線費用だけで済み、距離に依存しないことによる“コスト削減”と“1対多の接続が容易”である

コメント

タイトルとURLをコピーしました