3-7. VPNと広域ネットワ−ク (1) VPNのいろいろ '99〜 * 見解 いかんまるでまとまらない。一口にVPNといってもいろいろなやり方がある。VPNは これからいろんな場面で必要になって来るのは間違いない。自社の支店や取り引き先との 安全な通信が先ず挙げられる。そのために自前で暗号化のネットワ−クを構築するのかな どト−タルで考えなければならない。さて何から攻めたらいいものか。それにしても雑誌 でVPN、VPNと盛んに載っている。閉域IPネットワ−クがどうのこうの、OBNが どうのこうの、それにプロトコルとして IPSec の仕組みがどうのこうの。 一体これらは どう関係して、どう組み合わせたらいいのか。はたまた、今後対応を迫られてくるだろう B-to-B にも関係するのか、しないのかなど。 ともかく、さまざまなことがごちゃまぜに 議論されているというのが現状のVPNの姿である。先ずは今の技術で、どういうVPN、 Virtual Private Network が実現できるのか、まとめてみよう。そこからだ。 ・インタ−ネットを使う場合 ------ インタ−ネットVPNという。 1) 拠点間で暗号化する ( VPN専用機器などを使う ) 2) 個々のマシンで暗号化する ( パソコンに暗号ソフトを入れる ) ・専用ネットワ−クを使う場合 ---- 総称して閉域IPサ−ビスという。 3) インタ−ネットと接続性なし ( プライベ−トワ−ク ) 4) インタ−ネットと接続性あり ( セキュアネットワ−ク ) 最初の 1) は暗号化装置の PERMIT なんかでVPNを作る場合。 PERMIT はこの分野では 老舗になる。他暗号化ソフトを載せた、WANル−タやファイアウォ−ルのソフトが出て きている。暗号化方式はいろいろあったが、IPSec にまとまってきている。 2) は暗号化 WWWサ−バにアクセスするブラウザ、あるいはパソコンに暗号化のためのデジタルID を入れたメ−ルソフトである。メ−ルはフリ−扱いの PGP もあるが、Netscape のメ−ル ソフトなどが採用した S/MIME 形式が主流になっていくだろう。他には FireWall-1 の暗 号化対応にある、パソコンからアクセスする SecuRemote ソフトなんかもある。VPN装 置にはたいがいパソコン用の暗号化ソフトがある。 専用ネットワ−クを使うVPNはどうか。各社、閉域IPとか IP-VPN とかいってサ−ビ スを99年初め頃から、どんどん展開している。それ以前はIBMや日立なんかがプライ ベ−ト・ネットワ−クといってサ−ビスしていた。かなり高額だったように記憶している。 現在は、NTTをはじめとする電話会社系、日立やIBMなどメ−カ系、 それに IIJ な どのプロバイダ系が乱立している。もう調べるだけで大変。しかもVPNには、ATMに フレ−ムリレ−、セルリレ−、それにIPを使う IP-VPN がある。めんどくさいのでIP ベ−スのだけ調べることにしよう。流れとしては、IPパケットを使ったVPNに絞られ てきている感じがする。 もう一つ話題になっている VoIP。 電話などの音声系もデ−タ系のネットワ−クに乗せて しまえという話である。電話などの音声をIPパケットに分割してイ−サネットで転送す る。支社とVPNができれば VoIP で電話も使えないことない。支社と何らかの専用線を 使っているのなら、VPNに統合すれば経費もだいぶ削減できるかも知れない。WANル −タから VoIP の装置を通し、PBX に行って電話につながる。 このVoIP 装置でしっかり したものを使えば、すでにかなりの音質は出るらしい。 VoIP 装置は大体80万円ぐらい からである。回線速度は 128 Kbps 程度ではデ−タと音声両方を通すのは、いささか無理 な感じがする。だいたい内線網として、64 Kbps 専用線で電話4回線程度である。 * 専用ネットワ−クを使うVPN SuperOBN http://www.nttpc.co.jp/obn/index.html '99/11/15 から。 > NTT PC コミュニケ−ションズ。 "企業間デ−タ交換サ−ビス":パブリックIPアドレ スを使う。128 Kbps 接続で 5.2 万円/月。"企業内デ−タ交換サ−ビス":プライベ− トIPアドレスを使う。128 Kbps で 4.8 万円/月。契約料金は 64/128 Kbps で10 万 円。ダイアルアップ接続もあり。インタ−ネットへのアクセスは月千円加算。それに企 業内デ−タ交換サ−ビスではグロ−バルアドレスに変換する費用もいる。アクセスポイ ントへの専用線料金も必要。ホスト名検索には、何か独自なドメイン名管理をする模様。 ス−パVPN http://www.ntt-c.co.jp/ `02/07/01 開始。 > NTTコミュニケ−ションズ、MPLS( Multi Protocol Label Switching )、レイヤ3ス イッチと似たような技術でラベルスイッチングという。IPパケットに宛先別にラベル を付けてパケットを振り分ける。これでプライベ−ト網を形成する。料金はSTM型品 目で 128 Kbps 1.4 万円/月。これと別にアクセスポイントまでの専用線料金が必要で NTTの DA128/15 Km Type2 なら 4.1 万円、計 5.5万円ということになる。NTTコ ミュニケ−ションズはドメイン名を変更したみたい。http://www.ntt.com/dnws/を見る こと。ス−パVPNという名称も Arcstar IP-VPN に変わっている。 SOLTERIA Managed-IP Service http://www.solteria.net/ `02/04 開始。 > 日本テレコムのIPベ−ス次世代通信網。PRISM をバックボ−ンに使い、 MPLS でラベ ルスイッチングし IP-VPN を実現する。距離に関係しない固定料金で、1ヵ所辺り 128 Kbps なら DA128 の 4.3 万円に、閉域通信料金 1.0 万円である。プライベ−トIPア ドレス使用。ダイアルアップ接続はなし。インタ−ネットとの接続性は予定はしている とのこと、電話して聞いてみた。日産自動車が大規模に採用した。日本テレコム自体の ホ−ムペ−ジは http://www.japan-telecom.co.jp/。 CWC広域LAN http://www.cwc.co.jp/ '99/10 開始 > 広域LANプラットフォ−ムサ−ビス。イ−サネット 10 Base-T/1.5 Mbps 接続のため、 WAN用機器は不要、同じセグメントとして扱える。IIJ グル−プの(株)クロスウェイ ブコミュニケ−ション。IIJ、ソニ−、トヨタ出資の会社。 SONET と言う二重リングの バックボ−ンネットワ−ク。二重ル−プになっているので予備回線が最初からあるとい うこと。距離でなく接続ポイント数で算出される。1〜4 ポ−トまでは1ポ−ト 16.8万 円。アクセスポイントまでのNTT等の回線は必要。`02/11/01 より 128 Kbps も全国 でサ−ビス開始、初期 2.5 万円、1〜10 ポ−トのは月 2.2 万円。 OBN( Open Business Network )というのは、財団法人流通システム開発センタ−が流通業 界の EDI をタ−ゲットに策定した仕様である。 専用線の OBN ネットワ−クと OBN ダイ アルアップがある。H手順対応の EDI サ−ビスありが売りかな。 99年半ばぐらいから NTTコミュニケ−ションズ、NTT PC コミュニケ−ションズ、 日本テレコムなどがサ− ビスを開始し、現在では相互乗り入れしている。OBN をベ−スにした EBN( Enhanced Bus -iness Network )というのもある。フレ−ムリレ−やセルリレ−による IP-VPN も1つ紹 介しておく。NTTコミュニケ−ションズの Arcstar21、96年位からサ−ビスしている んじゃないかな。OCN経由でインタ−ネットへも行ける。 * 暗号方式の種類 PKI( Public Key Infrastructure )、公開鍵基盤と訳されているが、いつからこんな用語 が登場したのか。96年当時、暗号化WWWを調べた時はなかった。どうも PKI とかIKE とかややこしい。ともかく PKI というのは公開鍵を使って、 暗号化しましょうというこ とに過ぎない。公開鍵の中身というのは X.509 デジタルIDであり、 その記述はディレ クトリ情報を記述する X.500 フォ−マットである。これだけ知っていれば、 我々として はこれ以上、仕組みがどうなっているか、そんなことは関係ない。 現在 PKI に対応する プロトコルは IPSec, TLS(SSL), S/MIME などである。アプリケ−ションでは FireWall-1 Ver 4.0 でもサポ−トしている。 次にIKE( Internet Key Exchange ) ちゃ何だ。