VPNのプロトコル(IPSec, PPTPなど)について調べた


VPNってなんとなく暗号化通信の技術?!プライベートなネットワークに繋ぐものなど、何となく理解している人も多いと思います。自分もIPSecのVPNをFWに対して設定したことはあるけど、完全に理解しているわけではなかった。この際、調べてみようということで書いてみます。


そもそもVPN(Virtual Private Network)とは・・・

“5分で絶対に分かるVPN”によると

インターネット上の拠点間を専用線のように接続し、のぞき見や改ざんなどの不正アクセスを防ぎ、安全な通信を可能にする技術がVPNだ。パブリックネットワークを使ってプライベートネットワークを実現しようというのである。インターネットを経由しているにもかかわらず、あたかも同一ネットワーク上にいるかのような利便性が得られる。

要するに「 暗号化した拠点間通信のこと。インターネットなどの公衆回線網の中にデータをカプセル化・暗号化することで通信の安全性を保護した仮想の通信トンネルを構成することで専用回線のように利用できるようにした通信回線のこと 」 だと理解しました。各拠点のファイヤーウォールでVPN設定をすることで実現できる。

VPNについての記事は分かりやすいです!!

VPNの種類
  • IP-VPN
    ・・・ 通信インターフェースはインターネット技術(IP -> インターネットプロトコル)を利用している。特定のプロバイダから提供されるIP-VPN専用のネットワーク網の中で利用する。インターネット網と違って限定した専用のネットワーク網の中での通信となる。その際、パケットにMPLS(multiprotocol label switching)と呼ばれる技術でラベルをつけることで自社と他社のデータを区別するため、パケットの暗号化はしません。基本的にはインターネットには繋がっていない。価格はIP-VPN専用のネットワークを別途契約する必要があるのでインターネットVPNと比べて割高。

  • インターネットVPN
    ・・・ 通信経路にインターネットを利用する。インターネット網の中で各パケットを暗号化することで設定した拠点間のルータやファイヤーウォールでのみ復号化できるようにして、擬似的に通信トンネルを構築する。一般的に、VPNとだけ言われるものは「インターネットVPN」を指していることが多いと思います。

    以下は調べて見たいことですが、
    Q, 片方の拠点は動的IPの契約でも利用できる?!相互接続するためにはやっぱり、どちらも固定が必要だろうか?!
    動的グローバルIPアドレスを使用した拠点とのIPsec-VPN接続
    インターネットVPN環境を構築する(動的IPによるVPNは可能?)

【參考】

IP-VPNとインターネットVPNの比較 <= ページ中盤に比較表がある
インターネットVPNとIP-VPNの違いとは?

【余談】

インターネットプロトコル(IP)を用いるのではなく、レイヤ2レベル相当の接続を提供する 広域イーサネット というサービスもある。LANの延長で離れた拠点間をイーサネットで結ぶサービス。
広域イーサネットとIP-VPNを理解


VPNのプロトコルについて

VPNとはということについてだいぶ長く書いてしまった。。。本題のVPNのプロトコルについてまとめてみたいと思います。
IPSecとPPTPという2つのプロトコルがありますが、基本的には以下の手順で通信されます。大きな違いはないです。

  1. 相手のVPN装置が本物かを確認する認証
  2. 送受信データを暗号化するために使う暗号鍵の取り決め(鍵交換)
  3. データの暗号化とカプセル化(パケットを暗号化してIPヘッダーを付与してカプセル化する)
  4. カプセル化したデータの送信

この記事がだいぶ参考になった!!!
2大技術「PPTP」と「IPsec」,3工程に分けて細部まで調査

IPSecの特徴

IKE(internet key exchange)というプロトコルを用いてVPN装置間の認証と暗号鍵を取り決めて暗号化されたトンネルを構築する。
通信は送信用のトンネルと受信用のトンネルを別々に作って使い分ける。それぞれのトンネルを構築する度に認証、暗号鍵の取り決めが行われる。
認証時にはユーザ名で識別するのではなく、接続拠点間のIPアドレスなどを元にVPNの接続先を決める。そのためリモートアクセスVPNには向かない。しかし、「L2TP/IPSec」の機能を持つルータであれば接続ユーザなどを設定すればリモートアクセスVPNとしてモバイル端末(Android,iPhone)などからVPN通信が利用できる。
鍵の生成するハッシュ関数などが動的に決められるなどVPN機器間でネゴシエーションして暗号鍵が決定されるのでPPTPと比較するとセキュリティ面で有利かな?!

PPTPの特徴

米マイクロソフトが開発したMS-CHAP(エムエスチャップ)バージョン2というプロトコルで認証し暗号化されたトンネルを構築する。基本的には接続する拠点間の機器をPPTPサーバとPPTPクライアントとして2つに分けて、クライアントからサーバへ接続要求するというところから認証が始まる。またマイクロソフトの技術なので、WindowsのOSにはPPTPクライアントとしての機能がある。そのため、PC単体などのクライアントからのリモートアクセスVPNとして向いている。
通信は送信と受信を1つのトンネルで実現する。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です