ip-vpnの技術動向1 ip-vpnの技術動向 2000年7月18日 古河電気工業株式会社...
TRANSCRIPT
1
IP-VPNの技術動向
2000年7月18日2000年7月18日2000年7月18日2000年7月18日
古河電気工業株式会社ネットワーク事業部
2
VPNとは?
VPNとは共有ネットワーク上にプライベートネットワークを
構築すること、またはそのための技術
仮想的な専用線のように利用できることから、
Virtual(仮想的)なPrivate Network(専用線)と呼ぶ
最近ではインターネットを専用線のように利用する技術として
注目されている
3
社内LAN社内LAN社内LAN社内LAN
VPNVPNVPNVPN装置装置装置装置VPNVPNVPNVPN装置装置装置装置
InternetInternetInternetInternet
社内LAN社内LAN社内LAN社内LAN
ファイアウォールファイアウォールファイアウォールファイアウォール ファイアウォールファイアウォールファイアウォールファイアウォール
インターネット上にトンネルができ、その中をデータが通過していくインターネット上にトンネルができ、その中をデータが通過していくインターネット上にトンネルができ、その中をデータが通過していくインターネット上にトンネルができ、その中をデータが通過していく
通信相手との間に仮想的なトンネルをつくることにより(トンネリング)、本来ならインターネットを経由できないプライベートアドレスの通信、TCP/IP以外の通信が可能になる
VirtualなPrivate Networkを実現
4
<WANを構築するうえで、ポイントになる回線選択基準>
1.常時接続されており、確実に通信が行えるか?
2.通信速度(帯域)が保証されているか?
3.セキュリティは問題ないか?
4.通信コストが安価か?
※注1 従量制のサービスもある※注2 深夜、早朝では固定制サービスもある※注3 ダイヤルアップVPNの場合は、従量制コストを除き、専用線が一番最適
△△××○×固定※注3VPN
△×○×△○従量※注2ISDN
○○△△△△固定※注1フレームリレー
○○○○×△固定専用線
セキュリティ高速接続帯域保証接続保証通信コスト初期コスト固定/従量回線種類
各種回線サービスの特徴
5
しかし、しかし、しかし、しかし、コストコストコストコストがもっとも重要な課題になっているのも事実がもっとも重要な課題になっているのも事実がもっとも重要な課題になっているのも事実がもっとも重要な課題になっているのも事実
VPNはコストの削減で注目されているVPNはコストの削減で注目されているVPNはコストの削減で注目されているVPNはコストの削減で注目されている
VPNが注目を集めている理由
6
インターネットなどのIPネットワーク上に、仮想的な自営網を
構築する技術、およびネットワーク。
IP-VPN
7
IP-VPNを構築する際の選択肢
●キャリア、ISPが提供するVPNサービスを利用する
・・・・・MPLS、L2TP
●Internetを利用して、ユーザ主導でVPNを構築する
・・・・・IPSec
IP-VPNの構築
8
現在の代表的なVPN利用技術は、
●MPLS(MultiProtocol Label Switching)
・・・IETFが標準化を進めているLayer3Switch手法
●L2TP(Layer 2 Tunneling Protocol)
・・・RFC標準のLayer2トンネリング・プロトコル
●IPSec(IP Security Protocol)
・・・RFC標準のLayer3(IP)トンネリング・プロトコル
IP-VPNの利用技術
9
それぞれの利用目的は、
●MPLS
・・・専用線的な用途で利用
●L2TP
・・・リモートアクセス環境を実現する用途で利用
●IPSec
・・・専用線、およびリモートアクセス環境の両方で利用
IP-VPNの利用目的
10
MPLSを利用したVPNネットワーク
MPLSMPLSMPLSMPLS
MPLS対応ルータ
11
<長所>
●End To Endでの帯域保証
●全国一律の定額料金
<短所>
●網内に閉じたサービス
●リモートアクセス環境での利用ができない
MPLSサービスの特徴
12
L2TPを利用したVPNネットワーク
ISPISPISPISP
LAC LNS
L2TP対応RAS L2TP対応ルータ
VPN
13
<長所>
●マルチプロトコルの通信に対応
●End To EndでのPPP認証が可能
<短所>
●網内に閉じたサービス
●帯域保証が無い
L2TPサービスの特徴
14
IPSecを利用したVPNネットワーク
ISP①ISP①ISP①ISP①
ISP②ISP②ISP②ISP②
ISP③ISP③ISP③ISP③
VPN装置 VPN装置
VPN
InternetInternetInternetInternet
15
<長所>
●複数のISPを介したネットワーク構築が可能
●LAN To LAN、リモートアクセス等さまざまな用途で
利用可能
<短所>
●帯域保証が無い
IPSecの特徴
16
ユーザ主導で構築でき、さまざまな形態で利用可能である
IPSecが注目を集めている。
17
IPSec
18
IPSecとは?
