NO IMAGE

VPNの話(続き)

  • 2020年10月23日
  • 2020年10月23日
  • なっく

コロナ禍の折、VPNが欠かせない今日この頃ですが、前回は主にVPNの役割やプロトコルについて書いたので、今回は実際の利用シーンから気になりそうな点について書きます。

VPN分類

・拠点間VPN

拠点間をインターネットを介してVPN接続する

私が若かりし頃は例えば東京本社のLANと大阪支社間のLANを相互接続する場合、大体は
専用回線(T1回線)とバックアップ用にISDNで接続していました(今時T1回線とか
ISDNとかはもはや死語に近いか…)が、現在においてはインターネット回線を利用して
VPN接続すれば安全且つ十分な帯域の元で通信ができています。

勿論、インターネットはベストエフォート通信ですので、大きい遅延とか輻輳が起きることがあるので、遅延保証、帯域保証が必要な場合は通信キャリアのIP-VPNを利用することが勧められます(その分お値段は高いですが)。

・リモートアクセスVPN

例でいえば出先もしくは自宅でPCやスマートフォンからインターネットを介して会社のサーバにログインするケースで利用するVPN。

会社側に設置されているルータには概ねVPN(IPsec)が標準搭載されているし、PCやスマートフォンにもVPNクライアント(L2TP over IPsec)が標準搭載されているので、特に新たな設備やソフトウェアの導入をしなくてもすぐに利用開始できます(ひと昔と大違い)。

・AnonymousVPN

PCやスマートフォンからインターネットを介してとあるAnonymous VPNサーバにVPN接続し、そこからインターネット上のいろんなサイトにアクセスするVPNです。

サイトからは送信元がanonymous VPNサーバにしか見えないので、匿名でサイトにアクセスしたいときに利用できます。

お、なんかやばいサイトにいけるし、悪さしてもばれないかな。いえいえ、anonymous VPNを運用している業者は逆探知ができるのでそういったことはやめなはれ。

国外からのアクセスを禁止しているサーバにアクセスしたい場合にはその国に設置されているanonymous VPNサーバに接続すればアクセスができるので、そういった利用は良しとしましょうか。

anonymous VPNの代表的な商用サービスには ExpressVPN や NordVPN などなどたくさんあります。
筑波大学公開VPN Gate学術実験サービス (SoftEther)も anonymous VPNの一つで無料なのでいつでも利用できますよ。モラルとして個人の利益にしかならない目的では使わないように。

VPNの2つのカプセリング方式

VPNの方式には大きく以下の2つがあります。

・Layer2 VPN

拠点間VPNで利用される方式で、Ethernet Frameの単位でVPNカプセリングするので遠く離れた場所とSwitching HUBでつながったように見えます。
ほぼ VLAN (tag-VPNもしくはPort-VLAN) を構築したい場合に利用されてます。

・Layer3 VPN

リモートアクセスVPNは勿論のこと大方のVPNはこの方式を使っています。
IPパケットの単位でIPルーティングのメカニズムによってVPN通信する方式。

VPNの功罪

VPNの利点は認証やデータの暗号化していること以外に

  1. 全てのアプリケーションの通信を暗号化できる
  2. 証明書によって相互認証ができる
  3. アプリケーションは仮想アドレスを使って通信ができるので、所属している
    ネットワークのサブネットやグローバルIPアドレスを気にする必要がない

などがありますが、逆に以下の欠点があります。

  1. 悪意のアプリケーションでもVPNを経由して安全に通信できてしまう
    折角VPNを導入したのに、VPN経路の中を通ってウィルスがばらまかれたなんて情けないことになりかねない。
    VPNルータ等のパケットフィルタリングではTCP/UDPのポート番号を見て判別するしか手段がないので、アプリケーションのセッションの開始時やアプリケーションの送出したパケットのデータの中を走査する仕組みをVPNの出入口に設ける必要があります(これはまさにAIの出番だぁ)
  2. 証明書が盗まれると詐称できてしまう
    証明書が利用者のデバイスの固有情報と紐付けできれば対策になりますが、管理面、プライバシーなど色々検討しないといけないです。
NO IMAGE
最新情報をチェックしよう!

なっくの最新記事8件