トップ 製品・サービス 導入事例 パートナー ダウンロード サポート 報道発表 企業情報 お問い合わせ
トップページ 報道発表資料一覧 SoftEther VPN User-mode Router 2.0 を発表Select Language:

 

2004年12月22日(水)

ソフトイーサ株式会社 (茨城県つくば市)
代表取締役 社長 登 大遊


ユーザーモード仮想化技術を使用したリモートアクセス用プログラム

SoftEther VPN User-mode Router 2.0 を発表


 

 

 筑波大学発ベンチャー企業である ソフトイーサ株式会社 (代表取締役 登 大遊/本店所在地 茨城県つくば市) は、SoftEther VPN 2.0 に対応した、ユーザーモードによる NAT ルータおよび DHCP サーバーの仮想化技術を開発いたしました。本日、本技術を組み込んだソフトウェア『SoftEther VPN User-mode Router 2.0』(愛称: 『筑波ACルータ*1』)の詳細を https://www2.softether.jp/jp/vpn2/router/ にて公表いたしました。

 SoftEther VPN User-mode Router 2.0 のベータ 1 は、2004年12月24日(金) に上記 URL にて無償ダウンロードを開始する予定です。12月24日は、SoftEther 1.0 Beta 2 が公開され、また一時的にダウンロードが停止された日の、ちょうど 1 年後にあたります。

 

 SoftEther VPN User-mode Router 2.0 で実装されている仮想的なユーザーモード TCP/IP スタックに関する技術、および物理的なネットワーク上のホストとの通信のための仮想 NAT ルータ技術の基礎的な部分の設計および実装につきましては、SoftEther の開発者である 登 大遊 が、筑波大学 第三学群 情報学類の特設授業『情報特別演習』の実習テーマとして演習を行った結果の成果を活用しております。

 ソフトイーサ株式会社では、この度 SoftEther VPN User-mode Router 2.0 の開発中のベータ版を配布させていただくことにより、ユーザーの皆様からお送りいただくフィードバックやバグレポートを収集させていただき、ソフトウェア本体の品質向上に繋げさせていただく他、現在は想定できないような新たな有益な活用方法についても模索させていただきたいと存じております。

 

 本ニュース リリースでは、SoftEther VPN User-mode Router 2.0 の概要について重要な点のみ説明させていただきます。SoftEther VPN User-mode Router 2.0 に関する詳細情報につきましては、

 https://www2.softether.jp/jp/vpn2/router/

 をご参照ください。


SoftEther VPN User-mode Router 2.0 とは

ソフトイーサ株式会社が開発した "SoftEther VPN User-mode Router 2.0" は、コンピュータ ネットワーク通信分野に関わる既存の概念を大きく変化させることができる可能性を秘めた、全く新しいリモート アクセス用ルーティング テクノロジーです。

SoftEther VPN User-mode Router 2.0 は、以下の技術の集大成となるソフトウェアです。

  • ユーザーモードによるネットワーク通信技術
  • ユーザーモード仮想 TCP/IP プロトコル・スタックと Socket API との間の動的なマッピングによる NAT 機能の提供
  • SoftEther VPN 仮想ネットワーク・テクノロジーとの統合

SoftEther VPN User-mode Router 2.0 は、通常のオペレーティング システム上で、一般ユーザーの権限でリモート アクセス用 NAT ルーティング機能と DHCP サーバー機能を、仮想ネットワーク (VPN) と既存の社内 LAN などの物理的なネットワークとの間で動作させることが可能です。これにより、従来 SoftEther VPN の仮想 LAN カードが対応していなかったオペレーティング システム上でも NAT による遠隔地からの社内 LAN へのリモート アクセス サービスを動作させることが可能になります。また、従来のカーネル モードでの動作が必要であった SoftEther 仮想 LAN カードおよび NAT ソフトウェアを使用する場合と比べ、ユーザーモード技術を使用した SoftEther VPN User-mode Router 2.0 を使用すると、セキュリティを飛躍的に向上させることができます。


SoftEther VPN User-mode Router 2.0 の使用例

仕様と対応環境

  • オペレーティング・システム
    Windows 98 / Me / NT 4.0 / 2000 / XP / Server 2003
  • 必要システム
    上記 OS が動作するシステム
    (Windows NT 4.0 + DEC Alpha システム + FX32 にて動作確認済)
  • 必要メモリ
    32 Mbytes 以上
  • 必要ディスク容量
    約 20 Mbytes 以上のハードディスクの空き容量
  • 仮想 NAT において最大同時接続可能 TCP/IP セッション数
    4096 セッション
    (OS によってはソケット数に制限がある場合があります)
  • 通信スループット
    最大 120Mbps 程度 (実験値; 今後精密に測定予定)

