...

IP-VPNの技術動向 - 古河電気工業株式会社

by user

on
Category: Documents
14

views

Report

Comments

Transcript

IP-VPNの技術動向 - 古河電気工業株式会社
IP-VPNの技術動向
2000年7月18日
古河電気工業株式会社
ネットワーク事業部
1
VPNとは?
VPNとは共有ネットワーク上にプライベートネットワークを
構築すること、またはそのための技術
仮想的な専用線のように利用できることから、
Virtual(仮想的)なPrivate Network(専用線)と呼ぶ
最近ではインターネットを専用線のように利用する技術として
注目されている
2
通信相手との間に仮想的なトンネルをつくることにより(トンネリン
グ)、本来ならインターネットを経由できないプライベートアドレスの
通信、TCP/IP以外の通信が可能になる
VirtualなPrivate Networkを実現
社内LAN
社内LAN
ファイアウォール
ファイアウォール
Internet
VPN装置
VPN装置
VPN装置
VPN装置
インターネット上にトンネルができ、その中をデータが通過していく
3
各種回線サービスの特徴
<WANを構築するうえで、ポイントになる回線選択基準>
1.常時接続されており、確実に通信が行えるか?
2.通信速度(帯域)が保証されているか?
3.セキュリティは問題ないか?
4.通信コストが安価か?
回線種類
固定/従量
初期コスト
通信コスト
接続保証
帯域保証
高速接続
セキュリティ
専用線
固定
△
×
○
○
○
○
フレームリレー
固定※注1
△
△
△
△
○
○
ISDN
従量※注2
○
△
×
○
×
△
VPN
固定※注3
×
○
×
×
△
△
コストを除き、専用線が一番最適
4
※注1 従量制のサービスもある
※注2 深夜、早朝では固定制サービスもある
※注3 ダイヤルアップVPNの場合は、従量制
VPNが注目を集めている理由
しかし、コスト
しかし、コストがもっとも重要な課題になっているのも事実
コストがもっとも重要な課題になっているのも事実
VPNはコストの削減で注目されている
5
IP-VPN
インターネットなどのIPネットワーク上に、仮想的な自営網を
構築する技術、およびネットワーク。
6
IP-VPNの構築
IP-VPNを構築する際の選択肢
●キャリア、ISPが提供するVPNサービスを利用する
・・・・・MPLS、L2TP
●Internetを利用して、ユーザ主導でVPNを構築する
・・・・・IPSec
7
IP-VPNの利用技術
現在の代表的なVPN利用技術は、
●MPLS(MultiProtocol Label Switching)
・・・IETFが標準化を進めているLayer3Switch手法
●L2TP(Layer 2 Tunneling Protocol)
・・・RFC標準のLayer2トンネリング・プロトコル
●IPSec(IP Security Protocol)
・・・RFC標準のLayer3(IP)トンネリング・プロトコル
8
IP-VPNの利用目的
それぞれの利用目的は、
●MPLS
・・・専用線的な用途で利用
●L2TP
・・・リモートアクセス環境を実現する用途で利用
●IPSec
・・・専用線、およびリモートアクセス環境の両方で利用
9
MPLSを利用したVPNネットワーク
MPLS対応ルータ
MPLS
10
MPLSサービスの特徴
<長所>
●End To Endでの帯域保証
●全国一律の定額料金
<短所>
●網内に閉じたサービス
●リモートアクセス環境での利用ができない
11
L2TPを利用したVPNネットワーク
L2TP対応RAS
L2TP対応ルータ
ISP
LAC
LNS
VPN
12
L2TPサービスの特徴
<長所>
●マルチプロトコルの通信に対応
●End To EndでのPPP認証が可能
<短所>
●網内に閉じたサービス
●帯域保証が無い
13
IPSecを利用したVPNネットワーク
Internet
ISP②
VPN装置
VPN装置
ISP①
VPN
14
ISP③
IPSecの特徴
<長所>
●複数のISPを介したネットワーク構築が可能
●LAN To LAN、リモートアクセス等さまざまな用途で
利用可能
<短所>
●帯域保証が無い
15
ユーザ主導で構築でき、さまざまな形態で利用可能である
IPSecが注目を集めている。
16
IPSec
17
IPSecとは?
