いさぼうネット
賛助会員一覧
こんにちはゲストさん

登録情報変更(パスワード再発行)

  • rss配信いさぼうネット更新情報はこちら
 シリーズコラム 「よろずIT・ネットワーク情報」 
【第11回】 VPNについて
 



(1)VPNとは

 VPN(Virtual Private Network:仮想プライベートネットワーク)とは、仮想的にプライベートネットワーク(社内LANや家庭内LAN)にインターネットや専用の回線等を介してアクセス可能にするためのネットワークプロコル(通信規約)や方式、ソフトウェアを指します。

 広い意味でのVPNは、通信事業者等が提供される専用の回線(閉域網)を利用し、その回線のみからアクセスする「IP-VPN」と呼ばれる方式もありますが、コストが割高であまり一般的ではないので、ここではより一般的な「インターネットVPN」に絞ることとします。

 自分の家庭や、出張先からインターネットを介して自分の所属する組織のネットワークに接続することは既に多くの方が実際に行われている思いますが、日常的に使用しているこの「インターネットVPN」の方式にもいくつかの方式がありますので、今回はその方式毎の特徴等を述べてみようと思います。

(2)一般的に使用されている「インターネットVPN」の種類

 一般に使用されている「インターネットVPN」の方式は、恐らく下記のうちのどれかにあてはまると思われます。それぞれの方式につてはあとで述べます。

・PPTP( (Point-to-Point Tunneling Protocol)
(ポイントトゥポイントトンネリングプロトコル)

・IPsec(Security Architecture for Internet Protocol、アイピーセック)

・L2TP(Layer 2 Tunneling Protocol)
(一般的にはIPSECと併用される場合が多く、L2TP Ipsec と呼ばれている)

・OpenVPN(オープンソースのVirtual Private Network(VPN)ソフトウェア)
(プロトコルはOpenSSLやSSLv3/TLSv1プロトコルを使用する)

・SoftEther VPN

・SSL-VPN(Secure Sockets Layer virtual private network)

(3)接続対象によるVPNの分類

 VPNは接続する対象が拠点間どうしの接続か、拠点とクライアントPCやスマートフォンとの接続か、で大きく2種類に分類されます。

・拠点間(LAN間接続)VPN
 解りやすく言えばネットワークとネットワーク又はLANとLANを接続するVPNです。一昔前はLAN間接続と呼んでいました。


(ヤマハホームページより)

・リモートアクセスVPN
 単体のホスト(PCやスマートフォン)と拠点ネットワークを結ぶVPNです。通常私たちが自宅や出先から自分の職場のネットワークにアクセスする場合はこの方式です。


(ヤマハホームページより)

(4)VPNにより接続されるネットワークレイヤによる分類

L2とかL3とかあまり聞きなれないと思いますが、これは国際標準化機構 (ISO) によって制定されたネットワーク構造の7階層(レイヤ)の2層(L2:データリンク層)と3層(L3:ネットワーク層)を意味します。


(ヤマハホームページより)


 わかりやすく言えば、L2はルータ等を介しない同一LAN上と同等の状態。L3はルータ等を介してネットワークをTCP/IPプロトコルのルーティングで接続した状態と考えられます。この違いは実際の接続後の状態やVPNの使い勝手にも影響がありますので、現在自分の組織にVPNで接続されている方も自分が使っているVPNがL2なのかL3なのか調べてみるのも何かの役に立つと思います。以下にその違いを述べます。


・L2(レイヤ2)VPN
 わかりやすく言えば社内LANと同等の状態になります。ですから社内でアクセス可能なファイルサーバやプリンタ等も社内と同等にアクセス可能となります。その代わりにTCP/IPのフィルタリングが不可能となりますから、セキュリティが甘くなる欠点もあります。

・L3(レイヤ3)VPN

 通常TCP/IPのルーティング機能でサイト間接続やリモートアクセス接続されますので、そのままではTCP/IPプロトコルと異なるWindowsネットワークのホスト名やファイルサーバへのアクセスはできません。WindowsのPCやファイルサーバにアクセスする為には、Windowsホスト名解決の為のwinsサーバを設けたり、各windowsサーバマシンに「Netbios over TCP/IPを有効にする」という設定が必要になる場合があります。

(5)「インターネットVPN」の各方式ごとのその特徴について

・PPTP( (Point-to-Point Tunneling Protocol)

 Microsoft, 3Com, Lucentによって共同開発され、windows95に搭載されたレイヤー3のVPNプロトコルで、TCPポート番号は1723番を使用し、レイヤー3のトンネリングプロトコルはGRE(Generic Routing Encapsulation)を使用し、レイヤー2のカプセリングはMPPEを使用している。。
 一般的に特徴は、リモート(クライアント)アクセスVPNに使用されることが多く、サイト間接続ではレイヤー3接続がほとんどである。
暗号化レベルが低いがその代わり速度は高速である。ほとんどのパソコンOSでサポートしており設定も簡単なので高速で使いやすい。

・IPsec(Security Architecture for Internet Protocol)

