ダメ漢ジョンたろうの生存戦略

どうしたら楽に生きられるのでございましょうか

VPNの種類と相違点を簡潔にまとめてみる

 こんばんはジョンたろうです。この度お客さんから、社内ページのリモートアクセス用にVPNを構築してほしいと言われまして、少々調べることに致しました。VPNが大体どんなものかは知っておりましたが、ワタクシはあくまでも業務アプリケーションエンジニアのため、一から構築したことはございませんでした。そこで改めて調べてみると、これが結構ややこしかったです。忘れないうちにまとめておくことに致します。

VPNは2種類に大別できる

 VPNは大きく分けて2種類に分けることができます。それがInternet-VPNIP-VPNです。それぞれについて以下の表にまとめてみました。

種類 説明
Internet-VPN 通常のインターネット網の中で構築されるVPN。今回ワタクシが扱うのはこちらになります。
回線業者によるVPN 回線事業者の専用ネットワーク網を使ったVPNで、設定等も回線業者任せ。さらにIP-VPNと広域イーサネットVPNに分けられる。

 なお、回線業者によるVPNの細かい話は割愛させていただきます。

◆参考:
IP-VPNとインターネットVPNは何が違う? | 日経 xTECH(クロステック)

インターネットVPNは2種類に大別できる

 インタ―ネットVPNにも2種類あるんですね。以下の表のとおりです。

種類 説明 利点 主な用途
IPsec-VPN IPsecプロトコルによるVPNネットワーク層以上を暗号化する。 設定が柔軟(逆に言えば複雑)で、動作がやや早め 拠点間接続
SSL-VPN SSLTLSプロトコルによるVPN。セッション層以上を暗号化する 設定が単純でクライアントソフトを配布しやすい リモート接続

◆参考:
VPNとは

IPsec-VPNについて

 IPsec-VPNは、更に2種類に分けられます(またかよ!)。以下の通りです。

種類 説明 用途
トランスポートモード ネットワーク層よりも上を暗号化する(元のIPは暗号化されずに保持される) 特定端末間のVPN接続
トンネルモード ネットワーク層以上を暗号化する(元のIPが暗号化されて保持される) 拠点間のVPNルータ同士の接続

 現在では一般的にトンネルモードを用いられるようです。何故なら今の時代、特定のコンピュータとコンピュータをVPNでつなぐパターンというのは少なくて、大抵は各拠点のLANとWANの間にVPN対応ルーター(兼ファイアウォールだったりもします)が入っているからです。またトンネルモードを使えば、暗号化するのはVPNルーター間だけでよくなるため、LAN内の各端末でVPNの設定等は必要ありません。

また、VPNで所謂NAT越えをするには、NATトラバーサルというIPsecの拡張技術が必要になります。通常のIPsecではTCP / UPDヘッダーを暗号化してしまうため、VPN接続先に到達する前にルーターがあると、そこから先へ進めません。そこで、暗号化したパケットとIPヘッダーの間にUDPヘッダー(ポート4500)を付与することによって、NAT / NAPTを通過することが出来るようにしたものが、NATトラバーサルになります。

◆参考:
トランスポートモードとトンネルモードの2つの通信モード : 情報処理安全確保支援士(情報セキュリティスペシャリスト) - SE娘の剣 -
IPsec - NATトラバーサルとは(仕組み)

SSL-VPNについて

 SSL-VPNは、更に4種類に分けられます(ギョエエエエエエ)。以下の通りです。

種類 説明 必要条件
よくあるHttps通信(仮名) プレゼンテーション層以上を暗号化する。https://で始まるURLのWebサイトを見るときに使う。 ブラウザがあればOK
リバースプロキシ プレゼンテーション層以上の暗号化 + リバースプロキシ。イントラネットワーク内の特定サーバーへの接続する用途で使う。アプリケーションプロトコルSSL適応可能なもののみ。 SSLに対応しているアプリであればOK
ポートフォワーディング トランスポート層以上を暗号化する。イントラネットワーク内の特定ポートのサーバーへの接続。TCP/UDP以降を丸ごとSSLで暗号化するのでポート番号が変化するアプリケーションでなければ何でもOK 専用VPNソフトを用意
L2フォワーディング データリンク層以上を暗号化する(MACアドレスも含めた全パケット)。どんなアプリケーションでもVPN接続可能 専用VPNソフトを用意

 一つ目についてですが、普通のインターネット上のウェブサイトをHttpsで閲覧するとき(例:はてな)の暗号化をVPNと呼ぶかは分かりませんが、整理するために一応載せておきました。

◆参考:
SSL-VPN入門 第3回 SSL-VPN の実現方法その2 (ポートフォワーディングとL2フォワーディング) : Fujitsu Japan

IPsec-VPN(トンネル)とSSL-VPN(L2)

 トンネリングモードのIPsec-VPNとL2フォーワーディング方式のSSL-VPNの共通点は、どんなアプリケーションでもVPN経由で利用できることです。じゃあ何が違うんでしょうか、ということで各々の利点をまとめました。

種類 利点
IPsec-VPN ネットワーク層以上を暗号化するため、プレゼンテーション層以上を暗号化するSSLに比べてオーバーヘッドが少なく、通信速度が速い。
SSL-VPN Web経由でアクセスして簡単にクライアントソフトを取得できる(配布が簡単)。IPsecに比べて技術的な難易度が低い。

 最初の方でも述べたように、IPsecは拠点間の常時接続、SSLはリモート接続で利用されることが多いですが、これは上表のような違いがあるからですね。多少設定が難しくても、拠点間はつなぎっぱなしだから、出来る限り早い方がいいのでIPsec。リモート接続は多少速度に難があっても、複数のユーザーに出来る限り簡単に接続して貰えることを優先してSSLとなるわけです(だと思います)。

◆参考:
【連載】SSL VPN(2)IPsec VPNとの比較にみるSSL VPNの真価 本記事はNETWORK Guide 2006 SPRINGより転載したもので、内容は当時のものになります。|ビジネス+IT

暗号化方式について

 今日は力付きました・・・。後日まとめます。

以上になります。ご不明点・ご指摘等ございましたら、ご遠慮なくどうぞ。ありがとうございました。