TCP/IP通信における、セキュリティ確保のための技術総称
IPネットワークでのVPNで、暗号化を行うことができる
IETF(Internet Engineering Task)のIPSecワーキング
グループが策定
RFC2401~2412と10以上の標準に基づく
18
IPSecの歴史
IPSecの開発は1990年代前半から始まり、RFC1825~
1829で一応の標準化が提案されたが、実際には普及しな
かった
米国自動車業界の業界エクストラネットである
ANX(Automotive Network Exchange)を構築する際、
暗号化が必須であった
この計画に後押しされ、IPSecの標準化が急ピッチで進め
られた
19
IPSecのセキュリティ
●盗聴
データの中身を盗み見られること
●改竄(かいざん)
データの中身を書き換えること
●なりすまし
第三者が他人の名を語り,その人になりすまして情報を送
ること
IPSecの認証・暗号機能でセキュリティ確保
20
IPSecの通信
a
IPSec装置間でセキュリティを確保
- 暗号化
- 認証
- 鍵管理
VPN装置
VPN装置
....
..
Internet
鍵
鍵交換
復号化
a宛て
....
..
鍵
暗号化
a宛て
A宛て
21
b
IPSecの仕組み
①セキュリティプロトコル
・・・IPSecの基本プロトコル AH、ESP
②認証アルゴリズム
・・・パケット認証のアルゴリズム MD5、SHA-1
③暗号化アルゴリズム
・・・暗号化のアルゴリズム DES、3DES
④鍵管理
・・・IKE
22
AH(Authentication Header)
●AHは認証サービスを行う
• 旧版のIPSecではESPでの認証は規定されていなかったた
め暗号と認証を行う場合はデータに対してAH、ESP両方を
適用する必要があった。
• RFC2406ではESPだけで暗号、認証をサポート
• ESPで認証を行えば、AHのヘッダオーバヘッドが不要にな
る。
23
ESP(Encapsulating Security Payload)
●ESPは以下のサービスを行う
–
–
–
–
•
データの完全性
送信元の認証
リプレイ攻撃保護
機密性
トンネルモードでESPの認証機能を利用することで、AHの
認証と同等の機能を提供する。
24
AHヘッダとESPヘッダの比較
これらの基本プロトコルのもとに、セキュリティを確保する
AHヘッダ
ESPヘッダ
認証機能
○
○
暗号化機能
×
○
リプレイ攻撃保護
(なりすまし防止)
○
○
認証アルゴリズム
(最低限必要なもの)
MD5またはSHA-1
MD5またはSHA-1
暗号化アルゴリズム
(最低限必要なもの)
×
DES-CBC
25
認証アルゴリズム
• HMAC(Hash Message Authentication Codes) with
MD5
– 128ビットの固定長鍵をサポート
– 128bitsの認証用データを生成
• HMAC with SHA1
– MD5より強固であるが、処理が重い
– 160ビットの固定長鍵をサポート
– 160bitsの認証用データを生成
26
暗号化アルゴリズム①
• DES-CBC with Explicit IV
Initialization Vector(8バイト)
平文
DES
暗号化
暗号文
ESPペイロードの先頭
8バイトにInitialization Vectorを
挿入して送るため、パケット喪失
があっても復号が可能である。
鍵(56ビット)
DES(Data Encryption Standard)
米国商務省標準局が1973年に公募し、IBM案を採用。 米国内で広く採用され、
IPSecの暗号方式の標準として採用されている。
27
暗号化アルゴリズム②
• 3DES-CBC with Explicit IV
Initialization Vector(8バイト)
平文
DES
暗号化
DES
暗号化
鍵A(56ビット)
鍵B(56ビット)
DES
暗号化
暗号文
鍵C(56ビット)
3DES(Triple DES)
DESの暗号処理を3回続けて行う。 通常、DESを破るには鍵が見つかるまで、全ての
鍵を試す方法が必要であるが、3DESでは鍵の長さが168ビットとなることから、 56bitの鍵
