VPNの基本

VPNとは

拠点間(営業所と営業所)を通信で結ぶ場合、専用線を使った通信が主流でした。しかし専用線はコスト的に割高なので、インターネットを利用して安全な通信ができないのかと開発された技術がVPN(Virtual Private Network)、つまりバーチャル(仮想的)なプライベート空間です。

そのVPNもIP-VPNとインターネットVPNに大別できます。IP-VPNは通信事業者の独自の通信網の中でVPNを構築するサービスで、インターネットVPNは、完全に開かれたインターネットの中で仮想的な空間作り出す技術です。

FortigateのVPNは、IPSec、PPTP、SSLなどの技術を使い、Fortigate本体と、クライアントPCにインストールしたソフトウエアを使って実現するインターネットVPNです。

IPSec VPNとは

IPSecとは、インターネットの標準化団体であるIETFが定めた、インターネットVPNを構築するためのプロトコル(言語又は手順書)の総称です。このIPSecを利用してVPN接続を構築する技術がIPSec VPNです。

IPSecは、OSI参照モデルの第3層(レイヤ3)であるネットワーク層レベルで暗号化、認証、改竄防止をしていますので、IPSecを実現すれば、そのままネットワークとネットワークの通信路に専用線のような安全性をもたらします。

IPSecでは、通信の始めにどんな鍵を使うかを決め、その後にその鍵アルゴリズムで作成した共通鍵を送ります。この作業は、SSLやSSHなどの鍵交換の手順よりもはるかに複雑なため、IPSecでは、この鍵交換だけを独立したプロトコルとしています。これをIKE(Internet Key Exchange)といいます。

さらにIPSecでは、暗号化の手順の為のプロトコルであるESP(Encapsulatig Security Payload)や認証とデータ改竄防止の為のプロトコルであるAH(Authentication Header)を使って暗号化通信を実現しています。

IKEによる鍵交換

コンピュータが複数の相手と同時に暗号化通信を行うためには、相手に応じた暗号鍵を作成し、使い分ける必要があります。その暗号鍵を使い分ける概念がSA(Security Association)といい、そのSAにはSPI(Security Pointer Index)が関連づけられます。

SPIはその通信で使用する暗号鍵などを示す32ビットの整数で、暗号化通信で送信される各パケットに挿入されます。 SAは手動で設定することもできますが、管理を容易にするために自動的に鍵の生成を行うシステムが必要となります。

IKEは、「ISAKMP/Oakley」という鍵交換プロトコルを元にして作成されたプロトコルで、IPSecの標準となっています。

ESPによるデータの暗号化

IKEによって作成されたSPI値を元に暗号化通信が始まります。IPSecの暗号化プロトコルがESPです。 ESPには大別して、トランスポートモードとトンネルモードという2つの暗号化モードがあります。

トランスポートモード

トランスポートモードでは、双方のホストがIPSecマシンとして機能します。ですので、トランスポートモードはイントラネットでのコンピュータ同士の暗号化通信で利用します。トランスポートモードは、ホストとホストの間の暗号化通信路の構築ですので、SSHのような使い方となります。

トンネルモード

トンネルモードでは、IPSecをインストールしたルータをゲートウェイとしてネットワーク同士を接続します。このサイトのFortigateでは、こちらを利用して暗号化通信を行います。トンネルモードでは、送信元ゲートウェイで暗号化・カプセル化したパケットを、受信元ゲートウェイでカプセルを外して中身を内部のネットワークに送ります。

SSL-VPNとは

SSL(Secure Socket Layer)とは、SSLサーバ証明書が導入されているサイトにhttpsから始まるURLでアクセスする事で通信の暗号化及び、ウェブサイトの運営者を確認する事ができるプロトコルのことです。このSSLを利用して安全にVPNを構築しようとする技術が、SSL-VPNです。

SSLが導入されているサイトでは、ブラウザに鍵マークのアイコンが表示されます。あなたの情報は暗号化され通信中の漏洩を防ぐことができます。SSLについては、私の会社のサーバにも導入する予定ですの、後日詳しく記載していきたいと思います。