IPネットワークでのVPNで、暗号化を行うことができる
IETF(Internet Engineering Task)のIPSecワーキンググループが策定
RFC2401~2412と10以上の標準に基づく
TCP/IP通信における、セキュリティ確保のための技術総称
19
IPSecの歴史
IPSecの開発は1990年代前半から始まり、RFC1825~
1829で一応の標準化が提案されたが、実際には普及しな
かった
米国自動車業界の業界エクストラネットである
ANX(Automotive Network Exchange)を構築する際、
暗号化が必須であった
この計画に後押しされ、IPSecの標準化が急ピッチで進め
られた
20
●盗聴 データの中身を盗み見られること
●改竄(かいざん) データの中身を書き換えること
●なりすまし 第三者が他人の名を語り,その人になりすまして情報を送
ること
IPSecのセキュリティ
IPSecの認証・暗号機能でセキュリティ確保
21
IPSecの通信
a
鍵交換
a宛て
暗号化復号化
A宛て
IPSec装置間でセキュリティを確保- 暗号化- 認証- 鍵管理
a宛て
鍵鍵
b......
VPN装置
......
VPN装置
InternetInternetInternetInternet
22
①セキュリティプロトコル
・・・IPSecの基本プロトコル AH、ESP
②認証アルゴリズム
・・・パケット認証のアルゴリズム MD5、SHA-1
③暗号化アルゴリズム
・・・暗号化のアルゴリズム DES、3DES
④鍵管理
・・・IKE
IPSecの仕組み
23
●AHは認証サービスを行う
• 旧版のIPSecではESPでの認証は規定されていなかったため暗号と認証を行う場合はデータに対してAH、ESP両方を適用する必要があった。
• RFC2406ではESPだけで暗号、認証をサポート
• ESPで認証を行えば、AHのヘッダオーバヘッドが不要になる。
AH(Authentication Header)
24
●ESPは以下のサービスを行う
– データの完全性
– 送信元の認証
– リプレイ攻撃保護
– 機密性
• トンネルモードでESPの認証機能を利用することで、AHの認証と同等の機能を提供する。
ESP(Encapsulating Security Payload)
25
AHヘッダとESPヘッダの比較
MD5またはSHA-1MD5またはSHA-1認証アルゴリズム
(最低限必要なもの)
DES-CBC×暗号化アルゴリズム
(最低限必要なもの)
○○リプレイ攻撃保護
(なりすまし防止)
○×暗号化機能
○○認証機能
ESPヘッダAHヘッダ
これらの基本プロトコルのもとに、セキュリティを確保する
26
認証アルゴリズム
• HMAC(Hash Message Authentication Codes) with MD5– 128ビットの固定長鍵をサポート
– 128bitsの認証用データを生成
• HMAC with SHA1– MD5より強固であるが、処理が重い
– 160ビットの固定長鍵をサポート
– 160bitsの認証用データを生成
27
暗号化アルゴリズム①
• DES-CBC with Explicit IV
DES暗号化
Initialization Vector(8バイト)
平文
鍵(56ビット)
暗号文
ESPペイロードの先頭8バイトにInitialization Vectorを挿入して送るため、パケット喪失があっても復号が可能である。
DES(Data Encryption Standard)米国商務省標準局が1973年に公募し、IBM案を採用。 米国内で広く採用され、