よりも2の112乗倍の鍵の数になるため、より破るのが難しくなる。
28
IKE(ISAKMP/Oakley)
●IPSecの鍵交換のためのプロトコル
・・・暗号・認証のパラメータを自動生成して、相互の交換する
ためのプロトコル
①Pre-Shared Key(既知共有秘密鍵)
②Digital Signature(ディジタル署名/ディジタル証明書)
③Public Key Encryption(公開鍵暗号)
29
IPSecの運用例
●IPSecネットワークのキーとなる利用技術
Case1.IPSecの利用形態
Case2.VPNのNAT利用
Case3.FireWallとの構成について
30
IPSecの利用形態
31
IPSecの利用形態①
●常時回線のLAN間VPN
A
B
VPN装置
VPN装置
専用線
Internet
VPN
●通常のIPSec通信
●IPアドレスが固定でアサインされている形態
●A、BのどちらからでもIPSec通信を始めることが可能
32
専用線
IPSecの利用形態②
●常時回線LAN ー リモートクライアント間のVPN
A
B
VPNクライアント
VPN装置
ダイヤルアップ
Internet
専用線
VPN
●モバイルPC等に専用のVPNソフトウェアをインストール
●IPアドレスがダイナミックにアサインされる形態でも通信可能
●IPSec通信の契機は、A側(ダイヤルアップ)からのみ。
33
IPSecの利用形態③
●常時回線LAN - ダイヤルアップ回線LANのVPN
A
B
VPNクライアント
VPN装置
ダイヤルアップ
Internet
専用線
VPN
●ダイヤルアップルータを利用してもIPSec通信が可能
●IPアドレスがダイナミックにアサインされる形態でも通信可能
●IPSec通信の契機は、A側(ダイヤルアップ)からのみ。
34
VPNのNAT利用
35
通常のIPSec通信
本社LAN
アドレス:172.16.0.0/16
VPNボックス
・全てのプライベートLANにおいて、アドレスが重複しないように
設計する。
ルータ
・VPNの通信に関しては、NAT変換せずそのままのプライベート
アドレスで通信する。
専用機接続
Internet
ダイヤルアップ
VPNルータ
VPNルータ
<営業所LAN>
ダイヤルアップ
<関連会社LAN>
アドレス:192.168.1.0/24
アドレス:192.168.2.0/24
36
NATの必要性
本社LAN
アドレス:172.16.0.0/16
?
192.168.1.0/24って誰?
VPNボックス
・営業所LANと関連会社LANが同じアドレス構成
(関連会社であるため、アドレスの変更をお願いできない)
ルータ
・本社からみると、営業所LANと関連会社LANの区別が
つかない。
専用機接続
Internet
ダイヤルアップ
ダイヤルアップ
<営業所LAN>
<関連会社LAN>
アドレス:192.168.1.0/24
アドレス:192.168.1.0/24
37
VPN通信におけるNAT利用
本社LAN
アドレス:172.16.0.0/16
VPNボックス
ルータ
・ISPから付与されるIPアドレスを利用して、VPN通信を行う。
・これにより、営業所LANと関連会社LANの区別をすることが可能。
専用機接続
ISPから付与されるIPアドレス
Internet
ISPから付与されるIPアドレスに、NAT+変換して
通信を行う。
ダイヤルアップ
A
B
<営業所LAN>
ダイヤルアップ
<関連会社LAN>
アドレス:192.168.1.0/24
アドレス:192.168.1.0/24
38
VPN通信におけるPeerNAT利用
本社LAN
アドレス:172.16.0.0/16
・ISPから付与されるIPアドレスではなく、拠点毎に変換する
ファイアウォール
アドレスを指定できる。
VPNボックス
・これにより、営業所LANと関連会社LANの区別をすることが
可能。
ルータ
・また、本社側からのアドレス管理が容易にできるようになり、
専用機接続
F/W利用時には効果を発揮する。
Internet
あらかじめ、変換するIPアドレスを指定しておく。
ダイヤルアップ
A
B
<営業所LAN>
