- - PR -
SSLとSSL-VPNについて
1
投稿者 | 投稿内容 | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-06-09 14:58
こんにちは。
SSL-VPNについて調べているのですが、実際行ったことはなく、 接続イメージがしにくく、どなたか私の素朴な疑問を解消して頂けないでしょうか? 構成はファイアウォールのDMZにSSL-VPN装置を置き、実際にアクセスするWWWサーバは、ファイアウォールの内部におきます。 @SSL通信を行うのですが、そのためにはSSLを実装?していないといけないのですよね?このSSL-VPNを利用すると、SSL-VPN装置がSSLを実装しており、リモートクライアントはこのSSL-VPN装置と通信をするので、内部のWWWサーバはSSLを実装する必要はないと思っていいのでしょうか? A今はSSL-VPNを利用することを考えていましたが、WWWサーバをDMZに公開しSSLを実装させるのと何が異なるのでしょうか? 私が思いつくのは、SSL-VPNを介した場合はユーザ認証をSSL-VPN装置で行えるが、WWWサーバを公開した場合は、WWWサーバ自体(アプリケーション)で行わないといけないという点だけです。 BSSL-VPNを実績としてお持ちの方は、アプライアンス製品として何を使用されていますでしょうか?シェアから行けばSecureAccessでしょうか? 単純で素朴な疑問ですがよろしくお願いします。 | ||||||||||||
|
投稿日時: 2006-06-09 16:08
こんにちわ.
SSL-VPN 装置と www server が通信できるのであれば, www server 側には ssl は必要ないでしょう.
SSL-VPN も最近はいろいろなものがあります. が,WWW server だけなのであれば,SSL-VPN 装置を導入するのは過剰だと思いますよ. SSL-VPN で smtp や pop3 や...といろいろやりたい場合はともかく, WWW server を公開して通信は暗号化,というだけなのですよね? むしろ SSL-VPN が間に入るほうが負担が大きいと思いますけど. | ||||||||||||
|
投稿日時: 2006-06-09 17:56
VPN っていうのは、仮想的なプライベートネットワークを実現してくれるわけで、そのために SSL で暗号化する訳ですから、この考えで良いと思います。
これは質問の内容が少々わかりにくいです。 SSL-VPN に接続した www サーバーを公開するのは、どこに対してですか? イントラな環境として仕様すると考えて良いのでしょうか?
持っていないので(^^; | ||||||||||||
|
投稿日時: 2006-06-12 17:33
kazさん、R・田中一郎さん、ご回答ありがとうございます。
お返事が遅くなってしまい、申し分けなく思っております。 お客様がSSL-VPNをやりたいんだけど提案してくれっといわれてから、いろいろ調べていました。しかし、本当にやりたいことを実現するだけなら、kazさんがおっしゃるとおり、WWWサーバにSSLを実装してしまえばいいのではないか、ということに気づいたのですが、じゃあ、SSL-VPNを導入するメリットってなんだろうと、思った次第です。 WWWサーバはインターネットで利用する予定であり、セキュリティを確保したいのです。 別にsmtpやpopを通したいわけではないので、SSL-VPN装置は必要ないと判断していいのでしょうか? そうなれば、SSLの証明書の年間費用だけで収まりそうですね。 SSL-VPNを利用するメリットは、なんなのでしょうか? たとえばSSLで暗号化して、トンネリングもしてと二重のセキュリティ確保になりますといえるのでしょうか? 初心者みたいな発言で申し訳ございませんが、よろしくお願いします。 | ||||||||||||
|
投稿日時: 2006-06-12 23:43
こんばんわ.
その判断で正しいと思います. SSL-VPN はあくまでも VPN です. 通信を暗号化するだけではないので, https という単独の通信の暗号化であれば, 複数の通信の暗号化を見込んだ VPN は不要であると判断できると思います.
VPN を導入する必要性は理解できますよね? トンネリングすること自体は「通信を解析」できれば, 通信内容を覗かれてしまいます. そうならないように暗号化するわけですが, それを「専用の VPN client を必要としない」のが SSL-VPN だと思います. 専用の VPN client を導入するより安価で,利用できる範囲も広がるでしょう. 専用の VPN client を使う場合と比較すると 利用できる application は少なくなるかもしれませんが, そういった割り切り方ができれば SSL-VPN に優位性があると考えられます. というわけで,https と SSL-VPN はそもそも目的が大きく異なります. | ||||||||||||
|
投稿日時: 2006-06-13 07:47
認証云々がとても大きな違いです。 SSL-VPN機器は、他の認証製品も含めて、高度な認証機能を備えてます。 暗号化に使ってる技術はHTTPSそのものですが、それと高度な認証機能を 使ってRASやHTTPリバースプロクシなどの用途で使えるように 作りこまれたものがSSL-VPN機器です。 SSL-VPN機器がどんな機能を備えてるのか、その機能が必要か不要か調べてみてください。 必要だったら、それをWWWサーバで構築した際の品質と手間と見比べてみるとよいと思います。 理屈上は、SSL-VPN機器と同様の機能はWWWサーバで作りこめますから。手間と技術難易度はともかく。
シェアならJuniperのSecureAccess、F5のFirePassの2択でしょう。 どちらもそれなりに歴史が長く、製品としてはしっかりしてます。 どっちも本格運用はしたことないですが・・・
何から何を保護する、という意味で「セキュリティ」って言葉を使ってますか? セキュリティってキーワードは便利なんですが、 ユーザならともかく、SEがその内容に関して落とし込みを行わずに 安直にセキュリティセキュリティ言うのはどうかと思います。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) |
1