![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
ソースサイト http://atnetwork.info/
| インターネットVPN(IPSec-VPN) | インターネット網内をIPSecで暗号化して利用 |
| IP-VPN(MPLS-VPN) | プライベートIP網内でMPLSでは、従来のルータの動作とは異なり、あて先IPアドレスを見る代わりに、「ラベル」と呼ばれるパケットに付けられた目印のみを見てフォワーディングを行う。 |
| SSL-VPN | 「SSL-VPN」は、レイヤ4~レイヤ7で暗号化を行うVPNです。アプリケーションレベルの柔軟なアクセス制御ができるのが特徴ですが、使用できるアプリケーションが制限されるのが難点です。「SSL-VPN」の最大のメリットは、OSさえあれば、特別なソフトウェアをインストールしなくとも簡単に「SSL-VPN」が利用できるということです。OSは、標準的にSSLに対応したWebブラウザが搭載されています。Webブラウザさえあれば、クライアントへの特別なソフトウェアのインストールも必要ありませんし、環境設定も必要ありません。運用管理コストを大幅に削減することができます。Web以外のSSLアプリケーションを利用する場合は、SSL-VPN用に特別なJavaアプレットを用意しなければなりません。「SSL-VPN」では、IPヘッダもTCPヘッダも暗号化しないため、NAT固有の問題もありません。基本的にSSLのポート番号443をファイアウォールで許可するようにしておくだけで通信できます。 |
| その他 | 他にL2-VPN(Ethernet-VPN)広域イーサネット使用や暗号化に問題のある「L2TP-VPN」などがあります |
IPsec は暗号化と認証の総称で複数のプロトコル体系で構成されています。
IPsecを理解するためには、次のプロトコル体系を理解しておく必要ががあります。
| IKE | UDP500番ポート |
| AH | TCP51番ポート |
| ESP | TCP50番ポー |
IKEはインターネット鍵交換プロトコルで、IPSec におけるセッションとも言える「SA」を制御するためのプロトコルです。
実際にパケットをやり取りする前に、VPN装置間でコネクションを確立する必要があります。
そのコネクションが「SA(Security Assosiation)」と呼ばれるトンネルです。
IPSec で通信行う場合、全てこの「SA」というトンネルを経由してパケットを送受信します。
「SA」とは、単方向のコネクションのため、パケットを送受信するには、2本の「SA」が必要になります。
また「SA」は、プロトコルごとに確立されるため、AHとESPの両方使用して双方向で通信を行う場合は、4つの「SA」が必要になります。
※AHとESPの併用はスループットが低下するため、あまり利用されていません。
IKEを利用することで、鍵の生成と交換、そして、安全性を高めるため鍵の定期的に更新を自動的に行うことができます。
AHは、IPSecでパケットを認証するためのプロトコルです。
送信元の認証、改ざんされていないことの保証、リプレイ・アタックの阻止などの機能を提供します。
ESPは、IPSecでパケットの暗号化を行うためのプロトコルです。
今では、認証機能も持つため、AHをを使わなくともESPのみでIPSecの実装が可能です。
昔は、AHとESPの住み分けができていましたが、AHとESPを併用するとスループットが低下するため、
現在、併用して利用されることは、あまりありません。認証を強化したい場合は、併用します。
IPSecの動作の流れを簡単に示すと以下のようになります。
IPSecを用いたVPNでは、フェーズ1、フェーズ2を行った後に、
暗号化したIPパケットを通信を通信するようになっています。
| フェーズ1の役割 | SAを確立する相手の認証 / フェーズ2の通信を安全に行う為の共有秘密鍵の生成 / ISAKMP SAの確立 |
| フェーズ2の役割 | IPsecで通信時に使用する秘密鍵の生成 / IPsec SAの確立 |