 IPsecはネットワーク層でセキュリティを実現するプロトコルでかつ認証方式や暗号化方式も柔軟に組み合わせることができ、非常に堅固なセキュリティをもつVPNを構築することができる。この為サイト間VPNの主流として長年使われ続けている。一般的には鍵交換方式としてIKEプロトコル、暗号化方式としてESP、認証方式としてAHプロトコルが使用されている。注意すべきことは、IKEプロトコルにはV1(バージョン1)とV2(バージョン2)があり互換性がないので、相互接続等の場合は注意する必要がある。

・L2TP(Layer 2 Tunneling Protocol)

 L2TPはレイヤー2のトンネリングプロトコルであり、IPsecと組み合わせ、一般的にはL2TP/IPsecという呼び名で数年前から広く普及し始めました。前述のPPTPがリモート(クライアント)アクセスVPNではレイヤー3レベルのVPNであるのに比べ、L2TP/IPsecではL2(レイヤ2レベル)でのリモート(クライアント)アクセスVPNが容易に構築可能なので、現在リモート(クライアント)アクセスVPNの主流となり、広がりつつあります。
 このVPN方式を導入する最大のメリットは、L2(レイヤ2)VPNであるということが最大のメリットです。つまり自宅や外出先からL2TP/IPsecを使用して勤務先に接続するだけで、社内LANに接続しているのと同等の環境が手軽に実現でき、Windowsサーバにも手軽にアクセス可能だということです。


OpenVPN(オープンソースのVirtual Private Network(VPN)ソフトウェア)

 ルータや特別なアクセス専用機器を使用せずに、PCにこのソフトをインストールすることによってVPNサーバとすることができ、同じソフトウェアをリモートアクセスポイント用としてVPNクライアントマシンにインストールすることで手軽にVPNを構築できるVPNサーバ兼VPNクライアント用ソフトウェアです。
 特筆すべきは、オープンソースの無償で提供されるソフトウェアであるにもかかわらず、L2(レイヤ2)VPNとL3(レイヤ3)VPNの両方をサポートしている点です。現在最も手軽にローコストでVPNを構築する方法がこのOpenVPNを使用したVPNと思われます。PPTPやL2TP/IPsecと異なる点はWindows等のOSレベルでのクライアントアクセスソフトウェアサポートがあまり普及していないので、クライアントPCにはOpenVPNソフトウェアをクライアントモードでインストールする必要があるということです。

・SoftEther VPN

 SoftEther 1.0 は,登大遊さんが筑波大学の学生時代に開発し、2003年に公開され、無償で配布されました。特徴はその当時ではめずらしく、L2(レイヤ2)VPNをサポートしていた為その使いやすさからまたたくまに全国急速に普及しました。
 現在はソフトイーサ社が開発・販売を行っており、PacketiX VPN 2.0の名前でリリースされています。

・SSL-VPN(Secure Sockets Layer virtual private network)

 他のVPN方式がVPNクライアント用のソフトとしてOS組み込みのソフトや専用クライアントソフトが必要であるのに対して、SSL-VPNはこのクライアント機能をWebブラウザで行う為、VPNクライアントソフトやOSにVPNクライアント機能が無くてもWebブラウザさえあればVPNが実現するというVPN方式です。一般のWebシステムのSSL通信に使用されるポート番号443を使用します。
 SSL-VPNの方式は大きく2種類に分かれ、Webブラウザで動作するアプリケーションのみ動作するリバースプロキシ方式と、それ以外の一般のプログラムも動作可能なポートフォワーディング方式があります。
 ポートフォワーディング方式は比較的最近開発された方式ですから、今後広く普及する可能性があります。なによりもWebブラウザさえあれば勤務先のデータをすぐ利用できるというのが最大のメリットと思われます。


(6)まとめ

 既にご自分の職場にVPNでアクセスされている方は、ご自分が上記のどの方式でアクセスされているか解りましたか?
 ひとくちにVPNといっても、上記の様に接続する対象、透過できるレイヤ、OSにクライアントソフトが組み込まれているか?、VPN用の機器を購入するか?それともソフトウェアだけで構築するか?等、さまざまな方式があります。
 現在ご使用のVPNの費用をもっと抑えたい。よりセキュアなVPNにしたい。拠点へのVPNアクセスをもっと楽に行いたい。もっと速度が出ればいいのに・・・等のさまざまな要望や改善点があるかもしれません。
 また、職場とのVPNを全く使用されていない方もおられると思います。

 最も初期投資を少なくしてランニングコストも少なくできるVPNとしては、OpenVPNがお薦めです。インターネット契約を1固定IPにして、PCをサーバにすれば構築可能です。但しある程度コンピュータとネットワークの知識を有する人が最一人は必要となります。

 私の現時点のお薦めはL2TP/IPsecです。最近この機能を有するルータが増えてきていますので、ルータのユーザ認証機能さえ他のシステムと連携できれば比較的ローコストで信頼性もあり、Windows等のOS組み込みのクライアントVPN機能やスマートフォンから容易にセキュアなVPNアクセスが可能となります。

いろいろ述べてきましたが、本投稿が少しでもネットワークアクセス環境改善の御参考になれば幸いです。
 

Copyright(C) 2002- ISABOU.NET All rights reserved.