【ネスペ対策】【VPN】VPNの全体像について整理する
はじめに
お世話になります、hosochinです
今回はIPAのネットワークスペシャリスト対策ってことでVPNについてです
VPNって色々種類があるし、登場するプロトコルとかも沢山あってごちゃごちゃしてきませんか?しますよね?
ってことでVPNの全体像を把握すべくポイントを整理してみたいと思います
キーワードから全体像を把握する
まずは全体像について僕の理解をメモっときます
VPN
VPN = Virtual Private Networkの略で、仮想的なトンネルを構築することで安全に通信をするための技術です
VPNは主に「インターネットVPN」「IP-VPN」「広域イーサネット」に分類されます
種類 | キーワード | 特徴 |
インターネットVPN | ・IPsec ・SSL-VPN | ・インターネット環境 + VPN機器が必要 ・他に比べて比較的安価に構築可能 ・インターネットを介すためセキュリティリスクは他に比べて高め |
IP-VPN | ・MPLS | ・通信事業者の閉域IP網を利用 ・インターネットVPNよりもセキュリティ強度高め ・レイヤ3で使用するプロトコルはIPに限定 |
広域イーサネット | ・EoMPLS | ・通信事業者の専用回線または閉域網を利用 ・基本的な特徴としてはIP-VPNと同じ ・レイヤ2のプロトコルも使用できるため、IP-VPNより柔軟な設計が可能 |
インターネットVPN
インターネットVPNの方式として大きく「IPsec-VPN」「SSL-VPN」の2種類があります
そのほかには「L2TP/IPsec」「PPTP」なども試験で登場しそうですがここでは割愛します
種類 | プロトコル階層 | 概要 | コスト | 安全性 |
IPsec-VPN | ネットワーク層 | ・IPパケットを暗号化する | 高価 | 高い |
SSL-VPN | セッション層 | ・SSL技術で暗号化する ・SSL対応のWebブラウザがあれば利用可能 | 安価 | 低い |
IPsec-VPN
IPsec = Internet Protocol Securityの略で、IPパケットを暗号化することでトンネリングします
IPsecのキーワードは「SA」「IKE」「AH」「ESP」です
通信モードとして「トランスポートモード」「トンネルモード」の2種類があります
IPsec-VPNの通信イメージ
前述したキーワードを使ってIPsecの通信のイメージを掴みたいと思います
通信のイメージは以下です
- まず送信者、受信者間でSAを確立する
- SAとはSecurity Associationの略で、VPN装置間で確立するコネクションのこと
- どのような鍵や暗号方式を使うかなどの取り決めを行う
- SAは一方通行で行われるため、双方向の通信を行うためには2つのSAを確立する必要がある
- ルータA → ルータBで1つ
- ルータB → ルータAで1つ…みたいな
- 通信する実際のデータはAHまたはESPといったプロトコルで情報漏洩や改竄を防ぐ処理を行う
- AH
- 認証のみ行う
- 改竄対策
- ESP
- 暗号化と認証を行う
- 情報漏洩対策と改竄対策
- 一般的にはAHではなくESPが使われる
- 暗号化によるデータ通信を禁じている国はAHが採用される
- ESPでカプセル化したパケットの構成については以下でまとめてます
- AH
- IKEで鍵交換
- IKE = Internet Key Exchange Protocolの略で、暗号化通信のための鍵交換プロトコル
- ESPで使用する鍵交換の際に使われる
- 一般的に事前共通鍵方式が用いられることが多い
- (IKEにはバージョン1とバージョン2があり、バージョン1は仕様が複雑なため試験で問われやすい)
IPsecの通信モード
IPsecの通信モードには「トランスポートモード」「トンネルモード」の2種類があります
通信モード | 暗号化範囲 | 利用シーン | 特徴 |
トランスポートモード | クライアントサーバ間 | リモートアクセスVPNなど | ・クライアント端末にVPNのアプリケーションを設定する必要あり |
トンネルモード | ルータ間 | 拠点間VPNなど | ・ルータがVPNに対応している必要あり ・例えば支社間のネットワークを繋ぎたい場合などはこちらが採用される |
SSL-VPN
SSL-VPNはSSL技術を使用したVPNです
SSL-VPNには「リバースプロキシ」「ポートフォワーディング」「L2フォワーディング」の3種類の方式があります
方式 | 特徴 |
リバースプロキシ方式 | ・Webブラウザのhttps通信を利用して通信する ・Webブラウザに対応していないアプリケーションでは使用不可 |
ポートフォワーディング方式 | ・クライアント側のアプリケーションにJavaアプレットなどのVPNモジュールを追加して通信する ・Webブラウザに対応していないアプリケーションでも使用可能 ・事前にサーバ側でクライアントのIPアドレスとポート番号を定義する必要があるため、動的にポート番号が変わるようなアプリケーションでは使用不可 |
L2フォワーディング方式 | ・クライアント側でVPNクライアントソフトを導入して通信する ・クライアントソフトにより、クライアント側で仮想NICが構築され、この仮想NICを経由して通信する ・Webブラウザに対応していないアプリケーションでも使用可能 ・ポート番号が動的に変更するアプリケーションでも使用可能 |
IP-VPN
通信士業者の閉域IP網を利用してVPNトンネルを構築します
インターネットVPNに比べて通信速度やセキュリティを確保しやすいですが、コストも高くつきます
広域イーサネット
通信士業者の専用回線または閉域網を利用してVPNトンネルを構築します
インターネットVPNに比べて通信速度やセキュリティを確保しやすいですが、コストも高くつきます
IP以外のプロトコルも利用できるため、IP-VPNよりもカスタマイズ性が高いですが、その分ネットワーク設定も複雑
ディスカッション
コメント一覧
まだ、コメントがありません