ダイヤルアップ
<関連会社LAN>
アドレス:192.168.1.0/24
アドレス:192.168.1.0/24
39
FireWallとの構成について
40
FireWallとの並列構成
社内LAN
VPNボックス
ダイヤルアップ
Internet
ファイアウォール
ルータ
MUCHO-EV
・VPN装置とFireWallを並列で構成するパターン。
・VPN装置はVPN通信以外は通さない設定。
・・・・
・NATはFireWallにて行う。
41
既存構成
内部公開サーバ
社内LAN
デフォルトゲートウェイ
外部公開サーバ
ファイアウォール
ルータ
①社内LANからInternetへ
②外部から公開サーバへ
42
VPNボックスの導入
内部公開サーバ
社内LAN
外部公開サーバ
VPNボックス
ファイアウォール
ルータ
①VPN通信
②社内LANからInternetへ
③外部から公開サーバへ
43
PeerNAT機能の併用
アドレス:192.168.1.0/24
内部公開サーバ
デフォルトゲートウェイ
社内LAN
ProxyARP:ON
外部公開サーバ
VPNボックス
ファイアウォール
設定が必要なのはVPNボックスのみ
ルータ
①VPN通信
●拠点側で、社内LANと同一ネットワーク(192.168.1.0/24)のPeerNATを利用する。
●VPNボックスでは、ProxyARP機能をONにする。
●既存FireWallやPCのゲートウェイ設定を変更する必要はありません。
44
FireWallとの直列構成
社内LAN
ファイアウォール
VPNボックス
ダイヤルアップ
Internet
ルータ
MUCHO-EV
・VPN装置とFireWallを直列で構成するパターン。
・VPN装置はVPN対象、非対称のパケットの両方を
・・・・
通す設定。
・NATはFireWallにて行う。
45
製品ラインアップ
46
古河電工VPN対応製品ラインアップ
(センター側)
ファイアーウオール+VPNオプションソフトウェア
ALCATEL
FortKnox FortKnox
F-3000
ファイアーウオール+VPNオプションソフトウェア
標準価格1,040,000円~
同時接続:100拠点
ALCATEL
FortKnox FortKnox
F-5000
MUCHO-EVとのダイヤルアップVPN接続が可能
(接続拠点数に応じて、ライセンスフィーが必要)
標準価格1,860,000円~
同時接続:300拠点
価格
MUCHO-EVとのダイヤルアップVPN接続が可能
(接続拠点数に応じて、ライセンスフィーが必要)
VPNクライアントソフト(発売予定)
VPNボックス
古河電工
INFONET-VPN Client
古河電工
INFONET-VP100
VPN対応アクセスルータ
標準価格498,000円
同時接続:100拠点
古河電工
MUCHO-EV
(拠点側)
登録拠点数:500拠点
MUCHO-EVとのダイアルアップVPN接続が可能
標準価格138,000円
同時接続:16拠点
接続拠点数
47
製品紹介
①VPN対応アクセスルータ MUCHO-EV
<特長>
●IPSec準拠のVPN対応アクセスルータ。
●専用線、フレームリレー、ISDN、
アナログ回線のように、さまざまな回線サービスで
VPNを利用することが可能です。
●業界初のダイヤルアップルータによる、
IPSec通信を実現しております。
●最大で16拠点とVPN通信が可能です。
●Webブラウザによる簡単設定・運用が可能です。
(日本語表示)
●x.509v3、3DESは対応予定。
48
②VPNボックス INFONET-VP100
<特長>
●センタ拠点に最適なIPSec準拠のVPN専用機
です。
●WANインタフェースを持たないため、回線種別
を問いません。
●弊社アクセスルータMUCHO-EVとの、
ダイヤルアップVPN通信が可能です。
●最大で100拠点のVPN同時通信が可能です。
(登録拠点は500まで)
●Webブラウザによる簡単設定・運用が可能です。
(日本語表示)
●x.509v3、3DES、冗長機能はサポート予定。
49
③ファイアウォール ③ファイアウォール FortKnox Fシリーズ
<特長>
●アプリケーションゲートウェイ方式を採用した
