ミニマムで理解するVPN

に公開
network
VPN
tech

VPN とは?

「Virtual Private Network(仮想プライベートネットワーク)」の略。

インターネット(公衆ネットワーク)の上に、
あたかも専用回線があるかのように安全な通信ルートを仮想的に構築する技術のこと。

トンネル

仮想の専用線のこと。
データがトンネルを通ることで、第三者からの盗聴や改ざんからデータを保護できる

トンネル内のデータは暗号化されるため、盗聴された場合も読み取られない

VPN が解決する課題

  • リモートワークにおいて、あたかも会社のオフィスにいるかのように通信できる
  • 離れたオフィスをつなぐ際の専用線よりも低コストで導入できる
  • プライバシー保護 (今どきのブラウザに導入されてるけど使うことある?)

VPN の概念図

  • ピンクが VPN 関連資材
  • 青点線が VPN トンネルでクライアントからサーバまでを貫通しているイメージ
  • わかる人向けの情報
    • VPN クライアント方式
    • スプリットトンネル有
    • NAT 省略

VPN クライアント

自身の PC やスマホなど VPN に接続する際に使用するデバイス側のソフトウェア

VPN サーバー

トンネルを管理するサーバのこと (ゲートウェイ的な)
VPN 全体の品質・セキュリティに大きな影響を与える

~~ 昨今よく言われる VPN 老朽化による侵入はこの子が攻撃されてる ~~

役割

  • クライアント認証
  • 暗号化: VPN サーバーとクライアントの間でデータを暗号化
  • トラフィック+セッション管理と制御: 接続の維持・終了を制御

VPN の仕組み

認証 ⇒ トンネルの確立 ⇒ 暗号化 ⇒ カプセル ⇒ トンネリング

認証

VPN 利用者のログイン情報の検証

認証方式は下記の通り

  • ユーザー・パスワード認証
  • 多要素認証(MFA)
  • デジタル証明書による認証(PKI など)

暗号化

DES、3DES、AES などの暗号化アルゴリズムを使用し、通信内容の盗聴や改ざんを防ぐ

カプセル化

暗号化データをさらに別のプロトコルで包み込む
宛先情報もカプセル化の際に付与する

トンネリング

カプセル化したデータに IP が付与され、VPN ルータ間でデータが送信される
筆者もしばらく誤解していましたが、

  • トンネリング自体が物理的な盗聴を防ぐわけではない
  • トンネルの中の 「暗号化」が情報の安全を守る

トンネルの特徴

  • カプセル化を解除できるのが送信先の VPN ルータのみ
  • 途中で盗聴されても内容が分からない仕組み

VPN の種類

利用形態 (詳しくないので書けない)

  • インターネット VPN: 手軽で低コスト
  • エントリー VPN: より安全で高コスト

インターネット VPN は、既存のインターネット回線を利用して VPN を構築する方法

  • メリット: 既存のインターネットを利用するため、導入費用が専用線よりも安価に開始できる
  • デメリット:
    • 回線が混雑すると速度が不安定になる
    • 理論上は第三者に盗聴されるリスクがある (ただし暗号化で防止している)

専用線 VPN は、通信プロバイダの提供する閉域網で VPN を構築する方法

  • メリット:
    • インターネットを経由しないため、セキュリティ的に安全
    • 回線が安定する
  • デメリット:
    • 費用が高価になる

接続方式

  • クライアント VPN
  • サイト間 VPN

クライアント VPN

自分の PC やスマートフォンなど「個人のデバイス」から、VPN 接続する方式

サイト間 VPN

複数のオフィスやデータセンターなどネットワーク同士を VPN 接続する方式

SSL-VPN vs IPsec-VPN

SSL-VPN と IPsec-VPN の違い

特徴 IPsec-VPN SSL-VPN
階層 ネットワーク層(L3) セッション層 L5
セキュリティ 手軽さ。
導入費用 高価。NW 構成の見直しが必要になる場合も。 比較的安価
主な用途 サイト間 VPN 向き クライアント VPN 向き

プロトコルごと特徴

プロトコル名 セキュリティレベル 通信速度 特徴 個人的な推奨度
PPTP 低い (脆弱性あり) 速い 設定が非常に簡単 非推奨
L2TP/IPsec 高い やや遅い 非推奨
IKEv2/IPsec 高い 普通 安定性高 推奨
WireGuard 非常に高い 速い 最新、今後の標準候補 推奨

おまけ ゼロトラスト NW

ゼロトラストネットワークは、セキュアな通信をする上で対抗馬になるテクノロジー
ネットワークの内外を問わず、ユーザー、デバイス、App のアクセス要求を常に検証・認証し、必要最小限のアクセス権のみを付与する方式。

VPN 「一度信頼すれば、あとは自由」という考え方
ゼロトラスト「何も信頼しない、常に検証する」という考え方

感想

仮想系の説明するときに「あたかも ○○ のように XX できること」が便利すぎる

Discussion