IPSecの暗号方式の標準として採用されている。
28
暗号化アルゴリズム②
• 3DES-CBC with Explicit IV
DES暗号化
Initialization Vector(8バイト)
平文
鍵A(56ビット)
暗号文DES暗号化
鍵B(56ビット)
DES暗号化
鍵C(56ビット)
3DES(Triple DES)DESの暗号処理を3回続けて行う。 通常、DESを破るには鍵が見つかるまで、全ての
鍵を試す方法が必要であるが、3DESでは鍵の長さが168ビットとなることから、 56bitの鍵よりも2の112乗倍の鍵の数になるため、より破るのが難しくなる。
29
IKE(ISAKMP/Oakley)
●IPSecの鍵交換のためのプロトコル
・・・暗号・認証のパラメータを自動生成して、相互の交換する
ためのプロトコル
①Pre-Shared Key(既知共有秘密鍵)
②Digital Signature(ディジタル署名/ディジタル証明書)
③Public Key Encryption(公開鍵暗号)
30
IPSecの運用例
●IPSecネットワークのキーとなる利用技術
Case1.IPSecの利用形態
Case2.VPNのNAT利用
Case3.FireWallとの構成について
31
IPSecの利用形態
32
VPN装置 VPN装置
VPN
InternetInternetInternetInternet 専用線専用線
IPSecの利用形態①
●常時回線のLAN間VPN
●通常のIPSec通信
●IPアドレスが固定でアサインされている形態
●A、BのどちらからでもIPSec通信を始めることが可能
A B
33
VPN
IPSecの利用形態②
VPNクライアント VPN装置
専用線ダイヤルアップ
●常時回線LAN ー リモートクライアント間のVPN
InternetInternetInternetInternet
A B
●モバイルPC等に専用のVPNソフトウェアをインストール
●IPアドレスがダイナミックにアサインされる形態でも通信可能
●IPSec通信の契機は、A側(ダイヤルアップ)からのみ。
34
VPN
IPSecの利用形態③
VPNクライアント VPN装置
専用線ダイヤルアップ
●常時回線LAN - ダイヤルアップ回線LANのVPN
InternetInternetInternetInternet
A B
●ダイヤルアップルータを利用してもIPSec通信が可能
●IPアドレスがダイナミックにアサインされる形態でも通信可能
●IPSec通信の契機は、A側(ダイヤルアップ)からのみ。
35
VPNのNAT利用
36
・全てのプライベートLANにおいて、アドレスが重複しないように
設計する。
・VPNの通信に関しては、NAT変換せずそのままのプライベート
アドレスで通信する。
Internet
VPNボックス
ルータ
<営業所LAN>
本社LAN
<関連会社LAN>
アドレス:192.168.1.0/24 アドレス:192.168.2.0/24
アドレス:172.16.0.0/16
専用機接続
ダイヤルアップ ダイヤルアップ
通常のIPSec通信
VPNルータ VPNルータ
37
・営業所LANと関連会社LANが同じアドレス構成
(関連会社であるため、アドレスの変更をお願いできない)
・本社からみると、営業所LANと関連会社LANの区別が
つかない。
Internet
VPNボックス
ルータ
<営業所LAN>
本社LAN
<関連会社LAN>
アドレス:192.168.1.0/24 アドレス:192.168.1.0/24
アドレス:172.16.0.0/16
?192.168.1.0/24って誰?
