【VPNについて】
このHPはVPN(SSL-VPN)についてまとめたものです。
インターネットVPNやIP-VPN以外のVPNには、下記のVPNがある。
・SSL-VPN
・広域イーサネット
1-1 SSL-VPN
SSL-VPNは、SSL/TLSプロトコルを利用してデータを暗号化するVPN方式。主に端末から組織の拠点やデータセンター等のネットワークにリモートアクセスする用途に使用される。
SSL-VPNには、以下に示す3つの方式がある。
・リバースプロキス方式
・ポートフォワーディング方式
・L2フォワーディング方式
◆リバースプロキシ方式
リバースプロキシ方式では、WebブラウザとSSL-VPN装置(リバースプロキシサーバ)間でHTTPS通信を行う。
SSL-VPN装置は、リバースプロキシサーバーとして動作する。
SSL-VPN装置では、リモート端末の認証や端末からのリクエストに応じて、社内サーバーに通信を中継する。
クライアントPCは、SSL-VPN装置にログインしたのち、表示される画面でアクセスしたいシステム(サーバー)を選ぶことで、そのサーバーとリモートで通信ができるようになる。
その際、Webブラウザ以外にソフトウェアが不要であることが特徴。
◆ポートフォワーディング方式
ポートフォワーディング方式は、クライアントPCに「VPNモジュール」をダウンロードして、このVPNモジュールが「SSL/TLS」に対応していないアプリケーションなどをSSL/TLS処理にリダイレクトする方式。
クライアントモジュールとVPN装置間で、オリジナルのIPパケットを「SSL/TLS」でカプセル化して通信を行う。ポート番号が動的に変化しないアプリケーションに限定される。
ポートフォワーディング方式は、下記の通信通信手順で行う。
@利用者は、WebブラウザからSSL-VPN装置にアクセスし、VPNモジュール(JAVAアプレット等)をダウンロードする。
AVPNモジュールがアプリケーションの接続先アドレスをローカルホスト(ループバックアドレス)に向ける。それと同時に、アプリケーションが企業イントラネット内のサーバーにアクセスしようとした時、そのデーターがモジュールに送れる様にしておく。
B利用者は、端末でアプリケーションを起動し、企業イントラネット内のサーバーにアクセスする。
Cクライアントモジュールは、パケットをSSL/TLSでカプセル化し、HTTPS通信によって、SSL-VPN装置のVPNサーバーへ送信する。
DSSL-VPN装置は受け取ったSSL/TLSデータを復号化して、アプリケーションのデータを取り出す。
ESSL-VPN装置は、事前に定義したイントラネット内のサーバの情報(IPアドレス/ポート番号)を元にアプリケーションのデータをアクセスしたいサーバーに送信する。※ここでは、「APサーバー:ポート8050」宛て。
事前に定義した方法は、SSL-VPN装置によって異なるが、アプリケーションが使用するポート番号は、アプリケーションごとに固定で、動的には変化するアプリケーションは使用が不可。
◆L2フォワーディング方式
L2フォワーディング方式は、アプリケーションのデータをHTTPパケットに入れてカプセル化し、SSL/TLSで暗号化する方式。
カプセル化するデータはサーバーのポート番号やIPアドレス等が含まれたデータ(レイヤ2のデータ)であるため、L2フォワーディング方式と呼ばれる。
L2フォワーディング方式では、PCにSSL-VPNクライアントソフトがインストールされ、全てのアプリケーションをSSL-VPN通信で使用することができる。
また、データリンク層のデータをSS/TLSでカプセル化するので、内部ネットワークにあるサーバー宛のIPパケットをそのままカプセル化することができる。
そのIPパケットには、内部ネットワークのサーバーのIPアドレス、ポート番号等が含まれているので、SSL-VPN装置でSSL-TLSの暗号を解き、IPパケットを取り出せば、そのまま内部ネットワーク側に転送できる。
L2フォワーディング方式 は、Webブラウザに対応していないアプリケーションやポート番号が固定されないアプリケーションにも対応できる点が特徴。
また、プロトコル制限もないのでUDP通信もカプセル化ができる。
L2フォワーディング方式では、下記の手順で通信を行う。
@利用者は、WEBブラウザからVPN装置にHTTPSでアクセスし、L2フォワーディング用のモジュールをダウンロードする。
Aクライアントモジュールが、SSL-VPN装置のVPNサーバーとSSL/TLSトンネルを確立する。
この時、クライアントモジュールでは仮想NICが構築され、送信するデータは全て仮想NICを通るように設定する。仮想NICには、企業内のプライベートIPアドレスが割り当てられる。
Bクライアントモジュールは、仮想NIC間のイーサネットフレームを、SSL/TLSでカプセル化し、HTTPS通信で相手側のSSL-VPN装置に送信される。
CSSL-VPN装置は、受け取ったHTTPSデータを復号して、アプリケーションのデータを取り出し、イントラネット内のサーバに送信する。
