Comments
Description
Transcript
IP-VPNの技術動向 - 古河電気工業株式会社
IP-VPNの技術動向 2000年7月18日 古河電気工業株式会社 ネットワーク事業部 1 VPNとは? VPNとは共有ネットワーク上にプライベートネットワークを 構築すること、またはそのための技術 仮想的な専用線のように利用できることから、 Virtual(仮想的)なPrivate Network(専用線)と呼ぶ 最近ではインターネットを専用線のように利用する技術として 注目されている 2 通信相手との間に仮想的なトンネルをつくることにより(トンネリン グ)、本来ならインターネットを経由できないプライベートアドレスの 通信、TCP/IP以外の通信が可能になる VirtualなPrivate Networkを実現 社内LAN 社内LAN ファイアウォール ファイアウォール Internet VPN装置 VPN装置 VPN装置 VPN装置 インターネット上にトンネルができ、その中をデータが通過していく 3 各種回線サービスの特徴 <WANを構築するうえで、ポイントになる回線選択基準> 1.常時接続されており、確実に通信が行えるか? 2.通信速度(帯域)が保証されているか? 3.セキュリティは問題ないか? 4.通信コストが安価か? 回線種類 固定/従量 初期コスト 通信コスト 接続保証 帯域保証 高速接続 セキュリティ 専用線 固定 △ × ○ ○ ○ ○ フレームリレー 固定※注1 △ △ △ △ ○ ○ ISDN 従量※注2 ○ △ × ○ × △ VPN 固定※注3 × ○ × × △ △ コストを除き、専用線が一番最適 4 ※注1 従量制のサービスもある ※注2 深夜、早朝では固定制サービスもある ※注3 ダイヤルアップVPNの場合は、従量制 VPNが注目を集めている理由 しかし、コスト しかし、コストがもっとも重要な課題になっているのも事実 コストがもっとも重要な課題になっているのも事実 VPNはコストの削減で注目されている 5 IP-VPN インターネットなどのIPネットワーク上に、仮想的な自営網を 構築する技術、およびネットワーク。 6 IP-VPNの構築 IP-VPNを構築する際の選択肢 ●キャリア、ISPが提供するVPNサービスを利用する ・・・・・MPLS、L2TP ●Internetを利用して、ユーザ主導でVPNを構築する ・・・・・IPSec 7 IP-VPNの利用技術 現在の代表的なVPN利用技術は、 ●MPLS(MultiProtocol Label Switching) ・・・IETFが標準化を進めているLayer3Switch手法 ●L2TP(Layer 2 Tunneling Protocol) ・・・RFC標準のLayer2トンネリング・プロトコル ●IPSec(IP Security Protocol) ・・・RFC標準のLayer3(IP)トンネリング・プロトコル 8 IP-VPNの利用目的 それぞれの利用目的は、 ●MPLS ・・・専用線的な用途で利用 ●L2TP ・・・リモートアクセス環境を実現する用途で利用 ●IPSec ・・・専用線、およびリモートアクセス環境の両方で利用 9 MPLSを利用したVPNネットワーク MPLS対応ルータ MPLS 10 MPLSサービスの特徴 <長所> ●End To Endでの帯域保証 ●全国一律の定額料金 <短所> ●網内に閉じたサービス ●リモートアクセス環境での利用ができない 11 L2TPを利用したVPNネットワーク L2TP対応RAS L2TP対応ルータ ISP LAC LNS VPN 12 L2TPサービスの特徴 <長所> ●マルチプロトコルの通信に対応 ●End To EndでのPPP認証が可能 <短所> ●網内に閉じたサービス ●帯域保証が無い 13 IPSecを利用したVPNネットワーク Internet ISP② VPN装置 VPN装置 ISP① VPN 14 ISP③ IPSecの特徴 <長所> ●複数のISPを介したネットワーク構築が可能 ●LAN To LAN、リモートアクセス等さまざまな用途で 利用可能 <短所> ●帯域保証が無い 15 ユーザ主導で構築でき、さまざまな形態で利用可能である IPSecが注目を集めている。 