【連載】
プロアクティブ・セキュリティ──見えない敵に先手を打つ

第8回 VPN（2） VPN構築のポイントを知る

（2005年09月05日）

　VPN（Virtual Private Network）は、インターネットなどのオープンなネットワーク上で、セキュアな通信を可能にする手段として、多くの企業・組織で利用されている技術である。前回は、VPNの基本知識として、VPN技術の種類や利用形態について説明した。今回は、VPN技術の1つであるIPsecを用いてVPNを構築する際のポイントについて解説する。加えて、IPsecによるVPNの冗長構成と、IPsecに対応したVPN機器の市場動向についても説明したい

内藤正規
ネットワンシステムズ

リモート・アクセスVPNをIPsecで構築する際のポイント

　第7回で説明したように、VPNを実現する代表的なコア技術としては、SSLとIPsecがある。SSLによるVPN（以下、SSL-VPN）は、クライアント・ソフトウェアとしてWebブラウザが利用できることなどから、最近注目を集めており、SSL-VPN機器も相次いでリリースされている。対するIPsecによるVPN（以下、IPsec-VPN）は、VPN技術としての歴史が古いことや、離れた拠点間を接続する「LAN間VPN」での利用に向いていることなどから、普及という点では今のところはSSL-VPNに勝っている。

　一方、技術面で見ると、SSL-VPNでは通信の可否が経路などの環境に左右されにくいが、IPsec-VPNではIPsecの性質上いかなる環境でも通信が行えるとは限らない。特に、自宅や公共の場所からインターネット接続サービスを介して、拠点に設置されたVPN機器への通信を行う「リモート・アクセスVPN」をIPsecによって構築する際は、通信環境のほか、ユーザー認証に関しても注意を払う必要がある。そこで、まずはIPsecによるリモート・アクセスVPNを構築する際の要点を説明する。

ポイント1：VPN通信の設定
　IPsecは複数のプロトコルから構成されており、その中核となるのは、IKE（Internet Key Exchange）、ESP（Encapsulating Security Payload）、AH（Authentication Header）の3つである。IKEはデータの暗号化などで用いる鍵の交換を行い、ESPとAHはデータの正当性の認証を行い、このうちESPはデータの暗号化も行う。

　IPsec-VPN機器をルータやファイアウォールの背後に設置する場合には、それらの設定を変更して、上記のプロトコルによる通信が行えるようにしておく必要がある。具体的には、IKEで用いるUDPの500番ポートへのアクセスを許可する。さらに、ESPで用いるIPプロトコル番号50、AHで用いるIPプロトコル番号51でのデータの送受を可能にする。なお、現在、リモート・アクセスVPNでは、アドレス変換もパケット改竄と見なしてしまうAHはほとんど使われておらず、通常、データ部分のみの検証と暗号化を行うESPが利用されている。

ポイント2：アドレス変換との連係
　リモート・アクセスVPNにおいて、リモートのホスト（VPNクライアント）とIPsec-VPN機器との間にルータやファイアウォールが介在し、NAPT（注1）機能によるアドレス変換処理が行われる場合は注意が必要だ。というのも、IPsecは、標準仕様ではNAPTに対応していないからである。

　そもそも、NAPTはIPヘッダに含まれるIPアドレスと、IPヘッダの次に位置するTCP/UDPヘッダに含まれるポート番号を変換する。しかし、一般的にリモート・アクセスVPNで利用されるESPでは、ESPヘッダを付加してTCP/UDPヘッダを含む元のパケットをカプセル化するため、IPヘッダとその次に位置するESPヘッダがNAPTの処理対象となる（図1）。だが、ESPヘッダはポート番号を持たないため、NAPTは的確な処理（アドレス変換）を行うことができないのである。　

図1：IPパケットとIPsecパケットの構造の比較

注1：NAPT（Network Address Port Translation）は、IPアドレスとポート番号を基にアドレスを変換する機能であり、IPマスカレードとも呼ばれる。この機能は、プライベート・アドレスが割り当てられた複数のホストを、1つのグローバル・アドレスを用いてインターネット接続させるために使われることが多い

｜1｜2｜3｜ > 次のページへ