Windows で VPN

山下　敦巳

VPN とは？• Virtual Private Network 　 = 　仮想専用線

• 物理的な結線を使用せず、ソフトウエア的にエミュレートされた専用線

• ネットワークを飛び越えて、トンネルを作成

VPN の基本原理• ローカルの IP パケットを、他の IP パケットに包んで配送

• カプセル化

• 送信側：別のパケットをペイロードに格納した VPN パケットを作成• 　　　　　　　　　　　　　↓インターネット網↓• 受信側： VPN パケットのペイロードにあるパケットを取り出す

用語について• プライベートアドレス

– NIC に申請しなくとも自由に使えるアドレス– 192.168.0.0 - 192.168.255.255 /24– 172.16.0.0 - 172.31.255.255 /16– 10.0.0.0 - 10.255.255.255 /8

• グローバルアドレス– NIC に申請して使用するアドレス

• ローカルネットワーク (⇔ パブリックネットワーク）– 組織内のネットワーク ( アドレスはプライベートでもグローバルでも )

• ローカルアドレス– ローカルネットワークで使用されているアドレス

インターネット VPN と IP-VPN

• インターネット網を使用する

• 一般消費者向けの回線を利用

• コストが低い

• 品質はそれなり

• キャリア ( 通信事業者 )自前の回線を使用

• キャリアまでは一般の回線

• コストが若干かかる• VPN としては品質がよい• 品質保証しているもの有

IP-VPN のプロトコル• MPLS(Multi Protocol Label Switching)

– IP アドレスとは別に、ラベルを貼ってパケットを送受信

– こちらのほうがメジャー– RFC2547

• VR （ Virtual Router ）– 拠点ごとに仮想的なルーターを作成して送受信– VRRP とはまた別

インターネット VPN のプロトコル

• PPTP （ Point to Point Tunneling Protocol ） – Microsoft 、 Lucent(Ascend) 、 3Com(US.Robotics ) が開発– RFC 2637

• L2TP （ Layer 2 Tunneling Protocol ） – IETF （ Internet Engineering Task Force ） による標準化– RFC 2661

• IPSec(IP Security)– IETF による標準化– RFC 2401 ～ 2412 　 RFC 2451– IP ｖ６でのセキュアな通信で注目 (IP ｖ４でも動作 )

PPTP( カプセル化 )

① ローカルのパケットを PPP パケット (Point to Point Protocol) 化。 ユーザ認証 アドレス 圧縮方法 エラー訂正方法

② PPP のパケットを、 GRE パケット (Generic Routing Encapsulation) 化

トンネルを掘る

③ GRE のパケットを、 IP パケット化 IP ヘッダの付与

PPTP( 暗号化と認証 )

• 暗号化– PPP パケットのデータ部分が暗号化される– RC4 （ 40,56,128bit ）

• 認証– PAP ( 平文 )– CHAP (MD5)– MS-CHAP (MD4&DES) 　 v1 v2– EAP-TLS ( 電子証明書方式 )

PPTP( その他 )

• 制御用パケットと GRE パケットの２種類を使用– 制御用パケット :TCP Port1723– GRE パケット :IP プロトコル識別番号　４７

• 対応したルータが必要– GRE パケットは、対応したルータしか通過不可

• Windows95,98,98SE,Me でも使用可– 上記 OS ではクライアント機能のみ

• WIndows95 では、ドライバのアップグレードが必要– 対応 OS の幅が広い

L2TP

• PPTP と L2F を統合したプロトコル• L2F (Cisco,Nortel) RFC 2341

• 単独ではセキュリティ機能をもたない

• フレームリレー、 ATM でも使用可能

• Windows では IPSec と組み合わせて使用

IPSec( カプセル化 )

① ローカルのパケットを ESP パケット化• 暗号化• 認証機能

② ESP のパケットを IP パケット化• IP ヘッダの付与

IPSec （暗号化と認証）

• 暗号化– DES,AES(Rijndael:DES より強力 )

• 認証– IKE プロトコル (UDP) で事前に認証を行う

• 認証が完了してから、データ本体を通信

– パケットの内容改ざんチェック• ハッシュ関数に MD5 や SH-1 を利用

– MD5(128bit), 　 SH-1(160bit)

IPSec （その他）

• IKE パケットと ESP パケットの 2 種類を使用– IKE( ユーザ認証用 ) パケット： UDP Port500– ESP ： IP プロトコル識別番号　 50

