こんにちは、ゆーろんです。
今回はVPNに関して少しまとめてみたいと思います。
昨今のコロナ下/感染症対策下で在宅勤務の需要が上がり、それに伴いVPNの構築需要も上がった存じております。
また個人的にはTP-LinkのVPNルータを買ったのでそれでVPNに興味が再び湧いたということもあり紹介していきます。
ちなみに私のノートサイトではすでにまとめてあるので、よろしければ是非ご覧ください。
6.インフラストラクチャとサービス - ゆーろんアカデミー Web技術解説
このサイトはゆーろんがWeb技術学習のメモ/内容共有のためのWebサイトです。 さまざまなWeb技術に関しての基礎を学ぶことができるようになっています。
目次
VPNとは
VPNは拠点間接続を行う際によく使用される技術。
具体的には複数の離れたLANを1つのLANのように扱えるものといえる。
またVPNの特徴には以下のようなものがある。
- 拠点間通信を安全にする
- コストを専用線などよりも抑えることができる
- 拡張性が高い
VPNには2つの種類があり、大きく分けてIP-VPNとインターネットVPNの2種類がある。
それぞれの特徴は以下の通り。
| パラメータ | IP-VPN | インターネットVPN |
|---|---|---|
| 使用する回線 | キャリア網 | インターネット |
| 安全性 | 高い | 低い |
| コスト | 比較的高い | 安い |
| 帯域保証 | ○ | × |
IP-VPN
IP-VPNは通信事業者が用意した閉域網を使用するVPNサービスのこと。
インターネットVPNよりも安全に利用でき、専用線よりは安価な特徴がある。
IP-VPNでは他の契約者と通信が混在して届かないようにMPLSという技術で宛先の識別を行う。
またネットワーク層のプロトコルはIPしか利用できない特徴がある。
インターネットVPN
インターネットVPNはインターネットを利用するVPNサービスのこと。
インターネット上の回線で仮想的な専用線接続を行うことで拠点間を安全に接続できる。
インターネットを使用するため暗号化が必須であり、帯域幅はインターネットを利用するため常に保証されない特徴がある。
そのため通信速度の安定化は見込みにくい。
またインターネットVPNには以下の2種類がある。
- サイト間VPN
- リモートアクセスVPN
インターネットVPNの種類
サイト間VPN
サイト間VPNは拠点間のLAN接続のためのVPN接続のこと。
それぞれの拠点にVPN対応ルータを設置し、VPN設定を行うことでトンネルが生成され暗号化や複合化の処理が行われることになる。
トンネリングにはIPsecが使用される。
リモートアクセスVPN
リモートアクセスVPNは端末などが社内ネットワーク等に接続するためのVPN接続のこと。
拠点にVPNアクセスを受け付ける機器の用意とアクセスするクライアント端末にVPN接続の専用ソフトウェアをインストールする必要がある。
VPNの技術
VPNの技術はカプセル化と暗号化が基本となる。
トンネリング
トンネリングはVPNを構築する端末間に仮想の専用線を構築するもの。
トンネリングでは相手と通信するためのパケットを別のプロトコルのデータ部にカプセル化することで隠ぺいする。
暗号化
トンネリングでカプセル化するだけでは盗聴された際に解析されてしまうため、元のパケットを自体を暗号化する。
それにより情報を隠ぺいすることになる。
トンネリングに使用されるプロトコル
トンネリングに使用されるプロトコルは以下のようなものがある。
| プロトコル | 説明 |
|---|---|
| PPTP | PPPを拡張したプロトコル。 PPTPには暗号化機能がないのでMPPEという暗号化プロトコルと組み合わせて利用する |
| L2TP | データリンク層のプロトコル。 L2TPには暗号化機能がないのでIPsecと組み合わせて使用される |
| IPsec | IPsecはIPを使った通信でセキュリティを確保するための規格 |
| PPPoE | PPPの機能をEthernet上で利用できるようにしたプロトコル。PPPoEはPPPをカプセル化してEthernet上で伝送する |
| PPPoA | ATM(Asynchronous Transfer Mode)のネットワーク上でPPPをカプセル化する技術 |
IPsec
IPsecはインターネットVPNでよく利用されるIPを使った通信でセキュリティを確保するための規格。
IPsecでは完全性、機密性、データ発信元の認証、アンチリプレイ機能を提供できる。
またIPsecには以下のような特徴がある。
- IPsec単体ではユニキャストパケットしか転送できない
- AHとESPというセキュリティプロトコルから成り立つ
- トランスポートモード、トンネルモードの2つがある
現在の主流は通信モードはトンネルモードでパケットの暗号化にはESPが利用される。
IPsecのプロトコル
| プロトコル | 機能 |
|---|---|
| AH | 認証機能と未改竄の保証 |
| ESP | AHの機能+暗号化 |
IPsecのモード
| モード | 説明 |
|---|---|
| トランスポートモード | IPヘッダの暗号化は行わない |
| トンネルモード | IPヘッダを含めたパケットの全体を暗号化する |
GRE over IPsec VPN
GRE over IPsec VPNはGREとIPsecを組み合わせてVPNを構築する方法。
IPsecのセキュリティ機能、GREのマルチキャストに対応可能している特徴がある。
具体的にはGREがトンネリングを提供し、IPsecがトランスポートモードで暗号化のみを提供することで実現する。
