Windows vpn
This presentation is the property of its rightful owner.
Sponsored Links
1 / 36

Windows で VPN PowerPoint PPT Presentation


  • 115 Views
  • Uploaded on
  • Presentation posted in: General

Windows で VPN. 山下 敦巳. VPN とは?. Virtual Private Network =  仮想専用線 物理的な結線を使用せず、ソフトウエア的にエミュレートされた専用線 ネットワークを飛び越えて、トンネルを作成. VPN の基本原理. ローカルの IP パケットを、他の IP パケットに包んで配送 カプセル化 送信側:別のパケットをペイロードに格納した VPN パケットを作成              ↓インターネット網↓ 受信側: VPN パケットのペイロードにあるパケットを取り出す. 注: TCP の例. 用語について.

Download Presentation

Windows で VPN

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Windows vpn

WindowsでVPN

山下 敦巳


Windows vpn

VPNとは?

  • Virtual Private Network= 仮想専用線

  • 物理的な結線を使用せず、ソフトウエア的にエミュレートされた専用線

  • ネットワークを飛び越えて、トンネルを作成


Windows vpn

VPNの基本原理

  • ローカルのIPパケットを、他のIPパケットに包んで配送

    • カプセル化

  • 送信側:別のパケットをペイロードに格納したVPNパケットを作成

  •              ↓インターネット網↓

  • 受信側:VPNパケットのペイロードにあるパケットを取り出す

  • 注:TCPの例


    Windows vpn

    用語について

    • プライベートアドレス

      • NICに申請しなくとも自由に使えるアドレス

      • 192.168.0.0 - 192.168.255.255 /24

      • 172.16.0.0 - 172.31.255.255 /16

      • 10.0.0.0 - 10.255.255.255 /8

  • グローバルアドレス

    • NICに申請して使用するアドレス

  • ローカルネットワーク(⇔パブリックネットワーク)

    • 組織内のネットワーク(アドレスはプライベートでもグローバルでも)

  • ローカルアドレス

    • ローカルネットワークで使用されているアドレス


  • Vpn ip vpn

    インターネット網を使用する

    一般消費者向けの回線を利用

    コストが低い

    品質はそれなり

    インターネットVPNとIP-VPN

    IP-VPN

    インターネットVPN

    • キャリア(通信事業者)自前の回線を使用

    • キャリアまでは一般の回線

    • コストが若干かかる

    • VPNとしては品質がよい

    • 品質保証しているもの有


    Ip vpn

    IP-VPNのプロトコル

    • MPLS(Multi Protocol Label Switching)

      • IPアドレスとは別に、ラベルを貼ってパケットを送受信

      • こちらのほうがメジャー

      • RFC2547

  • VR(Virtual Router)

    • 拠点ごとに仮想的なルーターを作成して送受信

    • VRRPとはまた別


  • Windows vpn

    インターネットVPNのプロトコル

    • PPTP(Point to Point Tunneling Protocol)

      • Microsoft、Lucent(Ascend)、3Com(US.Robotics )が開発

      • RFC 2637

  • L2TP(Layer 2 Tunneling Protocol)

    • IETF(Internet Engineering Task Force) による標準化

    • RFC 2661

  • IPSec(IP Security)

    • IETFによる標準化

    • RFC 2401~2412RFC 2451

    • IPv6でのセキュアな通信で注目(IPv4でも動作)


  • Windows vpn

    PPTP(カプセル化)

    • ローカルのパケットをPPPパケット (Point to Point Protocol)化。

      • ユーザ認証

      • アドレス

      • 圧縮方法

      • エラー訂正方法

  • PPPのパケットを、GRE パケット(Generic Routing Encapsulation)化

    • トンネルを掘る

  • GREのパケットを、IPパケット化

    • IPヘッダの付与


  • Windows vpn

    PPTP(暗号化と認証)

    • 暗号化

      • PPPパケットのデータ部分が暗号化される

      • RC4(40,56,128bit)

    • 認証

      • PAP (平文)

      • CHAP (MD5)

      • MS-CHAP (MD4&DES)v1 v2

      • EAP-TLS (電子証明書方式 )


    Windows vpn

    PPTP(その他)

