HOME > 学問・資格 > 【情報処理安全確保支援士】VPN対策編

【情報処理安全確保支援士】VPN対策編




情報処理安全確保支援士試験を受ける際に避けて通ることは出来ないVPNに関する知識。過去問を読んでも頻繁に出題されています。
この記事ではVPN対策を中心にまとめました。







VPN全般


  • VPNの技術にはネットワーク層のIPsec、データリンク層のPPTPとL2TP等がある。
  • PPPは公衆電話(ISDN)を利用して目的のサーバにアクセスする仕組みになっている。つまり、データリンク層のISDNを経由し、ネットワーク層のインターネット上を通ることはないということである。公衆電話(ISDN)回線を利用してアクセスするので通信料金が高額になる。そこで、L2TPとPPTPが生まれた。
  • PPTP(point to point Tunneling Protocol)とはPPPフレームにGREヘッダを付け、さらにIPパケットでカプセル化してIPネットワーク(インターネット上)を通過させるようにした、トンネリングプロトコルである。
  • PPTPはL2TPとは違い暗号化機能がある。MPPE(Microsoft point to point Encryption)というプロトコルで暗号化される。アルゴリズムはRC4。
  • L2TP(Layer 2 Tunneling Protocol)ではPPTPと同じようにPPPフレームをIPヘッダでカプセル化する。だが、IPヘッダでカプセル化する前に、L2TPヘッダとUDPヘッダを取り付ける。このヘッダの取り付けをしたり、外したりするのはL2TPクライアントとL2TPサーバである。
  • L2TPではPPTPと違い暗号化機能や認証機能がない。平文でインターネット上を流れるのでIPsec-VPNやSSL-VPNなどを併用して、暗号化する
  • IPsecの鍵管理プロトコルにはUDPポート番号500番のIKE(Internet Key Exchange)がある。事前共有鍵(PSK)方式、公開鍵暗号方式、デジタル署名方式の3種類がある。PSK方式は試験に出る。
  • IKEによる認証は機器認証でしかない。そこでIKEを拡張して利用者名とパスワードによる利用者認証を実現したのがXAUTHである。
  • IPsecでは通信当事者間でVPNトンネルを形成するためにSAとSPIを利用する
  • SA(Security Association)とはIPsecで作成される仮想トンネルのことである。SAには実際のデータをやりとりする通信用トンネル(IPsec SA)と、通信用トンネルの作成に必要な制御データなどをやりとりする制御用トンネル(ISAKMP SA)の2種類がある。
  • IKE通信ではフェーズ1で鍵交換用のISAKMP SAを確立し、フェーズ2でデータ通信用のIPsec SAが確立される。
  • IPsec SAにはデータの送信用と受信用の2つのトンネルが利用される。それと制御用トンネルがあるので、IPsec通信をする際に合計3つのトンネルが利用される。
  • SPI(Security Parameter Index)とはSA(仮想トンネル)を識別するためのコードである。
  • IKE通信のフェーズ1のISAKMP SA確立ではまず、暗号アルゴリズムや認証アルゴリズムなど、ISAKMP SAを確立するためのネゴシエーション(交渉)を行う。DH(Diffie-Hellman)鍵交換により、共通鍵を生成する。通信相手を認証するためにIDとハッシュ値を相互にやりとりする。
  • Diffie-Hellman鍵交換とは安全でない経路で安全に共通鍵を交換するために1976年(公開鍵暗号方式が生まれる前)に考案された鍵交換方式である。
  • IKE通信のフェーズ1でISAKMP SAを確立するまでの処理はメインモードとアグレッシブモードの二通りがある。
  • メインモードはISAKMP SAを確立するまでに6つのメッセージをやりとりする。通信相手を特定するIDには固定のIPアドレスを使用する必要がある。動的IPアドレスなどでは不可。
  • アグレッシブモードは、メインモードを簡略化させたものである。ISAKMP SAを確立するまでのメッセージは3つで済む。通信相手を特定するIDは利用者独自の識別コードを使用することができる。
  • IKE通信フェーズ2でIPsec SAを確立する際には、安全なISAKMP SAが利用できるのでフェーズ1より簡単にSAを確立できる。
  • フェーズ2ではクイックモードが利用される。フェーズ1で生成したISAKMP SAを使用し、セッション鍵を生成する。
  • リモートアクセスIPsec-VPNではIKEフェーズ1でメインモードを用いることが出来ない。相手のIDは固定のIPアドレスでないとダメだからだ。そこでリモートアクセスの場合はアグレッシブモードを使用する。メインモードはサイト間(お互いに固定のIPアドレス)によるVPNの場合に用いられる。


SSL-VPN


  • SSLはトランスポート層からアプリケーション層の間で動作する。
  • SSL-VPNはリモートアクセスVPN向きで、IPsec-VPNはサイト間VPN向きである。
  • SSL-VPNはブラウザさえあればどんな機器でも、どこからでも(社外など出先のネットワークからでも)利用できる。SSL-VPN装置はたいていリバースプロキシとして動作する。それにより内部ネットワークを守ることができる。また、装置の全てにデジタル証明書を組み込んでおく必要がある。クライアントが装置の真正性を確認する必要があるためである。
  • SSL-VPN装置(ゲートウェイ|プロキシ)はクライアントからの要求を受けとったあと、内部ネットワークにアクセスしている間は暗号化されているので、ログに記録されない。クライアントからの要求を受け取る時にFWを経由するようにすれば、平文でログに残る。

IPsec-VPN


  • FW の内側にVPN(IPsec)装置があると、パケットの暗号化やカプセル化により、FWのフィルタリング処理を細かく行うことが出来ない。その上IPsecを通すための設定が複雑になる。もちろんパケットが暗号化されているのでFWのログにも残らない。
  • FWの外側にVPN(IPsec)装置があると正しくフィルタリング処理を行うことができるが、VPNが外部の攻撃にさらされることになり、FWを通過できるアプリケーションしか利用できない。
  • そこで、IPsec機能付きFWを使う。双方の問題点が全て解決するが、ファイアウォールの処理能力不足によりスループットが低下するおそれがある。

IP-VPN


  • ISPが提供するIP-VPNではMPLS(Multi-Protocol Label Switching)と呼ばれるラベルスイッチング方式を採用したパケット転送技術が用いられている。
  • MPLSとはIPアドレスを参照してパケットを転送するのではなく、ラベルを参照してパケットを転送する方式である。IPパケットを32ビットのラベル(識別子)でカプセル化してルーティング(転送)を行う。
  • MPLSではラベルでIPパケットをカプセル化するので、グローバルIPアドレスを使用する必要がなく、プライベートIPアドレスでも拠点間の通信が可能である。
  • 顧客側のIPネットワークではCER(customer edge router)を設置しIP-VPNへアクセスする。ISP側ではPER(provider edge router)があり、ラベルを付加したり除去したりすることによりルーティング(転送)を行う事ができる。

SSH


  • SSH(Secure Shell)はSSLと同様にトランスポート層とアプリケーション層の間に位置するセキュリティプロトコルである。ポート番号22番。rコマンド群やtelnetなどのセッションを暗号化する。rsh(remote shell)、rlogin(remote login)、rcp(remote file copy)はssh slogin scpに置き換えられる。
  • SSHにはTCP/IPアプリケーションのポートフォワーディング機能がある。暗号化機能のない多くのアプリケーションがこのSSHトンネルを利用することにより暗号化され、安全にインターネット上で通信をすることができる。


関連記事

シェアボタン

スポンサーリンク


関連記事