1
11
1
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved株式会社ディアイティ
株式会社ディアイティ
株式会社ディアイティ
株式会社ディアイティ
技術部
技術部
技術部
技術部
山田 英史
山田 英史
山田 英史
山田 英史
2001/
2001/
2001/
2001/12/6
12/6
12/6
12/6
IPsec
IPsec
IPsec
IPsec
IPsec
IPsec
IPsec
IPsec
に
に
に
に
に
に
に
に
よる
よる
よる
よる
よる
よる
よる
よる
VPN
VPN
VPN
VPN
VPN
VPN
VPN
VPN
の設計ポイント
の設計ポイント
の設計ポイント
の設計ポイント
の設計ポイント
の設計ポイント
の設計ポイント
の設計ポイント
2
22
2
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedIPsec
IPsec
IPsec
IPsecによる
による
による
によるVPN
VPN
VPNの設計ポイント
VPN
の設計ポイント
の設計ポイント
の設計ポイント
1.
1.
1.
1. 導入前
導入前
導入前
導入前
3
33
3
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved製品の
製品の
製品の
製品の
“機能
機能
機能
機能
”と
と
と
と
“性能
性能
性能
性能
”を見極める
を見極める
を見極める
を見極める
• 機能面と性能面を評価し、ニーズに合った製品を選
機能面と性能面を評価し、ニーズに合った製品を選
機能面と性能面を評価し、ニーズに合った製品を選
機能面と性能面を評価し、ニーズに合った製品を選
択。
択。
択。
択。
– 機能面
機能面
機能面
機能面
• IPsec
IPsec
IPsec
IPsecの実装レベル
の実装レベル
の実装レベル
の実装レベル
• 拡張機能
拡張機能
拡張機能
拡張機能
– 性能面
性能面
性能面
性能面
• スループット
スループット
スループット
スループット
• SA
SA
SA
SA数
数
数
数
4
44
4
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedIPsec
IPsec
IPsec
IPsecによる
による
による
によるVPN
VPN
VPNの設計ポイント
VPN
の設計ポイント
の設計ポイント
の設計ポイント
IPsec
IPsec
IPsec
IPsec機器の形態
機器の形態
機器の形態
機器の形態
• 製品形態による特性も考慮。
製品形態による特性も考慮。
製品形態による特性も考慮。
製品形態による特性も考慮。
– IPsec
IPsec
IPsec
IPsec専用装置
専用装置
専用装置
専用装置
• 高スループット
高スループット
高スループット
高スループット、
、
、低い故障率
、
低い故障率
低い故障率
低い故障率
•
単機能
単機能
単機能
単機能
– IPsec
IPsec
IPsec
IPsec機能付きファイアウォール
機能付きファイアウォール
機能付きファイアウォール
機能付きファイアウォール
• 機能の統合、アクセス制限
機能の統合、アクセス制限
機能の統合、アクセス制限
機能の統合、アクセス制限
•
煩雑な管理、障害切り分けの難しさ
煩雑な管理、障害切り分けの難しさ
煩雑な管理、障害切り分けの難しさ
煩雑な管理、障害切り分けの難しさ
– IPsec
IPsec
IPsec
IPsec機能付きルータ
機能付きルータ
機能付きルータ
機能付きルータ
• 機能の統合、低い故障率
機能の統合、低い故障率
機能の統合、低い故障率
機能の統合、低い故障率
•
低スループット、機器自身のセキュリティ
低スループット、機器自身のセキュリティ
低スループット、機器自身のセキュリティ
低スループット、機器自身のセキュリティ
– IPsec
IPsec
IPsec
IPsec client
client
client
clientソフト
ソフト
ソフト
ソフト
• モバイル環境、低価格
モバイル環境、低価格
モバイル環境、低価格
モバイル環境、低価格
5
55
5
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved目的やニーズの明確化
目的やニーズの明確化
目的やニーズの明確化
目的やニーズの明確化
• 対象になるサービスは何か?
対象になるサービスは何か?
対象になるサービスは何か?
対象になるサービスは何か?
• 対象のホスト、セグメントは?
対象のホスト、セグメントは?
対象のホスト、セグメントは?
対象のホスト、セグメントは?
• 役割は?
役割は?
役割は?
役割は?
• 規模は?
規模は?
規模は?
規模は?
• ネットワークの種類は?
ネットワークの種類は?
ネットワークの種類は?
ネットワークの種類は?
• 要求されるサービスの品質は?
要求されるサービスの品質は?
要求されるサービスの品質は?
要求されるサービスの品質は?
• 利用者は?
利用者は?
利用者は?
利用者は?
6
66
6
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedIPsec
IPsec
IPsec
IPsecによる
による
による
によるVPN
VPN
VPNの設計ポイント
VPN
の設計ポイント
の設計ポイント
の設計ポイント
既存ネットワークへの影響度を吟味
既存ネットワークへの影響度を吟味
既存ネットワークへの影響度を吟味
既存ネットワークへの影響度を吟味
• IPsec
IPsec
IPsec
IPsec-
--
-VPN
VPN
VPN
VPNを
を
を導入するネットワークを図に起こし、
を
導入するネットワークを図に起こし、
導入するネットワークを図に起こし、
導入するネットワークを図に起こし、
IPsec
IPsec
IPsec
IPsec機器の設置箇所を吟味。特に既存のネットワー
機器の設置箇所を吟味。特に既存のネットワー
機器の設置箇所を吟味。特に既存のネットワー
機器の設置箇所を吟味。特に既存のネットワー
クへの影響やサービスへの影響を考慮する。
クへの影響やサービスへの影響を考慮する。
クへの影響やサービスへの影響を考慮する。
クへの影響やサービスへの影響を考慮する。
• 現行の
現行の
現行の
現行のIPsec
IPsec
IPsec
IPsecは
は
は
は、ほとんどの場合既存のネットワーク
、ほとんどの場合既存のネットワーク
、ほとんどの場合既存のネットワーク
、ほとんどの場合既存のネットワーク
に影響を与える。
に影響を与える。
に影響を与える。
に影響を与える。
• IPsec
IPsec
IPsec
IPsec導入にあたって既存のネットワークの設定変
導入にあたって既存のネットワークの設定変
導入にあたって既存のネットワークの設定変
導入にあたって既存のネットワークの設定変
更や組み換えが伴うことを覚悟する必要あり。
更や組み換えが伴うことを覚悟する必要あり。
更や組み換えが伴うことを覚悟する必要あり。
更や組み換えが伴うことを覚悟する必要あり。
7
77
7
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved2.
2.
2.
2.
IPsec
IPsec
IPsec
IPsec-
--
-VPN
VPN
VPN設計のポイント
VPN
設計のポイント
設計のポイント
設計のポイント
8
88
8
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedIPsec
IPsec
IPsec
IPsecによる
による
による
によるVPN
VPN
VPNの設計ポイント
VPN
の設計ポイント
の設計ポイント
の設計ポイント
ポイント
ポイント
ポイント
ポイント
1.
1.
1.
1.
ネットワークインタフェースの種類
ネットワークインタフェースの種類
ネットワークインタフェースの種類
ネットワークインタフェースの種類
2.
2.
2.
2.
スループット・パフォーマンスに関する注意点
スループット・パフォーマンスに関する注意点
スループット・パフォーマンスに関する注意点
スループット・パフォーマンスに関する注意点
3.
3.
3.
3.
SA
SA
SA
SAに
に
に関する注意点
に
関する注意点
関する注意点
関する注意点
4.
4.
4.
4.
経路上のルータの設定
経路上のルータの設定
経路上のルータの設定
経路上のルータの設定
5.
5.
5.
5.
分割されるネットワーク
分割されるネットワーク
分割されるネットワーク
分割されるネットワーク
6.
6.
6.
6.
IP
IP
IP
IPアドレスの重複の回避
アドレスの重複の回避
アドレスの重複の回避
アドレスの重複の回避
7.
7.
7.
7.
平文通信許可時の注意点
平文通信許可時の注意点
平文通信許可時の注意点
平文通信許可時の注意点
8.
8.
8.
8.
フラグメンテーション
フラグメンテーション
フラグメンテーション
フラグメンテーション
9.
9.
9.
9.
認証方法の選択
認証方法の選択
認証方法の選択
認証方法の選択
10.
10.
10.
10. NAT
NAT
NAT
NAT併用の注意点
併用の注意点
併用の注意点
併用の注意点
11.
11.
11.
11. Firewall
Firewall
Firewall
Firewall併用時の注意点
併用時の注意点
併用時の注意点
併用時の注意点
12.
12.
12.
12.
その他ソリューションとの併用の注意点
その他ソリューションとの併用の注意点
その他ソリューションとの併用の注意点
その他ソリューションとの併用の注意点
13.
13.
13.
13. IPsec
IPsec
IPsec
IPsec client
client
clientの仕様
client
の仕様
の仕様
の仕様
14.
14.
14.
14. 管理機能
管理機能
管理機能
管理機能
15.
15.
15.
15. 障害対応
障害対応
障害対応
障害対応
16.
16.
16.
16. 輸出規制に関する注意点
輸出規制に関する注意点
輸出規制に関する注意点
輸出規制に関する注意点
17.
17.
17.
17. 保守体制
保守体制
保守体制
保守体制
9
99
9
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved1.ネットワークインタフェースの種類
1.ネットワークインタフェースの種類
1.ネットワークインタフェースの種類
1.ネットワークインタフェースの種類
• 製品のネットワーク
製品のネットワーク
製品のネットワーク
製品のネットワークI/F
I/F
I/F
I/F。
。
。
。
– LAN
LAN
LAN
LAN
• 10Base
10Base
10Base
10Base-
--
-T
T
T
T、
、100Base
、
、
100Base
100Base
100Base-
--
-TX
TX
TX
TX
• 半二重、全二重
半二重、全二重
半二重、全二重
半二重、全二重
– リモート
リモート
リモート
リモート
• BRI
BRI
BRI
BRI、
、
、
、シリアル
シリアル
シリアル
シリアル
• PPP
PPP
PPP
PPP、
、
、PPPoE
、
PPPoE
PPPoE
PPPoE
10
10
10
10
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedIPsec
IPsec
IPsec
IPsecによる
による
による
によるVPN
VPN
VPNの設計ポイント
VPN
の設計ポイント
の設計ポイント
の設計ポイント
2.パフォーマンス・スループットに関する注意点
2.パフォーマンス・スループットに関する注意点
2.パフォーマンス・スループットに関する注意点
2.パフォーマンス・スループットに関する注意点
• ショートパケットが頻発するコンテンツ(音声や動画)
ショートパケットが頻発するコンテンツ(音声や動画)
ショートパケットが頻発するコンテンツ(音声や動画)
ショートパケットが頻発するコンテンツ(音声や動画)
を対象にする場合は、実測によるスループットの確
を対象にする場合は、実測によるスループットの確
を対象にする場合は、実測によるスループットの確
を対象にする場合は、実測によるスループットの確
認が望ましい。
認が望ましい。
認が望ましい。
認が望ましい。
パケットロス率(%)
パケットロス率(%)
パケットロス率(%)
パケットロス率(%)
負荷(
負荷(
負荷(
負荷(Mbps)
Mbps)
Mbps)
Mbps)
20
20
20
20
40
40
40
40
60
60
60
60
80
80
80
80
100
100
100
100
2
22
2
4
44
4
6
66
6
8
88
8
10
10
10
10
64
64
64
64byte
byte
byte長パケット送出
byte
長パケット送出
長パケット送出
長パケット送出
(カタログスペック
(カタログスペック
(カタログスペック
(カタログスペック10
10
10
10Mbps
Mbps
Mbpsの製品)
Mbps
の製品)
の製品)
の製品)
パケットロス率(%)
パケットロス率(%)
パケットロス率(%)
パケットロス率(%)
負荷(
負荷(
負荷(
負荷(Mbps)
Mbps)
Mbps)
Mbps)
20
20
20
20
40
40
40
40
60
60
60
60
80
80
80
80
100
100
100
100
2
22
2
4
44
4
6
66
6
8
88
8
10
10
10
10
1440
1440
1440
1440byte
byte
byte長パケット送出
byte
長パケット送出
長パケット送出
長パケット送出
(カタログスペック
(カタログスペック
(カタログスペック
11
11
11
11
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved3.
3.
3.
3.SA
SA
SAに関する注意点
SA
に関する注意点
に関する注意点
に関する注意点
• SA
SA
SA
SA最大値
最大値
最大値
最大値
– Phase 2
Phase 2
Phase 2
Phase 2はターゲット毎に確立
はターゲット毎に確立
はターゲット毎に確立
はターゲット毎に確立
– カタログスペックは曖昧
カタログスペックは曖昧
カタログスペックは曖昧
カタログスペックは曖昧
• 実測が望ましいが
実測が望ましいが
実測が望ましいが
実測が望ましいがPhase 1
Phase 1
Phase 1の
Phase 1
の
の
の試験は実現困難。
試験は実現困難。
試験は実現困難。
試験は実現困難。
Phase 1 SA
Phase 1 SA
Phase 1 SA
Phase 1 SA
Phase 2 SA
Phase 2 SA
Phase 2 SA
Phase 2 SA
12
12
12
12
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedIPsec
IPsec
IPsec
IPsecによる
による
による
によるVPN
VPN
VPNの設計ポイント
VPN
の設計ポイント
の設計ポイント
の設計ポイント
3.
3.
3.
3.SA
SA
SAに関する注意点
SA
に関する注意点
に関する注意点
に関する注意点
• SA
SA
SA
SA数の予測
数の予測
数の予測
数の予測
Router
Router
Router
Router
192.168.24.10
192.168.24.10
192.168.24.10
192.168.24.10
192.168.24.20
192.168.24.20
192.168.24.20
192.168.24.20
IPsec
IPsec
IPsec
IPsec client
client
client
client
192.168.32.0
192.168.32.0
192.168.32.0
192.168.32.0
Phase 1Phase 1Phase 1Phase 1Phase 2 Phase 2 Phase 2 Phase 2 Phase 2 Phase 2 Phase 2 Phase 2 Phase 2 Phase 2 Phase 2 Phase 2
ターゲット
ターゲット
ターゲット
ターゲット
・
・・
・192.168.32.*
192.168.32.*
192.168.32.*
192.168.32.*
・
・・
・192.168.24.10
192.168.24.10
192.168.24.10
192.168.24.10
・
・・
・192.168.24.20
192.168.24.20
192.168.24.20
192.168.24.20
• 上図の例では1クライアント当たり
上図の例では1クライアント当たり
上図の例では1クライアント当たり4
上図の例では1クライアント当たり
44
4本の
本の
本の
本のSA
SA
SA
SAが確立している。
が確立している。
が確立している。
が確立している。
• ターゲットをホスト指定にするかサブネット指定にするかにより構
ターゲットをホスト指定にするかサブネット指定にするかにより構
ターゲットをホスト指定にするかサブネット指定にするかにより構
ターゲットをホスト指定にするかサブネット指定にするかにより構
築できる
築できる
築できる
築できるVPN
VPN
VPN
VPNの
の
の規模が変わる。
の
規模が変わる。
規模が変わる。
規模が変わる。
IPsec
IPsec
IPsec
IPsec gateway
gateway
gateway
gateway
13
13
13
13
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved3.
3.
3.
3.SA
SA
SAに関する注意点
SA
に関する注意点
に関する注意点
に関する注意点
• Re
Re
Re-
Re
--
-Key
Key
Key時の
Key
時のSA
時の
時の
SA
SA二重保持
SA
二重保持
二重保持
二重保持
– 例えばフェーズ
例えばフェーズ
例えばフェーズ 2
例えばフェーズ
22
2の
の
の
のLife Time
Life Timeを
Life Time
Life Time
を
を10
を
10
10
10分と設定。
分と設定。
分と設定。
分と設定。
• LifeTime
LifeTime
LifeTime
LifeTimeの何%で次の
の何%で次の
の何%で次のSA
の何%で次の
SA
SA
SAが準備されるかは製品によって異なる。
が準備されるかは製品によって異なる。
が準備されるかは製品によって異なる。
が準備されるかは製品によって異なる。
• LifeTime
LifeTime
LifeTime
LifeTimeは
は
は経過時間以外にパケット数で設定できる製品も有り。
は
経過時間以外にパケット数で設定できる製品も有り。
経過時間以外にパケット数で設定できる製品も有り。
経過時間以外にパケット数で設定できる製品も有り。
10
10
10
10分
分
分
分
10
10
10
10分
分
分
分
10
10
10
10分
分
分
分
10
10
10
10分
分
分
分
Life Time
Life Time
Life Time
Life Time
7
77
7分経過後次の
分経過後次の
分経過後次の
分経過後次の
セッション開始
セッション開始
セッション開始
セッション開始
この間
この間
この間
この間SA
SA
SAを
SA
を
を
を二重に保持
二重に保持
二重に保持
二重に保持
※
※
※
※フェーズ
フェーズ
フェーズ1
フェーズ
11
1は
は
は
はLife Time
Life Time
Life Timeの
Life Time
の時点でいきなり
の
の
時点でいきなり
時点でいきなり
時点でいきなりRe
Re
Re
Re-
--
-Key
Key
Key
Key
(
((
(7
77
7分)
分)
分)
分)
14
14
14
14
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedIPsec
IPsec
IPsec
IPsecによる
による
による
によるVPN
VPN
VPNの設計ポイント
VPN
の設計ポイント
の設計ポイント
の設計ポイント
3.
3.
3.
3.SA
SA
SAに関する注意点
SA
に関する注意点
に関する注意点
に関する注意点
• リモートアクセス時の
リモートアクセス時の
リモートアクセス時の
リモートアクセス時のSA
SA
SA
SA二重保持
二重保持
二重保持
二重保持
PPP
PPP
PPP
PPP再接続
再接続
再接続
再接続
Internet
Internet
Internet
Internet
10.10.20.30
10.10.20.30
10.10.20.30
10.10.20.30
10.10.10.5
10.10.10.5
10.10.10.5
10.10.10.5の
の
の
のSA
SA
SA
SA保持
保持
保持
保持
10.10.10.30
10.10.10.30
10.10.10.30
10.10.10.30の
の
の
のSA
SA
SA
SA
Internet
Internet
Internet
Internet
10.10.20.5
10.10.20.5
10.10.20.5
10.10.20.5
10.10.10.5
10.10.10.5
10.10.10.5
10.10.10.5の
の
の
のSA
SA
SA
SA
IPsec
IPsec
IPsec
IPsec gateway
gateway
gateway
gateway
IPsec
IPsec
IPsec
IPsec対応
対応
対応
対応
ダイヤルアップルータ
ダイヤルアップルータ
ダイヤルアップルータ
ダイヤルアップルータ
15
15
15
15
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved3.
3.
3.
3.SA
SA
SAに関する注意点
SA
に関する注意点
に関する注意点
に関する注意点
• 前述のような理由から
前述のような理由から
前述のような理由から
前述のような理由からPhase2 SA
Phase2 SA
Phase2 SAの数はカタログス
Phase2 SA
の数はカタログス
の数はカタログス
の数はカタログス
ペックの
ペックの
ペックの
ペックの50%
50%
50%程度に考えた方が無難。
50%
程度に考えた方が無難。
程度に考えた方が無難。
程度に考えた方が無難。
• 設備の問題で
設備の問題で
設備の問題で
設備の問題でPhase1 SA
Phase1 SA
Phase1 SAの
Phase1 SA
の
の
の実装確認試験は難しい。
実装確認試験は難しい。
実装確認試験は難しい。
実装確認試験は難しい。
今後の課題。
今後の課題。
今後の課題。
今後の課題。
16
16
16
16
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedIPsec
IPsec
IPsec
IPsecによる
による
による
によるVPN
VPN
VPNの設計ポイント
VPN
の設計ポイント
の設計ポイント
の設計ポイント
3.
3.
3.
3.SA
SA
SAに関する注意点
SA
に関する注意点
に関する注意点
に関する注意点
• Re
Re
Re
Re-
--
-Key
Key
Keyに要する時間
Key
に要する時間
に要する時間
に要する時間
– もし
もし
もし1
もし
11
1pps
pps
ppsに
pps
に
に
に1
11
1つ
つSA
つ
つ
SA
SAが確立するとした場合、
SA
が確立するとした場合、
が確立するとした場合、1000
が確立するとした場合、
1000
1000SA
1000
SA
SA
SA
を張り終わるまで
を張り終わるまで
を張り終わるまで
を張り終わるまで1000
1000
1000秒(約
1000
秒(約
秒(約
秒(約17
17
17
17分)必要になる。
分)必要になる。
分)必要になる。
分)必要になる。
– 実際には高トラフィック(
実際には高トラフィック(
実際には高トラフィック(
実際には高トラフィック(1
11
1pps
pps
ppsより速く)になるため、
pps
より速く)になるため、
より速く)になるため、
より速く)になるため、
処理ロジックによってはさらに時間がかかる。
処理ロジックによってはさらに時間がかかる。
処理ロジックによってはさらに時間がかかる。
処理ロジックによってはさらに時間がかかる。
17
17
17
17
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved3.
3.
3.
3.SA
SA
SAに関する注意点
SA
に関する注意点
に関する注意点
に関する注意点
• SA
SA
SA
SAの分散。
の分散。
の分散。
の分散。
Internet
Internet
Internet
Internet
IPsec
IPsec
IPsec
IPsec機器
機器
機器
機器
サーバー
サーバー
サーバー
サーバー
Router Router RouterRouter
Router
Router
Router
Router
IPsec
IPsec
IPsec
IPsec機器
機器
機器
機器
スタティックルーティング
スタティックルーティング
スタティックルーティング
スタティックルーティング
ルータモード
ルータモード
ルータモード
ルータモード
・ルータモード
・ルータモード
・ルータモード
・ルータモード
・トンネルポイントの指定
・トンネルポイントの指定
・トンネルポイントの指定
・トンネルポイントの指定
18
18
18
18
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedIPsec
IPsec
IPsec
IPsecによる
による
による
によるVPN
VPN
VPNの設計ポイント
VPN
の設計ポイント
の設計ポイント
の設計ポイント
4.経路上のルータの設定
4.経路上のルータの設定
4.経路上のルータの設定
4.経路上のルータの設定
• IPsec
IPsec
IPsec
IPsecで
で
で
では様々なプロトコルを使用する。それらが透過的に
は様々なプロトコルを使用する。それらが透過的に
は様々なプロトコルを使用する。それらが透過的に
は様々なプロトコルを使用する。それらが透過的に
流れるように経路上のルータのフィルタリングを設定
流れるように経路上のルータのフィルタリングを設定
流れるように経路上のルータのフィルタリングを設定
流れるように経路上のルータのフィルタリングを設定。
。
。
。
• 特に
特に
特に
特にISP
ISP
ISP
ISPの
の
の
のルータには注意。事前に申し入れることを推奨。
ルータには注意。事前に申し入れることを推奨。
ルータには注意。事前に申し入れることを推奨。
ルータには注意。事前に申し入れることを推奨。
(1)
(1)
(1)
(1)IPsec
IPsec
IPsec
IPsecで
で
で
で使用するプロトコル
使用するプロトコル
使用するプロトコル
使用するプロトコル
UDP
UDP
UDP
UDP
500
500
500
500
ISAKMP
ISAKMP
ISAKMP
ISAKMP
IP type 51
IP type 51
IP type 51
IP type 51
AH (Authentication Header)
AH (Authentication Header)
AH (Authentication Header)
AH (Authentication Header)
IP type 50
IP type 50
IP type 50
IP type 50
ESP (Encapsulation Security Payload)
ESP (Encapsulation Security Payload)
ESP (Encapsulation Security Payload)
ESP (Encapsulation Security Payload)
(2)
(2)
(2)
(2)ディレクトリサービスで使用するプロトコル
ディレクトリサービスで使用するプロトコル
ディレクトリサービスで使用するプロトコル
ディレクトリサービスで使用するプロトコル
TCP 389
TCP 389
TCP 389
TCP 389(
((
(例)
例)
例)
例)
LDAP
LDAP
LDAP
LDAP
(3)
(3)
(3)
(3)CA
CA
CA
CAが使用するプロトコル(
が使用するプロトコル(
が使用するプロトコル(
が使用するプロトコル(Entrst
Entrst
Entrstの
Entrst
の
の場合のデフォルト値)
の
場合のデフォルト値)
場合のデフォルト値)
場合のデフォルト値)
TCP 709
TCP 709
TCP 709
TCP 709 (
((
(例)
例)
例)
例)
PKIX (Public Key Infrastructure X.509)
PKIX (Public Key Infrastructure X.509)
PKIX (Public Key Infrastructure X.509)
PKIX (Public Key Infrastructure X.509)
TCP 710
TCP 710
TCP 710
TCP 710 (
((
(例)
例)
例)
例)
Entrust administrator
Entrust administrator
Entrust administrator
Entrust administratorサービス
サービス
サービス
サービス
(4)
(4)
(4)
(4)その他、製品固有の管理用プロトコルなど
その他、製品固有の管理用プロトコルなど
その他、製品固有の管理用プロトコルなど
その他、製品固有の管理用プロトコルなど
SSL, SNMP, FTP,
SSL, SNMP, FTP,
SSL, SNMP, FTP,
SSL, SNMP, FTP, 独自
独自
独自
独自
19
19
19
19
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved5.分割されるネットワーク
5.分割されるネットワーク
5.分割されるネットワーク
5.分割されるネットワーク
• トンネルモード(ルータモードという場合もある)で使用の場合、
トンネルモード(ルータモードという場合もある)で使用の場合、
トンネルモード(ルータモードという場合もある)で使用の場合、
トンネルモード(ルータモードという場合もある)で使用の場合、
IPsec
IPsec
IPsec
IPsec機器の前後でネットワークが異なる。
機器の前後でネットワークが異なる。
機器の前後でネットワークが異なる。
機器の前後でネットワークが異なる。
– サブネットの再設定もありえる。
サブネットの再設定もありえる。
サブネットの再設定もありえる。
サブネットの再設定もありえる。
Router
Router
Router
Router
Internet
Internet
Internet
Internet
社内
社内
社内
社内LAN
LAN
LAN
LAN
ファイア
ファイア
ファイア
ファイア
ウォール
ウォール
ウォール
ウォール
IPsec
IPsec
IPsec
IPsec
gateway
gateway
gateway
gateway
19
2.
16
8.
32
.0
19
2.
16
8.
32
.0
19
2.
16
8.
32
.0
19
2.
16
8.
32
.0
20
2.
10
.5
.0
20
2.
10
.5
.0
20
2.
10
.5
.0
20
2.
10
.5
.0
20
2.
10
.1
.0
20
2.
10
.1
.0
20
2.
10
.1
.0
20
2.
10
.1
.0
ブリッジモードサポートの製品ではサブネットを
ブリッジモードサポートの製品ではサブネットを
ブリッジモードサポートの製品ではサブネットを
ブリッジモードサポートの製品ではサブネットを
変更せずに設計することも可能
変更せずに設計することも可能
変更せずに設計することも可能
変更せずに設計することも可能
20
20
20
20
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedIPsec
IPsec
IPsec
IPsecによる
による
による
によるVPN
VPN
VPNの設計ポイント
VPN
の設計ポイント
の設計ポイント
の設計ポイント
6.
6.
6.
6.IP
IP
IPアドレスの重複の回避
IP
アドレスの重複の回避
アドレスの重複の回避
アドレスの重複の回避
• BtoB
BtoB
BtoB
BtoBなどエクストラネットで他社拠点と接続する場
などエクストラネットで他社拠点と接続する場
などエクストラネットで他社拠点と接続する場
などエクストラネットで他社拠点と接続する場
合は、双方のプライベートアドレスの重複を避ける。
合は、双方のプライベートアドレスの重複を避ける。
合は、双方のプライベートアドレスの重複を避ける。
合は、双方のプライベートアドレスの重複を避ける。
– グローバルアドレスを割り振る。
グローバルアドレスを割り振る。
グローバルアドレスを割り振る。
グローバルアドレスを割り振る。
21
21
21
21
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved7.平文通信許可時の注意点
7.平文通信許可時の注意点
7.平文通信許可時の注意点
7.平文通信許可時の注意点
• NAT
NAT
NAT
NAT機能やルーティングを持たない製品では、平文
機能やルーティングを持たない製品では、平文
機能やルーティングを持たない製品では、平文
機能やルーティングを持たない製品では、平文
通過許可時の特性を確認する必要有り。
通過許可時の特性を確認する必要有り。
通過許可時の特性を確認する必要有り。
通過許可時の特性を確認する必要有り。
Router
Router
Router
Router
Internet
Internet
Internet
Internet
IPsec
IPsec
IPsec
IPsec
gateway
gateway
gateway
gateway
Router
Router
Router
Router
一般サイト
一般サイト
一般サイト
一般サイト
暗号化
暗号化
暗号化
暗号化
平文
平文
平文
平文
IPsec
IPsec
IPsec
IPsec
gateway
gateway
gateway
gateway
22
22
22
22
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedIPsec
IPsec
IPsec
IPsecによる
による
による
によるVPN
VPN
VPNの設計ポイント
VPN
の設計ポイント
の設計ポイント
の設計ポイント
7.平文通信許可時の注意点
7.平文通信許可時の注意点
7.平文通信許可時の注意点
7.平文通信許可時の注意点
– 平文通信を許すことで、認証によるアクセス制限はできなくなる。
平文通信を許すことで、認証によるアクセス制限はできなくなる。
平文通信を許すことで、認証によるアクセス制限はできなくなる。
平文通信を許すことで、認証によるアクセス制限はできなくなる。
• バックボーン側からの平文の通過を許すことになる。もしセキュリティ上
バックボーン側からの平文の通過を許すことになる。もしセキュリティ上
バックボーン側からの平文の通過を許すことになる。もしセキュリティ上
バックボーン側からの平文の通過を許すことになる。もしセキュリティ上
好ましく無い場合はファイアウォールやルータで不正アクセスを防ぐ。
好ましく無い場合はファイアウォールやルータで不正アクセスを防ぐ。
好ましく無い場合はファイアウォールやルータで不正アクセスを防ぐ。
好ましく無い場合はファイアウォールやルータで不正アクセスを防ぐ。
– IPsec
IPsec
IPsec
IPsec gateway
gateway
gatewayの内側のアドレスのままパケットが外に出ていく。
gateway
の内側のアドレスのままパケットが外に出ていく。
の内側のアドレスのままパケットが外に出ていく。
の内側のアドレスのままパケットが外に出ていく。
• 暗号化される場合はパケットのアドレス(
暗号化される場合はパケットのアドレス(
暗号化される場合はパケットのアドレス(P1
暗号化される場合はパケットのアドレス(
P1
P1)
P1
))
)は
はIPsec
は
は
IPsec
IPsec
IPsec gateway
gateway
gatewayの外側の
gateway
の外側の
の外側の
の外側の
アドレス(
アドレス(
アドレス(
アドレス(G1)
G1)
G1)にカプセルされるが、平文のパケットは元のアドレス(
G1)
にカプセルされるが、平文のパケットは元のアドレス(
にカプセルされるが、平文のパケットは元のアドレス(P1)
にカプセルされるが、平文のパケットは元のアドレス(
P1)
P1)の
P1)
の
の
の
まま
まま
まま
ままIPsec
IPsec
IPsec gateway
IPsec
gateway
gateway
gatewayを
を
を
を通過する
通過する
通過する
通過する。
。
。
。
• プライベートアドレスのままではインターネットにアクセス不可。
プライベートアドレスのままではインターネットにアクセス不可。
プライベートアドレスのままではインターネットにアクセス不可。
プライベートアドレスのままではインターネットにアクセス不可。
IPsec
IPsec
IPsec
IPsec gateway
gateway
gateway
gateway
G
G
G
G1
1
1
1
Back Bone
Back Bone
Back Bone
Back Bone
P1
P1
P1
P1
Router
Router
Router
Router
Router
Router
Router
Router
暗号化
暗号化
暗号化
暗号化
G
G
G
G1
1
1
1
P1
P1
P1
P1
P1
P1
P1
P1
平文
平文
平文
平文
P1
P1
P1
P1
P1
P1
P1
P1
23
23
23
23
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved7.平文通信許可時の注意点
7.平文通信許可時の注意点
7.平文通信許可時の注意点
7.平文通信許可時の注意点
– ルーティング
ルーティング
ルーティング
ルーティング
• 製品によってはルーティングを行わないので、その場
製品によってはルーティングを行わないので、その場
製品によってはルーティングを行わないので、その場
製品によってはルーティングを行わないので、その場
合はバックボーン側のルータ(
合はバックボーン側のルータ(
合はバックボーン側のルータ(
合はバックボーン側のルータ(R1)
R1)
R1)
R1)に「
に「
に「
に「P1
P1は
P1
P1
は
は
はEx
Ex
Ex
Ex ポートの
ポートの
ポートの
ポートの
後に存在する」というスタティクなルーティング情報を
後に存在する」というスタティクなルーティング情報を
後に存在する」というスタティクなルーティング情報を
後に存在する」というスタティクなルーティング情報を
登録する
登録する
登録する
登録する。
。
。
。
IPsec
IPsec
IPsec
IPsec gateway
gateway
gateway
gateway
R1
R1
R1
R1
Ex
Ex
Ex
Ex
In
In
In
In
R2
R2
R2
R2
Back Bone
Back Bone
Back Bone
Back Bone
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
平文
平文
平文
平文
24
24
24
24
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedIPsec
IPsec
IPsec
IPsecによる
による
による
によるVPN
VPN
VPNの設計ポイント
VPN
の設計ポイント
の設計ポイント
の設計ポイント
8.フラグメンテーション
8.フラグメンテーション
8.フラグメンテーション
8.フラグメンテーション
• IPsec
IPsec
IPsec
IPsecヘッダが不可されることで約
ヘッダが不可されることで約
ヘッダが不可されることで約
ヘッダが不可されることで約40
40
40
40byte
byte
byte以上パケッ
byte
以上パケッ
以上パケッ
以上パケッ
ト長が延長される。フラグメンテーションが起きた場
ト長が延長される。フラグメンテーションが起きた場
ト長が延長される。フラグメンテーションが起きた場
ト長が延長される。フラグメンテーションが起きた場
合の特性は製品によって異なる。
合の特性は製品によって異なる。
合の特性は製品によって異なる。
合の特性は製品によって異なる。
• 特に異機種間接続では実装の違いから通信不可に
特に異機種間接続では実装の違いから通信不可に
特に異機種間接続では実装の違いから通信不可に
特に異機種間接続では実装の違いから通信不可に
なる場合がある。
なる場合がある。
なる場合がある。
なる場合がある。
25
25
25
25
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved9.認証方法の選択
9.認証方法の選択
9.認証方法の選択
9.認証方法の選択
• IPsec
IPsec
IPsec
IPsec標準
標準
標準
標準の
のPre
の
の
Pre
Pre
Pre-
--
-Shared Key
Shared Key
Shared Key
Shared Key
– 小規模
小規模
小規模
小規模VPN
VPN
VPN
VPNおよび
および
および1
および
11
1対
対
対n
対
nn
n接続に向く。
接続に向く。
接続に向く。
接続に向く。
• 拡張認証
拡張認証
拡張認証
拡張認証
– RADIUS
RADIUS
RADIUS
RADIUS認証
認証
認証
認証
• モバイル
モバイル
モバイル
モバイルVPN
VPN
VPN
VPNに
に
に
に適する。
適する。
適する。
適する。
• IPsec
IPsec
IPsec
IPsecではドラフト段階のため製品によりサポート状況に差あり。
ではドラフト段階のため製品によりサポート状況に差あり。
ではドラフト段階のため製品によりサポート状況に差あり。
ではドラフト段階のため製品によりサポート状況に差あり。
• 各種認証デバイス(
各種認証デバイス(
各種認証デバイス(
各種認証デバイス(
ワンタイムパスワード等
ワンタイムパスワード等
ワンタイムパスワード等
ワンタイムパスワード等
)による認証強化が可
)による認証強化が可
)による認証強化が可
)による認証強化が可
能。
能。
能。
能。
– CA
CA
CA
CA認証
認証
認証
認証
• モバイル
モバイル
モバイル
モバイルVPN
VPN
VPN
VPNおよび大規模
および大規模
および大規模
および大規模VPN
VPN(
VPN
VPN
((
(n
nn
n対
対
対
対n
nn
n接続)に適する。
接続)に適する。
接続)に適する。
接続)に適する。
• IPsec
IPsec
IPsec
IPsecではドラフト段階のため製品によりサポート状況に差あり。
ではドラフト段階のため製品によりサポート状況に差あり。
ではドラフト段階のため製品によりサポート状況に差あり。
ではドラフト段階のため製品によりサポート状況に差あり。
• 各種認証デバイス(
各種認証デバイス(
各種認証デバイス(
各種認証デバイス(IC
IC
ICカード等)による認証強化が可能。
IC
カード等)による認証強化が可能。
カード等)による認証強化が可能。
カード等)による認証強化が可能。
26
26
26
26
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedIPsec
IPsec
IPsec
IPsecによる
による
による
によるVPN
VPN
VPNの設計ポイント
VPN
の設計ポイント
の設計ポイント
の設計ポイント
10
10
10
10.
.
.
.NAT
NAT
NAT
NAT併用の注意点
併用の注意点
併用の注意点
併用の注意点
• NAT
NAT
NAT
NATによるアドレスの付け替
によるアドレスの付け替
によるアドレスの付け替
によるアドレスの付け替
えは
えは
えは
えはIPsec
IPsec
IPsec
IPsecと
と
と
としては「なりすま
しては「なりすま
しては「なりすま
しては「なりすま
し」として認識される(
し」として認識される(
し」として認識される(
し」として認識される(AH
AH
AH
AH使用
使用
使用
使用
の場合)。
の場合)。
の場合)。
の場合)。
• IPsec
IPsec
IPsec
IPsecでは
では
では
ではTCP/UDP
TCP/UDP
TCP/UDP
TCP/UDPも暗号
も暗号
も暗号
も暗号
化するので、ポート番号等が
化するので、ポート番号等が
化するので、ポート番号等が
化するので、ポート番号等が
見えなくなる。
見えなくなる。
見えなくなる。
見えなくなる。IP
IP
IP
IPますカレード
ますカレード
ますカレード
ますカレード
等では、
等では、
等では、
等では、NAT
NAT
NAT
NATルータが複数の
ルータが複数の
ルータが複数の
ルータが複数の
セッションを管理するための
セッションを管理するための
セッションを管理するための
セッションを管理するための
情報がなくなることになる。
情報がなくなることになる。
情報がなくなることになる。
情報がなくなることになる。
• ESP
ESP
ESP
ESPではスタティック
ではスタティック
ではスタティック
ではスタティックNAT
NAT
NAT
NAT(
((
(静
静
静
静
的なアドレス変換)であれば
的なアドレス変換)であれば
的なアドレス変換)であれば
的なアドレス変換)であれば
可能。
可能。
可能。
可能。
Internet
Internet
Internet
Internet
NAT
NAT
NAT
NAT
Router
Router
Router
Router
G3
G3
G3
G3
G1
G1
G1
G1
G2
G2
G2
G2
P1
P1
P1
P1
P2
P2
P2
P2
P3
P3
P3
P3
P4
P4
P4
P4
P1 P1 P1 P1 P4P4P4P4 datadatadatadata s ss s dddd P1 P1 P1 P1 P4P4P4P4 datadatadatadata G1 G1 G1 G1 G3G3G3G3 s ss s dddd 暗号化データ暗号化データ暗号化データ暗号化データ P1 P1 P1 P1 P4P4P4P4 datadatadatadata G2 G2 G2 G2 G3G3G3G3 s ss s dddd 暗号化データ暗号化データ暗号化データ暗号化データ トンネリング トンネリング トンネリング トンネリング アドレス変換 アドレス変換 アドレス変換 アドレス変換27
27
27
27
Copyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reservedCopyright (C) 2001 dit Co.,Ltd. All rights reserved10
10
10
10.
.
.
.NAT
NAT
NAT
NAT併用時の注意
併用時の注意
併用時の注意
併用時の注意
• NAT
NAT
NAT
NAT併用時問題点の回避策
併用時問題点の回避策
併用時問題点の回避策
併用時問題点の回避策
– NAT
NAT
NAT
NATルータ自身が
ルータ自身が
ルータ自身がIPsec
ルータ自身が
IPsec
IPsec
IPsecを
を
を実装。
を
実装。
実装。
実装。
– NAT
NAT
NAT
NATを使用しない。
を使用しない。
を使用しない。
を使用しない。
• 端末にグローバルアドレスを割り振る。
端末にグローバルアドレスを割り振る。
端末にグローバルアドレスを割り振る。
端末にグローバルアドレスを割り振る。
• 下図のように小規模拠点は(支店)暗号化通信のみ行
下図のように小規模拠点は(支店)暗号化通信のみ行
下図のように小規模拠点は(支店)暗号化通信のみ行
下図のように小規模拠点は(支店)暗号化通信のみ行
い、一般の
い、一般の
い、一般の
い、一般のInternet
Internet
Internetサービスへアクセスする場合は本
Internet
サービスへアクセスする場合は本
サービスへアクセスする場合は本
サービスへアクセスする場合は本
社を経由する。
社を経由する。
社を経由する。
社を経由する。
– NAT Traversal
NAT Traversal
NAT Traversal
NAT Traversalの標準化により問題解決。
の標準化により問題解決。
の標準化により問題解決。
の標準化により問題解決。
Router
Router
Router
Router
Internet Internet InternetInternet