1
IP-VPNの技術動向
2000年7月18日 2000年7月18日 2000年7月18日 2000年7月18日 古河電気工業株式会社 ネットワーク事業部2
VPNとは?
VPNとは共有ネットワーク上にプライベートネットワークを 構築すること、またはそのための技術 仮想的な専用線のように利用できることから、 Virtual(仮想的)なPrivate Network(専用線)と呼ぶ 最近ではインターネットを専用線のように利用する技術として 注目されている3 社内LAN 社内LAN 社内LAN 社内LAN VPN VPNVPN VPN装置装置装置装置 VPN VPNVPN VPN装置装置装置装置 Internet InternetInternet Internet 社内LAN 社内LAN 社内LAN 社内LAN ファイアウォール ファイアウォール ファイアウォール ファイアウォール ファイアウォールファイアウォールファイアウォールファイアウォール インターネット上にトンネルができ、その中をデータが通過していく インターネット上にトンネルができ、その中をデータが通過していくインターネット上にトンネルができ、その中をデータが通過していく インターネット上にトンネルができ、その中をデータが通過していく 通信相手との間に仮想的なトンネルをつくることにより(トンネリン グ)、本来ならインターネットを経由できないプライベートアドレスの 通信、TCP/IP以外の通信が可能になる VirtualなPrivate Networkを実現
4 <WANを構築するうえで、ポイントになる回線選択基準> 1.常時接続されており、確実に通信が行えるか? 2.通信速度(帯域)が保証されているか? 3.セキュリティは問題ないか? 4.通信コストが安価か? ※注1 従量制のサービスもある ※注2 深夜、早朝では固定制サービスもある ※注3 ダイヤルアップVPNの場合は、従量制
コストを除き、専用線が一番最適
△ △ × × ○ × 固定※注3 VPN △ × ○ × △ ○ 従量※注2 ISDN ○ ○ △ △ △ △ 固定※注1 フレームリレー ○ ○ ○ ○ × △ 固定 専用線 セキュリティ 高速接続 帯域保証 接続保証 通信コスト 初期コスト 固定/従量 回線種類各種回線サービスの特徴
5 しかし、 しかし、 しかし、 しかし、コストコストコストコストがもっとも重要な課題になっているのも事実がもっとも重要な課題になっているのも事実がもっとも重要な課題になっているのも事実がもっとも重要な課題になっているのも事実
VPNはコストの削減で注目されている
VPNはコストの削減で注目されている
VPNはコストの削減で注目されている
VPNはコストの削減で注目されている
VPNが注目を集めている理由
6
インターネットなどのIPネットワーク上に、仮想的な自営網を 構築する技術、およびネットワーク。
7 IP-VPNを構築する際の選択肢 ●キャリア、ISPが提供するVPNサービスを利用する ・・・・・MPLS、L2TP ●Internetを利用して、ユーザ主導でVPNを構築する ・・・・・IPSec
IP-VPNの構築
8 現在の代表的なVPN利用技術は、 ●MPLS(MultiProtocol Label Switching) ・・・IETFが標準化を進めているLayer3Switch手法 ●L2TP(Layer 2 Tunneling Protocol) ・・・RFC標準のLayer2トンネリング・プロトコル ●IPSec(IP Security Protocol) ・・・RFC標準のLayer3(IP)トンネリング・プロトコル
IP-VPNの利用技術
9 それぞれの利用目的は、 ●MPLS ・・・専用線的な用途で利用 ●L2TP ・・・リモートアクセス環境を実現する用途で利用 ●IPSec ・・・専用線、およびリモートアクセス環境の両方で利用
IP-VPNの利用目的
10
MPLSを利用したVPNネットワーク
MPLS MPLS MPLS MPLS MPLS対応ルータ11 <長所> ●End To Endでの帯域保証 ●全国一律の定額料金 <短所> ●網内に閉じたサービス ●リモートアクセス環境での利用ができない
MPLSサービスの特徴
12
L2TPを利用したVPNネットワーク
ISP ISP ISP ISP LAC LNS L2TP対応RAS L2TP対応ルータ VPN13 <長所> ●マルチプロトコルの通信に対応 ●End To EndでのPPP認証が可能 <短所> ●網内に閉じたサービス ●帯域保証が無い
L2TPサービスの特徴
14
IPSecを利用したVPNネットワーク
ISP① ISP① ISP① ISP① ISP② ISP② ISP② ISP② ISP③ ISP③ ISP③ ISP③ VPN装置 VPN装置 VPN Internet Internet Internet Internet15 <長所> ●複数のISPを介したネットワーク構築が可能 ●LAN To LAN、リモートアクセス等さまざまな用途で 利用可能 <短所> ●帯域保証が無い
IPSecの特徴
16
ユーザ主導で構築でき、さまざまな形態で利用可能である IPSecが注目を集めている。
17
18
IPSecとは?
IPネットワークでのVPNで、暗号化を行うことができる IETF(Internet Engineering Task)のIPSecワーキング グループが策定 RFC2401~2412と10以上の標準に基づく TCP/IP通信における、セキュリティ確保のための技術総称19
IPSecの歴史
IPSecの開発は1990年代前半から始まり、RFC1825~ 1829で一応の標準化が提案されたが、実際には普及しな かった 米国自動車業界の業界エクストラネットである ANX(Automotive Network Exchange)を構築する際、 暗号化が必須であった この計画に後押しされ、IPSecの標準化が急ピッチで進め られた20 ●盗聴 データの中身を盗み見られること ●改竄(かいざん) データの中身を書き換えること ●なりすまし 第三者が他人の名を語り,その人になりすまして情報を送 ること
IPSecのセキュリティ
IPSecの認証・暗号機能でセキュリティ確保21
IPSecの通信
a 鍵交換 a宛て 暗号化 復号化 A宛て IPSec装置間でセキュリティを確保 - 暗号化 - 認証 - 鍵管理 a宛て 鍵 鍵 b ..... . VPN装置 ..... . VPN装置 Internet Internet Internet Internet22 ①セキュリティプロトコル ・・・IPSecの基本プロトコル AH、ESP ②認証アルゴリズム ・・・パケット認証のアルゴリズム MD5、SHA-1 ③暗号化アルゴリズム ・・・暗号化のアルゴリズム DES、3DES ④鍵管理 ・・・IKE
IPSecの仕組み
23 ●AHは認証サービスを行う • 旧版のIPSecではESPでの認証は規定されていなかったた め暗号と認証を行う場合はデータに対してAH、ESP両方を 適用する必要があった。 • RFC2406ではESPだけで暗号、認証をサポート • ESPで認証を行えば、AHのヘッダオーバヘッドが不要にな る。
AH(Authentication Header)
24 ●ESPは以下のサービスを行う – データの完全性 – 送信元の認証 – リプレイ攻撃保護 – 機密性 • トンネルモードでESPの認証機能を利用することで、AHの 認証と同等の機能を提供する。
ESP(Encapsulating Security Payload)
25
AHヘッダとESPヘッダの比較
MD5またはSHA-1 MD5またはSHA-1 認証アルゴリズム (最低限必要なもの) DES-CBC × 暗号化アルゴリズム (最低限必要なもの) ○ ○ リプレイ攻撃保護 (なりすまし防止) ○ × 暗号化機能 ○ ○ 認証機能 ESPヘッダ AHヘッダ これらの基本プロトコルのもとに、セキュリティを確保する26
認証アルゴリズム
• HMAC(Hash Message Authentication Codes) with
MD5
– 128ビットの固定長鍵をサポート – 128bitsの認証用データを生成
• HMAC with SHA1
– MD5より強固であるが、処理が重い – 160ビットの固定長鍵をサポート – 160bitsの認証用データを生成
27
暗号化アルゴリズム①
• DES-CBC with Explicit IV
DES 暗号化 Initialization Vector(8バイト) 平文 鍵(56ビット) 暗号文 ESPペイロードの先頭 8バイトにInitialization Vectorを 挿入して送るため、パケット喪失 があっても復号が可能である。
DES(Data Encryption Standard)
米国商務省標準局が1973年に公募し、IBM案を採用。 米国内で広く採用され、 IPSecの暗号方式の標準として採用されている。
28
暗号化アルゴリズム②
• 3DES-CBC with Explicit IV
DES 暗号化 Initialization Vector(8バイト) 平文 鍵A(56ビット) 暗号文 DES 暗号化 鍵B(56ビット) DES 暗号化 鍵C(56ビット) 3DES(Triple DES) DESの暗号処理を3回続けて行う。 通常、DESを破るには鍵が見つかるまで、全ての 鍵を試す方法が必要であるが、3DESでは鍵の長さが168ビットとなることから、 56bitの鍵 よりも2の112乗倍の鍵の数になるため、より破るのが難しくなる。
29
IKE(ISAKMP/Oakley)
●IPSecの鍵交換のためのプロトコル ・・・暗号・認証のパラメータを自動生成して、相互の交換する ためのプロトコル ①Pre-Shared Key(既知共有秘密鍵) ②Digital Signature(ディジタル署名/ディジタル証明書) ③Public Key Encryption(公開鍵暗号)30
IPSecの運用例
●IPSecネットワークのキーとなる利用技術 Case1.IPSecの利用形態 Case2.VPNのNAT利用 Case3.FireWallとの構成について31
32 VPN装置 VPN装置 VPN Internet Internet Internet Internet 専用線 専用線
IPSecの利用形態①
●常時回線のLAN間VPN ●通常のIPSec通信 ●IPアドレスが固定でアサインされている形態 ●A、BのどちらからでもIPSec通信を始めることが可能 A B33 VPN
IPSecの利用形態②
VPNクライアント VPN装置 専用線 ダイヤルアップ ●常時回線LAN ー リモートクライアント間のVPN Internet Internet Internet Internet A B ●モバイルPC等に専用のVPNソフトウェアをインストール ●IPアドレスがダイナミックにアサインされる形態でも通信可能 ●IPSec通信の契機は、A側(ダイヤルアップ)からのみ。34 VPN
IPSecの利用形態③
VPNクライアント VPN装置 専用線 ダイヤルアップ ●常時回線LAN - ダイヤルアップ回線LANのVPN Internet Internet Internet Internet A B ●ダイヤルアップルータを利用してもIPSec通信が可能 ●IPアドレスがダイナミックにアサインされる形態でも通信可能 ●IPSec通信の契機は、A側(ダイヤルアップ)からのみ。35
36 ・全てのプライベートLANにおいて、アドレスが重複しないように 設計する。 ・VPNの通信に関しては、NAT変換せずそのままのプライベート アドレスで通信する。 Internet VPNボックス ルータ <営業所LAN> 本社LAN <関連会社LAN> アドレス:192.168.1.0/24 アドレス:192.168.2.0/24 アドレス:172.16.0.0/16 専用機接続 ダイヤルアップ ダイヤルアップ
通常のIPSec通信
VPNルータ VPNルータ37 ・営業所LANと関連会社LANが同じアドレス構成 (関連会社であるため、アドレスの変更をお願いできない) ・本社からみると、営業所LANと関連会社LANの区別が つかない。 Internet VPNボックス ルータ <営業所LAN> 本社LAN <関連会社LAN> アドレス:192.168.1.0/24 アドレス:192.168.1.0/24 アドレス:172.16.0.0/16
?
192.168.1.0/24って誰? 専用機接続 ダイヤルアップ ダイヤルアップNATの必要性
38 Internet ダイヤルアップ <営業所LAN> <関連会社LAN> ダイヤルアップ アドレス:192.168.1.0/24 アドレス:192.168.1.0/24 ISPから付与されるIPアドレス ISPから付与されるIPアドレスに、NAT+変換して 通信を行う。 A B VPNボックス ルータ 本社LAN アドレス:172.16.0.0/16 専用機接続 ・ISPから付与されるIPアドレスを利用して、VPN通信を行う。 ・これにより、営業所LANと関連会社LANの区別をすることが可能。
VPN通信におけるNAT利用
39 Internet ダイヤルアップ <営業所LAN> <関連会社LAN> ダイヤルアップ アドレス:192.168.1.0/24 アドレス:192.168.1.0/24 あらかじめ、変換するIPアドレスを指定しておく。 A B VPNボックス ルータ 本社LAN アドレス:172.16.0.0/16 専用機接続 ファイアウォール ・ISPから付与されるIPアドレスではなく、拠点毎に変換する アドレスを指定できる。 ・これにより、営業所LANと関連会社LANの区別をすることが 可能。 ・また、本社側からのアドレス管理が容易にできるようになり、 F/W利用時には効果を発揮する。
VPN通信におけるPeerNAT利用
40
41 ダイヤルアップ VPNボックス ファイアウォール ルータ MUCHO-EV ・・・・ 社内LAN ・VPN装置とFireWallを並列で構成するパターン。 ・VPN装置はVPN通信以外は通さない設定。 ・NATはFireWallにて行う。 Internet
FireWallとの並列構成
42 ルータ ファイアウォール 社内LAN
既存構成
内部公開サーバ 外部公開サーバ デフォルトゲートウェイ デフォルトゲートウェイ デフォルトゲートウェイ デフォルトゲートウェイ ①社内LANからInternetへ ②外部から公開サーバへ43 ルータ VPNボックス ファイアウォール 社内LAN
VPNボックスの導入
内部公開サーバ 外部公開サーバ ①VPN通信 ②社内LANからInternetへ ③外部から公開サーバへ44 ルータ VPNボックス ファイアウォール 社内LAN
PeerNAT機能の併用
内部公開サーバ 外部公開サーバ ①VPN通信 設定が必要なのはVPNボックスのみ ●拠点側で、社内LANと同一ネットワーク(192.168.1.0/24)のPeerNATを利用する。 ●VPNボックスでは、ProxyARP機能をONにする。 ●既存FireWallやPCのゲートウェイ設定を変更する必要はありません。 アドレス:192.168.1.0/24 ProxyARP:ON デフォルトゲートウェイデフォルトゲートウェイデフォルトゲートウェイデフォルトゲートウェイ45 ダイヤルアップ VPNボックス ファイアウォール ルータ MUCHO-EV ・・・・ 社内LAN ・VPN装置とFireWallを直列で構成するパターン。 ・VPN装置はVPN対象、非対称のパケットの両方を 通す設定。 ・NATはFireWallにて行う。 Internet
FireWallとの直列構成
46
47 ( (( (拠点側)拠点側)拠点側)拠点側) VPN対応アクセスルータ VPN対応アクセスルータVPN対応アクセスルータ VPN対応アクセスルータ 古河電工 古河電工古河電工 古河電工 MUCHO-EV MUCHO-EVMUCHO-EV MUCHO-EV 標準価格138,000円 標準価格138,000円標準価格138,000円 標準価格138,000円 同時接続:16拠点 同時接続:16拠点同時接続:16拠点 同時接続:16拠点 接続拠点数 接続拠点数接続拠点数 接続拠点数 (センター側) (センター側) (センター側) (センター側) VPNボックス VPNボックスVPNボックス VPNボックス 古河電工 古河電工古河電工 古河電工 INFONET-VP100 INFONET-VP100INFONET-VP100 INFONET-VP100 標準価格498,000円 標準価格498,000円標準価格498,000円 標準価格498,000円 同時接続:100拠点 同時接続:100拠点同時接続:100拠点 同時接続:100拠点 登録拠点数:500拠点 登録拠点数:500拠点登録拠点数:500拠点 登録拠点数:500拠点 MUCHO-EVとのダイアルアップVPN接続が可能 MUCHO-EVとのダイアルアップVPN接続が可能MUCHO-EVとのダイアルアップVPN接続が可能 MUCHO-EVとのダイアルアップVPN接続が可能 ファイアーウオール+VPNオプションソフトウェア ファイアーウオール+VPNオプションソフトウェアファイアーウオール+VPNオプションソフトウェア ファイアーウオール+VPNオプションソフトウェア ALCATEL ALCATELALCATEL ALCATEL FortKnox FortKnoxFortKnox FortKnox F-3000 F-3000F-3000F-3000 標準価格1,040,000円~ 標準価格1,040,000円~標準価格1,040,000円~ 標準価格1,040,000円~ 同時接続:100拠点 同時接続:100拠点同時接続:100拠点 同時接続:100拠点 MUCHO-EVとのダイヤルアップVPN接続が可能 MUCHO-EVとのダイヤルアップVPN接続が可能MUCHO-EVとのダイヤルアップVPN接続が可能 MUCHO-EVとのダイヤルアップVPN接続が可能 (接続拠点数に応じて、ライセンスフィーが必要) (接続拠点数に応じて、ライセンスフィーが必要)(接続拠点数に応じて、ライセンスフィーが必要) (接続拠点数に応じて、ライセンスフィーが必要) 価 格 価 格価格 価 格 ファイアーウオール+VPNオプションソフトウェア ファイアーウオール+VPNオプションソフトウェアファイアーウオール+VPNオプションソフトウェア ファイアーウオール+VPNオプションソフトウェア ALCATEL ALCATELALCATEL ALCATEL FortKnox FortKnoxFortKnox FortKnox F-5000F-5000F-5000F-5000 標準価格1,860,000円~ 標準価格1,860,000円~標準価格1,860,000円~ 標準価格1,860,000円~ 同時接続:300拠点 同時接続:300拠点同時接続:300拠点 同時接続:300拠点 MUCHO-EVとのダイヤルアップVPN接続が可能 MUCHO-EVとのダイヤルアップVPN接続が可能MUCHO-EVとのダイヤルアップVPN接続が可能 MUCHO-EVとのダイヤルアップVPN接続が可能 (接続拠点数に応じて、ライセンスフィーが必要) (接続拠点数に応じて、ライセンスフィーが必要)(接続拠点数に応じて、ライセンスフィーが必要) (接続拠点数に応じて、ライセンスフィーが必要)
古河電工VPN対応製品ラインアップ
VPNクライアントソフト(発売予定) VPNクライアントソフト(発売予定)VPNクライアントソフト(発売予定) VPNクライアントソフト(発売予定) 古河電工 古河電工古河電工 古河電工 INFONET-VPN Client INFONET-VPN ClientINFONET-VPN Client INFONET-VPN Client48 <特長> ●IPSec準拠のVPN対応アクセスルータ。 ●専用線、フレームリレー、ISDN、 アナログ回線のように、さまざまな回線サービスで VPNを利用することが可能です。 ●業界初のダイヤルアップルータによる、 IPSec通信を実現しております。 ●最大で16拠点とVPN通信が可能です。 ●Webブラウザによる簡単設定・運用が可能です。 (日本語表示) ●x.509v3、3DESは対応予定。
製品紹介
① ① ① ①VPN対応アクセスルータ MUCHO-EVVPN対応アクセスルータ MUCHO-EVVPN対応アクセスルータ MUCHO-EVVPN対応アクセスルータ MUCHO-EV49 <特長> ●センタ拠点に最適なIPSec準拠のVPN専用機 です。 ●WANインタフェースを持たないため、回線種別 を問いません。 ●弊社アクセスルータMUCHO-EVとの、 ダイヤルアップVPN通信が可能です。 ●最大で100拠点のVPN同時通信が可能です。 (登録拠点は500まで) ●Webブラウザによる簡単設定・運用が可能です。 (日本語表示) ●x.509v3、3DES、冗長機能はサポート予定。 ②VPNボックス INFONET-VP100 ②VPNボックス INFONET-VP100 ②VPNボックス INFONET-VP100 ②VPNボックス INFONET-VP100
50 <特長> ●アプリケーションゲートウェイ方式を採用した Box型ファイアウォール専用機です。 ●オプションにより、IPSec準拠のVPNに対応 することが可能です。 ●弊社アクセスルータMUCHO-EVとの、 ダイヤルアップVPN通信が可能です。(オプション) ●専用のクライアントソフト(オプション)により、 モバイルでのVPN通信が可能です。 ●Webブラウザによる簡単設定・運用が可能です。 ③ファイアウォール ③ファイアウォール ③ファイアウォール ③ファイアウォール FortKnox FortKnoxFortKnoxFortKnox FシリーズFシリーズFシリーズFシリーズ
51 <特長> ●windows95、98、NT、2000に対応したIPSec準拠の VPNクライアントソフトです。 ●このソフトウェアを利用することにより、MUCHO-EV、 INFONET-VP100とのVPN通信が可能です。 ●操作性が良く、VPN通信とInternetアクセスを同時に 利用することが可能です。 ●WindowGUIによる簡単設定・運用が可能です。 ●X.509電子認証対応。 ④VPNクライアントソフト ④VPNクライアントソフト ④VPNクライアントソフト ④VPNクライアントソフト INFONET-VPN ClientINFONET-VPN ClientINFONET-VPN Client(発売予定)INFONET-VPN Client
52 <特長> 1.IPSecによるVPNネットワークを安価に構築することが可能です。 2.ダイヤルアップルータを利用したVPN通信が可能です。(業界初) 3.モバイルユース向けにクライアントソフトもご用意しております。 4.NATを利用したVPN通信が可能であるため、既存LANのアドレス 体系をそのまま利用することが可能です。 5.ファイアウォールを必要とする場合でも、一体型の対応製品をご用 意しております。
古河電工VPNソリューションの特長
53 日経コミュニケーション 日経コミュニケーション日経コミュニケーション 日経コミュニケーション 1999.8.2号にて、相互接 1999.8.2号にて、相互接1999.8.2号にて、相互接 1999.8.2号にて、相互接 続性の検証を実施。 続性の検証を実施。続性の検証を実施。 続性の検証を実施。 ↓ ↓ ↓ ↓ 15製品中、第2位のポイント 15製品中、第2位のポイント15製品中、第2位のポイント 15製品中、第2位のポイント を獲得。 を獲得。を獲得。 を獲得。 対象製品:MUCHO-EV 対象製品:MUCHO-EV対象製品:MUCHO-EV 対象製品:MUCHO-EV
相互接続性について
54 ・VPNetテクノロジーズ「VSU1010」 (VPN専用装置) ・インターネット・デバイシーズ(IDI)「FortKnox」 (VPNファイアーウオール) ・タイムステップ「PERMIT/Gate4520」 (VPN専用装置) ・米IRE「SafeNet/Soft-PK」 (VPNソフトウエア) ・シスコ・システムズ「CISCO1720」 (VPNルータ) ・インテル「VPN Gateway Plus」 (VPN専用装置) ・ノーテル・ネットワークス「Contivity Extranet Switch」 (VPN専用装置) ・ラドガード「CIPm-VPN」 (VPNN専用装置) ・レッドクリーク・コミュニケーションズ「Ravlin10」 (VPN専用装置) ・スターネット「STAR-Gateware」 (VPN専用装置) ・ウオッチガード・テクノロジーズ「FireBoxⅡ」 (VPNファイアーウオール) ・アクセント・テクノロジーズ「RaptorFirewall」 (VPNファイアーウオールソフトウエア) ・セキュア・コンピューティング「Sidewinder Security Server」 (VPNファイアーウオールソフトウエア) ※ 上記結果は、専用線接続での実績になります。
接続確認製品
55
古河電工のVPNボックス
『INFONET-VP100』
が、日本初
の
ICSA
(International Computer Security Association)認定を取得
。ICSAのサイト
ICSA認定取得
56 ... . インターネット VPNクライアント VPNクライアント 社内サーバ ファイアウォール 社内イントラネット 社外WEBサーバ ルータ 各事業所、営業所 VP100 モバイル 部課長(出張先) ダイアルアップ 部課長(自宅) 小規模営業所 インターネッ ト接続ルータ 社内サーバ 2000年4月運用開始 VP100をインターネット接続セグメント に配置し、外部からVPNを利用した 低コストでセキュアなアクセスを提供。 自宅、出張先(海外含む)から 会社のe-mail、サーバアクセスを提供 コスト比較(例) 米国出張時ホテルから30分接続 従来: 5000円(国際電話代) VPN: 300円
