トップ 製品・サービス 導入事例 パートナー ダウンロード サポート 報道発表 企業情報 お問い合わせ
PacketiX VPN 2.0 マニュアル 第10章 VPN ネットワークの構成手順および構成例 10.12 公衆無線 LAN などの公共ネットワークの安全な使用

 

< 10.11 SecureNAT 機能を用いた権限不要のリモートアクセス第11章 問題解決および補足事項>

10.12 公衆無線 LAN などの公共ネットワークの安全な使用

最近急増している公衆無線 LAN などの「公共ネットワーク」には、常に悪意のある第三者によるパケットの盗聴や改ざんの危険性があります。ここでは、これらの危険な公共ネットワークをより安全に利用する方法について解説します。

 

10.12.1 公共ネットワークサービスの危険性

公衆無線 LAN などの公共ネットワークは便利ですが、たとえば各ユーザーの WEP キーが同一であるなどの理由により、第三者が比較的容易に通信内容を盗聴することが可能である例が多く存在します。また、公衆無線 LAN などの公共ネットワークを運営している組織 (たとえば飲食店や鉄道会社など) の関係者が、無線 LAN とインターネットとの間の通信パケットを盗聴している可能性もあります。

インターネットを使用した通信は本質的に危険なものですが、特に「フリースポット」などと呼ばれるような無線 LAN は大変危険な場所であり、これらの公衆無線 LAN 上で重要な通信 (メールの送受信など) を平文で行ってはいけません。

 

図10-12-1 公共ネットワークサービスの危険性

 

10.12.2 VPN を用いた公共ネットワークの安全な使用

VPN を用いると、これらの公共ネットワークを安全に使用することができるようになります。たとえば、「10.10 個人としてのリモートアクセス用途の使用」 のような方法で、自宅に VPN Server を設置しておけば、自宅に設置したコンピュータとの間のファイル転送はすべて VPN 内で Windows ファイル共有によって行うことができます。もし VPN がなければ、自宅のコンピュータとの間のファイル転送を、危険な FTP などのプロトコルを使用して行わなければならないかもしれませんが、VPN の内部であれば安全に通信を行うことができます。

また、インターネット上の Web サイトにアクセスするなど、インターネットに対して通信を行う場合も、VPN を適切に設定することによって、公共ネットワークのルータを経由して直接インターネットにアクセスするのではなく、一度自宅のルータを経由してインターネットにアクセスするようなことが可能です。

これにより、公共ネットワーク上に悪意のあるユーザーが存在しても、VPN によってすべての通信を保護しておくことにより、それを盗聴しようとしたユーザーは意味不明な SSL 暗号化パケットを受信することができるだけで、VPN 内部で行われている通信内容を読み取ることができなくなり、セキュリティが大幅に向上します。

 

10.12.3 VPN Server の自宅または会社への設置

このような公共ネットワークサービスを安全に理由するために、PacketiX VPN 2.0 を使用することは大変理にかなったことです。旧来の PPTP や L2TP/IPSec などの VPN プロトコルの多くは、プロキシサーバーや NAT およびファイアウォールなどが使用されている公共ネットワークサービスのプライベートネットワークから、インターネットへの出口の部分でフィルタリングされたり正しくアドレス変換を通過することができなかったりするため、公共ネットワークサービスで旧来の VPN プロトコルを確実に利用することはできませんでした。

しかし PacketiX VPN プロトコルは、NAT やファイアウォールおよびプロキシサーバーを経由して透過的に VPN Server に対してアクセスすることができるため、公共ネットワークサービスから自社や自宅の VPN Server に VPN 接続することも容易に行えます。

外出時に利用する駅や空港、ホテルなどの公共ネットワークサービスから VPN Server に接続して VPN 通信を行う場合、事前に自宅や会社などに VPN Server を設置し、インターネット側からいつでもアクセスできる状態にしておく必要があります。これらの方法については、「10.3 コンピュータ間 VPN の構築」「10.4 一般的なリモートアクセス VPN の構築」 および 「10.10 個人としてのリモートアクセス用途の使用」 などを参照してください。

