VPN
通信相手と専用線を結べば、セキュリティ的に入り込む余地がないので安全です。
しかし、当然にこの専用線は、高価なものになります。
そこで、インターネットや通信事業者の公衆ネットワークを使って、
あたかも「誰にも邪魔されない専用線」を使っているように
見せかける技術が作られました。
それが、VPN(Virtul Private Network)です。
VPNの種類
次のように分類することができます。
- 専用サービス網を利用するVAN
WANを構築するためには、通信事業者が提供するデジタル専用線や
フレームリレーなどのサービスを利用する方法でしたが、
複数の拠点を相互接続すると莫大な費用がかかります。
そこで、通信事業者の中継網を共有しつつ、拠点間の通信が
あたかも専用線を使っているようなトラフィックと安全性を保つ
仕組みが考えだされました。
次の2通りの方法が使われています。
- IP-VPN
MPLS(Multi-Protocol Label Switching)と呼ばれる中継技術で伝達します。
IPの名前からも推測できるように、IPパケットの中継を提供するサービス(レイヤー3)で、
一般にBGP4のルーティングプロトコルが使われ、
その場合はアクセルルータもそれに対応している必要があります。
例
KDDI NTTコミュニケーションズ ソフトバンクテレコム
- 広域Ethernet(またはL2-VPN)
これは、タグVLANの技術を使って、中継内にVPNを作るサービス(レイヤー2)です。
Ethernetの名前から分かるように、IP-VANと違ってIPパケット以外(SNA,AppleTalk)
でも可能です。
しかし、複数の拠点間でブロードキャストが発生する構造であるため、
100を超える拠点と接続する大規模な構築を必要する場合は、
IP-VPNの方が適しているでしょう。
例
HardEther NTT東日本のNGN BroodLine
上記両者とも、サービス中継網までは、別途アクセス回線で接続する必要があります。
このアクセス回線と中継網は、POI(Point Of Interface)と呼ばれる接続点で結ばれます。
このアクセス回線は、各社でさまざまな(
STM、ATM、MDN、ADSL、イーサアクセス、フレッツアクセス)
選択を用意しているようです。
いずれにせよ、自前で専用線を専用業者に作らせるよりは格安です。
しかし以下に示すインターネットを使うよりは割高です。(月額10〜200万程度?:2011年の調査)
- インターネットを利用するVPN
- IPsec(アイピーセック:IP Security Protocol)
IP層(レイヤー3)でVPNを利用するサービスです。
元IPヘッダーをカプセル化しないトランスポートと、
カプセル化するトンネルモードがあります。
つまり、トランスポートではルータを使い、
トンネルモードでは、
VPN用ゲートウェイを介して接続します。
また、それぞれで、認証機能だけのAHモードと、
認証と暗号機能のESPモードがあります。
つまり、これらを組み合わせた4通りが在り、
それよりサービスを選択することになります。
AH(Authentication Header)は、なりすましと改ざん防止用で、
ESP(Encapsulated Security Payload)は、
加えて暗号化機能も持ちます。(認証はオプション)
認証機能や暗号機能では、さまざまなアルゴリズムが選択可能で、
この柔軟さがIPsecの利点ですが、組み合わせは膨大で、
複数の機器を手動設定するのは実用的に無理でしょう。
また、同じ鍵情報を長期間使わず、自動的に鍵変更を行う
複数のIKE(Internet Key Exchange protocol) が使えます。
- SSL-VPN
セッション層(レイヤー5)で、全てTCPを利用します。
専用のアクセスサーバーを介したリモートで
使うのが一般的です。
対応アプリケーションがWebアプリケーション以外で少ないのが現状です。
もともとSSLはWebアプリケーション用で作られたものです。
クライアント側からclientHelloメッセージで始まり、
証明書のやり取りによる通信相手の確認、
RSA暗号を使った鍵を交換を行って、
鍵が共有できれば暗号化通信が可能になります。
- PPTP(Point to Point Tunneling Protocol)
マイクロソフトが開発したPPTPクライアントと
PPTPサーバー(ゲートウェイ)間のレイヤー2でVPNを構築するプロトコルです。
暗号化にはRC4、
認証にはPAP(Password Authentication Protocol)や
CHAP(Challenge Handshake Authenication Protocol)や
MS-CHAPが使われます。
IPsecの認証は機器の認証で個人の認証ができませんが、PPTPでは個人認証も可能です。
- L2TP(Layer 2 Tunneling Protocol)
L2TPは、PPTP(Point-to-Point Tunneling Protocol)と、
Cisco SystemsのL2F(Layer 2 Fowarding)が統合したもので
IPネットワークの他、フレームリレーやATMなど、
さまざまな通信経路を利用することができます。
(http://www.ietf.org/rfc/rfc2661.txtで定義)
暗号化機能がないので、L2TP over IPsecとして利用されことが多いようです。
インターネットをVPNで使う場合には、自前でそれらの技術を使った
システムを構築しなければなりません。
このインターネットをVPNとして使う構築部分を代行する
サービスがあり、マネージドVPNと呼ばれます。