windows で vpn
DESCRIPTION
Windows で VPN. 山下 敦巳. VPN とは?. Virtual Private Network = 仮想専用線 物理的な結線を使用せず、ソフトウエア的にエミュレートされた専用線 ネットワークを飛び越えて、トンネルを作成. VPN の基本原理. ローカルの IP パケットを、他の IP パケットに包んで配送 カプセル化 送信側:別のパケットをペイロードに格納した VPN パケットを作成 ↓インターネット網↓ 受信側: VPN パケットのペイロードにあるパケットを取り出す. 注: TCP の例. 用語について. - PowerPoint PPT PresentationTRANSCRIPT
VPN の基本原理• ローカルの IP パケットを、他の IP パケットに包んで配送
• カプセル化
• 送信側:別のパケットをペイロードに格納した VPN パケットを作成• ↓インターネット網↓• 受信側: VPN パケットのペイロードにあるパケットを取り出す
用語について• プライベートアドレス
– NIC に申請しなくとも自由に使えるアドレス– 192.168.0.0 - 192.168.255.255 /24– 172.16.0.0 - 172.31.255.255 /16– 10.0.0.0 - 10.255.255.255 /8
• グローバルアドレス– NIC に申請して使用するアドレス
• ローカルネットワーク (⇔ パブリックネットワーク)– 組織内のネットワーク ( アドレスはプライベートでもグローバルでも )
• ローカルアドレス– ローカルネットワークで使用されているアドレス
インターネット VPN と IP-VPN
• インターネット網を使用する
• 一般消費者向けの回線を利用
• コストが低い
• 品質はそれなり
• キャリア ( 通信事業者 )自前の回線を使用
• キャリアまでは一般の回線
• コストが若干かかる• VPN としては品質がよい• 品質保証しているもの有
IP-VPN のプロトコル• MPLS(Multi Protocol Label Switching)
– IP アドレスとは別に、ラベルを貼ってパケットを送受信
– こちらのほうがメジャー– RFC2547
• VR ( Virtual Router )– 拠点ごとに仮想的なルーターを作成して送受信– VRRP とはまた別
インターネット VPN のプロトコル
• PPTP ( Point to Point Tunneling Protocol ) – Microsoft 、 Lucent(Ascend) 、 3Com(US.Robotics ) が開発– RFC 2637
• L2TP ( Layer 2 Tunneling Protocol ) – IETF ( Internet Engineering Task Force ) による標準化– RFC 2661
• IPSec(IP Security)– IETF による標準化– RFC 2401 ~ 2412 RFC 2451– IP v6でのセキュアな通信で注目 (IP v4でも動作 )
PPTP( カプセル化 )
① ローカルのパケットを PPP パケット (Point to Point Protocol) 化。 ユーザ認証 アドレス 圧縮方法 エラー訂正方法
② PPP のパケットを、 GRE パケット (Generic Routing Encapsulation) 化
トンネルを掘る
③ GRE のパケットを、 IP パケット化 IP ヘッダの付与
PPTP( 暗号化と認証 )
• 暗号化– PPP パケットのデータ部分が暗号化される– RC4 ( 40,56,128bit )
• 認証– PAP ( 平文 )– CHAP (MD5)– MS-CHAP (MD4&DES) v1 v2– EAP-TLS ( 電子証明書方式 )
PPTP( その他 )
• 制御用パケットと GRE パケットの2種類を使用– 制御用パケット :TCP Port1723– GRE パケット :IP プロトコル識別番号 47
• 対応したルータが必要– GRE パケットは、対応したルータしか通過不可
• Windows95,98,98SE,Me でも使用可– 上記 OS ではクライアント機能のみ
• WIndows95 では、ドライバのアップグレードが必要– 対応 OS の幅が広い
L2TP
• PPTP と L2F を統合したプロトコル• L2F (Cisco,Nortel) RFC 2341
• 単独ではセキュリティ機能をもたない
• フレームリレー、 ATM でも使用可能
• Windows では IPSec と組み合わせて使用
IPSec (暗号化と認証)
• 暗号化– DES,AES(Rijndael:DES より強力 )
• 認証– IKE プロトコル (UDP) で事前に認証を行う
• 認証が完了してから、データ本体を通信
– パケットの内容改ざんチェック• ハッシュ関数に MD5 や SH-1 を利用
– MD5(128bit), SH-1(160bit)
IPSec (その他)
• IKE パケットと ESP パケットの 2 種類を使用– IKE( ユーザ認証用 ) パケット: UDP Port500– ESP : IP プロトコル識別番号 50
• 対応したルータが必要– ESP パケットは、対応したルータしか通過不
可
L2TP over IPSec
• Windows で VPN に採用されている L2TPは、 L2TP using IPsec
– RFC3193
① IPSec で暗号化されたチャネルを作成• 認証は IKE を使用
② L2TP でトンネル作成
IPSec の Tips
• AH と ESP– AH :データ認証のみ– ESP :データ認証と暗号化
• トンネルモードとトランスポートモード– トンネルモード : トンネル化と暗号化– トランスポートモード:暗号化のみ
SoftEther
• ソフトウェアのインストールで使用可能• 現状でフリー ( 無料 )• 日本人が作成したことで注目
– 平成 15 年度 未踏ソフトウェア創造事業 未踏ユース部門 の支援• 仮想 HUB と仮想 Ethernet カード
– ソフトウェアでエミュレート• VPN パケットの通らない Proxy も通る
– TCP Port 7777, 443
• Windows2000,XP,2003,Linux に対応
SoftEther
• 暗号化– 秘密鍵方式
• RC4-MD5• RC4-SHA,AES128-SHA,AES256-SHA
• L3 パケットフィルタ機能 ( 仮想 HUB)– DHCP の禁止など
• DoS アタック、ワーム、 IP 重複防止機能– トラブルの防止
• 配布サイトhttp://www.softether.com/
なぜ、 VPN なのか?• 共有の回線を使えるので、安い
– 専用線やフレームリレーと比較にならない程安価– 月 1 ~2万円前後の費用負担– 拠点間で使用すればコストダウン大
• 遠距離ほど恩恵
• 構成変更の自由度が高い– グローバル IP が届けば大抵は OK– 用途は工夫次第
• 自宅 HDD へのアクセス• リーモートデスクトップ etc.