専用機接続
ダイヤルアップ ダイヤルアップ
NATの必要性
38
Internet
ダイヤルアップ
<営業所LAN> <関連会社LAN>
ダイヤルアップ
アドレス:192.168.1.0/24 アドレス:192.168.1.0/24
ISPから付与されるIPアドレス ISPから付与されるIPアドレスに、NAT+変換して
通信を行う。
A B
VPNボックス
ルータ
本社LAN
アドレス:172.16.0.0/16
専用機接続
・ISPから付与されるIPアドレスを利用して、VPN通信を行う。
・これにより、営業所LANと関連会社LANの区別をすることが可能。
VPN通信におけるNAT利用
39
Internet
ダイヤルアップ
<営業所LAN> <関連会社LAN>
ダイヤルアップ
アドレス:192.168.1.0/24 アドレス:192.168.1.0/24
あらかじめ、変換するIPアドレスを指定しておく。
A B
VPNボックス
ルータ
本社LANアドレス:172.16.0.0/16
専用機接続
ファイアウォール・ISPから付与されるIPアドレスではなく、拠点毎に変換する
アドレスを指定できる。
・これにより、営業所LANと関連会社LANの区別をすることが
可能。
・また、本社側からのアドレス管理が容易にできるようになり、
F/W利用時には効果を発揮する。
VPN通信におけるPeerNAT利用
40
FireWallとの構成について
41
ダイヤルアップ
VPNボックス ファイアウォール
ルータ
MUCHO-EV
・・・・
社内LAN
・VPN装置とFireWallを並列で構成するパターン。
・VPN装置はVPN通信以外は通さない設定。
・NATはFireWallにて行う。
Internet
FireWallとの並列構成
42
ルータ
ファイアウォール
社内LAN
既存構成
内部公開サーバ
外部公開サーバ
デフォルトゲートウェイデフォルトゲートウェイデフォルトゲートウェイデフォルトゲートウェイ
①社内LANからInternetへ
②外部から公開サーバへ
43
ルータ
VPNボックス
ファイアウォール
社内LAN
VPNボックスの導入
内部公開サーバ
外部公開サーバ
①VPN通信
②社内LANからInternetへ
③外部から公開サーバへ
44
ルータ
VPNボックス
ファイアウォール
社内LAN
PeerNAT機能の併用
内部公開サーバ
外部公開サーバ
①VPN通信
設定が必要なのはVPNボックスのみ
●拠点側で、社内LANと同一ネットワーク(192.168.1.0/24)のPeerNATを利用する。
●VPNボックスでは、ProxyARP機能をONにする。
●既存FireWallやPCのゲートウェイ設定を変更する必要はありません。
アドレス:192.168.1.0/24
ProxyARP:ON デフォルトゲートウェイデフォルトゲートウェイデフォルトゲートウェイデフォルトゲートウェイ
45
ダイヤルアップ
VPNボックス
ファイアウォール
ルータ
MUCHO-EV
・・・・
社内LAN
・VPN装置とFireWallを直列で構成するパターン。
・VPN装置はVPN対象、非対称のパケットの両方を
通す設定。
・NATはFireWallにて行う。
Internet
FireWallとの直列構成
46
製品ラインアップ
47
((((拠点側)拠点側)拠点側)拠点側)
VPN対応アクセスルータVPN対応アクセスルータVPN対応アクセスルータVPN対応アクセスルータ
古河電工古河電工古河電工古河電工
MUCHO-EVMUCHO-EVMUCHO-EVMUCHO-EV標準価格138,000円標準価格138,000円標準価格138,000円標準価格138,000円
同時接続:16拠点同時接続:16拠点同時接続:16拠点同時接続:16拠点
接続拠点数接続拠点数接続拠点数接続拠点数
(センター側)(センター側)(センター側)(センター側)
VPNボックスVPNボックスVPNボックスVPNボックス
古河電工古河電工古河電工古河電工
INFONET-VP100INFONET-VP100INFONET-VP100INFONET-VP100標準価格498,000円標準価格498,000円標準価格498,000円標準価格498,000円
同時接続:100拠点同時接続:100拠点同時接続:100拠点同時接続:100拠点
登録拠点数:500拠点登録拠点数:500拠点登録拠点数:500拠点登録拠点数:500拠点
MUCHO-EVとのダイアルアップVPN接続が可能MUCHO-EVとのダイアルアップVPN接続が可能MUCHO-EVとのダイアルアップVPN接続が可能MUCHO-EVとのダイアルアップVPN接続が可能
