Fortigate

VPNの基本

更新日:

VPNとは

拠点間(営業所と営業所)を通信で結ぶ場合、専用線を使った通信が主流でした。しかし専用線はコスト的に割高なので、インターネットを利用して安全な通信ができないのかと開発された技術がVPN(Virtual Private Network)、つまりバーチャル(仮想的)なプライベート空間です。

そのVPNもIP-VPNとインターネットVPNに大別できます。IP-VPNは通信事業者の独自の通信網の中でVPNを構築するサービスで、インターネットVPNは、完全に開かれたインターネットの中で仮想的な空間作り出す技術です。

FortigateのVPNは、IPSec、PPTP、SSLなどの技術を使い、Fortigate本体と、クライアントPCにインストールしたソフトウエアを使って実現するインターネットVPNです。

IPSec VPNとは

IPSecとは、インターネットの標準化団体であるIETFが定めた、インターネットVPNを構築するためのプロトコル(言語又は手順書)の総称です。このIPSecを利用してVPN接続を構築する技術がIPSec VPNです。

IPSecは、OSI参照モデルの第3層(レイヤ3)であるネットワーク層レベルで暗号化、認証、改竄防止をしていますので、IPSecを実現すれば、そのままネットワークとネットワークの通信路に専用線のような安全性をもたらします。

IPSecでは、通信の始めにどんな鍵を使うかを決め、その後にその鍵アルゴリズムで作成した共通鍵を送ります。この作業は、SSLやSSHなどの鍵交換の手順よりもはるかに複雑なため、IPSecでは、この鍵交換だけを独立したプロトコルとしています。これをIKE(Internet Key Exchange)といいます。

さらにIPSecでは、暗号化の手順の為のプロトコルであるESP(Encapsulatig Security Payload)や認証とデータ改竄防止の為のプロトコルであるAH(Authentication Header)を使って暗号化通信を実現しています。

IKEによる鍵交換

コンピュータが複数の相手と同時に暗号化通信を行うためには、相手に応じた暗号鍵を作成し、使い分ける必要があります。その暗号鍵を使い分ける概念がSA(Security Association)といい、そのSAにはSPI(Security Pointer Index)が関連づけられます。

SPIはその通信で使用する暗号鍵などを示す32ビットの整数で、暗号化通信で送信される各パケットに挿入されます。 SAは手動で設定することもできますが、管理を容易にするために自動的に鍵の生成を行うシステムが必要となります。

IKEは、「ISAKMP/Oakley」という鍵交換プロトコルを元にして作成されたプロトコルで、IPSecの標準となっています。

ESPによるデータの暗号化

IKEによって作成されたSPI値を元に暗号化通信が始まります。IPSecの暗号化プロトコルがESPです。 ESPには大別して、トランスポートモードとトンネルモードという2つの暗号化モードがあります。

トランスポートモード

トランスポートモードでは、双方のホストがIPSecマシンとして機能します。ですので、トランスポートモードはイントラネットでのコンピュータ同士の暗号化通信で利用します。トランスポートモードは、ホストとホストの間の暗号化通信路の構築ですので、SSHのような使い方となります。

トンネルモード

トンネルモードでは、IPSecをインストールしたルータをゲートウェイとしてネットワーク同士を接続します。このサイトのFortigateでは、こちらを利用して暗号化通信を行います。トンネルモードでは、送信元ゲートウェイで暗号化・カプセル化したパケットを、受信元ゲートウェイでカプセルを外して中身を内部のネットワークに送ります。

SSL-VPNとは

SSL(Secure Socket Layer)とは、SSLサーバ証明書が導入されているサイトにhttpsから始まるURLでアクセスする事で通信の暗号化及び、ウェブサイトの運営者を確認する事ができるプロトコルのことです。このSSLを利用して安全にVPNを構築しようとする技術が、SSL-VPNです。

SSLが導入されているサイトでは、ブラウザに鍵マークのアイコンが表示されます。あなたの情報は暗号化され通信中の漏洩を防ぐことができます。SSLについては、私の会社のサーバにも導入する予定ですの、後日詳しく記載していきたいと思います。

SSLによるVPNはIPSecのようなネットワーク間の暗号化通信ではなく、ホストとリモートネットワークの暗号化通信の構築です。SSL-VPNの事をリモートアクセスVPNとも呼びます。

SSLサーバをVPN装置とするためには、リバースプロキシ方式が採用されます。そのためSSLゲートウエイをDMZに設置します。

リバースプロキシ方式とは、リモートアクセスからのSSL接続要求をSSLゲートウェイで解釈し、イントラネット内のサーバへのHTTP接続要求に返還してファイアウォールを通過する方式です。

ほとんどのWebブラウザはSSLに対応していますので、Webベースのアプリケーションであれば、SSL-VPNが利用できます。

-Fortigate
-

Copyright© WinRoad徒然草 , 2018 All Rights Reserved Powered by AFFINGER5.