6.1 VPN の概要
仮想プライベート ネットワークまたはVPN は、文字通り仮想プライベート ネットワークです。おそらく、携帯電話やコンピュータのブラウザで国を変更したいときに、VPN という言葉をよく聞いたことがあるでしょう。VPN を起動し、国を選択すれば完了です。
ただし、VPN は実際には国とは何の関係もありません。場合は少し異なります。
あなたがオフィスでコンピュータを使って仕事をしていると想像してください。このオフィスには、コンピュータ、サーバー、プリンタ、ビデオ会議装置など、ネットワークにアクセスできるさまざまなコンピュータ機器があります。
状況 1 : オフィスが成長したため、次のフロアに移動することにしました。コンピューターを持ち出し、別の部屋に移動し、別のネットワークコンセントに接続しても、依然として会社のすべてのサーバーとコンピューターにアクセスできます。
おそらく、あなたのコンピュータは現在別のルーターと通信していますが、会社内のすべてのルーターは相互に通信する方法を知っており、同じローカル ネットワーク上にあることによるあらゆる利点を提供します。企業ネットワーク上のどの機器にも問題なくアクセスできます。
状況 2 : パンデミックが始まり、在宅勤務を決意しました。職場のコンピューターを家に持ち帰りましたが、運悪く、自宅ではオフィスのサーバーにアクセスできません。彼らは市の反対側のオフィスに滞在していたのですから、それは当然のことのように思えます。一方、最初のケースでコンピュータを譲渡したときも、オフィスのコンピュータにアクセスできたという疑問が生じます。2 番目のケースでコンピュータを移動すると、アクセスできなくなります。変化したこと?
最初のケースでは、オフィス内のすべてのコンピューター (別のフロアにあるコンピューターも含む) が同じローカル ネットワーク上にありました。しかし、2 番目のケースでは、そうではありません。自宅のパソコンが社内LANに接続されていません。したがって、オフィス ネットワークの内部リソースにはアクセスできません。
この問題の解決策として、仮想ローカル エリア ネットワーク(VPN) というソリューションが提案されました。あなたのオフィスの各フロアには、相互にデータを送信し、ローカル ネットワークの動作を保証するルーターがありました。
2 つの仮想ルーター(プログラムの形式で) を作成する必要があります。1 つはオフィスに、もう 1 つは自宅にあり、インターネット経由で暗号化されたデータを相互に送信します。そして、そのようなプログラムが存在します。そのうちの 1 つはVPN サーバーと呼ばれ、2 つ目はVPN クライアントと呼ばれます。
VPN サーバーはオフィスのシステム管理者によって設定され、VPN クライアントはすべてのコンピュータや電話に組み込まれています。
コンピュータ上で VPN クライアントを起動し、それを使用して VPN サーバーに接続すると、コンピュータは自分が VPN サーバーが配置されているローカル ネットワーク内にあると認識します。
ここでブラウザを起動すると、ブラウザからのすべてのデータがローカルの仮想ルーター (VPN クライアント) に送られ、そこから会社の仮想ルーター (VPN サーバー) に送られ、さらに会社のインターネット ゲートウェイを通って世界中に送信されます。オフィス会社。
これで、コンピュータの外部 IP アドレスがオフィスのパブリック IP アドレスと一致します。そして、たとえばこのオフィスがドイツにあった場合、ブラウザがアクセスしたサーバーは、あなたがドイツのオフィスにいると確信します。
6.2 VPN の種類
VPN ネットワークは、目的の機能に応じて分類されます。さまざまなものがありますが、代表的な VPN ソリューションのリストを次に示します。
イントラネットVPN
これは、1 つの組織の複数の分散ブランチを単一の安全なネットワークに結合し、オープンな通信チャネルを介してデータを交換するために使用されます。これがすべての始まりです。
リモートアクセスVPN
これは、企業ネットワーク セグメント (本社または支社) と、在宅勤務中に自宅のコンピューター、企業のラップトップ、スマートフォン、またはインターネット キオスクから企業リソースに接続する 1 人のユーザーとの間に安全なチャネルを作成するために使用されます。これは、自宅で仕事をしていて、VPN 経由でオフィスに接続している場合に選択できるオプションです。
エクストラネット VPN
「外部」ユーザー (顧客やクライアントなど) が接続するネットワークに使用されます。彼らに対する信頼のレベルは会社の従業員よりもはるかに低いため、特に貴重な機密情報への従業員のアクセスを防止または制限する特別な保護の「フロンティア」を提供する必要があります。
インターネットVPN