これは PKI につきものと考えていい。暗 号化鍵、共通秘密鍵になると思うがこれを自動的に交換するプロトコルである。このプロ トコルは大方 ISAKMP/OAKLEY というのを使う。SKIP というのもあるらしいが。共通秘密 鍵には2通りある。最初に双方あらかじめ決めたパスワ−ド(シ−ドという)を元に秘密 鍵を発生させていく。この場合 X.509 証明書はいらない。Yamaha のル−タは、IPSec 対 応だがこれだけサポ−トしている。暗号化鍵はどんどん変わって行くが、シ−ド文字列が ばれるとどうもこもならん。もう一つは X.509 証明書を使う場合である。 IKE ではこれ ら2通りをサポ−トする取り決めになっている。 IPSec( IP Security Protocol ) > 暗号化したデ−タをIPパケットでカプセル化する。 Version 2 で仕様として IKE が 入った。それに IPSec は IPv6 で標準装備になっている。 相手と暗号化方式を交渉す る、SA( Security Association )。全体またはデ−タだけ暗号化するなどかなり柔軟な 仕組みになっている。主な用語は認証ヘッダ− AH( Authentication Header )、暗号ペ イロ−ド ESP( Encapsulating Security Payload )。細かいことはいいです。 TLS( Transport Layer Security ) > SSL 3.0 をベ−スにより汎用的にしたプロトコル、RFC2246。 SSL の上位互換ではない。 SSL は Netscape Navigator で実装された。https, ftps, telnets がある。 オ−プン −スの OpenSSL、http://www.openssl.org/ は SSL v2,3 それに TLS v1 サポ−トする。 S/MIME( Secure MIME ) > Netscape Communicator のメ−ルソフト Messenger が対応する。Communicator に個人 用のデジタルIDを入れれば、それで使えるようになる。 Microsoft の Outlook も対 応する。 PPTP と L2TP > これらは Microsoft のプロトコル。 PPTP は Windows/98/NT 4.0 に標準で搭載されて いる、RFC 1723。 Windows 2000 は PPTP, IPSec を採用した L2TP( Layer2 Tunneling Protocol ) をサポ−トする、RFC 1701。ダイアルアップIP接続で使う。 三菱電機の独自暗号 > だいぶ以前から三菱電機は、独自暗号でソフトや製品を出している。売れているかは不 明。http://www.melco.co.jp/。キ−ワ−ドだけ並べる。 PKI システム、MELWALL 3000 シリ−ズ、MISTY 70 万円から。暗号アダプタ装置 A3000、HUB型暗号装置 H3000 等。 [ 暗号化プロトコルの種類 ] アプリケ−ション層 | S/MIME, PGP, SSH( Secure Shell ) -------------------|----------------- TCP層 | SSL, TLS << TLS は SSL をベ−スに標準化された。 -------------------|----------------- IP層 (レイヤ3) | IPSec << IPパケットレベルで暗号化する。 -------------------|----------------- デ−タリンク層 | PPTP, L2TP, L2F << L2TP はレイヤ2レベルで暗号化。 * 参考 http://www.nikkeibp.co.jp/NCC/VPN > VPNについてはここがよくまとまっている。各種製品の一覧がある。 http://www.rtpro.yamaha.co.jp/RT/index.html > すごい充実してきた。IPSec や NAT など何でも記述されている。 http://plaza5.mbn.or.jp/~tatsu/doc/IPsec > Learning IPsec、NTTデ−タ通信 '98/06/01 馬場氏。IPSec 関連の RFC の日本語訳。 「UNIX MAGAZINE」'99/05, P.96〜, "遠隔オフィスとの接続、Webを利用した接続(4)"。 > ヤマハのル−タによるVPN接続の実際。荒井美千子氏。 「UNIX MAGAZINE」'99/06, P.87〜93, "遠隔オフィスとの接続 Webを利用した接続(5)"。 > Yamaha RT シリ−ズで、パブリックIP間でインタ−ネットVPNを張る。 「UNIX MAGAZINE」'99/07, P.67〜74, "遠隔オフィスとの接続 Webを利用した接続(6)"。 > Yamaha RT シリ−ズで、プライベ−トIP間でインタ−ネットVPNを張る。 (2) VPNソフト&装置 '99〜 * VPN専用装置 PERMIT http://www.dit.co.jp/permit/ > カナダの TimeStep 社が開発。国内では(株)ディアイティが '96/04 から販売している。 当初、半年全然売れんかったのこと。よい子で使えそうなのは、一番安いタイプの装置 で PERMIT/Gate1520、2 Mbps。本国では '99/05 発売になっている。認証サ−バのソフ トは PERMIT/Director suite、1つは必要である。パソコンの端末用の暗号化ソフトは PERMIT/Client、リモ−トアクセスに使える。IPSec, X.509, X.500 対応。RADIUS サ− バやワンタイム・パスワ−ドのサ−バと連携もできる。ペルミットと発音してたが、パ −ミットでした。「Software Design」'98/01, P.184〜188 に少し記事がある。 VPNware http://www.netmarks.co.jp/prdct/vpn/ > 昨今、成長率抜群の(株)ネットマ−クス扱い。開発は米 VPNet Technologies 社。ホ− ムペ−ジに価格、FAQ、VPN構築事例がある。本体は小規模向け VSU-10、パスワ−ド または電子証明書による。IKE, NAT 対応で約100万円。大規模向けに VSU-1010、ベ リサインなどの電子証明書が必要、134万円。 管理ソフトが VPNmanager、56万円。 他VPN用端末ソフト VPNremote がある。VPNmanager と VSU 間は HTTPS と SNMP で 通信する。機能としては IPSec, X.509, NAT, SecurID, RADIUS, デ−タ圧縮など。 製品の参考にはこの記事がいいかも。「日経コミュニケ−ション」'99/08/02,P.115〜121、 "VPN製品の相互接続性テスト、15製品総当たりで4割成功、 IPSEC がようやく実用 段階に"。PERMIT が一番互換性ありとなっていた。記事は日経BP社の記事検索サ−ビス http://kijiken.nikkeibp.co.jp/user/ で取れる。有料でこの記事の場合7ペ−ジで 400 円です。この時の記事に載っていなかった、安川情報システム(株)が開発して売っている NetSPHINX も紹介しておこう。http://www.ysknet.co.jp/ で、 VPN装置2つと管理ソ フトで 179.6 万円、対するP社の Gate2520 では 225 万円と比較していた。 * VPN&ル−タ、ファイアウォ−ル Yamaha RT103i http://www.rtpro.yamaha.co.jp/RT/ > 98年10月発売。VPN, QoS, NAT, IP マスカレ−ド, DHCP サ−バ、DHCP リレ−エ− ジェント機能など搭載。RT100i/102i は生産終了。RT103i がその後継機となる。 事前 共有鍵しか使えない。X.509 を使ったCA管理はできない。IPSec 対応だが、事前共有 鍵での設定。同じ呪文を双方の機器に入れておくということ。呪文はシ−ド(種)とい い、これからデ−タ暗号化用の鍵を生成する。ドキュメントが全部あるので勉強できる。 NOKIA FireWall-1 http://nokia.co.jp/ or http://www.asgent.co.jp/ > NOKIA IP Security シリ−ズ。専用OS、ハ−ドで FireWall-1 が動くので、より安全 かつ速い。IP600/400/300 シリ−ズがある。 一番安いのは IP330 Base System Bundle、 81 万円。OSと FireWall-1 本体は入っているが、FireWall-1 のライセンスはないの で別に購入する。他で買ったライセンスでも構わない。