• 対応したルータが必要– ESP パケットは、対応したルータしか通過不

可

L2TP over IPSec

• Windows で VPN に採用されている L2TPは、 　 L2TP using IPsec

– RFC3193

① IPSec で暗号化されたチャネルを作成• 認証は IKE を使用

② L2TP でトンネル作成　　

IPSec の Tips

• AH と ESP– AH :データ認証のみ– ESP :データ認証と暗号化

• トンネルモードとトランスポートモード– トンネルモード : トンネル化と暗号化– トランスポートモード：暗号化のみ

IPSec の Tips

• IPSec で利用されるプロトコル

– AH ：認証– ESP ：認証と暗号化– IKE ：暗号化キー送受信– IPComp 　　：圧縮

SoftEther

• ソフトウェアのインストールで使用可能• 現状でフリー ( 無料 )• 日本人が作成したことで注目

– 平成 15 年度 未踏ソフトウェア創造事業 未踏ユース部門 の支援• 仮想 HUB と仮想 Ethernet カード

– ソフトウェアでエミュレート• VPN パケットの通らない Proxy も通る

– TCP Port 7777, 443

• Windows2000,XP,2003,Linux に対応

SoftEther

• 暗号化– 秘密鍵方式

• RC4-MD5• RC4-SHA,AES128-SHA,AES256-SHA

• L3 パケットフィルタ機能 ( 仮想 HUB)– DHCP の禁止など

• DoS アタック、ワーム、 IP 重複防止機能– トラブルの防止

• 配布サイトhttp://www.softether.com/

なぜ、 VPN なのか？• 共有の回線を使えるので、安い

– 専用線やフレームリレーと比較にならない程安価– 月 1 ～２万円前後の費用負担– 拠点間で使用すればコストダウン大

• 遠距離ほど恩恵

• 構成変更の自由度が高い– グローバル IP が届けば大抵は OK– 用途は工夫次第

• 自宅 HDD へのアクセス• リーモートデスクトップ　 etc.

なぜ、 VPN なのか？？• 面倒なネットワークポリシーを迂回

– リモートデスクトップを利用し自宅のメールを閲覧

– F/W で通らないはずのパケットが通る–職場に置けないデータにアクセス可能

– こっそりやれば管理者にバレにくい

ハードウェア v.s. ソフトウェア• ハードウェア

– 定番　 YAMAHA の例• http://netvolante.jp/• RTX1000,RTX2000,RT300i,RTV700,RT105i, 　 RT10

5e,RT57i,RT56v• ネットボランチ DNS サービスがあれば、動的 IP で

も運用可能

– クラッシュが少ない– VPN に専念させられる– セキュリティの心配 少– 安定稼動が期待できる

– 購入時にコストがかかる– 機能追加はメーカ頼み

• ソフトウェア– 手段が選べる

• OS 標準のもの• SoftEther など

– 自由にログが取れる• HDD の空き容量依存

– 拡張性　大

– セキュリティに不安– 安定稼動に不安

VPN のデメリット• 遅延が大きい

– 専用線と比較して経由するルータ数が多いので、遅延も大きい

– ルータの処理は PPS単位

• 帯域保障されない VBR(0ｂｐｓ含む ) である– ADSL,CATV を経由するとさらに悪化

• セキュリティに大穴が開く可能性– F/W を超えられると手に負えない　–外向けに VPNサーバを晒す必要がある

ADSL,CATV接続での問題点• 安価なために、 ADSL や CATV を採用すると問題

• 光でも、マンション内が DSL の場合が該当• サーバ側はグローバルアドレスが必要になる

– NAT 可 ( ただし、条件つき )

• ADSL,CATV は、通信品質が安定しない–ノイズの問題 ( 干渉、電話保安器の問題 )–局からの距離の問題–帯域共有の問題

ADSL,CATV接続での問題点– 上り下り非対称

• 下りがどんなに速くても上りの速度以上出ない

VPNサーバ側　 DHCP 使用時の問題

• DHCP の場合、動的にアドレスが変更になるので、サーバの特定が困難

• DDNS を利用する方法があるが、 IP アドレス変更後は DNS名と IP アドレスとのヒモ付けにタイムラグがある

• その間、通信途絶

NAT 利用時の問題• PPTP,L2TP using IPSec 　共に、 VPN パ

ススルーなルータが必要

• 「 IP プロトコル識別番号」単位でのスタティックルーティング機能がないと、サーバが機能しない– Port 番号でのスタティックルートだけでは ×– Port 番号がないパケットを使用するため

拠点間接続で通信品質優先の場合

拠点間接続で通信品質優先の場合

• VPN接続機能を持ったルータ製品を使用– フリーズの危険を回避– VPN パススルー機能ではなく、拠点間接続機能

• FTTH の利用– 高速、高品質

• メジャーなプロバイダを選定–メジャーでも、混んでいるところは避ける

• 予備回線の確保–予備回線には ADSL,ISDN も候補に

拠点間接続で避けたい要素• どちらとも、 ADSL を使用• PC を VPNサーバに利用

– VPN以外にも利用している可能性– パソコン故の不安定要素

• ダイナミック (固定でない )IP アドレスを使用– IP アドレスはいつ変わるかわからない– DDNS を利用しても途絶の可能性

• いつ止まるかわからないプロバイダ

会社から自宅につなげる場合

会社から自宅につなげる場合• ADSL でも十分• ダイナミック IP アドレスでも、なんとか我慢• VPN パススルー機能のついたルータで、宅内

の PCサーバへ接続– IP プロトコル番号のスタティックルーティング必須

• VPNサーバへグローバルアドレスで接続できないとだめ

• 管理者への相談必須

ブロードバンドルータの NAT設定

インフラ側から見た VPN

• 専用線は予備回線まで含めた敷設をする– 予備回線を省いてコストダウンしたものもある

• ネットワーク　タダ乗り論– 共有回線を専用線として乗っ取る

• Web,e-mail といったトラフィックとは異質– 業務用のデータを通された場合、回線真っ黒– ストリーミングも同じく– ビジネスモデルが崩れる可能性

まとめ• 工夫次第で低コストな運用• 専用線と同等の回線品質を求めてはダメ

– 業務用なら、ある程度のコスト– それでも、専用線と比較すると安い– IP-VPN の必要性も視野に入れる

• 個人利用なら、我慢できればなんでもあり• ネットワークポリシーには配慮すべき

– セキュリティの敵 (?) の動向に目を光らせる必要

実演• SoftEther で仮想 HUB へ接続• PPTP で、リモート環境へ接続• ローカルネットワーク内で接続

• 当勉強会にある資材で組めるネットワークを全員で考える