このHPはVPN(SSL-VPN)についてまとめたものです。
インターネットVPNやIP-VPN以外のVPNには、下記のVPNがある。
・SSL-VPN
・広域イーサネット
1-1 SSL-VPN
SSL-VPNは、SSL/TLSプロトコルを利用してデータを暗号化するVPN方式。主に端末から組織の拠点やデータセンター等のネットワークにリモートアクセスする用途に使用される。
SSL-VPNには、以下に示す3つの方式がある。
・リバースプロキス方式
・ポートフォワーディング方式
・L2フォワーディング方式
◆リバースプロキシ方式
リバースプロキシ方式では、WebブラウザとSSL-VPN装置(リバースプロキシサーバ)間でHTTPS通信を行う。
SSL-VPN装置は、リバースプロキシサーバーとして動作する。
SSL-VPN装置では、リモート端末の認証や端末からのリクエストに応じて、社内サーバーに通信を中継する。
クライアントPCは、SSL-VPN装置にログインしたのち、表示される画面でアクセスしたいシステム(サーバー)を選ぶことで、そのサーバーとリモートで通信ができるようになる。
その際、Webブラウザ以外にソフトウェアが不要であることが特徴。
◆ポートフォワーディング方式
ポートフォワーディング方式は、クライアントPCに「VPNモジュール」をダウンロードして、このVPNモジュールが「SSL/TLS」に対応していないアプリケーションなどをSSL/TLS処理にリダイレクトする方式。
クライアントモジュールとVPN装置間で、オリジナルのIPパケットを「SSL/TLS」でカプセル化して通信を行う。ポート番号が動的に変化しないアプリケーションに限定される。
ポートフォワーディング方式は、下記の通信通信手順で行う。
@利用者は、WebブラウザからSSL-VPN装置にアクセスし、VPNモジュール(JAVAアプレット等)をダウンロードする。
AVPNモジュールがアプリケーションの接続先アドレスをローカルホスト(ループバックアドレス)に向ける。それと同時に、アプリケーションが企業イントラネット内のサーバーにアクセスしようとした時、そのデーターがモジュールに送れる様にしておく。
B利用者は、端末でアプリケーションを起動し、企業イントラネット内のサーバーにアクセスする。
Cクライアントモジュールは、パケットをSSL/TLSでカプセル化し、HTTPS通信によって、SSL-VPN装置のVPNサーバーへ送信する。
DSSL-VPN装置は受け取ったSSL/TLSデータを復号化して、アプリケーションのデータを取り出す。
ESSL-VPN装置は、事前に定義したイントラネット内のサーバの情報(IPアドレス/ポート番号)を元にアプリケーションのデータをアクセスしたいサーバーに送信する。※ここでは、「APサーバー:ポート8050」宛て。
事前に定義した方法は、SSL-VPN装置によって異なるが、アプリケーションが使用するポート番号は、アプリケーションごとに固定で、動的には変化するアプリケーションは使用が不可。
◆L2フォワーディング方式
L2フォワーディング方式は、アプリケーションのデータをHTTPパケットに入れてカプセル化し、SSL/TLSで暗号化する方式。
カプセル化するデータはサーバーのポート番号やIPアドレス等が含まれたデータ(レイヤ2のデータ)であるため、L2フォワーディング方式と呼ばれる。
L2フォワーディング方式では、PCにSSL-VPNクライアントソフトがインストールされ、全てのアプリケーションをSSL-VPN通信で使用することができる。
また、データリンク層のデータをSS/TLSでカプセル化するので、内部ネットワークにあるサーバー宛のIPパケットをそのままカプセル化することができる。
そのIPパケットには、内部ネットワークのサーバーのIPアドレス、ポート番号等が含まれているので、SSL-VPN装置でSSL-TLSの暗号を解き、IPパケットを取り出せば、そのまま内部ネットワーク側に転送できる。
L2フォワーディング方式 は、Webブラウザに対応していないアプリケーションやポート番号が固定されないアプリケーションにも対応できる点が特徴。
また、プロトコル制限もないのでUDP通信もカプセル化ができる。
L2フォワーディング方式では、下記の手順で通信を行う。
@利用者は、WEBブラウザからVPN装置にHTTPSでアクセスし、L2フォワーディング用のモジュールをダウンロードする。
Aクライアントモジュールが、SSL-VPN装置のVPNサーバーとSSL/TLSトンネルを確立する。
この時、クライアントモジュールでは仮想NICが構築され、送信するデータは全て仮想NICを通るように設定する。仮想NICには、企業内のプライベートIPアドレスが割り当てられる。
Bクライアントモジュールは、仮想NIC間のイーサネットフレームを、SSL/TLSでカプセル化し、HTTPS通信で相手側のSSL-VPN装置に送信される。
CSSL-VPN装置は、受け取ったHTTPSデータを復号して、アプリケーションのデータを取り出し、イントラネット内のサーバに送信する。