10/100 Ethernet の口は3つあ るので DMZ にもできる。VRRP もサポ−トする。ん、この箱はWANル−タでもある?。 SonicWALL PRO http://www.smisoft.ssd.co.jp/ `02/06 頃パンフ入手 > ユ−ザ数無制限、VPN に DMZ 対応で 65 万円。IPSec 準拠で IKE 対応。56bit DES ま たは RC4 を選択する。10/100 Mbps 3ポ−ト。FireWall-1 ともVPNできるような絵 がパンフレットにはあった。VPN クライアントのソフトは、50ライセンスで 68 万円。 Web による設定。ユ−ザ数10の一番安いタイプは 14 万円。何か見た目、SOHO向 けという感じの製品である。開発元 SonicWALL, Inc。住友金属システム開発(株)扱い。 他、いわずと知れた FireWall-1 のVPN対応版。 FireWall-1 のマニュアルにはどこに も VeriSign など認証局の名前が見えないが、CAと書いてあるところには認証局のデジ タルIDが必要となる。デジタルIDなしで、相手方同じ固定シ−ドでもいけるはずだが。 アライドテレシスのリモ−トル−タはどうかな。'99/08 発売の CentreCOM AR720。IPSec, L2TP, GRE 対応。IPSec 用暗号ボ−ド入れて 30.6 万円。国産でがんばっていて、アメリ カにも拠点をこさえている。またOCNビジネスパックVPNΠでも採用されている。 * VPNについて96年当時調べたこと インタ−ネットを介した安全な自社ネットワ−クの拡張をするための、IPパケットを暗 号化したネットワ−クである。仮想プライベ−トネットワ−クと呼ばれれている。専用の 暗号化装置を使う、ル−タを使う、ファイアウォ−ルを使う、 IETF 標準プロトコルを使 うやり方など色々でてきた。先ず相互の互換性はないので、双方同じ方式を使うことが必 要である。ファイアウォ−ルのソフトでは、96年前半までは FireWall-1 にしか暗号化 機能がなかった。Gauntlet にはアメリカで使える暗号化機能があったが、IIJ や 日立が 販売する Gauntlet には独自な暗号化機能を入れてきている。 IPプロトコルの標準化検討機関の IETF の方は、VPN向け標準プロトコル IPSec( IP Security )を出してきた。DEC 社の Internet Tunnel, Sun の SunScreen SPF-100G が対 応する。IPSecは IPv6 への実装が予定されている。 Microsoft が提唱する PPTP( Point to Point Tunnelling Protocol )も Windows NT 4.0 で実装された。PPP の暗号化対応プ ロトコルで IP, IPX, NetBIOS プロトコルをIPパケットでカプセル化する。 Ascend や 3Com 社のネットワ−ク機器が対応する。他 Cisco の L2F( Layer two Forwarding )暗号 化プロトコルもある。制御メッセ−ジは TCP/5678 を使う。 その後97年10月、PPTP と L2F は L2TP( Layer Two Tunneling Protocol ) で一本化 された。 別な言い方をすれば L2TP は PPTP と L2F を統合したトンネリングプロトコル。 L2TP そのものには暗号化の機能はない、暗号化は IPSec を利用する。 L2TP は単独のプ トコルでは使用できないので、利用はかなり難しい。実際に使っているのは聞いたことは ない。PPTP クライアント機能は Windows 98/Me/2000/XP がサポ−ト、 PPTP サ−バ機能 は Windows 2000/XP がサポ−トする。 L2TP クライアント機能は Windows 2000/XP がサ ポ−ト、L2TP サ−バ機能は Windows 2000 Server などがサポ−トする。 * パソコンの暗号化通信の PPTP と RAS 外のパソコンから社内のパソコンに PPTP アクセスする。社内では PPTP サ−バの機能が ある Windows 2000/XP などを稼働しておく。 外のパソコンはあたかも社内ネットワ−ク に置かれたかのよう、PPTPサ−バのパソコンのすぐ横にあるかのようなことになる。PPTP サ−バ機能は家庭用ブロ−ドバンドル−タや無線LAN装置、RTX1000 やFortiGate にも 入っている。また Linux にも PPTPサ−バ用プログラムがある。http://www.poptop.org/。 `28/07 現在の安定版は pptpd-1.3.0。Poptop - The PPTP Server for Linux,2005-08-03。 英文ドキュメントを見たが、NATトラバ−サル機能はなさそう。参考「UNIX MAGAZINE」の `24/08, P.36〜57, "特集:VPNツ−ルの使い方 − PPTPプログラム、OpenVPN"、それに P.157〜170 に Windows 2000 と XP で自宅パソコンに PPTP接続する手順もある。 リモ−トアクセスも Windows パソコンでの暗号化通信である。 リモ−トデスクトップア クセスの Windows の RAS。かつて Windows NTにモデムを付けてダイアルアップ接続して、 社内にアクセスしていた。電話番号とアカウントが分かれば侵入される危険なサ−ビスだ った。しかし未だに Windows の RAS って形を変えて生き残っているのか。Microsoft の RRAS( Routing and Remote Access Server )。Windows Vista SP1 に搭載のリモ−トアク セス専用のプロトコル、 SSTP( Secure Socket Tuuneling Protocol ) というのも見たぞ。 Windows にサポ−トされているVPN機能の PPTP、L2TP に新しいプロトコルが追加され たという、Windows Server 2008 にて。社外から社内のアクセスよりも社内でどこからで も Windows RAS サ−バを介し Windows パソコンを自由に使えるのは事実、重宝する。 (3) VPN構築の形態 '99〜 * VPN装置を使う基本形態 ■ Firewall □ Router ◇ VPN □◇ VPN付Router ○ VPN ソフト 内部ネット インタ−ネット 内部ネット (a) ■----◇===□=======□===◇----■ VPN の互換性があれば 組み合わせで9通りの (b) ■------------□◇=====◇□------------■ 形態がある。 (c) ■◇=====□=======□=====◇■ (d) ■----◇===□=======○ ダイアルアップ接続、パソコンの VPN ソフト それぞれ (a)(b)(c) の形態あり。 [ (a) の形態の説明 ] インタ−ネット / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ c ----- \____________/…………○ VPNソフト |WWW| : : ----- □Router □ 出先 | | | Public IP --------------------------- B ◇ | | | VPN認証△ A ◇ ■ FireWall-1 ------------------ 支社 Private IP サ−バ | | | | | | | ------------------------- 本社 Private IP b△ △ △ △ PC 10とか20台 | | □R a△ UNIX | A トンネル1 B -------------- a△-----◇=============◇-----△b | z ‖ トンネル2 z△ Windows ======================○c VPN装置というのは、どうやらいろいろ癖があるようである。PERMIT の場合、 暗号化 されたIPパケットは FireWall-1 では通らないという。カプセル化されたIPパケット のヘッダ−部のプロトコル区分が 0x94 となる。 本来 TCP パケットの場合 0x06 がつく。 さて UDP パケットはどうなるのかな。このため PERMIT を使ったVPN構成では PERMIT を FireWall-1 とル−タの間おくか、上記本社のように FireWall-1 と並べておくかにな る。本社側にVPN認証サ−バというのがある。これはVPN装置専用の認証局で、デジ タルIDを発行管理する。どのVPN装置が無効になっているか、どことどこが通信する かなどを制御する。PERMIT では SNMS というソフトで、 ここで設定した情報は SNMP で 各VPN装置に通知される。