    • 制御用パケットとGREパケットの2種類を使用

      • 制御用パケット:TCP Port1723

      • GREパケット:IPプロトコル識別番号 47

    • 対応したルータが必要

      • GREパケットは、対応したルータしか通過不可

    • Windows95,98,98SE,Meでも使用可

      • 上記OSではクライアント機能のみ

        • WIndows95では、ドライバのアップグレードが必要

      • 対応OSの幅が広い


    Windows vpn

    L2TP

    • PPTPとL2Fを統合したプロトコル

      • L2F (Cisco,Nortel) RFC 2341

  • 単独ではセキュリティ機能をもたない

  • フレームリレー、ATMでも使用可能

  • WindowsではIPSecと組み合わせて使用


  • Ipsec

    IPSec(カプセル化)

    • ローカルのパケットをESPパケット化

      • 暗号化

      • 認証機能

  • ESPのパケットをIPパケット化

    • IPヘッダの付与


  • Ipsec1

    IPSec(暗号化と認証)

    • 暗号化

      • DES,AES(Rijndael:DESより強力)

    • 認証

      • IKEプロトコル(UDP)で事前に認証を行う

        • 認証が完了してから、データ本体を通信

      • パケットの内容改ざんチェック

        • ハッシュ関数にMD5やSH-1を利用

          • MD5(128bit),SH-1(160bit)


    Ipsec2

    IPSec(その他)

    • IKEパケットとESPパケットの2種類を使用

      • IKE(ユーザ認証用)パケット:UDP Port500

      • ESP: IPプロトコル識別番号 50

    • 対応したルータが必要

      • ESPパケットは、対応したルータしか通過不可


    L2tp over ipsec

    L2TP over IPSec

    • WindowsでVPNに採用されているL2TPは、  L2TP using IPsec

      • RFC3193

  • IPSecで暗号化されたチャネルを作成

    • 認証はIKEを使用

  • L2TPでトンネル作成


  • Ipsec tips

    IPSecのTips

    • AHとESP

      • AH :データ認証のみ

      • ESP :データ認証と暗号化

    • トンネルモードとトランスポートモード

      • トンネルモード:トンネル化と暗号化

      • トランスポートモード:暗号化のみ


    Ipsec tips1

    IPSecのTips

    • IPSecで利用されるプロトコル

      • AH :認証

      • ESP :認証と暗号化

      • IKE :暗号化キー送受信

      • IPComp  :圧縮


    Softether

    SoftEther

    • ソフトウェアのインストールで使用可能

    • 現状でフリー(無料)

    • 日本人が作成したことで注目

      • 平成15年度 未踏ソフトウェア創造事業 未踏ユース部門 の支援

    • 仮想HUBと仮想Ethernetカード

      • ソフトウェアでエミュレート

    • VPNパケットの通らないProxyも通る

      • TCP Port 7777, 443

    • Windows2000,XP,2003,Linuxに対応


    Softether1

    SoftEther

    • 暗号化

      • 秘密鍵方式

        • RC4-MD5

        • RC4-SHA,AES128-SHA,AES256-SHA

    • L3パケットフィルタ機能(仮想HUB)

      • DHCPの禁止など

    • DoSアタック、ワーム、IP重複防止機能

      • トラブルの防止

    • 配布サイト

      http://www.softether.com/


    Windows vpn

    なぜ、VPNなのか?

    • 共有の回線を使えるので、安い

      • 専用線やフレームリレーと比較にならない程安価

      • 月1~2万円前後の費用負担

      • 拠点間で使用すればコストダウン大

        • 遠距離ほど恩恵

    • 構成変更の自由度が高い

      • グローバルIPが届けば大抵はOK

      • 用途は工夫次第

        • 自宅HDDへのアクセス

        • リーモートデスクトップ  etc.


    Windows vpn

    なぜ、VPNなのか??

    • 面倒なネットワークポリシーを迂回

      • リモートデスクトップを利用し自宅のメールを閲覧

      • F/Wで通らないはずのパケットが通る

      • 職場に置けないデータにアクセス可能

      • こっそりやれば管理者にバレにくい


    Windows vpn

    ハードウェア

    定番 YAMAHA の例

    http://netvolante.jp/

    RTX1000,RTX2000,RT300i,RTV700,RT105i,RT105e,RT57i,RT56v

    ネットボランチDNSサービスがあれば、動的IPでも運用可能

    クラッシュが少ない

    VPNに専念させられる

    セキュリティの心配 少

    安定稼動が期待できる

    購入時にコストがかかる

    機能追加はメーカ頼み

    ソフトウェア

    手段が選べる

    OS標準のもの

    SoftEtherなど

    自由にログが取れる

    HDDの空き容量依存

    拡張性 大

    セキュリティに不安

    安定稼動に不安

    ハードウェアv.s.ソフトウェア


    Windows vpn

    VPNのデメリット

    • 遅延が大きい

      • 専用線と比較して経由するルータ数が多いので、遅延も大きい

        • ルータの処理はPPS単位

  • 帯域保障されないVBR(0bps含む)である

    • ADSL,CATVを経由するとさらに悪化

  • セキュリティに大穴が開く可能性

    • F/Wを超えられると手に負えない 

    • 外向けにVPNサーバを晒す必要がある


  • Adsl catv

    ADSL,CATV接続での問題点

    • 安価なために、ADSLやCATVを採用すると問題

      • 光でも、マンション内がDSLの場合が該当

  • サーバ側はグローバルアドレスが必要になる

    • NAT可(ただし、条件つき)

