- - PR -
VPNについて
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2002-09-25 10:31
■ゴルゴ13さん
接続までできているのであれば、外側と内側で通信をパケットキャプチャしてみましょう。 フリーツールもたくさんありますので。 >VPNのためにファイアーウォールの設定を変えたりして >それがセキュリティフォールになるんじゃないかって・・・。 これなんですが、実際どのパターンが良いんでしょうね? @Router-RouterのVPN(RouterからFireWallまでは平文通信) AVPN専用装置-VPN専用装置のVPN(VPN専用装置からFireWallまでは平文通信) BFireWall(Router)-FireWallのVPN(FireWallの内側が平文通信) CVPN専用装置-VPN専用装置-Host(通信を受けるホスト以外は暗文通信) コストと外部からの盗聴などのセキュリティを考えて一番バランスいいのは Bなのかな?と、個人的には思っています。 ■egisさん >IPSecなどを使用してインターネットVPNを利用した場合、 >暗号が破られるなどの安全性(危険性)はどの程度のもの >なのでしょうか。 IPSecはインターネットで暗号化通信を行う規格ですが、 暗号化方法はいくつかの種類があります。 最も弱い暗号化方法としてはDES(最低限実装しなければならない) 一番多い物としては3DES、最近だとAES(DESの後継)をサポートしている製品もあります。 ここで、DESについてですが、DESクラックコンテスト等で クラック専用マシンやグッリッドコンピュータにより、 1日以内にクラック成功という話も聞きますが、 ”コンテストで行われているものと実際の通信傍受による暗号クラックは別物” とVPNのベンダさんには言われました。 話を戻しますが、IPSecの場合暗号方式やパケットの暗号化の仕方(全てorデータ領域だけ) でいくつかパターンがあるので一概にはどのくらいの強さであるとは言えないと思いますが、 定量的なデータ持ってる方がいらしたら、ぜひ教えてください。 #説明が楽になるし・・・ | ||||
|
投稿日時: 2002-10-02 11:51
igusuriと申します。
私も便乗質問させて下さい。 VPNを使用して社内LANにアクセスできるということは 社内で使っているクライアントサーバー型のアプリケーション も利用できるのでしょうか? それとも単なるファイルopenやファイルの移動程度しかできない のでしょうか? | ||||
|
投稿日時: 2002-10-02 12:58
そうです。社内ネットワークに入っている状態になるので、特別なアクセス制限
などをしてなければ使えますよー。 | ||||
|
投稿日時: 2002-10-02 13:19
横山です。
VPNを使っていて一番怖いのは、 家庭内LANから社内LANへの侵入です。 実際にあった例としては、家庭内でダイヤルアップ 中に感染したCode Redが、VPN接続後、 社内Webサーバーにも感染したというものです。 推奨される構成は、VPN用のセグメントを作って、 社内LANとの間にファイアウォールを置くことです。 ここで、プロトコルの限定やアクセス可能な サーバーを限定します。 もちろん、手間はかかるので、あとはリスクを どの程度のコストとして評価するかということに なるでしょう。 _________________ Global Knowledge Network | ||||
|
投稿日時: 2002-10-02 14:38
igusuriです。 ありがとうございます。 そうですか、使えるんですね。 今、ある販売系の企業のwebサービスというか外回りの営業マンの販売 管理や業務日報アプリのモバイルを使ったASPの構築を検討している のですが、VPNを使って通常のクライアントサーバー型で使えるなら わざわざWEBアプリケーションを造らずにデスクトップアプリケーション でも良いと言うことになりそうですが、あまりVPNでデスクトップアプリ ケーションを実務で稼動させているといった話を聞かないものですから 何か問題があるのでしょうか? 因みにこのスレッドの最初の方で問題になっております情報漏洩のリスク は承知の上でということですが、、、 トランザクションが発生するのはWEBでも同じことだと思いますし、 回線速度もVPNの場合は最初の認証とパケットの暗号化の分がオーバー ヘッドにはなると思いますが、そんなにネックになるとは思いませんが? どなたか実務でVPNを使った社外からのデスクトップアプリケーション の使用に関しての情報がありましたらお願いします。 | ||||