ファイアーウオール+VPNオプションソフトウェアファイアーウオール+VPNオプションソフトウェアファイアーウオール+VPNオプションソフトウェアファイアーウオール+VPNオプションソフトウェア
ALCATELALCATELALCATELALCATEL
FortKnoxFortKnoxFortKnoxFortKnox F-3000F-3000F-3000F-3000標準価格1,040,000円~標準価格1,040,000円~標準価格1,040,000円~標準価格1,040,000円~
同時接続:100拠点同時接続:100拠点同時接続:100拠点同時接続:100拠点
MUCHO-EVとのダイヤルアップVPN接続が可能MUCHO-EVとのダイヤルアップVPN接続が可能MUCHO-EVとのダイヤルアップVPN接続が可能MUCHO-EVとのダイヤルアップVPN接続が可能
(接続拠点数に応じて、ライセンスフィーが必要)(接続拠点数に応じて、ライセンスフィーが必要)(接続拠点数に応じて、ライセンスフィーが必要)(接続拠点数に応じて、ライセンスフィーが必要)
価格価格価格価格
ファイアーウオール+VPNオプションソフトウェアファイアーウオール+VPNオプションソフトウェアファイアーウオール+VPNオプションソフトウェアファイアーウオール+VPNオプションソフトウェア
ALCATELALCATELALCATELALCATEL
FortKnoxFortKnoxFortKnoxFortKnox F-5000F-5000F-5000F-5000標準価格1,860,000円~標準価格1,860,000円~標準価格1,860,000円~標準価格1,860,000円~
同時接続:300拠点同時接続:300拠点同時接続:300拠点同時接続:300拠点
MUCHO-EVとのダイヤルアップVPN接続が可能MUCHO-EVとのダイヤルアップVPN接続が可能MUCHO-EVとのダイヤルアップVPN接続が可能MUCHO-EVとのダイヤルアップVPN接続が可能
(接続拠点数に応じて、ライセンスフィーが必要)(接続拠点数に応じて、ライセンスフィーが必要)(接続拠点数に応じて、ライセンスフィーが必要)(接続拠点数に応じて、ライセンスフィーが必要)
古河電工VPN対応製品ラインアップ
VPNクライアントソフト(発売予定)VPNクライアントソフト(発売予定)VPNクライアントソフト(発売予定)VPNクライアントソフト(発売予定)
古河電工古河電工古河電工古河電工
INFONET-VPN ClientINFONET-VPN ClientINFONET-VPN ClientINFONET-VPN Client
48
<特長>●IPSec準拠のVPN対応アクセスルータ。
●専用線、フレームリレー、ISDN、 アナログ回線のように、さまざまな回線サービスで VPNを利用することが可能です。
●業界初のダイヤルアップルータによる、 IPSec通信を実現しております。
●最大で16拠点とVPN通信が可能です。
●Webブラウザによる簡単設定・運用が可能です。 (日本語表示)
●x.509v3、3DESは対応予定。
製品紹介
①①①①VPN対応アクセスルータ MUCHO-EVVPN対応アクセスルータ MUCHO-EVVPN対応アクセスルータ MUCHO-EVVPN対応アクセスルータ MUCHO-EV
49
<特長>●センタ拠点に最適なIPSec準拠のVPN専用機です。
●WANインタフェースを持たないため、回線種別を問いません。
●弊社アクセスルータMUCHO-EVとの、 ダイヤルアップVPN通信が可能です。
●最大で100拠点のVPN同時通信が可能です。 (登録拠点は500まで)
●Webブラウザによる簡単設定・運用が可能です。 (日本語表示)
●x.509v3、3DES、冗長機能はサポート予定。
②VPNボックス INFONET-VP100②VPNボックス INFONET-VP100②VPNボックス INFONET-VP100②VPNボックス INFONET-VP100
50
<特長>
●アプリケーションゲートウェイ方式を採用したBox型ファイアウォール専用機です。
●オプションにより、IPSec準拠のVPNに対応することが可能です。
●弊社アクセスルータMUCHO-EVとの、 ダイヤルアップVPN通信が可能です。(オプション)
●専用のクライアントソフト(オプション)により、モバイルでのVPN通信が可能です。
●Webブラウザによる簡単設定・運用が可能です。