デジタルID失効の CRL に相当するデ−タも、SNMP で配布 する。これで、相手 PERMIT が安全かどうか判断する。 本社のホスト a と支社の b との通信はどうなるか。本社の Router とファイアウォ−ル のホストの設定はそのままでよい。VPN装置は A と B で暗号化の方式、デジタルID またはパスワ−ド(シ−ド)を取り決め、暗号化トンネルを設定しておく。a では静的経 路として支社の Private IP のネットワ−クアドレスを、 VPN装置 A をゲ−トウェイ として設定する。ホスト a から b へIPパケットを出すと A に行き、 ここでパケット は暗号化され更にIPパケットでカプセル化される。 あたかもホスト A からパケットが 発信され、相手VPN装置 B へと届くことになる。パケットが B に着くと、カプセルか ら元々のパケットが取り出され暗号も解かれる。そして支社の Private IP ネットワ−ク にあるホスト b ヘとパケットが到着することになる。 支社から本社へのパケットはどう行くか。本社の Router にパケットが来て、ファイアウ ォ−ルのホストへパケットを振るのか、VPN装置のホスト A に振るのか。 これは考え るまでもない、やってきたパケットはまさにホスト A 宛だから、そのままホスト A に来 るだけである。もしホスト z と b の通信だったら。 VPN装置 A に静的経路の設定が できなければ、パケットは A から z には来れない。PERMIT のカタログには、 静的経路 うんぬんは書かれてないが、デフォルト/静的経路の機能はあるはずである。さらに上記 の絵では a はUNIXでないとまずい。支社ヘの経路は A からの静的経路を、インタ− ネットへはファイアウォ−ル・ホストへのデフォルト経路をとることになる。 Windows NT や 2000 ではデフォルトと静的経路の設定ができるが、95 と 98 ではデフォ ルト経路しか設定できない。ホスト z ではVPN装置のセグメントをわけ、ル−タ R を かましている。ル−タで z からのパケットをVPN装置行き、 ファイアウォ−ル行きと 分けるのである。こんなことのためにル−タを買って設置するというのは、十分もったい ない話である。そうなると支社のように、VPN装置下のセグメントに暗号化通信したい パソコンを全部置くか。FireWall-1、PERMIT、ル−タの順で直列に並べるかである。支社 にはファイアウォ−ルをかましてないのだが、本社とのみ通信するのであれば、VPN装 置の設定でセキュリティは確保されるだろう。支社からもインタ−ネットにアクセスする となれば、やはりファイアウォ−ルは必要である。 [ 参考に没にした記事をまた記載 ] `2h/09/S 後、疑問に思っていること。WWWサ−バ、WWWブラウザ、VPN装置、暗号化ファイ アウォ−ルのデジタルID。これらどう違うのだろうか。 基本的には X.509 のフォ−マ ットに従うはずなのだが、VPN装置の PERMIT は、少し違うと言ってた。先のデジタル IDの失効の話しだが、PERMIT では CRL に相当するデ−タを、 SNMP 通信で各VPN装 置に配って解決するという。他のは一体どうなっている?。さらに疑問、1台のパソコン に複数の個人用デジタルIDが入るのか。例えばT社の暗号化WWWサ−バにアクセスし 相互認証するとする。T社発行のデジタルIDがいって、B社へはB社のが必要というこ とになってくるのでないか。後日確認したところ複数入れることができると分かった。 * VPN構築の種類と費用 [ パタ−ン1 ] 約27万円/月 → HTTP のみ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\Gateway/ ̄\ インタ−ネット | 閉域IP ―→ |--◎--| | \_____________/ | | 現在OBN系のサ−ビスで、この構 : : : | | 成がとれるようである。しかしドメ :128Kbps :↑ :↓SMTP | | イン名の扱いやIPアドレスなど詳 / ̄ ̄\ / ̄ ̄\ / ̄ ̄\_______| | 細に詰める必要がある。 \__/ \__/ \__/ → \_/ 東京 大阪 名古屋・本社 1.5 Mbps もしこの構成がとれれば、一番望ましい形かもしれない。支社からの外部のWWWサ−バ へのアクセスは、閉域IPとインタ−ネットの Gateway を通っていく。 Gateway では支 社からのプライベ−トIPのパケットをパブリックIPに変換する。本社からは直接イン タ−ネットにアクセスする。もし本社 <--> インタ−ネットのラインで障害が起きたとき、 Gateway 経由で外部WWWへのアクセスはできるだろう。メ−ルと自社WWWサ−バは? である。SuperOBN での料金は、企業内デ−タ交換サ−ビス 128 Kbps が 4.8 万円と他に 数千円いる。DA128 が 4.1 万円、3ヵ所で約27万円となるが。 [ パタ−ン2 ] 約16万円/月 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ / ̄\ インタ−ネット | 閉域IP | | | \_____________/ | | SOLTERIA の Service には、調べた : : → : | | 時点ではダイアルアップ接続のサ− : :↑ :↓ | | ビスはなかった。`02/09/21。 / ̄ ̄\ / ̄ ̄\ / ̄ ̄\_______| | \__/ \__/ \__/ → \_/ 東京 大阪 名古屋・本社 SOLTERIA Managed-IP Service で 128 Kbps を使った場合 (4.3+1.0)x3=15.9 万円である。 ただしアクセスポイントが 15 Km 以内にあればだけど。全国展開しているので 30 Km 区 分以内にはあるだろう。`02/09/21 電話で日本テレコムに問い合わせたところ、もう少し 値下げするとのこと、それにインタ−ネットの接続性も検討はしているとのこと。3拠点 は全てプライベ−トIPアドレスを使う。ス−パVPNとかOBNとか、はたまたIBM などのVPNサ−ビスに較べ、一番安く簡単にできるのでないか。 何か PRISM というバ ックボ−ンもかっこいい。PRISM の本、こないだ出てました。`22/07 追記:最新のパンフ レットを見たらインタ−ネットとの接続サ−ビス、できるようになっていました。 [ パタ−ン3 ] 約17万円/月+ファイアウォ−ル代 / ̄ ̄\ VPN / ̄\ インタ−ネット 一見これが一番安いかと思うのだが、 大阪 \__/---◇-----| | 手間は一番かかって、そんなに安く | | は済まない。 PERMIT などVPN装 東京 / ̄ ̄\---◇-----| | 置3台と保守料で、3年使うとして \__/ 128 Kbps | | 300万円は下らないだろう。そう | | すると1ヵ月 8.3万円と出る。加え / ̄ ̄\---◇-----| | て専用線の DA128 2本分 8.2 万円 本社 \__/ 1.5 Mbps \_/ もいる。VPN装置を安いのにすれ ば、かなりメリットはあるといえる。 [ パタ−ン4 ] 約31万円/月 東京 インタ−ネット/ ̄\ 一番簡単なやり方。支社と本社を専 / ̄ ̄\_________________ | | 用線で接続してしまう。本社はまさ \__/ | | | にプロバイダとなる。 HSD128 Kbps 専用線 | | | なら総額31万円。HSD64 Kbpsなら / ̄ ̄\_____________/ ̄ ̄\_______| | 約19万円である。 DA128/64 は近 \__/ HSD64/128 \__/本社 \_/ 距離用のためサ−ビスにない。 1.5 Mbps [ パタ−ン5 ] 約21万円/月 (`21/01 追加) / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ / ̄\ ---------------- ■はイ−サネッ |広域LANサ−ビス(閉域IP)| | | |大きなハブとい| ト終端装置とい \_____________/ | | |うイメ−ジ | う。イ−サネッ : : → : | | --□---□---□-- ト 10Base-T の :128Kbps :↑ :↓SMTP | | | | | 口がユ−ザの所 / ̄ ̄\ / ̄ ̄\ / ̄ ̄\_______| | | | | にまで来ている。 \__/ \__/ \__/ → \_/ ■ ■ ■ 東京 大阪 名古屋・本社 1.5 Mbps 東京 大阪 本社 IIJ などが勧める、(株)クロスウェイブの「広域LANサ−ビス」を使う。これまでのと はイメ−ジがちょっと違う。