SSLによるVPNはIPSecのようなネットワーク間の暗号化通信ではなく、ホストとリモートネットワークの暗号化通信の構築です。SSL-VPNの事をリモートアクセスVPNとも呼びます。

SSLサーバをVPN装置とするためには、リバースプロキシ方式が採用されます。そのためSSLゲートウエイをDMZに設置します。

リバースプロキシ方式とは、リモートアクセスからのSSL接続要求をSSLゲートウェイで解釈し、イントラネット内のサーバへのHTTP接続要求に返還してファイアウォールを通過する方式です。

ほとんどのWebブラウザはSSLに対応していますので、Webベースのアプリケーションであれば、SSL-VPNが利用できます。

タグ

2011年4月23日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

FortigateでIPSec VPNの設定

IPsec用のアドレス追加

では、実際にFortigateを使って社員が自宅など外部のPCからVPNで、会社のサーバにアクセスできるように設定をします。

まず、会社のIPSec-VPN用のアドレスを作成します。

① 「ファイアウォール」→「アドレス」→「アドレス」を選択します。

② 「Create New」ボタンをクリックします。

③ 任意のアドレス名を入力します。ここでは、「IPSec-VPN」としておきます。

④ タイプは「サブネット/IP範囲指定」を選択します。

⑤ 「サブネット/IP指定」にVPNで使用するFortigateのアドレス範囲を指定します。ここでは、「192.168.1.0/24」を指定します。

⑥ インタフェースは「Any」を選択します。

⑦ 「OK」ボタンを押せば、会社のIPSec-VPN用アドレスが作成されます。

Fortigate側のIPSec VPNトンネルの設定

AutoIKEを使って、社員PCと会社のサーバのIPSec-VPNを確立します。

① 「VPN」→「IPSec」→「自動鍵(IKE)」を選択します。

② 「フェイズ1を作成」ボタンをクリックします。

③ 名前を決めます(任意)。ここでは、「IPSec_Phase1」としておきます。

④  リモートゲートウェイは、「ダイアルアップユーザ」を選択します。

⑤ IPアドレスは、グローバル固定IPアドレスを利用する場合は、グローバル固定IPを(例:210.147.147.55)、ダイナミックDNSを利用する場合は、ダイナミックDNS名(例:winroad.ddo.jp)を入力します。