なぜ、 VPN なのか??• 面倒なネットワークポリシーを迂回
– リモートデスクトップを利用し自宅のメールを閲覧
– F/W で通らないはずのパケットが通る–職場に置けないデータにアクセス可能
– こっそりやれば管理者にバレにくい
ハードウェア v.s. ソフトウェア• ハードウェア
– 定番 YAMAHA の例• http://netvolante.jp/• RTX1000,RTX2000,RT300i,RTV700,RT105i, RT10
5e,RT57i,RT56v• ネットボランチ DNS サービスがあれば、動的 IP で
も運用可能
– クラッシュが少ない– VPN に専念させられる– セキュリティの心配 少– 安定稼動が期待できる
– 購入時にコストがかかる– 機能追加はメーカ頼み
• ソフトウェア– 手段が選べる
• OS 標準のもの• SoftEther など
– 自由にログが取れる• HDD の空き容量依存
– 拡張性 大
– セキュリティに不安– 安定稼動に不安
VPN のデメリット• 遅延が大きい
– 専用線と比較して経由するルータ数が多いので、遅延も大きい
– ルータの処理は PPS単位
• 帯域保障されない VBR(0bps含む ) である– ADSL,CATV を経由するとさらに悪化
• セキュリティに大穴が開く可能性– F/W を超えられると手に負えない –外向けに VPNサーバを晒す必要がある
ADSL,CATV接続での問題点• 安価なために、 ADSL や CATV を採用すると問題
• 光でも、マンション内が DSL の場合が該当• サーバ側はグローバルアドレスが必要になる
– NAT 可 ( ただし、条件つき )
• ADSL,CATV は、通信品質が安定しない–ノイズの問題 ( 干渉、電話保安器の問題 )–局からの距離の問題–帯域共有の問題
VPNサーバ側 DHCP 使用時の問題
• DHCP の場合、動的にアドレスが変更になるので、サーバの特定が困難
• DDNS を利用する方法があるが、 IP アドレス変更後は DNS名と IP アドレスとのヒモ付けにタイムラグがある
• その間、通信途絶
NAT 利用時の問題• PPTP,L2TP using IPSec 共に、 VPN パ
ススルーなルータが必要
• 「 IP プロトコル識別番号」単位でのスタティックルーティング機能がないと、サーバが機能しない– Port 番号でのスタティックルートだけでは ×– Port 番号がないパケットを使用するため
拠点間接続で通信品質優先の場合
• VPN接続機能を持ったルータ製品を使用– フリーズの危険を回避– VPN パススルー機能ではなく、拠点間接続機能
• FTTH の利用– 高速、高品質
• メジャーなプロバイダを選定–メジャーでも、混んでいるところは避ける
• 予備回線の確保–予備回線には ADSL,ISDN も候補に
拠点間接続で避けたい要素• どちらとも、 ADSL を使用• PC を VPNサーバに利用
– VPN以外にも利用している可能性– パソコン故の不安定要素
• ダイナミック (固定でない )IP アドレスを使用– IP アドレスはいつ変わるかわからない– DDNS を利用しても途絶の可能性
• いつ止まるかわからないプロバイダ
会社から自宅につなげる場合• ADSL でも十分• ダイナミック IP アドレスでも、なんとか我慢• VPN パススルー機能のついたルータで、宅内
の PCサーバへ接続– IP プロトコル番号のスタティックルーティング必須
• VPNサーバへグローバルアドレスで接続できないとだめ
• 管理者への相談必須
インフラ側から見た VPN
• 専用線は予備回線まで含めた敷設をする– 予備回線を省いてコストダウンしたものもある
• ネットワーク タダ乗り論– 共有回線を専用線として乗っ取る
• Web,e-mail といったトラフィックとは異質– 業務用のデータを通された場合、回線真っ黒– ストリーミングも同じく– ビジネスモデルが崩れる可能性
まとめ• 工夫次第で低コストな運用• 専用線と同等の回線品質を求めてはダメ
– 業務用なら、ある程度のコスト– それでも、専用線と比較すると安い– IP-VPN の必要性も視野に入れる
• 個人利用なら、我慢できればなんでもあり• ネットワークポリシーには配慮すべき
– セキュリティの敵 (?) の動向に目を光らせる必要