16 IPSec 17 IPSecとは? TCP/IP通信における、セキュリティ確保のための技術総称 IPネットワークでのVPNで、暗号化を行うことができる IETF(Internet Engineering Task)のIPSecワーキング グループが策定 RFC2401~2412と10以上の標準に基づく 18 IPSecの歴史 IPSecの開発は1990年代前半から始まり、RFC1825~ 1829で一応の標準化が提案されたが、実際には普及しな かった 米国自動車業界の業界エクストラネットである ANX(Automotive Network Exchange)を構築する際、 暗号化が必須であった この計画に後押しされ、IPSecの標準化が急ピッチで進め られた 19 IPSecのセキュリティ ●盗聴 データの中身を盗み見られること ●改竄(かいざん) データの中身を書き換えること ●なりすまし 第三者が他人の名を語り,その人になりすまして情報を送 ること IPSecの認証・暗号機能でセキュリティ確保 20 IPSecの通信 a IPSec装置間でセキュリティを確保 - 暗号化 - 認証 - 鍵管理 VPN装置 VPN装置 .... .. Internet 鍵 鍵交換 復号化 a宛て .... .. 鍵 暗号化 a宛て A宛て 21 b IPSecの仕組み ①セキュリティプロトコル ・・・IPSecの基本プロトコル AH、ESP ②認証アルゴリズム ・・・パケット認証のアルゴリズム MD5、SHA-1 ③暗号化アルゴリズム ・・・暗号化のアルゴリズム DES、3DES ④鍵管理 ・・・IKE 22 AH(Authentication Header) ●AHは認証サービスを行う • 旧版のIPSecではESPでの認証は規定されていなかったた め暗号と認証を行う場合はデータに対してAH、ESP両方を 適用する必要があった。 • RFC2406ではESPだけで暗号、認証をサポート • ESPで認証を行えば、AHのヘッダオーバヘッドが不要にな る。 23 ESP(Encapsulating Security Payload) ●ESPは以下のサービスを行う – – – – • データの完全性 送信元の認証 リプレイ攻撃保護 機密性 トンネルモードでESPの認証機能を利用することで、AHの 認証と同等の機能を提供する。 24 AHヘッダとESPヘッダの比較 これらの基本プロトコルのもとに、セキュリティを確保する AHヘッダ ESPヘッダ 認証機能 ○ ○ 暗号化機能 × ○ リプレイ攻撃保護 (なりすまし防止) ○ ○ 認証アルゴリズム (最低限必要なもの) MD5またはSHA-1 MD5またはSHA-1 暗号化アルゴリズム (最低限必要なもの) × DES-CBC 25 認証アルゴリズム • HMAC(Hash Message Authentication Codes) with MD5 – 128ビットの固定長鍵をサポート – 128bitsの認証用データを生成 • HMAC with SHA1 – MD5より強固であるが、処理が重い – 160ビットの固定長鍵をサポート – 160bitsの認証用データを生成 26 暗号化アルゴリズム① • DES-CBC with Explicit IV Initialization Vector(8バイト) 平文 DES 暗号化 暗号文 ESPペイロードの先頭 8バイトにInitialization Vectorを 挿入して送るため、パケット喪失 があっても復号が可能である。 鍵(56ビット) DES(Data Encryption Standard) 米国商務省標準局が1973年に公募し、IBM案を採用。 米国内で広く採用され、 IPSecの暗号方式の標準として採用されている。 27 暗号化アルゴリズム② • 3DES-CBC with Explicit IV Initialization Vector(8バイト) 平文 DES 暗号化 DES 暗号化 鍵A(56ビット) 鍵B(56ビット) DES 暗号化 暗号文 鍵C(56ビット) 3DES(Triple DES) DESの暗号処理を3回続けて行う。 