⑥ ローカルインタフェースは「Wan1」を選択します。

⑦ モードは「アグレッシブ」を選択します。

⑧ 認証方法は「事前共有鍵」を選択しします。

⑨ 6文字以上の文字列を入力します。

この文字列は、クライアント側の設定をするときに必要ですので、忘れずにメモっておいて下さい。尚、第三者には絶対に見られないようにして下さい。

⑩ あらゆるピアIDを受け入れるにチェックを入れます。

⑪ 「特別オプション」をクリックします。

⑫ 「XAUTH」の「クライアントを有効にする」にチェックを入れます。

⑬ 「ユーザー名」と「パスワード」を入力します。

⑭ 「OK」ボタンをクリックすれば、Phase1が作成されます。

次にIPSec Phase 2を作成します。

① 「VPN」→「IPSec」→「自動鍵(IKE)」を選択します。

② 「フェイズ2を作成」ボタンをクリックします。

③ 名前は任意で指定してします。ここでは、「IPSec_phase2」としておきます。

④ フェイズ1には先ほど作成した名前を指定します。ここでは、「IPSec_Phase1」を選択します。

⑤ 「特別オプション」をクリックします。

⑥ 「リプレイ検知を有効にする」にチェックを入れます。

⑦ 「PFSを有効にする」にチェックを入れます。

⑧ 「DHグループ」は5を選択します。

⑨ 「鍵の有効時間」を決めます。

⑩ 「自動キーアライブ」の有効にチェックを入れます。

⑪ 「DHCP-IPSec」の有効にチェックを入れます。

⑫ 「OK」をクリックします。

VPNトンネルのためのファイアウォールポリシーの設定

VPNトンネルのための専用のファイアウォールポリシーを設定します。

① 「ファイアウォール」→「ポリシー」→「ポリシー」を選択します。

② 「Create New」ボタンをクリックします。

③ 送信元インタフェースは「internal」を選択します。

④ 送信元アドレスは先「all」を選択します。

⑤ 宛先インタフェースは「Wan1」を選択します。

⑥ 宛先アドレスは、先ほど作成したアドレス(ここでは、IPSec_VPN)を選択します。

⑦ スケジュールは「always」、サービスは、「ANY」、アクションは「IPSEC」を選択します。

⑧ VPNトンネルは、作成した「IPSec_phase1」を選択します。

⑨ 「OK」ボタンをクリックします。

これで会社側の設定は終了です。次にクライアント(社員)側のPCにFortiClientをインストールして、設定をすれば、FortigateでIPSecVPNを使った通信が構築できます。

タグ

2011年4月26日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

FortiClientのIPSec-VPN設定

FortiClientのインストール

それでは、Foritigate側のIPSec-VPNの設定は終わりましたので、次は、クライアントのPCの設定をします。

Fortinet社のサイトからFortiClientをインストールします。

インストール先はhttp://www.forticlient.com/standard.htmlです。

32ビット用と64ビット用のインストール先は別ですので、お使いのPCにあわせて選んでください。

32ビットの場合は、次のページの「Download Now」と書かれた大きなボタンをクリックしてください。

64ビットの場合は、次のページの右上にある「Download Now」と書かれた小さな文字をクリックしてください。

① 「FortiClient SSL VPN」にチェックを入れてOKボタンを押します。

② 次へを押します。

③ 「フリーエディション」にチェックをいれて「次へ」をクリックします。

④ 「ソフトウエアライセンス条項に同意します」にチェックを入れて、「次へ」をクリックします。

⑤ セットアップの種類の選択で「カスタム」をクリックします。

⑥ 「IPSecVPN」以外のチェックを外して、「次へ」をクリックします。

⑦ 注意書きを読んでから、「インストール」をクリックします。

⑧ 「セットアップ終了」の案内が出たら、FortiClientのインストールは終了ですので、「完了]ボタンを押してください。

⑨ しばらく自動設定の画面が出てから「Wellcome」と出ますので、ご自身の環境に合わせて、「更新」ボタンをクリックすれば、設定完了の案内が表示されます。

FortiClientのIPSec-VPNの設定

FortiClientをインストールしたら、以下のように設定して下さい。

① クライアント側PCのFortiClientを起動します。

② 「VPN」→「接続」→「詳細」→「追加」をクリックします。

③ 「接続名」(任意)を入力します。

④ 「VPNタイプ」は「手動VPN」を選択します。

⑤ 「リモートGW」はFortigateで設定したリモートのグローバルIPアドレスかドメイン名(ダイナミックDNSも可)を入力します。

⑥ リモートネットワークは「リモート側のIPアドレス」(例:192.168.11.0/255.255.255.0)を入力します。

⑦ 認証方法は「事前共有鍵」を選択します。

⑧ 「事前共有鍵」には、Fortigateで指定した事前共有鍵を入力します。

⑨ さらに、「詳細」をクリックします。

⑩ 詳細設定の画面で。ポリシの設定をクリックして、Fortigat側の接続設定と合っていることを確認します。

⑪ 接続設定の詳細に問題がなければ、「OK」を押します。

⑫ 戻って、仮想IPアドレスを取得にチェックをいれ、右の設定をクリックします。

⑬ 「仮想IP取得」のダイアログで「手動取得」にチェックを入れます。

⑭ IPとサブネットマスクはFortiGateの「ファイアーウォール」-「アドレス」で指定したIPアドレスを入力します。

⑮ DNSサーバーは、リモート側で使用しているDNSを設定します。

⑯ 「拡張認証」にチェックを入れ、設定をクリックします。

⑰ 「自動ログイン」にチェックを入れ、Foritigateで設定したユーザー名とパスワードを入力します。

⑱ 「OK」をクリックすれば、設定は完了です。

⑲ 設定完了後、「接続」をクリックすると、FortiClientで会社のネットワークに接続できます。

タグ

2011年5月2日 | コメント/トラックバック(0) |

カテゴリー:Fortigate

このページの先頭へ