Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.7. 仮想プライベートネットワーク (VPN)

複数のサテライトオフィスを持つ組織は、機密データの送信における効率性と保護のために専用回線で相互接続しています。例えば、多くの企業はオフィスとオフィスをつなぐためにエンドツーエンドのネットワークソリューションとして、フレームリレーまたは非同期転送モード (ATM) 回線を使用しています。しかしこれは、企業レベルの専用デジタル回線に多くの費用をかけずに拡張を望む中小企業にとっては、コストのかかる方法となる可能性があります。
こうしたニーズに対応するために、仮想プライベートネットワーク (VPN) が開発されました。VPN は、専用回線と同じ機能原理にしたがい、2 つの関係者間 (またはネットワーク) でのセキュリティ保護されたデジタル通信を可能にし、既存のローカルエリアネットワーク (LAN) からワイドエリアネットワーク (WAN) を作成します。VPN とフレームリレーや ATM との違いは、そのトランスポートメディアにあります。VPN はデータグラムをトランスポート層として使用して IP 上で送信を行い、インターネット経由で送信先までをセキュアな状態にします。ハードウェアおよびソフトウェアの VPN 実装は通常、VPN 接続の確立と認証に IETF IPsec 標準を実行します。データの暗号化も IETF IPsec 標準となっていますが、FIPS 規定は使用可能なオプションを制限します。
組織の中にはセキュリティ強化のためにハードウェア VPN ソリューションを使用するところもありますが、ソフトウェアまたはプロトコルベースの実装を活用しているところもあります。Cisco、Nortel、IBM および Checkpoint などの複数のベンダーは、ハードウェアの VPN ソリューションを提供しています。また、Openswan のようなフリーソフトウェアベースの VPN ソリューションは、標準化された Internet Protocol Security (IPsec) 実装を利用しています。これらの VPN ソリューションは、ハードウェアかソフトウェアベースかに関わらず、1 つのオフィスから別のオフィスへの IP 接続間における専用ルーターとして機能します。

重要

Openswan が実施する IPsec は、Red Hat Enterprise Linux 6 での使用が推奨される唯一の VPN 技術です。リスクを理解せずに他の VPN を使用しないでください。

2.7.1. VPN の機能

パケットはクライアントから送信されると、VPN ルーターまたはゲートウェイを経由して送信されます。これらは、認証とオプションでデータを暗号化するものです。IPsec にはいくつものモードがあります。最も一般的に使用される設定では、カプセル化セキュリティペイロード (ESP: Encapsulating Security Payload) による トンネルモード が使用されます。商用 VPN クライアントのなかには ESP による トランスポートモード を使用するものもありますが、このモードを NAT で導入する際には困難を伴います。認証ヘッダー (AH) の導入は、最近では珍しいものとなっています。これは通常、ESP のオーバーヘッドが望ましくなく、暗号化が不要なコアルーター間で使用されます。Red Hat Enterprise Linux で導入される ESP には常に、認証済みのヘッダーが含まれています。ただし、古いバージョンや racoon ソフトウェアベースの実装は、時折間違って ESP + AH と一緒に導入されて、認証層が二重になることがあります。
受信 VPN ルーターはヘッダー情報を分離してデータの暗号化解読を行い、目的の宛先 (ワークステーションまたはネットワークにある他のノード) までのルートを決定します。ローカルネットワーク上の受信ノードは、ネットワーク間の接続を使用して、暗号解読された処理可能な状態のパケットを受け取ります。ネットワーク間の VPN 接続では、暗号化および暗号化解除プロセスはローカルノードに対して透過的に実行されます。
このようにセキュリティレベルが強化されていると、攻撃者はパケットの傍受だけでなく、暗号解読も可能である必要があります。サーバーとクライアント間に中間者攻撃を仕掛ける侵入者は、少なくとも認証セッション用の秘密鍵 1 つにアクセスする必要もあります。また、このような秘密鍵を獲得しても、危険にさらされるのは過去に暗号化されて送信されたトラフィックではなく、現在のトラフィックのみです。VPN は複数層の認証と暗号化を用いるため、複数のリモートノードを連結させて単一のイントラネットとして動作させるセキュアで効率的な手段になります。