 

10.12.4 VPN Server のローカルブリッジを経由したインターネットへのアクセス

自宅や会社の LAN (NAT の内側であり、DHCP サーバによって自動的にクライアントコンピュータに対して IP アドレスが割り当てられるのが望ましい) と、VPN Server の仮想 HUB をローカルブリッジ接続しておけば、外出先のラップトップ PC などから公共ネットワークサービスを使用して VPN Server に VPN Client で VPN 接続すると、自動的にその VPN Client の仮想 HUB には社内 (自宅内) の LAN のアドレスが割り当てられると同時に、デフォルトゲートウェイについても社内 (自宅内) のルータが使用されるようになります。

したがって、公共ネットワークサービスを使用している状態で会社 (自宅) の VPN Server に接続してから作業 (たとえば Web の閲覧など) を行うと、インターネット上のホストとの間の通信は原則としてすべて VPN 内を流れることになります。この方法によって、社内 (自宅) サーバーへアクセスを行う場合だけではなく、インターネット上のサーバーに対してアクセスを行う際の通信も、一度社内 (自宅) を経由して流れることになります。もし公共ネットワークサービス上の悪意のある第三者が通信内容をすべてキャプチャしていた場合でも、記録されるのは VPN Client と 1 台の VPN Server との間の暗号化された SSL 通信のみで、その VPN を経由してどのような Web サイトにアクセスしたかといった情報は一切盗聴者には分かりません。

基本的に会社や一般家庭などで採用されているインターネットへの接続方法は、ADSL や光ファイバー、専用線などであり、これらの回線を用いてインターネットへアクセスする場合で、通信先のホストとの間の通信内容が盗聴または改ざんされる可能性は、公共ネットワークサービスを使用してインターネットにアクセスした場合と比較 して非常に低いため、社内 (自宅) との通信にかかわらずすべての TCP/IP 通信を VPN を経由して行うことにより、より高いセキュリティを確保しつつ、便利で高速な公共ネットワークサービスを活用することができます。

図10-12-2 VPN Server のローカルブリッジを経由したインターネットへのアクセス

 

10.12.5 ソフトイーサ株式会社によるセキュアアクセスサービスについて

上記で解説したようなことを実現するには、自社または自宅で VPN Server を運用する必要があります。

本章執筆時点 (2005年12月) ではまだ公開されていませんが、ソフトイーサ株式会社は、将来的に上記のような危険な公共ネットワークサービスを使用してインターネット上のホストと通信を行う際に、すべての通信を VPN 経由で「セキュアアクセスサーバー」と呼ばれるインターネット上に設置した巨大な VPN クラスタと、そこに設置した巨大な NAT を経由してインターネット上のホストと通信を行うことによって、信頼できない危険な公共ネットワークサービスから直接インターネット上のホストにアクセスするのではなく、セキュアアクセスサーバーを経由してインターネット上のホストにアクセスすることができるような 「セキュアアクセスサービス」(仮称) を提供する予定です。さらに、セキュアアクセスサーバーに VPN 接続した VPN Client 間では、一切通信ができないような仕組みも導入します。セキュアアクセスサーバーは PacketiX VPN Server 2.0 によって構築・運用されるため、一般的に配布されている VPN Client から VPN 接続することが可能で、ほとんどの公共ネットワークサービスから接続可能になる予定です。

  • セキュアアクセスサービス (仮称) の詳細情報は、公開され次第 https://www2.softether.jp/ に掲載される予定です。

 

 

< 10.11 SecureNAT 機能を用いた権限不要のリモートアクセス第11章 問題解決および補足事項>

PacketiX VPN 2.0 オンラインマニュアル (Web 版) バージョン 2.20.5280.01
Copyright © 2004-2007 SoftEther Corporation. All Rights Reserved.
 www.softether.com | サポート情報 | 使用条件