SoftEther VPN User-mode Router 2.0 の利用者層

SoftEther VPN User-mode Router 2.0 を活用していただけるのは、主に以下のようなユーザーの皆様です。具体的な活用方法については、活用例 をご覧ください。

  • 社内 LAN に出張先や自宅などからリモート アクセスしたいと考えているシステム管理者や一般ユーザー
  • 自宅 LAN などに出先からリモート アクセスしたいが、SoftEther VPN 仮想 LAN カードと物理的な LAN カードとの間のブリッジや NAT の設定方法が難解で、よくわからない方。
  • SoftEther VPN を使用して VPN リモート アクセス ゲートウェイを設置したいが、余っているコンピュータが Windows NT、Windows 98 や Windows Me しか動作しないため、SoftEther VPN Client をインストールすることができない方。
  • ネットワーク技術に関してある程度の知識をお持ちの方で、新しい技術を体験してみたい方。

 

従来の方法 - 仮想 LAN カードと NAT またはブリッジの組合せ

SoftEther は公開から 1 年余りの間に多くのユーザーの皆様にご利用いただいている VPN ソフトウェアとして発展しました。SoftEther の最も役に立つ使い方としては、SoftEther の仮想 LAN カードと仮想 HUB を組み合わせることによって、インターネット上のコンピュータが社内 LAN にリモートアクセスするような構成のネットワークを組み運用するという、「リモートアクセス VPN」型の使い方が最も一般的となっています。

たとえば、従来より 仮想 LAN カードと NAT またはブリッジ ソフトウェアを組み合わせることにより、出張先や自宅などから社内へのリモート アクセス VPN システムを実現することができました。

従来の方法では、リモートアクセス先のネットワークに仮想 LAN カードをインストールしたコンピュータを 1 台設置し、仮想 LAN カードと物理的な社内 LAN 側の LAN カードとの間で「NAT」または「Layer-2 ブリッジ」を動作させ、また仮想 LAN カードプログラムを常時インターネット上からアクセスできる別の (または同一の) 仮想 HUB サーバーに常時接続するように設定しておくことにより、リモート アクセスを実現していました。

この方法については、出張先や自宅から会社内の LAN に自由にアクセスできるようにする などで詳しく知ることができます。

この方法を使用してリモート アクセス用の NAT またはブリッジを動作させるコンピュータを構成する場合、以下のような 3 つの大きな特徴がありました。

  1. SoftEther 仮想 LAN カードのインストールおよび動作に、システム管理者特権が必要でした。また、仮想 LAN カード、および NAT または ブリッジ プログラムは、カーネルモード特権で動作していました。
  2. SoftEther 仮想 LAN カードと NAT またはブリッジ プログラムの両方が動作するオペレーティング システムが必要でした。
  3. SoftEther 仮想 LAN カードデバイスドライバを常時有効にし、稼動させておく必要がありました。

 

これらの特徴については、それぞれ重大な欠点がありました。

  1. 通常のオペレーティング システムでは、SoftEther 仮想 LAN カード プログラムと NAT またはブリッジ プログラムの両方をカーネルモード プログラムとして動作させる必要があります。しかしながら、カーネルモードで動作しているプログラムは、バグなどが存在していた場合、何らかの原因で不具合が発生してしまうと、システム全体を停止 (クラッシュ) させてしまったり、重要なデータを消失してしまったりする可能性がありました。
    また、カーネルモード プログラムに存在する可能性のある脆弱性を外部から何らかの方法で攻撃されてしまった場合、コンピュータ上の最も高いカーネル特権と呼ばれる権限により、コンピュータの動作が攻撃者によって乗っ取られる危険性がありました。
    このため、インターネット サーバーとして動作する多くのサーバー プログラム (たとえば Apache や IIS などの HTTP サーバーや、DNS サーバーなど) の主要部分は、最近のシステムでは root 権限やカーネルモード権限で動作させるのではなく、一般ユーザーの権限で動作させることができるようになっているのが一般的でもあります。
    しかし、SoftEther による仮想 LAN カード プログラムと NAT またはブリッジ プログラムは、オペレーティング システムの最も低レベルなレイヤで動作する必要があるため、これらの機能をユーザーモードに以降させることは不可能です。
    ソフトイーサ株式会社では従来より、特にセキュリティに関して知識の深いシステム管理者などから、SoftEther のプログラムをカーネル モードではなくユーザー モードで動作させることができれば、よりセキュリティ的に安全になるはずであるというご意見、ご要望をいただいております。
     
