トップ
製品・サービス
導入事例
パートナー
ダウンロード
サポート
報道発表
企業情報
お問い合わせ
|
PacketiX VPN 2.0 マニュアル 第12章 PacketiX VPN ソフトウェア仕様 12.4 PacketiX VPN プロトコル仕様 |
12.4 PacketiX VPN プロトコル仕様
ここでは、PacketiX VPN 2.0 の各ソフトウェアで共通に使用されている VPN 通信プロトコルである「PacketiX VPN
プロトコル」に関する仕様を掲載しています。
12.4.1 プロトコル仕様
PacketiX VPN プロトコルの仕様は、以下のとおりです。
項目 |
値 |
通信プロトコル (高レイヤ) |
SSLバージョン3.0
(Secure Socket Layer) |
通信プロトコル (低レイヤ) |
TCP/IP |
ポート番号 |
TCP/IP ポート デフォルト: 443, 992 および 8888
(ユーザーが自由に変更可能) |
サポートしている暗号および電子署名アルゴリズム |
RC4-MD5
RC4-SHA
AES128-SHA
AES256-SHA
DES-CBC-SHA
DES-CBC3-SHA |
データ圧縮 |
ストリーム型データ圧縮 |
セッションキー長 |
128 bit |
準拠するプロトコル |
SSL / HTTP over SSL (HTTPS) 拡張 |
高速通信機能 |
1~32 本の TCP/IP コネクションを確立することによる効率的負荷分散およびタイミング制御 |
自動再接続機能 |
指定回数または無限回数 |
接続方法 |
1. 直接 TCP/IP 接続
2. HTTP プロキシサーバー経由接続
3. SOCKS プロキシサーバー経由接続 |
ユーザー認証 (クライアント認証)
方法 |
1. 匿名認証
2. 標準パスワード認証
3. Radius サーバーを使用した認証
4. NT ドメインコントローラまたは Active Directory を使用した認証
5. X.509 証明書と RSA 秘密鍵ファイルを使用した認証
6. 証明書が書き込まれたスマートカードを使用した認証 |
サーバー認証方法 |
X.509 証明書と RSA 秘密鍵ファイルを使用した認証
(SSL サーバー証明書認証) |
カプセル化の対象プロトコルおよびパケット種別 |
Ethernet (IEEE802.3) フレーム |
12.4.2 VPN 通信可能なパケットについて
PacketiX VPN プロトコルによって、カプセル化しトンネリング通信することができるパケットは、標準的な Ethernet
(IEEE802.3) フレームのうち MAC ヘッダとペイロードの部分であり、かつ MAC ヘッダとペイロードを合計したデータ長が 1,514
Bytes 以下のものです。
12.4.3 PacketiX VPN プロトコルの検出方法について
PacketiX VPN プロトコルの検出
ソフトイーサ株式会社は、企業ネットワークなどのネットワーク管理者の方々に対する配慮として、PacketiX VPN Client 等の
VPN クライアントソフトウェアが PacketiX VPN Server 等の VPN サーバーソフトウェアに接続する際に、"PX-VPN2-PROTOCOL" という文字列を
含めた TCP/IP パケットを VPN サーバーに対して送信するような施策を実装しております。これにより、ネットワーク管理者は簡単に PacketiX
VPN プロトコルの使用を検出することができるようにになりました。
企業ネットワークなどで、社員が任意に PacketiX VPN ソフトウェアを使用してインターネット上の PacketiX VPN
Server に対して接続を行うことを、検出またはブロックしたい場合は、以下の方法で PacketiX VPN
プロトコルの接続パケットを検出することが可能です。
TCP/IP プロトコル内のデータ ストリームから、ASCII 文字列
"PX-VPN2-PROTOCOL" (16 Bytes) を検出することによって、PacketiX VPN
プロトコル を検出することが可能です。 |
たとえば、snort を使用している場合は、以下のようなシグネチャを作成してください。
alert tcp $HOME_NET any -> $EXTERNAL_NET any:
(msg:"PacketiX VPN 2.0 Connection"; content:"PX-VPN2-PROTOCOL"; )
|
注意事項
- 上記のシグネチャが、常に正常に機能することを保証するものではありません。
- "PX-VPN2-PROTOCOL" パケットは常にいかなる環境においても確実に送出されることは保証されていません。
- 上記の方法で、現在提供されている PacketiX VPN 2.0
の検出を行うことができますが、誤検出の可能性が存在します。たとえば、本文に "PX-VPN2-PROTOCOL"
などと書かれたコンテンツや、電子メールなどが誤って検出される可能性があります。
- 上記の情報は、本マニュアルに対応しているビルド番号の PacketiX VPN 2.0
のバージョンにおいてのみ有効であり、それ以外のバージョンの VPN ソフトウェアには適用されない場合があります。
- 上記の snort 用のシグネチャは PacketiX VPN 2.0 の通信を検出することができるものですが、IDS
のみでは通信をブロック (フィルタリング) することはできません。上記の方法で "PX-VPN2-PROTOCOL"
文字列を含むパケットを検出した場合は、当該パケットの送信元 IP アドレス、宛先 IP アドレスおよび宛先 TCP ポート番号の 3
組を指定して一定期間インターネットに対するパケットのフィルタリングを行うことにより、VPN 通信のブロック (フィルタリング)
することが可能です。これらのブロック処理は snort などの IDS のみでは通常は不可能であり、snort などの IDS
における検出結果をファイアウォールのパケットフィルタリングルールに追加する自動スクリプトを記述する必要がある場合があります
(具体的な方法については、IDS およびファイアウォールの仕様によって異なりますので、各 IDS
およびファイアウォールの管理者およびベンダにお問い合わせください)。
- VPN 接続の際に VPN クライアントがプロキシサーバー経由接続を行う可能性のある環境
(社内からインターネットに対して必ずプロキシサーバーを経由しなければ通信ができない環境)
においては、社内クライアントとプロキシサーバーとの間で上記のルールによって IDS を設置してください。
その他の VPN プロトコルの検出方法
PacketiX VPN プロトコルを検出することは、上記の方法で容易に行えますが、もし企業の内部から、社員が外部の VPN
サーバーに対して任意に接続してしまうことを防止または検出したい場合は、PacketiX VPN だけではなくその他のすべての VPN
プロトコルについても同様に、外部への接続を検出または遮断してください。 PacketiX VPN に限らず、どのような VPN プロトコル (PPTP、IPSec、SSH、SOCKS
および SSL-VPN
など、多くの種類があります) も、社内ユーザーが社外の VPN サーバーに接続して、情報を送受信できる危険性を持っています。特に近年普及している
SSL-VPN 製品の多くは、 HTTPS と同等のパケットを使用して通信を行うため、検出が困難な場合がありますので特にご注意ください。 |