通常、DESを破るには鍵が見つかるまで、全ての 鍵を試す方法が必要であるが、3DESでは鍵の長さが168ビットとなることから、 56bitの鍵 よりも2の112乗倍の鍵の数になるため、より破るのが難しくなる。 28 IKE(ISAKMP/Oakley) ●IPSecの鍵交換のためのプロトコル ・・・暗号・認証のパラメータを自動生成して、相互の交換する ためのプロトコル ①Pre-Shared Key(既知共有秘密鍵) ②Digital Signature(ディジタル署名/ディジタル証明書) ③Public Key Encryption(公開鍵暗号) 29 IPSecの運用例 ●IPSecネットワークのキーとなる利用技術 Case1.IPSecの利用形態 Case2.VPNのNAT利用 Case3.FireWallとの構成について 30 IPSecの利用形態 31 IPSecの利用形態① ●常時回線のLAN間VPN A B VPN装置 VPN装置 専用線 Internet VPN ●通常のIPSec通信 ●IPアドレスが固定でアサインされている形態 ●A、BのどちらからでもIPSec通信を始めることが可能 32 専用線 IPSecの利用形態② ●常時回線LAN ー リモートクライアント間のVPN A B VPNクライアント VPN装置 ダイヤルアップ Internet 専用線 VPN ●モバイルPC等に専用のVPNソフトウェアをインストール ●IPアドレスがダイナミックにアサインされる形態でも通信可能 ●IPSec通信の契機は、A側(ダイヤルアップ)からのみ。 33 IPSecの利用形態③ ●常時回線LAN - ダイヤルアップ回線LANのVPN A B VPNクライアント VPN装置 ダイヤルアップ Internet 専用線 VPN ●ダイヤルアップルータを利用してもIPSec通信が可能 ●IPアドレスがダイナミックにアサインされる形態でも通信可能 ●IPSec通信の契機は、A側(ダイヤルアップ)からのみ。 34 VPNのNAT利用 35 通常のIPSec通信 本社LAN アドレス:172.16.0.0/16 VPNボックス ・全てのプライベートLANにおいて、アドレスが重複しないように 設計する。 ルータ ・VPNの通信に関しては、NAT変換せずそのままのプライベート アドレスで通信する。 専用機接続 Internet ダイヤルアップ VPNルータ VPNルータ <営業所LAN> ダイヤルアップ <関連会社LAN> アドレス:192.168.1.0/24 アドレス:192.168.2.0/24 36 NATの必要性 本社LAN アドレス:172.16.0.0/16 ? 192.168.1.0/24って誰? VPNボックス ・営業所LANと関連会社LANが同じアドレス構成 (関連会社であるため、アドレスの変更をお願いできない) ルータ ・本社からみると、営業所LANと関連会社LANの区別が つかない。 専用機接続 Internet ダイヤルアップ ダイヤルアップ <営業所LAN> <関連会社LAN> アドレス:192.168.1.0/24 アドレス:192.168.1.0/24 37 VPN通信におけるNAT利用 本社LAN アドレス:172.16.0.0/16 VPNボックス ルータ ・ISPから付与されるIPアドレスを利用して、VPN通信を行う。 ・これにより、営業所LANと関連会社LANの区別をすることが可能。 専用機接続 ISPから付与されるIPアドレス Internet ISPから付与されるIPアドレスに、NAT+変換して 通信を行う。 ダイヤルアップ A B <営業所LAN> ダイヤルアップ <関連会社LAN> アドレス:192.168.1.0/24 アドレス:192.168.1.0/24 38 VPN通信におけるPeerNAT利用 本社LAN アドレス:172.16.0.0/16 ・ISPから付与されるIPアドレスではなく、拠点毎に変換する ファイアウォール アドレスを指定できる。 VPNボックス ・これにより、営業所LANと関連会社LANの区別をすることが 可能。 ルータ ・また、本社側からのアドレス管理が容易にできるようになり、 専用機接続 F/W利用時には効果を発揮する。 Internet あらかじめ、変換するIPアドレスを指定しておく。 