  2. SoftEther 仮想 LAN カード (SoftEther VPN Client 2.0) が対応しているオペレーティング システムは、2004年末現在で Windows 2000 / XP / Server 2003 のみです。これ以外のオペレーティング システム (たとえば Windows NT 4.0 / 98 / Me や UNIX / Linux 系 OS など) 上では、現在仮想 LAN カードの実装はありません。
    また、一部のオペレーティング システムには、NAT やブリッジなどのリモートアクセスに必要なカーネルモード プログラムが実装されておらず、利用することができない場合あります。
    この方法は、仮想 LAN カードと NAT またはブリッジのどちらか一方でも使用することができないオペレーティング システムでは全く使用することができませんでした。
    ソフトイーサ株式会社では、古いバージョンの Windows および UNIX / Linux 系 OS などへの仮想 LAN カードプログラムの移植作業を進めていますが、ユーザーモードプログラムと異なりカーネルモードプログラムの開発方法は各オペレーティング システムごとに大きく異なり、共通部分が少ないため、移植には大変な時間とコストがかかるのが現状です。
     
  3. 中小企業などの IT システムにあまり多くのコストをかけることができない環境においては、たとえば SoftEther 仮想 LAN カードをインストールして常時リモート アクセスのための NAT またはブリッジ ゲートウェイとして動作させるコンピュータを、日常的な別の作業にも使用したい場合があります。
    しかし、仮想 LAN カードはカーネルモード プログラムで動作するプログラムであり、そのコンピュータ上で動作しているすべてのプログラムは、仮想 LAN カードを認識可能であり、影響を受ける可能性があります。

 

ユーザーモードによる仮想ネットワークと物理的ネットワークとの間の NAT の実現

上記のような欠点をすべて解決するため、ソフトイーサ株式会社では SoftEther VPN User-mode Router 2.0 に搭載されている技術を開発しました。

以下の図は、従来の方法で社内 LAN 内に仮想 LAN カードと NAT またはブリッジを常時稼動させることにより、社内 LAN へのリモート アクセス用のゲートウェイ (またはルータ) を設置し、インターネット側から社内 LAN へのリモート アクセスを実現するもの (上側) と、同様の機能を SoftEther VPN User-mode Router 2.0 プログラムを使用して実現するもの (下側) を比較するものです。


従来の方法と
SoftEther VPN User-mode Router 2.0 を使った新しい方法との比較

前述の 3 つの欠点について、SoftEther VPN User-mode Router 2.0 では以下のように改善しています。

  1. SoftEther VPN User-mode Router 2.0 のインストールには、システム管理者権限は不要です。一般ユーザーであれば、Administrators 権限が全く必要なく、User-mode Router 2.0 を動作させることが可能です。
     
  2. SoftEther VPN User-mode Router 2.0 には、仮想ネットワーク側からは 1 枚の LAN カードとして認識される仮想のネットワーク インターフェイスが動作しており、ユーザーモードで動作する仮想 TCP/IP スタックが接続されます。また、ユーザーモードで動作する仮想 NAT サーバーおよび仮想 DHCP サーバーが動作しています。これらの処理はすべて一般ユーザー権限で動作し、カーネルモード特権は一切行使しません。したがって、従来の方法と比較してセキュリティを飛躍的に向上させることができました。
     
  3. SoftEther VPN User-mode Router 2.0 は、仮想ネットワーク側から見ると、1 枚の TCP/IP プロトコルをサポートしたネットワーク インターフェイスとして認識され、IP アドレスも持っており、DHCP サーバー機能や NAT 機能も稼動しています。しかし、User-mode Router 2.0 プログラムを動作させているコンピュータのシステムから見ると、単一のユーザーモードで動作する通信ソフトウェア (アプリケーション) と全く同等のユーザー プログラムです。したがって、仮に SoftEther VPN User-mode Router 2.0 を動作させていても、そのことによる同じコンピュータ上で動作している他のプログラムへの影響は全くありません。

 

以下、SoftEther VPN User-mode Router 2.0 の特徴と動作原理について、詳しく説明いたします。

SoftEther VPN User-mode Router 2.0 の特徴

SoftEther VPN User-mode Router 2.0 は、社内 LAN の通常外部から直接アクセスすることができないネットワーク内の 1 台のコンピュータ上で起動しておくことにより、外部 (インターネット上など) に予め設置してある SoftEther VPN Server 2.0 の仮想 HUB に常時接続するようになり、インターネット上などの VPN クライアント コンピュータが同じ SoftEther VPN Server 2.0 の仮想 HUB に SoftEther VPN Client 2.0 によって接続すると、User-mode Router 2.0 プログラムが動作しているコンピュータを経由して、簡単かつ安全に社内 LAN にリモート アクセスすることができるようになるプログラムです。

技術的には、SoftEther VPN User-mode Router 2.0 にはユーザーモードで動作する仮想のネットワーク インターフェイスと TCP/IP プロトコル・スタックが搭載されています。また、より簡単に SoftEther VPN User-mode Router 2.0 を経由してクライアント コンピュータが通信することができるようにするため、仮想の DHCP サーバー機能も搭載されています。

