担当する顧客の環境で先輩からVPN接続を使用していると説明されたんだけど、IPsecやらSSLやら聞き慣れない単語が出てきて混乱してるんだ
VPN自体はよく聞く単語だけど、IPsecやSSLはセキュリティに特化した技術になるね。僕も混乱することが多いよ、復習も兼ねて一緒に学んでいこう
VPNとは
VPN(Virtual Private Network)とは物理的に離れているルータを仮想的に直接接続する技術になります。
例えば、ルータ[A-B-C]という構成がある時に、AとCにそれぞれVPNの設定を行う事により、仮想的にA-Cという構成にできる技術になります。
実際はRouter_Bも経由してデータ転送はされますが、VPN仕様により、データ部分はカプセル化されるので、中継するRouter_Bでデータそのものが参照されることはありません。
VPNの分類・名称
当初の疑問の回答になりますが、よく使用されるVPNは大きく分けて2種類あります。
IPsec-VPNとSSL-VPNです。
本当はGREやL2TPなど細かい分類、それぞれの利点等ありますが、一般企業でこれら単体で導入されることはありません。なぜなら、この2つのプロトコルには暗号化機能がないからです。そのため、これらが単体で使用されることはないため、VPN=IPsecVPN or SSL VPNと認識してください。(厳密には違いますが、大抵のエンジニアの話言葉はこの認識です)
IPsecとは
IPsecとはセキュリティプロトコルの1種です。
上記で説明したようにIPsec-VPNのことを省略してIPesc(VPN)を張ると言ったりもします。
IPsecはネットワーク層で動作するため、ネットワーク層でIPを使用してさえいれば、問題なく動作します。
IPsecはAH,ESP,IKEなどのプロトコルから構成されてます。
それぞれ以下の役割を持ってます。
・AH:認証 (MD5 SHA256など)
・ESP:暗号化 (DES AESなど)
・IKE:鍵交換 (DH1 DH2など)
ここでは認証・暗号化・鍵交換という3つの要素でIPsecが成り立っていることを理解しましょう。
本解説では、VPNの種類に主眼をおいているので、完全に覚える必要はありません。
しかし、各ネットワーク機器では、上記3点をそれぞれ設定してIPsec接続を行う必要があります。そのため、実際機器構築を行う際には、3つ設定するべき項目があるという認識は持っておきましょう。
SSLとは
SSLはIPsecと同じくセキュリティプロトコルの1種です。
SSLとは言うものの、実情はTLSというプロトコルが一般的に使用されています。
SSLは昔よく使われていたセキュリティプロトコルの名称ですが、後継プロトコルであるTLSに変わってからも、TLSのことをSSLと言ったり、SSL/TLSと表現したりします。
SSLでは主に鍵交換と証明書を使用して暗号・復号化を行います。
また、こちらはセッション層にて使用されるプロトコルなので、IPsecと比較すると、TCP/IP通信でしか使用できません。
SSL-VPNではさらに細かく分類がありますが、こちらも一旦そういうのがあるんだ程度で認識だけしておきましょう。
・リバースプロキシ
・ポートフォワーディング
・L2フォワーディング
CiscoのASAで提供されるAnyConnect VPNはL2フォワーディングに該当します。
AnyConnectというソフトウェアをダウンロードする必要がありますが、他の2つと比べて、それ以外の成約がないというメリットがあります。
まとめ
今回はVPNの仕組みと暗号化種別(IPsec/SSL)に関して解説しました。
セキュリティが重視される昨今、この仕組みはNWエンジニアとして避けることができない内容です。
まずは話が全く通じないという事がないように、SSLやIPsecなどの用語やざっくりした意味は把握するようにしましょう。
