|
 |
マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」
70-293:Planning and Maintaining a Microsoft Windows Server 2003
Network Infrastructure 編
5-2.VPN(Virtual Private Network)
宮本 寿夫/澤村 孝太郎
2004/3/3 |
|
VPN(Virtual Private Network:仮想プライベートネットワーク)は、インターネットなどの公衆回線網を使用して、プライベートなネットワーク同士が安全に通信できる環境を構築するための技術の総称です。
VPNサーバは、自ネットワークのクライアントから送信された相手ネットワークあてへのパケットをトンネリングプロトコルによってカプセル化し、相手ネットワークのVPNサーバに配信します。受信した相手ネットワークのVPNサーバはカプセル化されたパケットを元の形式に戻し、適切なあて先に配送します。
また、VPNサーバはインターネットを通過するこれらのパケットのセキュリティを確保するため、パケットを暗号化します。その場合、受信側のVPNサーバはパケットの復号化を行います。
Windows Server 2003はトンネリングプロトコルとしてPPTP(Point To Point Protocol)とL2TP(Layer
2 Tunneling Protocol)をサポートしています。また、セキュリティプロトコルとしてはMPPEとIPSecを使用します(表5-5)。
Windows Server 2003のVPNではPPTPとMPPE、L2TPとIPSecがペアとなって使用されます。
プロトコル
|
説明
|
PPTP/MPPE |
PPTPはPPP(Point To Point Protocol)を拡張したプロトコルで、Microsoftほか数社によって提唱されました。
MS-CHAP、MS-CHAP V2、またはEAP-TLSの認証処理によって生成される暗号化キーを使って、MPPEによるデータの暗号化が行われるため、VPN接続の際の認証には上記の3通りの方法を使用する必要があります。
|
L2TP/IPSec |
L2TPはRFC(Request For Comments)によって標準化されているトンネリングプロトコルです。Windows
Server 2003ではIPSecとL2TPを組み合わせることで安全なVPNアクセスを提供します。PPTPではデータの機密性しか保証されませんが、L2TP/IPSecではパケットの機密性に加え整合性も保証されるなど、PPTP/MPPEより強固なセキュリティを実現できます。
VPN接続の際の認証には、証明書を使用する方法と事前共有キーを使用する方法があります。 |
|
表5-5 プロトコル |
VPNサーバの構成は、管理ツールの「ルーティングとリモートアクセス」で行います。また、使用する認証や暗号化の設定はリモートアクセスポリシーによって設定します。
暗号化の設定では、MPPEもしくはIPSec(DES、3DES)による暗号化の強度を設定できます(図5-15)。
 |
図5-15 暗号化の設定(拡大) |
サーバの構成が完了したら、相手のサーバに接続するためのデマンドダイヤルインターフェイスなどを作成します。接続の作成時にPPTPとL2TPのどちらを使用するかなどを決定できます(図5-16)。
 |
図5-16 VPNの種類の設定(拡大) |
■POINT■
Windows 2000の標準では、NATを使用した環境でL2TP/IPSecを使用してVPNを構築することはできませんでした。これは通信の過程でNATによってパケットのヘッダが変更されてしまうと、そのパケットを受信したVPNサーバはパケットの内容が改ざんされたとみなしてそのパケットを破棄してしまうためです。したがって、このような環境ではVPNサーバにパブリックIPアドレスを割り当てるか、PPTPを使用する必要があったのです。
Windows Server 2003ではこの点が改良され、NAT環境でもL2TP/IPSecが使用できるようになりました。これは、VPNサーバが、L2TPによってカプセル化されたパケット全体をさらにUDPでカプセル化することにより、カプセル化された内部がNATによって変更されないようにしているためです。
ちなみに、現在ではWindows 2000でもマイクロソフトのWebサイトから修正プログラムをダウンロードしてインストールすることで、NAT環境におけるL2TP/IPSecの使用が可能になっています。
■KEYWORD■
NAT Traversal
L2TP/IPSecを使用するVPNサーバ間でNATが使用されているかどうかを検証するための機能で、Windows Server 2003が標準でサポートしています。NATが使用されていることが分かった場合、VPNサーバはL2TP/IPSecをUDPでカプセル化します。
マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」
|
 |
Security&Trust フォーラム 新着記事
Security & Trust 記事ランキング
本日
月間