この接続方法を IP-VPN よりシンプルで高く評価する業界人 もいる。そのまま接続すると、3ヵ所は全部同じセグメントのネットワ−クになる。イ− サネット終端装置を引き込んだ後に、ル−タを持って来ればセグメントを分けることがで きる。(2.5+0.3)x3 + 4.1x3 = 20.7 万円。2.5 は1〜10 ポ−トまでの契約の使用料。0.3 はイ−サネット終端装置の使用料。4.1 は DA128 の 15 Km 以内の利用料金、広域LAN サ−ビスのアクセスポイントの場所によっては距離は大きくなり、料金も上がる。他イニ シャルとして、2.5 万円x3 と DA128 専用線用の DSU 買い取り料(レンタルでもいいが)。 このサ−ビス、インタ−ネットとのゲ−トウェイやダイアルアップ接続はない。 * 全体設計 もし閉域IPのサ−ビスがうまく使えたとして全体のネットワ−クを構成してみた。さて うまく行きますか。この場合の目安となる費用を30万円とはじいた。NTTの専用線で HSD128 Kbps の料金が、名古屋−東京 269 Km/16.4 万円。名古屋−大阪 141 Km/14.6 万 円なのだ。もっと高いかと思っていた、名古屋−東京間で100万円/月ぐらいいるので ないかと思っていた。さてこれで閉域IPサ−ビスによりVPNを使った場合の方が、安 くなければVPNにする意味はあまりない。幾ら閉域IPサ−ビスを使うとしても、その アクセスポイントまでは、やはりNTTなどの専用線で接続することになる。15 km 区分、 DA128 Type2 で 4.1 万円。2ヵ所必要で 8.2 万円。残る予算は約22万円である。 専用線料金の算出 http://www.ntt-west.co.jp/senyo/ 対外的なWWWサ−バで、特定ユ−ザ用にコンテンツをもうけるとか、ECで注文を受け るとかできるようにする。暗号化WWWサ−バをノ−マルなWWWサ−バとは別に、同じ ホストで稼働させることにする。暗号化WWWサ−バにはデジタルID(証明書)を取得 する。これは VeriSign に直接申請するのがいいと思う。今、セコムや帝国デ−タバンク なんかもサ−バ証明書発行サ−ビスを始めているが、セコムや帝国デ−タバンクがル−ト 認証局(CA)となっている。これではユ−ザは、このル−トCAの証明書をWWWブラ ウザに入れる手間が発生する。なんで素直に VeriSign のル−トCAで証明書を出さない のか理解に苦しむところである。信用の連鎖のトップで信用を崩す訳にはいかないか。 NAT Gateway/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ VPN ◎--| インタ−ネット |----□---◇------- | \______________/ | | / ̄\ : : △ △ | | :1.5Mbps : アメリカ支社 |閉域| : ▼ Dialup 東京 |IP| Router□ FireWall-1 SecuRemote ----□--| | | | | ------- △ WWW/DNS/Mail-Gate 大阪 | | | | | ----□--| | VPN ◇ ■------ DMZ 128Kbps| | | |FireWall-1 / ̄ ̄\ JNX など業界別 | |-----□-----------------□--------\__/ 閉域IP | |128Kbps | ▽………| | △Mail-Server ▲…………/ ̄ ̄\ 大手企業の独自 Dialup | | Dialup \__/ ネットワ−ク \_/ 本社・名古屋 閉域IPの Dialup ▽ は、営業マンが外からモバイルでメ−ルを見たり、 社内WWWに アクセスしたりする。本社の Mail サ−バに閉域IPで安全にアクセスができる。各社閉 域IPサ−ビスには、ダイアルアップ接続もやっているようである。 インタ−ネットの Dialup ▼ は、 ネットワ−ク管理者がリモ−トで内部ネットにアクセ スするためである。Mail サ−バのホストをリブ−トするとか。 休みの日に自宅からサ− バ類を操作したい場合である。 アメリカ支社、つまり閉域IPが使えないところ、協力会社であったり顧客企業だったり する。そこはVPN装置で暗号化通信する。とりあえず PERMIT を用意する。他のVPN 装置と互換性が今のところ一番いいようだ。 アメリカ支社のVPN装置だが誰が設置するのか。 1年程前 IIJ さんやいろいろ聞いて みたが、日本からエンジニアを派遣することになるという。NTTPCコミュニケ−ショ ンのグロ−バルマネ−ジド・サ−ビスだと海外でも VPNware の設置やってくれるとある。 大手企業独自ネットワ−クへは、安全性確保のためインタ−ネットの接続性があってはな らない。パソコンを専用に1台独立しておき、ダイアルアップか専用線で接続する。これ は一番困る形だが、仕方ない。 * 遠隔地との接続はCWCの広域LANサ−ビスがいいような気がする `22/01〜 東京、大阪支店との接続は、IIJ のCWC広域LANサ−ビスを使うことにする。先ずは 128 Kbps でいいか。月額費用は約23万円、初期費用は約50万円強。 本社の営業の辺 りと東京、大阪とは同じネットワ−クアドレスとする。支店のパソコン数がそれぞれ10 程度とすれば、ネットワ−クを分けるまでもない。それならル−タもいらないし、シンプ ルなネットワ−ク構成にできる。CWC広域LANサ−ビスではレイヤ2スイッチでVLAN を切っている。つまりイ−サネットフレ−ムのレベル、ブリッジのレベルである。それぞ れの拠点には、CWCのイ−サネット終端装置というのを設置する。ネットワ−クを分け たければ、このイ−サネット終端装置の後ろにル−タを入れる。経路制御はユ−ザ側でど ないにでもできる。同じネットワ−クアドレスにする場合、 レイヤ3スイッチの Summit でブロ−ドキャストのコントロ−ルが、もしできるのであればやった方がいいだろう。レ イヤ3スイッチを使えば、そのまま制限できるのでなかったか。 数年前までだと、こうした遠隔地と接続するのはフレ−ムリレ−を使うのが、いわば定石 だった。それがインタ−ネットの出現により暗号化VPNにややシフトし、さらに今度は 広域LANサ−ビスに向きつつある。よく見ると、すでに幾つかの業者が大都市圏内を対 象にした中域とも言うべきLANサ−ビスを始めている。NTTコミュニケ−ションズも 広域LANサ−ビスを始めると 2001/04/05 に表明している。CWCよりかなり格安で提 供するようである、e-VLAN( ethernet-virtual LAN )という。2000年8月末現在、ま だ開始はしてないようである。アクセス回線には、NTT東西のATM専用線サ−ビスの ATMメガリンクを使う、この接続費用は別途いる。回線を占有する 1 Mbps は月5万円。 100 Mbps まである。回線を共有する 10 Mbps は何と月 5.7 万円である。 ATMはもは や特殊な技術、サ−ビスではなくなった。ATM用のル−タは今や数十万円で買える。 (4) VPNを改めて調べる `22/06〜 * 営業所などは ADSL のインタ−ネットVPNでいいぞ `22/06 もうごちゃごちゃ考えなくても、 どこか IIJ など業者にいって ADSL によるインタ−ネ ットVPNを引くのがいいぞ。安定性を求めるなら、そりゃCWCの広域LANとかにせ ないかんが。ブロ−ドバンドル−タも1ボックスの NetScreen-5XP なんていう、 いいの がでてきた。PPPoE 対応、ファイアウォ−ル、VPN、帯域制御全部込みの製品で約13 万円。設置も業者さんがファイアウォ−ルにVPNの設定もやってくれて、10万円もい らんとか。拠点でのインタ−ネットのWWWアクセスは、それぞれ拠点からやってもらえ ばいい。わざわざ本社経由することもない。1ボックスがそれなりのセキュリティを確保 すると考えてよさそうである。業者さんも、それなりに設定ノウハウを積んでいるようで ある。ブロ−ドバンドル−タのル−ル設定は、HTTPパケットだけ拠点からインタ−ネット へアクセス可とするのみである。メ−ルは本社経由で送受するとする。このため、拠点の パブリックIPアドレスは1個だけでいい。