2種類のVPN(Virtual Private Network)

VPNとは複数のLANを1つのLANの様に扱うものでトンネリングと暗号化で構成されます。トンネリングは、通信ネットワーク上の二点間を結ぶ、閉じられた仮想的な直結回線を確立することです。インターネットVPNとIP-VPNの2種類があります。VPNを100%過信せずに利用することが大切です。

インターネットVPN

SSLやIPsecで暗号化

  1. インターネット回線
  2. 安全性が低い
  3. 帯域保証無し

サイト間通信とリモートアクセス

インターネットVPNには、サイト間通信(東京と名古屋など拠点をつなぐ)とリモートアクセス(個々の端末がVPN経由で設定済の端末と通信)がある。

サイト間通信

拠点間などの境界ルーターの間で暗号化を行う。暗号化は主にIPsec。

ヘッダ部とデータ部からなる192.168.1.1のパケットAを1つのかたまりにしてデータ部とみなし、ヘッダ部を付与して新しい172.10.1.1などの異なるセグメントのパケットBにするカプセル化を送信元ルータで行います。トンネリングされたグローバルネットワーク空間をパケットBが通過し、受信側ルータで172.10.1.1のヘッダを外す非カプセル化を行いパケットAに戻し、受信側のプライベートネットワークでパケットAをルーティングします。

IPsecは、L3のネットワーク層で、トンネルモードとトランスポートモードの2つがあり、IP Security Architectureの略。また、AH(Authentication Header)とESP(Encapsulated Security Payload)があり、どちらもHMAC(Hash-based Message Authentication Code )によるパケット改ざんされていないかという認証があり、ESPのみパケットのペイロード部の暗号化 ( DES or 3DES or AES ) を行う。AHはパケットの暗号化をしないです。基本的にESPが使われます。また、IPsecにはモードがあり、IPヘッダのカプセル化を行うトンネルモードと、カプセル化をしないトランスポートモードがある。

IPsecはブロードキャストとマルチキャストが使えないという欠点があります。そのため、拠点間でダイナミックルーティングプロトコルを使えず、マルチキャストで経路情報を共有できないです。そこでトンネリングプロトコルのGRE(Generic Routing Encapsulation)とあわせて、GRE over IPsecと言われる方式でGREがトンネル、IPsecがトランスポートモードで暗号化として使われます。

リモートアクセス

暗号化は端末にインストールしたFortyClientなどのクライアントソフト、ルータはFortyGateなど。暗号化は主にSSL。医療アプリケーションベンダーでは、PulseSecureを使っている国内企業を見たことがあります。

IP-VPN

KDDIやNTTなどの通信事業者が持っている閉鎖網。通信事業者が用意しているプライベートIP網内で経路情報の探索にMPLS(Multi-Protocol Label Switching)を使用したVPN

  1. キャリア網回線
  2. 安全性が高い
  3. 比較的に価格が高い
  4. 帯域保証タイプがある

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください