|
2004年1月12日(月)
筑波大学第三学群情報学類
登 大遊
SoftEther Beta 3 では
SSL (Secure Socket Layer) に完全対応し、
安全性が向上しました。
SoftEther バージョン 0.50 ベータ 3
のダウンロードを開始
登 大遊 (Daiyuu Nobori, 筑波大学第三学群情報学類所属) は、IPA (本年より 独立行政法人 情報処理推進機構に組織変更)
が主催する平成15年度未踏ソフトウェア創造事業 未踏ユース部門 (以下、未踏ソフト)
に採択された開発プロジェクトである、『イーサネットのソフトウェア実装とトンネリングシステムの開発』
の開発途中成果となるソフトウェアである、仮想ネットワーク構築・通信ソフトウェア『SoftEther』(ソフトイーサ)
のベータ版ソフトウェアのダウンロード提供を、2003年12月17日 (水) から www.softether.com 上の Web
サイトにおいて行っていましたが、この度新しいバージョンの SoftEther (バージョン 0.50 ベータ 3) を同 Web
サイトにおいてダウンロード開始いたします。
また、現在 SoftEther Beta 2 で運用されている実験用仮想 HUB (hub.softether.com)
のアップグレード作業を実施させていただくため、ダウンロード開始時刻前後に 5 分程度、実験用仮想 HUB を停止いたします。
- ダウンロードを開始するバージョン
SoftEther Version 0.50 Beta 3 (日本語版 / 英語版 共通)
- ダウンロードを開始する日時
2004年1月14日(水) 午前 0 時よりダウンロードを開始
- ダウンロード Web サイト
https://www2.softether.jp/jp/download/
詳しくは、SoftEther
Version 0.50 Beta 3 のご案内 を参照願います。
通信プロトコルで SSL を全面採用しました
従来の SoftEther プロトコルは独自の暗号化プロトコルを使用していましたが、Beta 3 以降は SSL
を使用して通信内容をすべて暗号化するように変更されました。
SSL (Secure Socket Layer) は業界標準の暗号化通信プロトコルであり、長期間十分検証されています。SSL
を採用したことにより、SoftEther の暗号化通信の安全性が向上し、通信内容の解読が困難になるため、支店間 VPN
などの本格的な用途にも安心してご利用いただくことができるようになりました。
また、SSL の採用による通信速度の低下はごく僅かであり、パフォーマンスの大幅な低下は発生しません。
SoftEther には OpenSSL ライブラリが組み込まれており、OpenSSL
が実装している暗号化プロトコルを任意に選択して使用することができます。たとえば、AES-256bit や RC4
を暗号化アルゴリズムとして選択し、ハッシュ関数として SHA や MD5 を選択することができます。
Beta 3 では実際に HTTPS (HTTP over SSL) を使用して通信します
Beta 2 またはそれ以前の SoftEther では、Proxy 経由接続を行う際にポート 443 を使用した HTTPS
通信を「偽装」していました。つまり、HTTPS 用のポートに対して SSL でない独自の SoftEther バイナリ プロトコルの TCP
パケットを流していました。
しかしながら、HTTPS 用のポート 443 は本来 SSL (Secure Socket Layer)
によって通信を行うべきポートであり、このポートに対して SSL
プロトコルに準拠しない独自の暗号化通信を流すことは、ネットワークのポリシーやマナーに違反するのではないかというご意見・ご指摘が多数ありました。
また、従来の SoftEther
独自の暗号化プロトコルは安全性が十分に検証されたものではないので、セキュリティホールが存在する可能性が指摘されてきました。
Beta 3 以降の SoftEther では、Proxy 経由接続か否かにかかわらず、常に HTTPS (HTTP over SSL)
プロトコルに従って通信セッションを開始します。通信内容を SSL で暗号化するだけではなく、通信の開始は HTTP 1.1
メソッドによって開始されます。そのため、一般の Web ブラウザで
https://仮想HUBサーバー名/ にアクセスすると、既定の HTML ページが表示されるようになります。
仮想 HUB / 仮想 LAN カード間で Keep-Alive パケットを送信します
Beta 2 またはそれ以前のバージョンの SoftEther では、クライアント (仮想 LAN カード) 側からサーバー (仮想
HUB) に対して一定時間ごとに Keep-Alive のためのパケットを送信していましたが、Beta 3 では逆方向
(サーバー側からクライアントに対する Keep-Alive パケット) も送信するようになりました。
無通信状態では 5 秒おきに Keep-Alive パケットを送受信し、相手側で 15 秒以上受信に失敗する場合は、接続している TCP
セッションが切断されたものと見なし、「セッション再接続機能」を動作させます。
Proxy、SOCKS、SSH 経由接続での切断を検出します
SoftEther は Proxy サーバー、SOCKS サーバー、SSH サーバーを経由して仮想 HUB
に対して接続することが可能ですが、これらの経由サーバーにおいて 1
セッションの制限時間などがある場合、経由サーバー側から強制的にセッションが切断されることがあります。
経由しているサーバー側からセッションが切断された場合、Beta 2 またはそれ以前のバージョンの SoftEther
はセッションが切れたことを認識できない場合がありました。そのため、自動的に再接続する「セッション再接続機能」の動作が開始せず、いつまでたっても通信不能な状態が続く場合がありました。
Beta 3 では、Keep-Alive によって 10
秒~15秒間通信が途絶えていることが検出された場合は、自動的に「セッション再接続」機能を稼動させます。セッション再接続により、仮想 HUB に対して新たな
TCP/IP セッションで接続を試行し、その結果仮想 LAN は一度も切断されなかったかのように通信することが可能です。
この「セッション再接続機能」が動作するまでの無通信状態の期間に送信しようとしたデータは双方でバッファリングされ、セッション再接続が成功した瞬間に再同期されます。したがって、データの損失はほとんど無く、仮想
LAN を使用していたアプリケーションは切断を認識することはありません。詳しくは、「セッション再接続機能」を参照してください。
Windows がルーティングテーブルを自動的に書き換えることの防止
SoftEther 仮想 LAN カードが接続している仮想 LAN 内のホストをコンピュータのデフォルト
ゲートウェイとして使用している場合、一定時間そのデフォルト ゲートウェイを経由した通信が行われないことを Windows
が検出すると、デフォルト ゲートウェイが強制的に物理的な LAN カード側に戻ってしまうという現象が数件報告されています。
SoftEther Beta 3 では、指定したホストに対して一定時間ごとにごく小さなパケット (ICMP Echo)
を送信することにより、Windows に対して無通信状態を検出させない機能を搭載しました。デフォルトでは
keepalive.softether.com に対して Keep-Alive のための Ping
パケットが送信されますが、送信先はオプション設定で変更可能です。
Beta 2 以前と Beta 3 との通信プロトコルの互換性はありません
SoftEther の Beta 1 & Beta 2 と、Beta 3 の間の通信プロトコルの互換性は全くありません。これは、Beta
1 と Beta 2 はサーバー側から通信を開始する独自のプロトコル、Beta 3 ではクライアント側から通信を開始する SSL
プロトコルを採用しているためです (サーバー側で SSL Accept
を行うので、クライアント側から初期パケットが送信されない限り、クライアント接続を認識できません)。
従いまして、Beta 1 & 2 と Beta 3 との間のプロトコルの互換性はありませんので、Beta 2 以前の仮想 HUB と
Beta 3 の 仮想 LAN カード、および Beta 2 以前の仮想 LAN カードと Beta 3 の仮想 HUB
とは接続できません。必ず仮想 HUB と仮想 LAN カード (サーバーとクライアント) のバージョンアップを同時に行ってください。
SoftEther Beta 3
で追加されたオプション設定ダイアログ
本件に関するお問い合わせ先は下記までお願いいたします。
|