Box型ファイアウォール専用機です。
●オプションにより、IPSec準拠のVPNに対応
することが可能です。
●弊社アクセスルータMUCHO-EVとの、
ダイヤルアップVPN通信が可能です。(オプション)
●専用のクライアントソフト(オプション)により、
モバイルでのVPN通信が可能です。
●Webブラウザによる簡単設定・運用が可能です。
50
④VPNクライアントソフト INFONET-VPN Client(発売予定)
INFONET-VPN Client
<特長>
●windows95、98、NT、2000に対応したIPSec準拠の
VPNクライアントソフトです。
●このソフトウェアを利用することにより、MUCHO-EV、
INFONET-VP100とのVPN通信が可能です。
●操作性が良く、VPN通信とInternetアクセスを同時に
利用することが可能です。
●WindowGUIによる簡単設定・運用が可能です。
●X.509電子認証対応。
51
古河電工VPNソリューションの特長
<特長>
1.IPSecによるVPNネットワークを安価に構築することが可能です。
2.ダイヤルアップルータを利用したVPN通信が可能です。(業界初)
3.モバイルユース向けにクライアントソフトもご用意しております。
4.NATを利用したVPN通信が可能であるため、既存LANのアドレス
体系をそのまま利用することが可能です。
5.ファイアウォールを必要とする場合でも、一体型の対応製品をご用
意しております。
52
相互接続性について
日経コミュニケーション
1999.8.2号にて、相互接
続性の検証を実施。
↓
15製品中、第2位のポイント
を獲得。
対象製品:MUCHO-EV
53
接続確認製品
・VPNetテクノロジーズ「VSU1010」
・インターネット・デバイシーズ(IDI)「FortKnox」
・タイムステップ「PERMIT/Gate4520」
・米IRE「SafeNet/Soft-PK」
・シスコ・システムズ「CISCO1720」
・インテル「VPN Gateway Plus」
・ノーテル・ネットワークス「Contivity Extranet Switch」
・ラドガード「CIPm-VPN」
・レッドクリーク・コミュニケーションズ「Ravlin10」
・スターネット「STAR-Gateware」
・ウオッチガード・テクノロジーズ「FireBoxⅡ」
・アクセント・テクノロジーズ「RaptorFirewall」
・セキュア・コンピューティング「Sidewinder Security Server」
※ 上記結果は、専用線接続での実績になります。
54
(VPN専用装置)
(VPNファイアーウオール)
(VPN専用装置)
(VPNソフトウエア)
(VPNルータ)
(VPN専用装置)
(VPN専用装置)
(VPNN専用装置)
(VPN専用装置)
(VPN専用装置)
(VPNファイアーウオール)
(VPNファイアーウオールソフトウエア)
(VPNファイアーウオールソフトウエア)
ICSA認定取得
古河電工のVPNボックス『INFONET-VP100』が、日本初
のICSA(International Computer Security Association)認定を
取得。
ICSAのサイト
http://www.icsa.net/html/communities/ipsec/certification/certified_products/index.shtml
55
古河電工社内VPNシステム
各事業所、営業所
社内イントラネット
VP100をインターネット接続セグメント
に配置し、外部からVPNを利用した
低コストでセキュアなアクセスを提供。
社内サーバ 社内サーバ
ルータ
ファイアウォール
VP100
自宅、出張先(海外含む)から
会社のe-mail、サーバアクセスを提供
インターネッ
ト接続ルータ
コスト比較(例)
米国出張時ホテルから30分接続
従来: 5000円(国際電話代)
VPN: 300円
社外WEBサーバ
インターネット
ダイアルアップ
2000年4月運用開始
モバイル
部課長(出張先)
....
..
部課長(自宅)
VPNクライアント
VPNクライアント
56
小規模営業所
Fly UP