  • ADSL,CATVは、通信品質が安定しない

    • ノイズの問題(干渉、電話保安器の問題)

    • 局からの距離の問題

    • 帯域共有の問題


  • Adsl catv1

    ADSL,CATV接続での問題点

    • 上り下り非対称

      • 下りがどんなに速くても上りの速度以上出ない

    300Kbps

    4Mbps

    300Kbps

    Internet

    4Mbps

    300Kbps

    ADSLモデム

    ADSLモデム

    300Kbps

    全体の実質速度は上りの細さをそのまま引き継ぐ


    Vpn dhcp

    VPNサーバ側 DHCP使用時の問題

    • DHCPの場合、動的にアドレスが変更になるので、サーバの特定が困難

    • DDNSを利用する方法があるが、IPアドレス変更後はDNS名とIPアドレスとのヒモ付けにタイムラグがある

      • その間、通信途絶


    Windows vpn

    NAT利用時の問題

    • PPTP,L2TP using IPSec 共に、VPNパススルーなルータが必要

    • 「IPプロトコル識別番号」単位でのスタティックルーティング機能がないと、サーバが機能しない

      • Port番号でのスタティックルートだけでは×

      • Port番号がないパケットを使用するため


    Windows vpn

    拠点間接続で通信品質優先の場合

    パブリック

    ローカル

    ローカル

    トンネル


    Windows vpn

    拠点間接続で通信品質優先の場合

    • VPN接続機能を持ったルータ製品を使用

      • フリーズの危険を回避

      • VPNパススルー機能ではなく、拠点間接続機能

    • FTTHの利用

      • 高速、高品質

    • メジャーなプロバイダを選定

      • メジャーでも、混んでいるところは避ける

    • 予備回線の確保

      • 予備回線にはADSL,ISDNも候補に


    Windows vpn

    拠点間接続で避けたい要素

    • どちらとも、ADSLを使用

    • PCをVPNサーバに利用

      • VPN以外にも利用している可能性

      • パソコン故の不安定要素

    • ダイナミック(固定でない)IPアドレスを使用

      • IPアドレスはいつ変わるかわからない

      • DDNSを利用しても途絶の可能性

    • いつ止まるかわからないプロバイダ


    Windows vpn

    会社から自宅につなげる場合

    パブリック

    会社

    自宅

    VPNServer

    トンネル


    Windows vpn

    会社から自宅につなげる場合

    • ADSLでも十分

    • ダイナミックIPアドレスでも、なんとか我慢

    • VPNパススルー機能のついたルータで、宅内のPCサーバへ接続

      • IPプロトコル番号のスタティックルーティング必須

    • VPNサーバへグローバルアドレスで接続できないとだめ

    • 管理者への相談必須


    Windows vpn

    ブロードバンドルータのNAT設定

    BLR2-TX4の例


    Windows vpn

    インフラ側から見たVPN

    • 専用線は予備回線まで含めた敷設をする

      • 予備回線を省いてコストダウンしたものもある

    • ネットワーク タダ乗り論

      • 共有回線を専用線として乗っ取る

    • Web,e-mailといったトラフィックとは異質

      • 業務用のデータを通された場合、回線真っ黒

      • ストリーミングも同じく

      • ビジネスモデルが崩れる可能性


    Windows vpn

    まとめ

    • 工夫次第で低コストな運用

    • 専用線と同等の回線品質を求めてはダメ

      • 業務用なら、ある程度のコスト

      • それでも、専用線と比較すると安い

      • IP-VPNの必要性も視野に入れる

    • 個人利用なら、我慢できればなんでもあり

    • ネットワークポリシーには配慮すべき

      • セキュリティの敵(?)の動向に目を光らせる必要


    Windows vpn

    実演

    • SoftEtherで仮想HUBへ接続

    • PPTPで、リモート環境へ接続

    • ローカルネットワーク内で接続

    • 当勉強会にある資材で組めるネットワークを全員で考える


  • Login