SoftEther.co.jp トップページ / PacketiX VPN 2.0 Web サイト | |||
|
|
SoftEther トップ > SoftEther の概要 > SoftEther のセキュリティ SoftEther のセキュリティSoftEther は、仮想ネットワーク通信に使用される SoftEther プロトコルにおいて、ユーザー認証、128bit 暗号化、Layer-3 以上のレベルによるパケット フィルタリング機能を提供します。 セキュリティの重要性SoftEther のような VPN (仮想ネットワーク) システムにおいて、セキュリティは極めて重要です。セキュリティ機能が無いと、仮想 HUB (サーバー) に誰でも接続できてしまいますし、また実際の通信内容がインターネット上を通るため、途中で傍受・盗聴される可能性や、パケットが改竄される可能性があります。 SoftEther では、ユーザー認証、パケット暗号化、パケット フィルタリングにおいて、高度なセキュリティ機能を備えています。
ユーザー管理SoftEther 仮想 HUB への接続の際には、ユーザー認証を求めることができます。ユーザー認証には、ユーザー名とパスワードが使用されます。 また、ユーザー認証無しで接続可能な「匿名アカウント」も作成できます。これは、FTP における anonymous アカウントのような存在であり、匿名アカウントが存在する仮想 HUB には、アカウントを持っていなくても誰でもアクセス可能です。 SoftEther.co.jp では、期間限定で誰でも接続できる「匿名仮想 HUB」を設置・稼動させています。詳しくはこちら をご覧ください。
ユーザーの概念は、SoftEther 仮想 HUB においてとても重要です。後述する「パケット フィルタリング」機能は、ユーザーごとに設定されるためです。 SoftEther 仮想 HUB をインストールした状態では、ユーザーは 1 人も作成されていません。そのため、仮想 HUB を使用するには最初に自分用のユーザーを作成する必要があります。詳しくは オンラインマニュアル をご覧ください。
SoftEther による 128-bit 暗号化通信SoftEther の仮想 HUB と仮想 LAN カードとの間の通信は、デフォルトではすべて自動的に暗号化されます(暗号化を無効にするオプションもありますが、通常は設定する必要はありません)。 SoftEther 仮想 HUB に対して仮想 LAN カードが接続する際は、「チャレンジ/レスポンス認証」を行い、ユーザー名とパスワードを確認します。パスワードはハッシュ化された後チャレンジ/レスポンス方式で暗号化されて認証されるため、パケットを解析されても暗号化されたパスワードは復元できません。 ユーザー認証に成功すると仮想 HUB は通信に使用する初期秘密鍵を生成し、暗号化されたチャネル上で仮想 LAN カードに対して送信します。秘密鍵の長さは 128bit です。 その後の SoftEther 仮想 HUB と仮想 LAN カードの間の SoftEther プロトコルによるカプセル化された仮想 Ethernet フレーム パケットの通信には、すべて秘密鍵が使用されます。これには、128-bit RC4 互換アルゴリズムが使用されます。
パケットの 128-bit 電子署名SoftEther によって送受信される仮想 Ethernet フレーム パケットには、すべて暗号化された上、128bit による電子署名が付加されます。電子署名アルゴリズムによって計算された 128bit の署名値が送信元によりパケットと一緒に送信され、受信側で再計算することによりパケットが改竄されていないことを確認します。1 bit でもパケットが改竄されていた場合は、直ちに接続を切断します。 ※ 電子署名のアルゴリズムは、CheckSum (チェックサム) とは異なり、攻撃者が途中でパケットを改竄した後署名を再計算することは不可能です。
パケット フィルタリング オプション機能SoftEther 仮想 HUB には、接続している各仮想 LAN カードのセッション同士で交換されるすべてのパケットに関して、その内容を Layer-3 以上のレベルで解釈し、パケット フィルタリングを行う機能があります。 仮想 HUB は物理的な HUB と異なり、離れたところから複数のコンピュータが接続できます。その中の 1 台でおかしな設定があったり悪意をもったものがあったりすると、その仮想 HUB で構成される仮想 LAN 全体に影響が出るばかりか、物理的な LAN まで影響が広がる場合もあります。 SoftEther 仮想 HUB ではオプションとしてLayer-3 パケットフィルタ機能を搭載しています。一般的に用いられている Layer-3 スイッチのフィルタ機能すべてを搭載することができていませんが、SoftEther 仮想 LAN 上で必要になると思われる基本的なセキュリティ機能を多く搭載しています。 これらのパケットフィルタ設定は、ユーザーごとに個別に設定することができます。たとえば、DHCP を禁止するオプションは各クライアントが接続の際に使用するユーザーで設定しておき、DHCP サーバーとして動作させたいコンピュータが接続する際に使用するユーザー名のみこのオプションを設定しなければ良いことになります。 SoftEther 仮想 HUB で設定可能なセキュリティ オプションには、以下のようなものがあります。
DoS アタック攻撃防止機能 (輻輳制御機能)SoftEther プロトコルでは、すべての Ethernet MAC フレームは TCP/IP によって通信される SoftEther パケットにカプセル化されます。通常のインターネットや LAN などでは転送能力を超えたパケットが HUB やルーターを流れた場合、そのパケットは無視されますが、SoftEther 仮想 LAN の場合はすべてのパケットを順番に転送しようとするので、状況によっては大幅な輻輳が発生していまい、通信が不可能になってしまいます。 特に、悪意のあるユーザーによってブロードキャストパケットによる DoS 攻撃が行われた場合、攻撃の対象となった仮想 HUB がすべてのパケットを正しく転送しようとして、結果的にすべての接続クライアント間の通信が麻痺してしまう恐れがあります。 これを防止するため、SoftEther 仮想 HUB には輻輳制御機能が備わっており、現在の回線の転送能力を超えたパケットを切り捨てると共に、大量の DoS 攻撃によるパケットを遮断します。
アクセス ログ機能SoftEther 仮想 HUB には、すべての動作を記録するためのアクセス ログ機能があります。 詳しくは SoftEther 仮想 HUB をご覧ください。
仮想 HUB のワーム パケット防止機能についてSoftEther 仮想 HUB には、最近流行している Blaster などのワームによる大量の攻撃パケットがクライアント
コンピュータから仮想ネットワークに対して送信された場合、自動的に異常を検出してそのユーザーのセッションから送信されるパケットをできる限り遮断する機能が実装されています。この機能は、他にも
UDP パケットなどによる DoS 攻撃による仮想ネットワークの崩壊を自動的に防止します。
|
お問い合わせ先 | 使用条件 | |
Copyright © 2004-2006 SoftEther Corporation. All Rights Reserved. | SoftEther.co.jp |