2種類のVPN(Virtual Private Network)
VPNとは複数のLANを1つのLANの様に扱うものでトンネリングと暗号化で構成されます。トンネリングは、通信ネットワーク上の二点間を結ぶ、閉じられた仮想的な直結回線を確立することです。インターネットVPNとIP-VPNの2種類があります。VPNを100%過信せずに利用することが大切です。
インターネットVPN
SSLやIPsecで暗号化
- インターネット回線
- 安全性が低い
- 帯域保証無し
サイト間通信とリモートアクセス
インターネットVPNには、サイト間通信(東京と名古屋など拠点をつなぐ)とリモートアクセス(個々の端末がVPN経由で設定済の端末と通信)がある。
サイト間通信
拠点間などの境界ルーターの間で暗号化を行う。暗号化は主にIPsec。
ヘッダ部とデータ部からなる192.168.1.1のパケットAを1つのかたまりにしてデータ部とみなし、ヘッダ部を付与して新しい172.10.1.1などの異なるセグメントのパケットBにするカプセル化を送信元ルータで行います。トンネリングされたグローバルネットワーク空間をパケットBが通過し、受信側ルータで172.10.1.1のヘッダを外す非カプセル化を行いパケットAに戻し、受信側のプライベートネットワークでパケットAをルーティングします。
IPsecは、L3のネットワーク層で、トンネルモードとトランスポートモードの2つがあり、IP Security Architectureの略。また、AH(Authentication Header)とESP(Encapsulated Security Payload)があり、どちらもHMAC(Hash-based Message Authentication Code )によるパケット改ざんされていないかという認証があり、ESPのみパケットのペイロード部の暗号化 ( DES or 3DES or AES ) を行う。AHはパケットの暗号化をしないです。基本的にESPが使われます。また、IPsecにはモードがあり、IPヘッダのカプセル化を行うトンネルモードと、カプセル化をしないトランスポートモードがある。
IPsecはブロードキャストとマルチキャストが使えないという欠点があります。そのため、拠点間でダイナミックルーティングプロトコルを使えず、マルチキャストで経路情報を共有できないです。そこでトンネリングプロトコルのGRE(Generic Routing Encapsulation)とあわせて、GRE over IPsecと言われる方式でGREがトンネル、IPsecがトランスポートモードで暗号化として使われます。
リモートアクセス
暗号化は端末にインストールしたFortyClientなどのクライアントソフト、ルータはFortyGateなど。暗号化は主にSSL。医療アプリケーションベンダーでは、PulseSecureを使っている国内企業を見たことがあります。
IP-VPN
KDDIやNTTなどの通信事業者が持っている閉鎖網。通信事業者が用意しているプライベートIP網内で経路情報の探索にMPLS(Multi-Protocol Label Switching)を使用したVPN。
- キャリア網回線
- 安全性が高い
- 比較的に価格が高い
- 帯域保証タイプがある