|
投稿日時: 2002-10-09 15:50
こんにちは。
外回りの営業マンなどがVPNを使う場合、 それに対応しているVPN装置かどうか注意する必要が あります。 VPN装置は、LANとLANをつなげるだけのタイプと LANとLANをつなげるのはもちろんのことLANへクライアントアクセスソフトを 用いてモバイル風につなげて使うタイプの2通りがあります。 このクライアントアクセスソフトを用いるタイプのVPN装置を利用することで イントラサーバ(Web,Notesサーバ,その他サーバ)にアクセスすることができます。 当然、VPN装置にユーザパスワードを設定することになります。 この機能を実現できるVPN装置で小生で確認とれたのが ノーテルネットワークス社のContivityという装置です。 Contivity100は、このクライアントアクセス機能を持っていませんが、 それ以降のContivity600からはその機能を持っています。 専用のクライアントアクセスソフト(Windows版)によりIPsecで接続したり、 Windows付属のPPTP接続にも対応しています。 Contivity100は、クライアントアクセス機能を持ち合わせていない分、 ADSLなどのPPPoEにも対応しています。 >どなたか実務でVPNを使った社外からのデスクトップアプリケーション >の使用に関しての情報がありましたらお願いします。 についてですが、やはりIPsec化されるぶん遅くなります。 VPN装置のスペックにもよりますが、WAN回線にADSLを利用すれば 案外早いですよ(クライアントが何百台というと話は別ですが・・・)。 小生は決してノーテル関係の人間ではありません。これしか使ったことないだけです。 | ||||
|
投稿日時: 2002-10-15 16:10
igusuriです。
しばらくの間、レスが付かなかったのでチェックしてませんで お返事が遅れまして済みません。 tawashiさん、ありがとうございます。 >Contivity100は、このクライアントアクセス機能を持っていませんが、 >それ以降のContivity600からはその機能を持っています。 上記製品確認いたしました。価格的にこちらの想定範囲をでてしまって ますが機能としては申し分ないと思いました。 >VPN装置のスペックにもよりますが、WAN回線にADSLを利用すれば >案外早いですよ(クライアントが何百台というと話は別ですが・・・)。 日経ネットワークの5月号の記事でハードウェアを使わなくてもWin2kServer とWinXP ProのモバイルでソフトウェアVPN(PPTP)を行う記事がありました ので一度実験してみたいと思います。 RASを立てる受信側に固定IPを設定しなければなりませんね。まだ社内のServer に固定グローバルIPが無いのでもう少し時間がかかりそうです。 ISA Server を導入するとさらにセキュアな環境が作れるようですね。 価格もスタンダードでは27万前後とハードよりも安くなりますが、 フォールトトレランスを考慮するとシステム全体のスペックコストが 高くなるかもしれませんから結局は同じことかも知れませんが、、、 ISA Server のエンタープライズ版は110万ということで、Webシステム 構築は中小企業が自前で持つことが更にハードルの高いものになりそう です。 と言うことは、中小企業のシステム構築を生業としているウチのような 弱小ベンダーの市場はますます小さくなって大口クライアントを大手 ベンダーが押さえるというのがこれからのIT市場の方向のような気が します。 強いところは更に強く、弱いところは更に、、、 本題からそれてしまいました。 ごめんなさい。 | ||||
|
投稿日時: 2002-10-17 00:08
Windows2000"Terminal Service"の通信は暗号化されるようですが、PPTP、L2TP、IPsecといったVPNを別途構築した方が宜しいのでしょうか?
Terminal Serviceの暗号化とPPTPなどでは暗号化の方法などが違うのだと思いますが、強度の違いという認識で宜しいのでしょうか? 初歩的な質問で恐縮ですが、ご存知の方ご伝授下さい。 |