SoftEther VPN User-mode Router 2.0 が接続中の仮想 HUB に接続した SoftEther VPN Client 2.0 のクライアント コンピュータは、まず、接続直後に仮想ネットワーク内の DHCP サーバーを探し、User-mode Router によって動作している仮想 DHCP サーバーによって仮想ネットワーク内でのみ使用することのできる IP アドレスの割り当てを受けることができます。また、自動的に仮想 LAN カードのデフォルト ゲートウェイとして User-mode Router 2.0 の仮想ネットワーク インターフェイスの IP アドレスが指定され、それ以後の通信はすべて User-mode Router 2.0 を経由して行うことができます。

User-mode Router 2.0 は、仮想ネットワーク側から物理的なネットワーク (社内 LAN など) 側への通信要求があった場合は、内蔵されている仮想 TCP/IP スタックによって、一旦そのパケットの内容を取り出し、Socket API と呼ばれる OS が提供する通信用 API の呼び出しに変換して、社内 LAN などのホストに接続し通信を行います。これが、仮想 NAT 機能と呼ばれる SoftEther VPN User-mode Router 2.0 の持つ中心的な機能です。

SoftEther VPN User-mode Router 2.0 には以下の技術が搭載されています。

  • 仮想 NAT 機能
  • 仮想 DHCP サーバー機能
  • DNS サーバー プロキシ (リダイレクタ) 機能

 

プロトコル的に見た従来の NAT と User-mode Router の NAT の比較

ネットワークプロトコルスタック的に、従来の NAT と仮想 LAN カードを組み合わせた方法 (前述の方法) でインターネットから社内 LAN などの PC にリモート アクセスする場合のプログラムの構成を見ると、以下のようになっています。


カーネルモード NAT と SoftEther 仮想 LAN カードの組合せ

上記のように、NAT と仮想 LAN カードプログラム (デバイスドライバ) の両方ともカーネルモードで動作させる必要がありました。

次に、今回新しく公開した SoftEther VPN User-mode Router 2.0 を使用した方法でインターネットから社内 LAN などの PC にリモート アクセスする場合のプログラムの構成を見ると、以下のようになっています。


SoftEther VPN User-mode Router を使用した場合

ネットワーク・セキュリティの向上

従来の技術では、仮想 LAN カードと NAT またはブリッジ プログラムはカーネルモード特権で動作させる必要があり、仮にバグが存在した場合、それが原因でシステム全体がストップしたり、脆弱性を攻撃されてクラッキングされたりする可能性がありました。

たとえば、Windows の RPC サービスに関する脆弱性が原因で Blaster ワームが広まった事件がありましたが、重要なサービスがシステム権限で動作するプログラムであり、その通信部分にバグがあったため、深刻なセキュリティ侵害を引き起こした例は他にも多数あります。

特にセキュリティに関して知識の深いシステム管理者などの中には、できる限りほとんどのサーバー プログラムは root 権限やカーネル権限ではなく、より低い権限 (一般ユーザー権限) で動作させるべきであると主張されている方が多くいらっしゃいます。

SoftEther VPN User-mode Router 2.0 と SoftEther VPN Server 2.0 は、両方とも一般ユーザー権限で動作させることが可能になりました。したがって、これらの需要を満たすことができ、これまでどのようにしても完全に解決することが困難であった、『仮想デバイスドライバと NAT/ブリッジプログラムを安全に運用する』ことが初めて可能になり、ネットワーク・セキュリティの飛躍的な向上につながることになります。
SoftEther VPN User-mode Router 技術使用時の
プロトコルスタック

 

ソフトイーサ株式会社は、SoftEther VPN User-mode Router 2.0 のユーザーモード仮想ネットワーク技術は現在登場したばかりであり、想定されている使い方以外にも、数多くの驚くべき有益な利用方法が生み出されることを期待しています。ぜひ SoftEther VPN User-mode Router 2.0 を積極的にご活用ください。


 SoftEther VPN User-mode Router 2.0 の詳細につきましては、https://www2.softether.jp/jp/vpn2/router/ にアクセスしていただきますよう、お願い申し上げます。

 なお、報道関係者の方など、Web 上にて評価記事を書いていただく場合で事前にプログラムを入手されたい方は、弊社までご連絡ください。ベータ版公開直前のアルファ版を送付させていただきます。

 

*1 『筑波ACルータ』
現在 SoftEther の企画・開発に関わっているメンバーは、ほぼ全員が 筑波大学アドミッション・センター入試 (AC入試) という独特の入試方法によって大学に入学した。このことについて感謝の意を込めて「筑波ACルータ」という愛称を付した。

 

 



本件に関するお問い合わせ先は下記までお願いいたします。

 

Copyright © 2004-2018 SoftEther Corporation. All Rights Reserved.
 Web サイトについて | 個人情報の管理 | SoftEther VPN プロジェクト | お問い合わせ

SSL 暗号化通信中