【ネスペ対策】【VPN】VPNの全体像について整理する

2023年3月30日

はじめに

お世話になります、hosochinです
今回はIPAのネットワークスペシャリスト対策ってことでVPNについてです
VPNって色々種類があるし、登場するプロトコルとかも沢山あってごちゃごちゃしてきませんか?しますよね?
ってことでVPNの全体像を把握すべくポイントを整理してみたいと思います

キーワードから全体像を把握する

まずは全体像について僕の理解をメモっときます

VPN

VPN = Virtual Private Networkの略で、仮想的なトンネルを構築することで安全に通信をするための技術です
VPNは主に「インターネットVPN」「IP-VPN」「広域イーサネット」に分類されます

種類キーワード特徴
インターネットVPN・IPsec
・SSL-VPN
・インターネット環境 + VPN機器が必要
・他に比べて比較的安価に構築可能
・インターネットを介すためセキュリティリスクは他に比べて高め
IP-VPN・MPLS・通信事業者の閉域IP網を利用
・インターネットVPNよりもセキュリティ強度高め
・レイヤ3で使用するプロトコルはIPに限定
広域イーサネット・EoMPLS・通信事業者の専用回線または閉域網を利用
・基本的な特徴としてはIP-VPNと同じ
・レイヤ2のプロトコルも使用できるため、IP-VPNより柔軟な設計が可能

インターネットVPN

インターネットVPNの方式として大きく「IPsec-VPN」「SSL-VPN」の2種類があります
そのほかには「L2TP/IPsec」「PPTP」なども試験で登場しそうですがここでは割愛します

種類プロトコル階層概要コスト安全性
IPsec-VPNネットワーク層・IPパケットを暗号化する高価高い
SSL-VPNセッション層・SSL技術で暗号化する
・SSL対応のWebブラウザがあれば利用可能
安価低い

IPsec-VPN

IPsec = Internet Protocol Securityの略で、IPパケットを暗号化することでトンネリングします
IPsecのキーワードは「SA」「IKE」「AH」「ESP」です
通信モードとして「トランスポートモード」「トンネルモード」の2種類があります

IPsec-VPNの通信イメージ

前述したキーワードを使ってIPsecの通信のイメージを掴みたいと思います
通信のイメージは以下です

  • まず送信者、受信者間でSAを確立する
    • SAとはSecurity Associationの略で、VPN装置間で確立するコネクションのこと
    • どのような鍵や暗号方式を使うかなどの取り決めを行う
    • SAは一方通行で行われるため、双方向の通信を行うためには2つのSAを確立する必要がある
      • ルータA → ルータBで1つ
      • ルータB → ルータAで1つ…みたいな
  • 通信する実際のデータはAHまたはESPといったプロトコルで情報漏洩や改竄を防ぐ処理を行う
  • IKEで鍵交換
    • IKE = Internet Key Exchange Protocolの略で、暗号化通信のための鍵交換プロトコル
    • ESPで使用する鍵交換の際に使われる
    • 一般的に事前共通鍵方式が用いられることが多い
    • (IKEにはバージョン1とバージョン2があり、バージョン1は仕様が複雑なため試験で問われやすい)

IPsecの通信モード

IPsecの通信モードには「トランスポートモード」「トンネルモード」の2種類があります

通信モード暗号化範囲利用シーン特徴
トランスポートモードクライアントサーバ間リモートアクセスVPNなど・クライアント端末にVPNのアプリケーションを設定する必要あり
トンネルモードルータ間拠点間VPNなど・ルータがVPNに対応している必要あり
・例えば支社間のネットワークを繋ぎたい場合などはこちらが採用される

SSL-VPN

SSL-VPNはSSL技術を使用したVPNです
SSL-VPNには「リバースプロキシ」「ポートフォワーディング」「L2フォワーディング」の3種類の方式があります

方式特徴
リバースプロキシ方式・Webブラウザのhttps通信を利用して通信する
・Webブラウザに対応していないアプリケーションでは使用不可
ポートフォワーディング方式・クライアント側のアプリケーションにJavaアプレットなどのVPNモジュールを追加して通信する
・Webブラウザに対応していないアプリケーションでも使用可能
・事前にサーバ側でクライアントのIPアドレスとポート番号を定義する必要があるため、動的にポート番号が変わるようなアプリケーションでは使用不可
L2フォワーディング方式・クライアント側でVPNクライアントソフトを導入して通信する
・クライアントソフトにより、クライアント側で仮想NICが構築され、この仮想NICを経由して通信する
・Webブラウザに対応していないアプリケーションでも使用可能
・ポート番号が動的に変更するアプリケーションでも使用可能

IP-VPN

通信士業者の閉域IP網を利用してVPNトンネルを構築します
インターネットVPNに比べて通信速度やセキュリティを確保しやすいですが、コストも高くつきます

広域イーサネット

通信士業者の専用回線または閉域網を利用してVPNトンネルを構築します
インターネットVPNに比べて通信速度やセキュリティを確保しやすいですが、コストも高くつきます
IP以外のプロトコルも利用できるため、IP-VPNよりもカスタマイズ性が高いですが、その分ネットワーク設定も複雑