③ファイアウォール③ファイアウォール③ファイアウォール③ファイアウォール FortKnoxFortKnoxFortKnoxFortKnox FシリーズFシリーズFシリーズFシリーズ
51
<特長>
●windows95、98、NT、2000に対応したIPSec準拠のVPNクライアントソフトです。
●このソフトウェアを利用することにより、MUCHO-EV、INFONET-VP100とのVPN通信が可能です。
●操作性が良く、VPN通信とInternetアクセスを同時に利用することが可能です。
●WindowGUIによる簡単設定・運用が可能です。
●X.509電子認証対応。
④VPNクライアントソフト④VPNクライアントソフト④VPNクライアントソフト④VPNクライアントソフト INFONET-VPN ClientINFONET-VPN ClientINFONET-VPN ClientINFONET-VPN Client(発売予定)
52
<特長>
1.IPSecによるVPNネットワークを安価に構築することが可能です。
2.ダイヤルアップルータを利用したVPN通信が可能です。(業界初)
3.モバイルユース向けにクライアントソフトもご用意しております。
4.NATを利用したVPN通信が可能であるため、既存LANのアドレス
体系をそのまま利用することが可能です。
5.ファイアウォールを必要とする場合でも、一体型の対応製品をご用
意しております。
古河電工VPNソリューションの特長
53
日経コミュニケーション日経コミュニケーション日経コミュニケーション日経コミュニケーション1999.8.2号にて、相互接1999.8.2号にて、相互接1999.8.2号にて、相互接1999.8.2号にて、相互接続性の検証を実施。続性の検証を実施。続性の検証を実施。続性の検証を実施。 ↓ ↓ ↓ ↓
15製品中、第2位のポイント15製品中、第2位のポイント15製品中、第2位のポイント15製品中、第2位のポイントを獲得。を獲得。を獲得。を獲得。
対象製品:MUCHO-EV対象製品:MUCHO-EV対象製品:MUCHO-EV対象製品:MUCHO-EV
相互接続性について
54
・VPNetテクノロジーズ「VSU1010」 (VPN専用装置)・インターネット・デバイシーズ(IDI)「FortKnox」 (VPNファイアーウオール)・タイムステップ「PERMIT/Gate4520」 (VPN専用装置)・米IRE「SafeNet/Soft-PK」 (VPNソフトウエア)・シスコ・システムズ「CISCO1720」 (VPNルータ)・インテル「VPN Gateway Plus」 (VPN専用装置)・ノーテル・ネットワークス「Contivity Extranet Switch」 (VPN専用装置)・ラドガード「CIPm-VPN」 (VPNN専用装置)・レッドクリーク・コミュニケーションズ「Ravlin10」 (VPN専用装置)・スターネット「STAR-Gateware」 (VPN専用装置)・ウオッチガード・テクノロジーズ「FireBoxⅡ」 (VPNファイアーウオール)・アクセント・テクノロジーズ「RaptorFirewall」 (VPNファイアーウオールソフトウエア)・セキュア・コンピューティング「Sidewinder Security Server」 (VPNファイアーウオールソフトウエア)
※ 上記結果は、専用線接続での実績になります。
接続確認製品
55
古河電工のVPNボックス『INFONET-VP100』が、日本初
のICSA(International Computer Security Association)認定を
取得。
ICSAのサイト
ICSA認定取得
http://www.icsa.net/html/communities/ipsec/certification/certified_products/index.shtml
56
......
インターネット
VPNクライアント
VPNクライアント
社内サーバ
ファイアウォール
社内イントラネット
社外WEBサーバ
ルータ
各事業所、営業所
VP100
モバイル部課長(出張先)
ダイアルアップ
部課長(自宅)
小規模営業所
インターネット接続ルータ
社内サーバ
2000年4月運用開始
VP100をインターネット接続セグメントに配置し、外部からVPNを利用した
低コストでセキュアなアクセスを提供。
自宅、出張先(海外含む)から会社のe-mail、サーバアクセスを提供
コスト比較(例)米国出張時ホテルから30分接続
従来: 5000円(国際電話代) VPN: 300円
古河電工社内VPNシステム