ダイヤルアップ A B <営業所LAN> ダイヤルアップ <関連会社LAN> アドレス:192.168.1.0/24 アドレス:192.168.1.0/24 39 FireWallとの構成について 40 FireWallとの並列構成 社内LAN VPNボックス ダイヤルアップ Internet ファイアウォール ルータ MUCHO-EV ・VPN装置とFireWallを並列で構成するパターン。 ・VPN装置はVPN通信以外は通さない設定。 ・・・・ ・NATはFireWallにて行う。 41 既存構成 内部公開サーバ 社内LAN デフォルトゲートウェイ 外部公開サーバ ファイアウォール ルータ ①社内LANからInternetへ ②外部から公開サーバへ 42 VPNボックスの導入 内部公開サーバ 社内LAN 外部公開サーバ VPNボックス ファイアウォール ルータ ①VPN通信 ②社内LANからInternetへ ③外部から公開サーバへ 43 PeerNAT機能の併用 アドレス:192.168.1.0/24 内部公開サーバ デフォルトゲートウェイ 社内LAN ProxyARP:ON 外部公開サーバ VPNボックス ファイアウォール 設定が必要なのはVPNボックスのみ ルータ ①VPN通信 ●拠点側で、社内LANと同一ネットワーク(192.168.1.0/24)のPeerNATを利用する。 ●VPNボックスでは、ProxyARP機能をONにする。 ●既存FireWallやPCのゲートウェイ設定を変更する必要はありません。 44 FireWallとの直列構成 社内LAN ファイアウォール VPNボックス ダイヤルアップ Internet ルータ MUCHO-EV ・VPN装置とFireWallを直列で構成するパターン。 ・VPN装置はVPN対象、非対称のパケットの両方を ・・・・ 通す設定。 ・NATはFireWallにて行う。 45 製品ラインアップ 46 古河電工VPN対応製品ラインアップ (センター側) ファイアーウオール+VPNオプションソフトウェア ALCATEL FortKnox FortKnox F-3000 ファイアーウオール+VPNオプションソフトウェア 標準価格1,040,000円~ 同時接続:100拠点 ALCATEL FortKnox FortKnox F-5000 MUCHO-EVとのダイヤルアップVPN接続が可能 (接続拠点数に応じて、ライセンスフィーが必要) 標準価格1,860,000円~ 同時接続:300拠点 価格 MUCHO-EVとのダイヤルアップVPN接続が可能 (接続拠点数に応じて、ライセンスフィーが必要) VPNクライアントソフト(発売予定) VPNボックス 古河電工 INFONET-VPN Client 古河電工 INFONET-VP100 VPN対応アクセスルータ 標準価格498,000円 同時接続:100拠点 古河電工 MUCHO-EV (拠点側) 登録拠点数:500拠点 MUCHO-EVとのダイアルアップVPN接続が可能 標準価格138,000円 同時接続:16拠点 接続拠点数 47 製品紹介 ①VPN対応アクセスルータ MUCHO-EV <特長> ●IPSec準拠のVPN対応アクセスルータ。 ●専用線、フレームリレー、ISDN、 アナログ回線のように、さまざまな回線サービスで VPNを利用することが可能です。 ●業界初のダイヤルアップルータによる、 IPSec通信を実現しております。 ●最大で16拠点とVPN通信が可能です。 ●Webブラウザによる簡単設定・運用が可能です。 (日本語表示) ●x.509v3、3DESは対応予定。 48 ②VPNボックス INFONET-VP100 <特長> ●センタ拠点に最適なIPSec準拠のVPN専用機 です。 ●WANインタフェースを持たないため、回線種別 を問いません。 ●弊社アクセスルータMUCHO-EVとの、 ダイヤルアップVPN通信が可能です。 ●最大で100拠点のVPN同時通信が可能です。 (登録拠点は500まで) ●Webブラウザによる簡単設定・運用が可能です。 (日本語表示) ●x.509v3、3DES、冗長機能はサポート予定。 49 ③ファイアウォール ③ファイアウォール FortKnox Fシリーズ <特長> ●アプリケーションゲートウェイ方式を採用した Box型ファイアウォール専用機です。 ●オプションにより、IPSec準拠のVPNに対応 することが可能です。 ●弊社アクセスルータMUCHO-EVとの、 ダイヤルアップVPN通信が可能です。(オプション) ●専用のクライアントソフト(オプション)により、 モバイルでのVPN通信が可能です。 ●Webブラウザによる簡単設定・運用が可能です。 50 ④VPNクライアントソフト INFONET-VPN Client(発売予定) INFONET-VPN Client <特長> ●windows95、98、NT、2000に対応したIPSec準拠の VPNクライアントソフトです。 ●このソフトウェアを利用することにより、MUCHO-EV、 INFONET-VP100とのVPN通信が可能です。 ●操作性が良く、VPN通信とInternetアクセスを同時に 利用することが可能です。 ●WindowGUIによる簡単設定・運用が可能です。 ●X.509電子認証対応。 51 古河電工VPNソリューションの特長 <特長> 1.IPSecによるVPNネットワークを安価に構築することが可能です。 2.ダイヤルアップルータを利用したVPN通信が可能です。(業界初) 3.モバイルユース向けにクライアントソフトもご用意しております。 4.NATを利用したVPN通信が可能であるため、既存LANのアドレス 体系をそのまま利用することが可能です。 5.ファイアウォールを必要とする場合でも、一体型の対応製品をご用 意しております。 52 相互接続性について 日経コミュニケーション 1999.8.2号にて、相互接 続性の検証を実施。 ↓ 15製品中、第2位のポイント を獲得。 対象製品:MUCHO-EV 53 接続確認製品 ・VPNetテクノロジーズ「VSU1010」 ・インターネット・デバイシーズ(IDI)「FortKnox」 ・タイムステップ「PERMIT/Gate4520」 ・米IRE「SafeNet/Soft-PK」 ・シスコ・システムズ「CISCO1720」 ・インテル「VPN Gateway Plus」 ・ノーテル・ネットワークス「Contivity Extranet Switch」 ・ラドガード「CIPm-VPN」 ・レッドクリーク・コミュニケーションズ「Ravlin10」 ・スターネット「STAR-Gateware」 ・ウオッチガード・テクノロジーズ「FireBoxⅡ」 ・アクセント・テクノロジーズ「RaptorFirewall」 ・セキュア・コンピューティング「Sidewinder Security Server」 ※ 上記結果は、専用線接続での実績になります。 54 (VPN専用装置) (VPNファイアーウオール) (VPN専用装置) (VPNソフトウエア) (VPNルータ) (VPN専用装置) (VPN専用装置) (VPNN専用装置) (VPN専用装置) (VPN専用装置) (VPNファイアーウオール) (VPNファイアーウオールソフトウエア) (VPNファイアーウオールソフトウエア) ICSA認定取得 古河電工のVPNボックス『INFONET-VP100』が、日本初 のICSA(International Computer Security Association)認定を 取得。 ICSAのサイト http://www.icsa.net/html/communities/ipsec/certification/certified_products/index.shtml 55 古河電工社内VPNシステム 各事業所、営業所 社内イントラネット VP100をインターネット接続セグメント に配置し、外部からVPNを利用した 低コストでセキュアなアクセスを提供。 社内サーバ 社内サーバ ルータ ファイアウォール VP100 自宅、出張先(海外含む)から 会社のe-mail、サーバアクセスを提供 インターネッ ト接続ルータ コスト比較(例) 米国出張時ホテルから30分接続 従来: 5000円(国際電話代) VPN: 300円 社外WEBサーバ インターネット ダイアルアップ 2000年4月運用開始 モバイル 部課長(出張先) .... .. 部課長(自宅) VPNクライアント VPNクライアント 56 小規模営業所