『すっきり分かった!VPN』を読んだ
職場で必要になり、ちょっと前からVPN周りのことを勉強している。ただ、どういう訳なのかはわからないけど、VPNの技術っていくら調べてもどうも要領を得ない。なので『すっきり分かった!VPN』というアスキーの本を買って勉強した。
感想
まあ、相変わらずVPNってよくわかんないなとなった。個別の話は分かるんだけど、全体像がどうも掴みにくい。 とりあえず分かったのは、
・VPNの機能
トンネリング、盗聴防止、改竄防止、なりすまし防止の4点。ただしIP-VPNや広域Ethernetのような非インターネットVPNについては盗聴などされる心配がないので該当しない。
・VPN技術は顧客のニーズに合わせていろんな形をとる
拠点間とかリモートアクセスとか、いろんな形がある。また、顧客のニーズに合わせて、いろんなプロトコルが使い分けられているっぽい。
・代表的なのはIPsec + X
代表的なVPNプロトコルとしてIPSecというのがあるっぽい。んで、自分のつかっているVPNをいくつか見てみた感じ、このIPSecと何か別のプロトコルを合わせて使っているものばかりだった。多分そういう使われ方がメインなんだろうな〜と思ってる。
読んだ後のメモ
本をざっと読んだ結果、とりあえずVPNの技術がたくさんあって、いろんな用途に合わせてそれらが使い分けられているっぽいことだけは理解した。
なので、代表的っぽいIPSecだけ追加で概要を掴んでおく。
https://www.kagoya.jp/howto/it-glossary/security/ipsec-vpn/
これ読む。
ネットワークのつながり方には複数あり、どの場合でも動作するようにしなければなりません。
そもそもPCや各種サーバーがつながって、通信をするときの決め事(プロトコル)には、段階(階層・レイヤー)があります。どの階層で重点的に対策をするかにより規格は変わるため、VPNの仕組みは複数誕生しました。
フム。繋がり方と、どの層なのかって問題か。
IPSec(Security Architecture for IP) というプロトコル(通信の規格)を使ったVPNの一つです。まずはVPNの種類と用語を簡単に整理し、それぞれの種類のイメージを把握しましょう。
VPNの種類と用語
【基準1】インターネット経由かそうでないか
■インターネットを経由する → 「インターネットVPN」(開かれたネットワークでの利用を想定)
■インターネットを経由しない → 「IP-VPN」など(閉じられたネットワークでの利用を想定)
【基準2】インターネットVPNでどのプロトコル(通信の規格)が使われているか
めちゃわかりやすいなこの記事。あでも『すっきりわかった!VPN』にも同じようなことは書いてあるか。書き方の問題だな。IP-VPNや広域Ethernetは専用線使ってるから盗聴とか考えなくていいんだもんな。
で、基本はインターネットVPNを使うことになるけど、その中でふたつが代表的なのかな。
IPSec-VPN | SSL-VPN | |
---|---|---|
プロトコル | AH、ESP、IKE | SSL |
レイヤー | ネットワーク層 | セッション層 |
実現手段 | VPNゲートウェイ装置 | リバースプロキシ(注)、ポートフォワーディング、L2フォワーディング |
認証方式 | サーバーは異なるが、クライアントは同じ | |
アクセス制御 | 比較的困難 | 比較的容易 |
ユーザーが用意するもの | VPN専用アプリ | 特になし(Webブラウザ使用のため) |
特徴 | ・特定の拠点間の通信に強い ・通信が比較的高速 | ・不特定の外部からのリモートアクセスに強い ・導入コストが抑えられる |
導入のしやすさ | 比較的難しい(各種設定あり) | 比較的易しい |
利用のしやすさ | いったん導入すれば、安全で利用できる範囲は広い | 安全に利用できる範囲は比較的狭い |
この表に関しては、自分が普段使うVPNはどっちなのか? というのが気になる。あとVPN専用アプリが必要、とあるけど、これは例えばL2TP/IPsec機能みたいにWinでデフォルトで備えているものだったりするのだろうか?
→そうっぽい。クライアントはMacならネットワーク設定から設定できるアレで、Winなら設定のVPNから設定できるアレ。L2TP使ってるわMacも。Winがデフォルトで備えてるのってPPTPじゃなかったっけ?
Macのネットワーク設定でVPN追加しようとすると、L2TP over IPsec, Sisco IPsec, IKEv2が選べる。
IKEv2
IKEv2/IPsecプロトコルとは?| 早わかりガイド - TecShielder
ここにもあるように、IKEv2はIPsecの親戚か何かっぽい。
個人利用しているVPNのメモ
知らんけど、俺の使ってるVPNはクラウド型だから、どっかにVPNゲートウェイがあって、そこにみんながアクセスしてそこを中心にしてVPNを形成しているとかなんだろうなあ。なのでユーザーがIPsec-VPNであってもゲートウェイとかを考えなくて良い。
今後の課題
IPSecがメインのプロトコルっぽいのはわかった。これでトンネリングとか盗聴防止とか色々できる。
その一方でIKEv2との関係性とか、PPTP, SSTP, OpenVPN, L2TPとかとの関係性がよく分かんなくなってる。組み合わせて使うっぽいのはわかるんだけど。どこを担当してるんだろう。L2TP over IPSecとかっていうくらいだから組み合わせだよな?
→これはそれぞれのプロトコルについて調べればわかりそう。
まとめ
今回分かったのは、VPNにはめっちゃプロトコルとかやり方に種類があって、用途とかによって使い分けられている。
俺が使うのは、専用線を使うIP-VPNや広域Ethernetではなくて、専用線を使わないインターネットVPN。このうち代表的なプロトコルがIPSecで、これは他のいろんなものと組み合わせて使っているっぽい。例えばL2TP over IPsecという形でこれまで俺が使っていたクライアントVPNに利用されていた。
おそらく俺が使ってる三種類はどれもIPsecとその仲間たちという感じで、それがどういった形で使われているかによるっぽい。クライアントを登録してユーザー認証を通すクライアントVPNなのか、Z3を置いてそれがVPNゲートウェイになってくれるサイト間VPNなのか、MDMのプロファイルでVPN設定を入れちゃえる(つまりVPN以外の環境に接続できない?)SMSVPNなのか。
まあ一旦これで腹落ちかな? IPSecとその仲間たちについてはもっと調べられるけど、どやろ。ポートフォワーディングが死んでますねーとかわかるにはもっと知る必要がある。まあええやろ。