ソリューション
業種別
用途別
統合化SDNソリューション
SDN/ネットワーク統合管理ソリューション
SDN/アプリケーション連携ソリューション
xシリーズポータル
プライベートクラウドソリューション
ワイヤレスソリューション
脅威可視化統合監視ソリューション
映像監視ソリューション
データセンターソリューション
VLANソリューション
UTM&VPNルーターポータル
セキュリティーソリューション
機器冗長ソリューション
ネットワーク統合管理ソリューション
VPNソリューション
リモートアクセスVPN
パブリッククラウドVPN
モバイルアクセスVPN
Firewallソリューション
LTE/3Gアクセスソリューション
省電力ソリューション
リモートアクセスVPN(拠点間接続)
VPN基礎技術
この章ではVPN基礎技術、特にIPsecで使用されている技術について説明いたします。
トンネリング技術
トンネリングとは一言で言うと、元のパケットに新しいIPヘッダを付加して(これをカプセル化と呼びます。) 通信を行うことです。下図の例でいうと、本来は「あて先=PC B・送信元=PC A」というパケットですが、これがVPN対応ルーター(Router A)によってカプセル化され、そのパケットは「あて先=RB・送信元=RA」というパケットになります。対向側のルーター(Router B)では、このカプセルから元のパケットである「あて先=PC B・送信元=PC A」というパケットを取り出してLAN2にあるPC B宛てにその本来のパケットを送り出します。このように元のパケットをカプセル化してデータのやりとりすることをトンネリングと呼びます。下図の例ではルーター間でトンネルを張っています。このとき「両ルーター間でVPNを張っている」、などと表現することがあります。このようにVPNを張れる装置としては、VPN専用装置、VPN機能付きルーター以外にも、PCもVPNのソフトウェアをインストールすることでVPNを張ることができます。このようにVPNを張ることのできる装置をまとめて、VPN装置と呼ぶことにします。
[ トンネリング技術 ]
トンネリング技術
暗号/認証技術
暗号技術
公共のネットワークであるインターネットを利用したVPNでは、暗号の技術が非常に重要です。VPNで暗号を実現する技術の代表格としてIPsecのESPがあり、VPN装置間でやりとりするデータを暗号化します。下図上段のように、データの暗号化には共通鍵暗号が使われます。共通鍵暗号とは暗号化、復号化の両側で同一の鍵を使用する方式のことで、AESや3DESが最も一般的です。
鍵交換技術
共通鍵などの暗号鍵は、最新のコンピューターで一定時間の解析を行うことで解読されてしまう可能性も否めません。そこで、この共通鍵についての合意を定期的にVPN装置間でインターネットを経由して取り交わすことにより、それらのリスクを低減させることが可能になります。この鍵を取り交わす操作を鍵交換と呼びますが、公開鍵暗号方式を用いることでお互いに使用する共有鍵の値を算出します。鍵交換をおこなう際に使用する公開鍵暗号方式のアルゴリズムとしてはDiffie-Hellmanが最も一般的です。この方式ではお互いに秘密の値から作成される情報を相手に送信し、自分の秘密鍵と受信したデータから使用する共通鍵を算出することができます。秘密鍵そのものはネットワーク中に送信されないため、離れた2つの機器の間で盗聴の恐れの無い安全な鍵交換を実現します。
[ IPsecでの鍵交換と暗号化 ]
IPsecでの鍵交換と暗号化
認証技術
実際に鍵交換を行う前に相手方のVPN装置自体を認証し、「なりすまし」を防ぐ必要があります。最も基本的な認証の方式としてPre-Shared Keyが挙げられます。この認証方式は予め接続先数分の認証用の共通鍵「Pre-Shared Key」をVPN装置に登録し、それらのPre-Shared Keyを使用して各々のVPN装置を認証する方式です。

このようにIPsecでは、接続相手を認証し、データの暗号で用いる共通鍵を公開鍵暗号方式で相互に定期的に算出し、さらに通信データの暗号化を行うことにより安全に通信することが可能になります。
NATルーターを越えるIPsec VPNの構築
前述した複数の技術によりVPNの構築が可能になりますが、導入する環境によってはIPsecを用いたVPNの構築ができない場合があります。それは既設ルーターの配下にVPN装置を設置した場合です。下図上段のように既設ルーターでグローバルIPアドレスを共有するためにNAT処理をしている場合、その配下に設置されたVPN装置でIPsec通信を行うと既設ルーターにおいて送信元IPアドレスを変換(NAT処理)しようとします。既設ルーターがESPパケットのNAT処理に対応していない場合はESPパケットのNAT変換に失敗してしまい、通信はそこで終了してしまいます。

そこで、このような環境でもVPNを導入するために「ESP over UDP」または「NAT Traversal」という機能が必要になります。(UDPトンネリングなどと呼ばれる場合もあります。)この機能ではVPN装置が暗号化したESPパケットをUDPにてカプセリングした状態で通信を行います(下図下段)。相手先VPN装置は、受け取ったUDPパケットを復号化し、次に抽出されたESPパケットの復号化を行いますので、既設ルーターが送信元IPアドレスを変換しても、ESPパケットはオリジナルの状態で相手先に届きます。
NATルーターを越えるIPsec VPNの構築
NATルーターを越えるIPsec VPNの構築


PAGE TOP