サーバー構築 セキュリティ TCP/IP基礎 TIPS 書籍 ブログ

Web全体 サイト内検索

 TCP/IPの基礎知識
TCP/IPとOSI参照モデル
必須:コンピュータの情報単位
IPアドレスとその仕組み
プリフィックス値とサブネットマスク
グローバル/プライベートアドレス
ブロードキャスト/マルチキャストアドレス
 プロトコル別解説編
ARPとRARP/MACアドレス
ポート番号とは?
TCPとUDP/両プロトコルの相違
ICMPとは?
DNSとは/DNSサーバーの仕組み
VPN(PPTP/L2TP)とは
 実践ネットワークコマンド
PINGコマンド/MTU値の調整
TRACERTコマンド
NETSTATコマンド
NSLOOKUPコマンド
ARPコマンド
IPCONFIGコマンド
 各関係組織・団体
JPNIC
Whoisデータベース(VeriSign)
IANA
 




インターネットに接続されている利用者間で第3者がアクセスすることのできない閉域グループを形成したネットワークのことをVPN(Virtual Private Network)と呼んでいます。本来は公衆回線をあたかも専用回線であるかのように利用できるサービスのことを指し、最近では主にインターネット上で認証技術や暗号化を用いて保護された仮想的な専用回線のことを指しています。VPNを利用したネットワークでは、インターネット上にデータを送出する際にトンネリング・プロトコルと呼ばれる特殊なプロトコルを活用しており、本来のパケットに新しいIPヘッダを付加するカプセル化や暗号化を実現し、結果としてインターネット上に仮想的な通信トンネルを構成することができるようになっています。VPNを張れる装置としては、VPNのための専用装置、VPN機能搭載ルーター、その他にもパソコンにVPN専用のソフトウェアをインストールする(組み込む)ことでVPNを張ることができます。特に、ルーターにはVPN機能が搭載していることが購入のための絶対条件であると考えている方もいるでしょう。VPNの基礎技術としてはトンネリング技術と暗号化技術があり、トンネリングプロトコルとしては、Windows98以降のOSに標準搭載されているPPTPや、今後に広まっていくと考えられているL2TP(IPSec)などが挙げられます。



◎VPN構築例




このような仮想施設網を構築することによってインターネット経由であれ、セキュリティを確保しつつ社内の基幹サーバーへとアクセスすることができるようになり、いわゆる自分のための専用網(ホットライン)を確立することができるのです。

■VPNの利用形態

VPNの利用形態には大きく分けて2種類あり、ふたつの違いを正しく理解した上でスムーズなVPN環境を構築することができるようになります。

①LAN間接続で用いられるVPN

LAN間接続で用いられるVPNは、ふたつの異なるネットワークとインターネットとの接点にVPNサーバー(Windows2000 Serverなど)を設置します。社内ネットワークにあるクライアントマシン自体に、VPNモジュールが導入されている必要はありません。仮に特定のクライアントが社内にあるVPNサーバーにデータを送る際は、暗号化されていないパケットが送信されます。その暗号化されていないパケットを受け取ったVPNサーバーはパケットを暗号化し、相手側のVPNサーバーを宛先としてパケットを送信します。データを受けとった相手側のVPNサーバーは暗号化されたパケットを復号化し、暗号化されていない状態にしてから(元の状態)社内ネットワークにある特定のクライアントにパケットを送り届けます。
②リモートアクセスで用いられるVPN

リモートアクセスの場合は、クライアントマシンにVPNモジュールが実装されている必要があります。クライアントは直接、ISP経由などでインターネットに接続しますが、その際にクライアントマシン自らがトンネルの確立やデータの暗号化処理を行い、パケットをVPNサーバー側へ送出します。サーバー側は上記で述べたLAN間接続で用いられるVPNと同様で、暗号化されたデータを元の状態に復号化し、社内ネットワークの特定のクライアントマシンにデータを送り届けます。

以下にはPPTPとL2TPについて詳しく解説していきます。

■PPTPとは

PPTP(Point to Point Tunneling Protocol)とは、Microsoft社によって提案された暗号通信のためのプロトコルのことで、Windows98以降のマイクロソフト製品には標準で実装されています。PPTPは主にPPPを使用したダイヤルアップ接続の際に、PPPのパケットを暗号化、カプセル化して、全てIPネットワーク上に通してしまう仕組みを確立させたもので、TCP/IPだけではなく、IPX/SPX、NetBEUIといったあらゆる通信プロトコルを扱うことができます。

◎PPTPが実現するカプセル化技術




※GRE(Generic Routing Encapsulation)とは、特定のネットワーク層のプロトコルを、他のネットワーク層でカプセル化する為の手順を規定した情報のことです。

なお、PPTPによるVPNを実現するためには別途PPTPサーバーを用意するか、その機能を有した専用ルータを設置する必要があります。PPTPサーバー機能を有するOSにはWindowsNTや2000Serverなどがあり、そのPPTPサーバーでカプセル化されたパケットを展開したり、複合化(暗号の解読)の手順を踏む必要があります。最近では特定のプロバイダでVPN構築支援サービスが提供されており、本格的なサービスを受けたい方や企業団体はこれらのサービスを活用するのもひとつの手でしょう。また、PPTPはTCP1723番を使用しているのでファイアーウォールを構築しているネットワークではこのポート番号を透過しておく必要があります。その他にもGREのプロトコルIDも透過するように設定してください。PPTPについて詳しく知りたい方はWindowsのヘルプ[F1キー」が参考になるので随時、参照してください。

■L2TP(IPSec)とは

L2TP(Layer-2 Tunneling Protocol)は、IPSec(Security Architecture for Internet Protocol)と呼ばれるネットワーク層の暗号化技術と組み合わせて、パケット全体を暗号化することができるため、PPTP以上の強固なセキュリティを確保することができます。具体的には認証ヘッダ(AH)や暗号ペイロード(ESP)という構造をIPパケットに付加し、その中にIPパケットの暗号情報や認証情報を格納することによって、パケット毎のセキュリティー機能を実現しています(PPTPの場合はヘッダ情報を暗号化することはできず、実データのみの暗号しかできません)。より機密性の高い情報を扱う際には十分な効力を発揮します。

しかし、L2TPのクライアント機能はWindows系OSではWindows2000とWindowsXPのみの実装に留まっており、サーバー機能についてはWindows2000Serverの他、いくつかのルータで実装が始まっています。よって、L2TPが本格的に使用されるようになるのはもう少し時間がかかるでしょう。

◎IPSecによる暗号化と復号化の例





◎WindowsのPPTPとL2TPの対応状況
OS L2TPサーバー L2TPクライアント PPTPサーバー PPTPクライアント
Windows2000 Server
Windows2000 Professional × ×
WindowsNT4.0 Server × ×
WindowsNT4.0 Workstation × × ×
Windows98 × × ×
Windows95 × × × ×(注)
(注)Windows95にはデフォルトではVPNクライアントの機能はありませんが、Microsoft社ホームページよりVPNモジュール(PPTP)を無料でダウンロードし、PPTPクライアントとして動作させることが可能です。

 
Copyrights©KORO 2002-08 All Rights Reserved.Since 02/08/15 | サイトのプライバシーポリシー