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ インタ−ネット \____________________________/ | | ISP2 | ISP1 | / ̄ ̄ ̄ ̄ ̄ ̄\ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \______/ \_________________/ : | | | 128Kbps: 名古屋| 東京| 大阪| 専用線 □ ル−タ / ̄ ̄ ̄\ / ̄ ̄ ̄\ / ̄ ̄ ̄\地域IP網 | \___/ \___/ \___/ ----------------- : : : | □ WWW □ Web : : : NTT ------ | DNS | Mail △ ADSLモデム △ △ フレッツ・ADSL |Fire|------------- | | | ------ □ Mail ■ BBル−タ ■ ■ 例えば | | Store | VPN | | NetScreen-5XP ---------------------------------- ---------- --------- | | | 大阪支社 全社共有 □ Proxy/ □ □ 事務系接続ポイント WWW Cache Server | のファイアウォ−ル しかし拠点間をどうするかという検討、2年前だとSI業者さんに検討してもらうだけで 百万円の見積りを持ってきた。それが今や1拠点1万円でOKという。うひゃ−です。価 格破壊もいいとこだ。ベストエフォ−トでよければ、物の値段は1/10とか1/100 になるということ?。東海インタ−ネットもこのVPNサ−ビスできるとのこと。東海イ ンタ−ネットの自分とこの網の中でVPNを作るので、東京と大阪と離れていても可能で ある。OCNビジネスパックでVPNもめんどうみますというサ−ビスも、2001年の 暮れ出てきた。NetScreen-5XP(10IP,Elite) を使っての、IPSec 暗号化/トンネリングで ある。レンタル料はユ−ザ数10、実質は9の 10IP が、オンサイト保守9時から17時 の場合で 6,900円/月である。えらくVPNが気軽なものになってきた。2002年6月 前後の雑誌にも、結構VPNをやろうなんて記事がよく載っていた。 ちょうどこの構成にぴったりなル−タの設定例が、「N+I Network Guide」`21/10 にあっ た。"ル−タ設定完全マスタ−" P.114 に Yamaha RT140e でのコンフィグレ−ションが詳 しく載っている、回線は ADSL、本社とサテライトオフィスは IPSec によるVPN接続し、 サテライトオフィスからインタ−ネットへは直接アクセスするという条件である。それか ら月日は流れ。さてさて、日進月歩は非常に激しく、光ファイバ−の FTTH のBフレッツ が射程距離に入ってきた。大都市を中心に2001年位からNTTが対応地域を拡大して きた。今は2002年秋だが、もう全国かなりの所で利用可能になってきている。Bフレ ッツはNTTがフレッツ・ADSLと同じく整備している地域IP網の1つのメニュ−である。 100 Mbps 光ファイバ−でありながら、フレッツ・ADSL よりちょっと高い程度である。 * 改めてVPNの種類 `22/10〜 a) IP-VPN [ MPLS ベ−ス ] --- KDDI の KDDI IP-VPN ( 旧称 ANDROMEGA IP-VPN )。 日本テレコムの SOLTERIA Managed IP Service。 NTTコミュニケ−ションズの Arcstar IP-VPN。 パワ−ドコムの Powered-IP MPLS。等 b) インタ−ネットVPN ----- IIJ のサ−ビスなど。NetScreen-5XP などを拠点毎に 設置しインタ−ネットをトンネルする。一番安く済む が設定を誤るとセキュリティ・ホ−ルを作ってしまう。 c) 広域イ−サネット --------- IIJ 系CWC広域LANサ−ビス。 (株)パワ−ドコムの Powered Ethernet。 NTTコミュニケ−ションズの e-VLAN。等 注.CWCは2003年8月、会社更生法適用申請。パワ−ドコムなどの低価格合戦に 競争力が低下した。NTTコミュニケ−ションに2003年12月、営業譲渡した。 * いろいろメモ MPLS( Multi Protocol Label Switching ) での経路制御にはスタティックと、 BGP-4 ダ イナミック・ル−ティングが使える。BGP-4 は大きなプロバイダが使ってきた動的経路制 御プロトコルである。足周りを2本設けるなど冗長構成を組む際に BGP-4 を用いる。 IP-VPN は基本的に閉域ネットワ−クである。 サ−ビス業者が独自に設置した閉じたIP ネットワ−クである。支社からインタ−ネットへのアクセスは本社を経由するのが基本で ある。 IP-VPN 網からインタ−ネットへアクセスするゲ−トウェイ・サ−ビスを契約すれ ば、本社は経由しなくできる。 インタ−ネットVPNは通信路にインタ−ネットを利用する。拠点間の通信は暗号化が必 要である。拠点接続ポイントにVPN装置をおき、相手VPN装置との間でパケットを暗 号化する。仮想的な私設網である。支社からインタ−ネットへのアクセスは、ル−タの設 定いかんで直接できる。 IP-VPN 網に接続する足周り回線に、NTTのフレッツ・ADSL やBフレッツを使う場合は NTTの地域IP網を通るため IPSec などで暗号化する方が望ましい。 フレッツでは他 の人のパソコンのファイル共有が見えたとか、セキュリティに問題があるようである。ア ッカはその点、専用線感覚なみに安全と言われていて、暗号化の必要はない。 MPLS の1VPNグル−プ当り、1拠点10経路以内にして欲しいとのこと。 このため1 拠点に多くのネットワ−クがある場合は、ネットワ−クを集約しなければならない。例え ば 192.168.1.0/24 から 192.168.9.0/24 を 192.168.0.0/23 に1つにしてしまうとか。 MPLS はIPパケットのみ扱う。 広域イ−サネットはIPパケットだけでなく AppleTalk や IPX などでもOKである。 MPLS はスタティックル−トと BGP-4 だけの対応がほとん どで、広域イ−サネットは RIP や OSPF などにも対応する。 MPLS 網は1つの大きなル−タとみなしていい。 会社など組織単位で1つのVPNを構成 し、拠点毎に1つのポ−トを使う。ポ−ト全部を繋ぐ、フルメッシュの専用パイプが引か れたことになる。VPN同士は独立しているので、VPNのポ−トに繋がるユ−ザのネッ トワ−クは、他のVPNのIPアドレスと同じでも問題ない。 KDDI の IP-VPN の付加サ−ビス。広域イ−サネット・サ−ビス Ether-VPN との相互接続、 リモ−トアクセスのゲ−トウェイ設置、インタ−ネット接続サ−ビス、エクストラネット。 エクストラネットは、異なるユ−ザグル−プのVPN間で通信できるようにするサ−ビス である。エクストラネットのVPN間でIPアドレスは原則、重なってはならない。 NTT Arcstar IP-VPN では、フレッツ・ADSLはリモ−トアクセスという位置付けである。 OCNビジネスパックVPNでのル−タ --> フレッツ・ADSL NTT東西地域IP網 --> OCN --> IPSec ゲ−トウェイ --> Arcstar IP-VPN というパスである。 * 参考 「日経コミュニケ−ション」2002/8/19, 2001/09/17, 2002/04/01号に IP-VPN の記事あり。 > 2002年はVPNと IP-VPN 大流行。他の雑誌でも結構取り上げられた。 NTT Arcstar のパンフレットなど > 会社のネットワ−ク担当者ですねと言われ、そうだと答えたら資料を一杯送ってくれた。 (5) VPNリモ−トアクセス * 外出先から内部ネットにアクセスするいろいろなやり方 a) インタ−ネット経由 --- ロ−ミングできるプロバイダに入っておくこと。 外出先から FireWall-1 の機能で内部ネットワ−クに入る。認証はとりあえず、ただ のパスワ−ドでいいから。これで、社内のWWWサ−バに外からアクセスできるのか。 でも FireWall-1 のクライアント用ソフトをパソコンに入れるようなことなら検討す るのはやめよう。IIJ には ID Gateway サ−ビスというのもある。それに2002年 になって新しく出てきた SSL-VPN という製品も、今後の有望株である。 b) 直接電話コ−ル経由 --- これはやっぱり RAS、リモ−トアクセスしかないのか。 Windows NT/2000 の RASサ−バにダイアルアップ接続をする。しかし、これはもう止 めた方がいい、というより止めないかん。その代わりに専用のリモ−トアクセスサ− バを使うかである。ISDNなら電話番号があって発信番号制限とかできるが。ともかく 電話代、特に携帯電話の料金は馬鹿にならない。 c) IP−VPN網経由 --- NTTや KDDI などの閉域網を利用する。 NTTでは Arcstar IP-VPN のメニュ−にいろいろある。KDDIにも同様いろいろある。 モバイルコネクト接続、ホットスポット接続、インタ−ネット接続、TV会議パック。 KDDI は 2003/09/01 から IP-VPNサ−ビスに、リモ−トアクセス用のワンタイムパス ワ−ド認証サ−ビスを追加。