章 6章. VPN (Virtual Private Network)

いくつかのサテライトオフィスを持つ企業では、通信中におけるデータの機密保護と効率化のため 専用回線を使用して相互に接続することがよくあります。 例えば、多くのビジネスはフレームリレーか非同期転送モード (ATM-Asynchronous Transfer Mode) ラインを エンド・エンドネットワーキングソリューションとして利用して他のオフィスとリンクしています。 これは、特に、企業レベルの専用デジタル通信関連にかかる費用を抑えながら拡張したい中小規模の ビジネス(SMB)にとっては高くつくことになります。

このニーズに対応する為、VPN(Virtual Private Network)が開発されました。専用回線と同じ機能原理で、VPN に より安全な2グループ間(またはネットワーク間)でのデジタル通信を可能にし、既存の LAN(Local Area Networks)から WAN (Wide Area Network)を 創造します。フレームリレーや ATM との違いはそのトランスポート媒介です。 VPN は トランスポート層としてデータグラムを使用して IP を送出し、インターネットを通して目的地までの安全なパイプを提供します。ほとんどのフリーソフトウェア VPN 実装は、トランジットにおける更なるマスクデータに対するオープンスタンダードの 暗号化を取り入れています。

セキュリティ強化のためにハードウェア VPN ソリューションを採用する企業も あれば、ソフトウェアやプロトコルベースの実装を用いる企業もあります。Cisco、Nortel、IBM、Checkpoint などハードウェア VPN ソリューションを提供するベンダーがいくつかあります。Linux 用には、標準化IPSec (いわゆるInternet Protocol Security)実装を利用する FreeS/Wan というフリー ソフトウェアベースの VPN ソリューションがあります。こうした VPN ソリューション は、ソフトウェア又はハードウェアベースには関係なく、特殊なルータとして動作し、 あるオフィスから別のオフィスへの IP 接続の間に位置します。

1つのクライアントから1パケットが発信されると、ルーティング及び認証のための認証ヘッダ(AH=Authentication Header)と呼ばれるヘッダ情報を追加するルータまたはゲートウェイを通して送信されます。データは暗号化され、ESP(Encapsulating Security Payload)と呼ばれる処理指示と復号化が添付されます。受信 VPN ルータはヘッダ情報を取り除いて、データを復号化し、目的地(ワーク ステーションまたは ネットワーク上のノード)へルーティングします。ネットワーク間接続を利用して、ロー カルネットワークの受信ノードは、復号化されたパケットを受け取り処理のための準備を 完了します。ネットワーク間の VPN 接続での暗号化/復号化のプロセスはローカルノード に対して透過的です。

このように強化されたセキュリティレベルであっても、クラッカーによってパケットが遮断されるだけでなく、そのパケットの解読もされてしまう恐れがあります。また、 サーバーとクライアント間の man-in-the-middle 攻撃を使う侵入者は、認証セッション 用の鍵に対するアクセス権を持つことになる恐れもあります。彼らは認証と暗号解読の 為に幾つかのレイヤーを使用するため、VPN が一体化されたイントラネットとして動作 する複数のリモートノードに接続する為の安全で効率の良い手段になります。

6.1. VPN と Red Hat Enterprise Linux

Red Hat Enterprise Linux ユーザーは、自己の WAN への接続を安全にするソフトウェアの実装に 使える各種オプションを持ちます。IPsec、いわゆる Internet Protocol Securityは、Red Hat Enterprise Linux 用の VPN 実装に対応しており、 これは、支店オフィスや遠隔地ユーザーを持つ、組織の使用ニーズに十分に応じる ことができます。