通常、複数のユーザーが 1 つの物理チャネルを介して接続する場合に、プロバイダーによってインターネットへのアクセスを提供するために使用されます。PPPoE プロトコルは、ADSL 接続の標準となっています。
L2TP は 2000 年代半ばにホーム ネットワークで普及しました。当時、イントラネット トラフィックには料金が支払われず、外部トラフィックは高価でした。これにより、コストを制御できるようになりました。VPN 接続がオフになっている場合、ユーザーは何も支払う必要がありません。
現在、有線インターネットは安価か無制限ですが、ユーザー側には多くの場合ルータがあり、インターネットのオン/オフを切り替えるのはコンピュータほど便利ではありません。したがって、L2TP アクセスは過去のものになりました。
クライアント/サーバー VPN
こちらも人気のオプションです。これにより、企業ネットワークの 2 つのノード (ネットワークではない) 間で送信されるデータが確実に保護されます。このオプションの特徴は、通常は同じネットワーク セグメント内にあるノード間 (たとえば、ワークステーションとサーバーの間) に VPN が構築されることです。この必要性は、1 つの物理ネットワーク内に複数の論理ネットワークを作成する必要がある場合によく発生します。
たとえば、同じ物理セグメントにあるサーバーにアクセスする財務部門と人事部門の間でトラフィックを分割する必要がある場合です。このオプションは VLAN テクノロジーに似ていますが、トラフィックを分離する代わりに暗号化されます。
6.3 OpenVPN
VPN クライアントを使用して接続できる、オフィス側の仮想ルーターについて話したのを覚えていますか? そこで、知っておくと役立つ、非常に人気のある解決策が 1 つあります。これがOpenVPNです。
OpenVPN は、仮想プライベート ネットワーク (VPN) テクノロジーを実装する無料のプログラムです。2 つの大規模なネットワークを結合する必要がある場合に、クライアント/サーバーとポイントツーポイントの 2 つの一般的な動作モードをサポートします。
参加者間のトラフィック暗号化を適切なレベルに維持し、設定を変更せずに NAT とファイアウォールの背後にあるコンピュータ間の接続を確立することもできます。
制御チャネルとデータ フローを保護するために、OpenVPN はOpenSSLライブラリを使用します。これにより、このライブラリで利用可能な暗号化アルゴリズムのセット全体を使用できるようになります。
また、 HMACバッチ認証を使用してセキュリティを強化し、ハードウェア アクセラレーションを使用して暗号化パフォーマンスを向上させることもできます。このライブラリは OpenSSL、具体的にはSSLv3/TLSv1.2プロトコルを使用します。
このプログラムは、Solaris、OpenBSD、FreeBSD、NetBSD、GNU/Linux、Apple Mac OS X、QNX、Microsoft Windows、Android、iOS などのすべての一般的なオペレーティング システムに実装されています。
OpenVPN はユーザーにいくつかのタイプの認証を提供します。
- プリセットキーは最も簡単な方法です。
- 証明書認証は、設定において最も柔軟な方法です。
- ログインとパスワードの使用- クライアント証明書を作成せずに使用できます (サーバー証明書は依然として必要です)。
技術的な案内
OpenVPN は、すべてのネットワーク操作を TCP または UDP トランスポート経由で実行します。一般に、トンネルは TUN 接続が使用されている場合は OSI を介してネットワーク層以上のトラフィックを伝送し、TAP が使用されている場合はリンク層以上のトラフィックを伝送するため、UDP が推奨されます。
これは、OpenVPN がクライアントのチャネルまたは物理層プロトコルとして機能することを意味します。これは、必要に応じて、より高い OSI レベルによってデータ転送の信頼性を確保できることを意味します。
OSI モデルを十分に分析したことを考えると、ここで言われていることを理解できるはずです。
UDP プロトコルは、その概念において OpenVPN に最も近いのはこのためです。UDP プロトコルは、データ リンク層や物理層のプロトコルと同様に、接続の信頼性を提供せず、このイニシアチブをより高いレベルに渡します。TCP 上で動作するようにトンネルを構成すると、サーバーは通常、他の TCP セグメントを含む OpenVPN TCP セグメントをクライアントから受信します。
また、これは重要ではありませんが、OpenVPN は、NAT やネットワーク フィルターを介して、HTTP、SOCKS を含むほとんどのプロキシ サーバーを介して動作できます。サーバーは、ネットワーク設定をクライアントに割り当てるように構成できます。たとえば、IP アドレス、ルーティング設定、接続パラメータなどです。
GO TO FULL VERSION