10個のIDで8千円、ト−クン4千円から。 * SonicWALL をVPNクライアントから管理する例で 結論から言う、使えないの一言。最初ふんふんと言ってマニュアルの通り設定して行って VPNアクセスできた。それが、いろいろいじっているうちにおかしくなり、 SonicWALL 本体をリセットしたり、VPNクライアントも入れ直したり。それ以降まるで、アクセス できなくなってしまった。全くおかしい。本体へはアクセスしているようで、ログを見る と IPSec パケットがドロップされている。 最初できたのは、たまたまできただけなのか。 VPNソフトのインスト−ルには Windows OSの CD-ROMも必要になる。VPNソフトは イ−サネットでもダイアルアップのアダプタを使うようになっている。 Windows 98 では ネットワ−クのプロパティのアダプタにダイアルアップがあること。 Windows NT ではリ モ−ト アクセス サ−ビス(RAS)が稼働してなければならない。 SonicWALL をここからも管理できるように | Proxy 一般ユ−ザ する。管理用VPNクライアントを入れる。 □ FireWall-1 □ □ □ PC2 |.2 |.5 |.6 |.7 ---------------------------------------------- 192.168.1.0 |.8 □ SonicWALL |.1 ---------------------------------------------- 192.9.201.0 |.3 |.4 □ Cobalt □ PC1, Windows 98 VPNクライアント・ソフトをパソコンに入れて、IPSec の設定をするのは、 SonicWALL の内側からやっても問題ない。つまり PC1, 192.9.201.4 にパソコンを接続しての設定で ある。このパソコンを PC2, 192.168.1.7 にもってくれば IPSecの設定はそれ用に勝手に 変わる。実はこのテストでは PC1 と PC2 は同じノ−トパソコンを用いた。PC2 でVPN クライアントとして SonicWALL にアクセスし、それを PC1 にもってきたところ、どこと も通信ができなくなる現象が起きた。VPNクライアントのソフトをインスト−ルすると Windows 98 のネットワ−クのプロパティに、"SafeNET VPN Adapter for Windows 98" ド ライバが入る。これにより暗号化モジュ−ルが、通信カ−ネルで稼働するようになるよう だ。VPN Client ソフトの [Security Polcy Editor] を開き、"Connection Security" を "Non-secure" にする。これでVPNクライアントの機能が働かなくなる。 [スタ−ト]->[プログラム]->[SonicWALL VPN Client]->[Cerificate Manager] [Connection Monitor] [Log Viewer] [Security Polcy Editor] [ 一応設定にトライしてみる ] 1) SonicWALL 本体の先ずできるところの設定 VPNクライアントの パソコンの 192.168.1.7 も、SonicWALL にWAN側からアク セスできるように含める。 SonicWALL の管理の所 [ LANとWANインタ−フェ−スから のリモ−ト ] とする。 |-------------------------------------------------------------- |プロキシリレ− | イントラネット | ル−タ DMZアドレス 1対1NAT |---------------- ------------------------------ |○SonicWALL の WAN リンクは、直接インタ−ネットル−タに接続 |○指定アドレス範囲を LAN リンクに接続 |●指定アドレス範囲を WAN リンクに接続 | 開始アドレス 終了アドレス | 範囲追加 [ 192.168.1.6 ] [ 192.168.1.7 ] |-------------------------------------------------------------- |サ−ビス サ−ビス追加 ル−ル ユ−ザ | 管理 | |------------------------------------------- ------------- |管理方法 管理 [ LANとWANインタ−フェ−スからのリモ−ト ▽] | |Security Association 情報 | 内向き/外向き SPI: [ 1010101D ] | 暗号鍵: [ 1111111111abcdef ] | 認証鍵: [ 1111111111abcdef1111111111abcdef ] 2) SonicWALL 本体のアメリカへのオンラインユ−ザ登録 http://www.mysonicwall.com/ にアクセスすること。かなり繁雑な手続きである、た まらない。アクセスに HTTPS, Cookie が必要。本体の裏にかいてあるSerial Number やら住所やら、パスワ−ドやら何やら一杯記入して Registration CodeがWWW画面 にでてくる。これを本体管理WWW画面の [一般]->[ステ−タス] のところに入れる。 3) VPNクライアント用のライセンス・キ−の取得 ライセンス・キ−はオンラインユ−ザ登録してから、WWWで発行してもらわないか ん。http://www.mysonicwall.com/ に先に登録した Username と Password を入れて、 https://www.mysonicwall.com/Profile/Manage... 画面の "SERVICE MANAGEMENT" の "4. VPN Client Upgrade" にアクセスすること。このような画面が出てきたらOK。 ------------------------------------------------------------------ |STATUS -- VPN Client Upgrade |----------------------------------------------------------------- |> Licence Key: 1111-2222-N333-4444 |> VPN Client Licence: 1 | You will need the licence key above to activate your software. | Click here to download the SonicWALL VPN Client software. | | 4) VPNクライアント・ソフトのダウンロ−ド VPN クライアント for Windows 9x/ME/NT/2000, Version 5.1.3, 4.65M, 圧縮 4771K, Mar 1 2001。Windows 98 にセットアップしてみる。My Documents/vpn513.exeにダウ ンロ−ドされる。これをクリックすると解凍の画面がでる、[Unzip] をクリックする と C:\WINDOWS\TEMP に Setup.exe などのファイルができる。Setup.exe をクリック すると、ライセンス・キ−を入れる画面がでてくる。1111-2222-N333-4444 とこの例 では入れる。 5) 本体とVPNクライアント・ソフトの暗号化の設定 日本語ドキュメントの P.48〜 の "VPNクライアント用の手動鍵の設定" を見てそ の通りやっていく。設定画面の写真がぼけているので、英文ドキュメントも見ること。 何を設定しているか理解するには IPSec の仕組みを勉強しないと分からない。 ここ は、ただ管理者が外からアクセスできるようにするだけと割り切る。"VPN対象ネット ワ−クの編集" のところは、ドキュメントのままの 0.0.0.0 とすること。 気をきか して 192.168.1.0 等と制限すると、外から http://192.168.1.0/ とやって内側にあ る Cobalt にアクセスできなくなってしまう。 6) 管理画面に外からアクセスする Web ブラウザに SonicWALL LAN IP Address を入れて、管理画面にアクセスする。と いうことは LAN 側のネットワ−クのIPアドレスがプライベ−トだと、 インタ−ネ ット越しにはアクセスはできないことになる。192.168.1.5,6,7 のホストのデフォル トゲ−トウェイは FireWall-1 のホスト 192.168.1.2 に向けている。FireWall-1 の ホストでは # route add net 192.9.201 192.168.1.8 1 と経路設定をする。 * IIJ セキュアリモ−トアクセス( 以前は IDゲ−トウェイ と言った ) `24/12 インタ−ネットのどこからか、どこかのプロバイダに接続する。次に仮想ダイアルアップ で接続し、インタ−ネットから p2 に向けてアクセスする。するとこのパソコンはあたか も p1 に置かれたようなことになる。これで社内ネットワ−クにあるメ−ルサ−バでもフ ァイルサ−バでも自由にアクセスできるようになる。このためパソコンには普通のダイア ルアップ接続とこのサ−ビス用の仮想ダイアルアップ接続のアイコンを用意する。仮想ダ イアルアップのプロトコルは PPTP か IPSec を選ぶ。普通は PPTP を使えばいい。IPSec は内部ネットワ−クで Windows セグメントを越えるような場合に使う。IPSecでは公開鍵 と秘密鍵が必要で、これら鍵を生成し管理する手間が余分にかかる。また支店などユ−ザ が複数いる場合、拠点のブロ−バンドル−タに PPTP パススル−機能があれば、複数アク セスができる。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\インタ−ネット 初期費用20万円、IDゲ−トウェイ装 \____________/……○ 置(IDG) を設置するネットワ−ク設計な : | パソコン どの費用も含む。IDG の設定はややこし : □ そうに見えるが、普通は特に問題はない □ Router IIJ認証サ−バ らしい。Router も FireWallもそのまま | でいい。しかしマルチホ−ム装置をかま ------------------------ すとなると、やや難しいかも知れない。 | | p2 Fire ----- --*-- メ−ル ファイル 毎月費用は8万円。これで50ユ−ザ分 Wall | | |IDG| サ−バ サ−バ までのアカウントが利用できる。追加は ----- --*-- □ □ 1アカウント200円である。 | | p1 | | ------------------------------------- 社内ネットワ−ク ユ−ザのアカウント登録は IIJ認証サ−バにアクセスして、WWW画面でやれる。社内ホ ストにアクセスする制限は、IDゲ−トウェイ装置(IDG)にアクセスして設定できる。 グ ル−プ、ホスト、サ−ビスで制限できる。サ−ビスは TCP, UDP 何でも構わない。ただし IDENT と RIP はだめ。この IIJ セキュアリモ−トアクセスには、IIJ ダイアルアップア ドバンストの50アカウントが付いている。アカウント毎に2時間/月まで無料、以後5 円/分。同じアカウントでも同時アクセスはできるとのこと、ユ−ザ毎にロッグイン名と パスワ−ドを発行するのがめんどうな場合とかに便利。ただあまりセキュアとはいえない が。オプションサ−ビスに AirH", @FreeD, 海外ロ−ミングなどある。IDゲ−トウェイ 装置は1Uラックマウントとタワ−型がある。1Uタイプはこの手の装置の宿命みたいな ことで、かなり音はするとのことである。 □ Router □ hostA' もう一つのアクセス方法がある、実ダイアルアッ | |仮想IP プといって、IDゲ−トウェイを当初始めた時の ------------------------------ やり方である。1998年当時のパンフレットを | | p2 見ると、仮想ダイアルアップは出てない。実ダイ ----- --*-- アルアップではIIJ のダイアルアップを利用、ア | | |IDG| クセス先の本体も IIJの専用線などで接続してい ----- ----- □ hostA ること。つまり IIJでクロ−ズしたネットワ−ク | | | 環境で利用する。外からアクセスしたいサ−バは、 ------------------------------ IDG でもって、内部ネットワ−クのサ−バをパブ 1998年12月開始、月10万円 リックネットワ−クに仮想的に置いておく。 * 安全なリモ−トアクセスの手段 `24/12〜`25/02 営業部門にて公衆電話回線を利用して Windows NT の RASという仕組みで、社内にアクセ スできるようになっている。元は営業所とネットワ−ク接続できてなかった時に、営業所 からもメ−ル位は読み書きしたいという要望からの設置だった。当初内線経由での利用の はずが、いつの間にか外線を使ってのアクセスになっていた。ともかくWindows OSの元 でのリモ−トアクセスは危険である。情報漏洩の穴になりかねない。別な手段を検討して 来たが、なかなか決め手になるようなものはなかった。FireWall-1 の IPSec と言うクラ イアント用の暗号化ソフトも試してみた。ものすごく面倒な設定がサ−バ側 FireWall-1、 クライアント側のパソコンで必要で、とてもや一般的に展開できる代物ではなかった。そ れが2003年6月頃、SSL-VPN という装置が出てきた。ブラウザさえあれば、社内ネッ トにアクセスできるという画期的な代物ものである。 Windows NT の RAS サ−バではライセンスの関係で同時に2人しか利用できない。 それに電話回線のモデム接続のため 56Kbps の速度しか出ない。安全性をアップ させるには Windows NT でなく 2000 にすれば、RAS の認証機能が豊富に利用で きるようである。簡易暗号化 PPTP というプロトコルも使えるかも知れない。 ただし、この装置でも単純なユ−ザ認証なら Windows RASと、安全性はあまり変わらない。 ワンタイムパスワ−ドであるとかデジタルIDであるとか、装置はたいがい対応している ので、そうした高度なユ−ザ認証が本来必要である。住商エレクトロニクスから11月半 ばに1週間ちょっと、AEP SureWare A-Gate という SSL-VPN装置を借りて評価することが できた。その結果、技術的な話になるが Windows パソコンの LMHOSTS というファイルに SSL-VPN 装置のIPアドレスを記入しないことにはアクセスできない。そうした歯止めを かけられることが分かった。これでとりあえず、営業部門でテスト的に使ってもらうこと ができるのでないか。同時にちゃんとしたユ−ザ認証も検討していくという。この製品は 約230万円。幾つものメ−カが出しているが、ほぼこれでいいと踏んでいる。 SSL-VPN 装置は2005年半ばに設置しこの後、 速やかに営業部門の Windows RAS は廃 止した。これにより、ブラウザさえあれば安全に社内のリソ−スにアクセスできるように なる。携帯電話や携帯端末でもブラウザが載っているわけで、これらでも構わない。ホス トコンピュ−タにアクセスしないと見ることができない情報でも、中継するようなサ−バ を介せば、できるようになるはずである。以前から営業が言っている、納期情報を出先か ら確認したいというような話である。ホストコンピュ−タへのアクセスを中継をするソフ トはこれまで2つ見た。1つ挙げるとアシスト社の MF@dvance、25同時ユ−ザ200万 円位。この手のソフトは結構あるらしい。いずれにせよ、ホストコンピュ−タ部門の領域 に入って来る訳で、関係する他部門との協力連携が必要になる話である。 * リモ−トアクセス PacketiX Desktop VPN は PacketiXの他にも外から社内の自分のパソコンにリモ−トアクセスするソフトはある。外 のノ−トパソコンから PacketiX でデスクトップパソコンにアクセスする際に個体認証装 置の ROUD でパソコンの認証をするか。いやこれは無理だろう。 PacketiX が ROUD に対 応していないことにはだめである。まあ保守切れしたものを使う訳にも行かないし。 リモ−トアクセスは PacketiX だけでもいいのでないか。SSL-VPN を使うよりいいのでな いか。外にいても社内にいるのと全く同じように使える。ファイル共有サ−バへのアクセ スなども同じ。 SSL-VPN だと SSL-VPN 装置でこのサ−バへは誰がアクセスできるか設定 しないといけない、その際にファイアウォ−ルのル−ルも書かかないといけないし。 社外持ち出しパソコンに、ソフトイ−サの PacketiX Desktop クライアントをいれておく。 PacketiX Desktop で社内の自分のパソコンにリモ−トアクセスする。 外にいても社内に いるのと同じ状態。外のパソコンには何らファイルはコピ−されない。究めて安全である。 営業さんは自分持ちのノ−トパソコンもあってもいい。他の人は共有のを用意する。 社内においたパソコンに外からアクセスして自分のパソコンとして使うことができる。そ れには会社のデスクトップのパソコンはずっと動かしたままにしておく。営業さんではな く、部課長さんなどは自宅では自前で買ったパソコンを使えるようにしてもいいかも知れ ない。単純に許して問題ないか。幹部であれば在宅勤務うんぬんもあまり関係ないし。