IPsecのリモートアクセスにかかる問題
リモートアクセスの手段として使われるVPNには、PPTP/L2TP、そして、IPsecの3つがある。特に、企業に求められるセキュリティニーズを十分に満たすなら、IPsecが最適であることは、
前回解説した通りだ。
だが、IPsecの認証の仕組みはかなり複雑である(詳細については
本連載第2回の記事を参照)が、それに加えてさまざまな問題がある。実は、IPsecの仕様では、リモートアクセスに必要なユーザー認証の仕組みや、ユーザーのアクセス環境に応じたネットワーク情報の設定に関する機能などが規定されていない。
このため、IPsecでリモートアクセスを行うため、IKE(Internet Key Exchange)の仕様を拡張し、ユーザー認証やネットワーク情報の自動設定のための「IKE-CFG(The ISAKMP Configuration Method:リモートアクセスでIKEを利用するために拡張されたもの)や「XAUTHExtended Authentication within IKE:ワンタイムパスワードやRADIUS認証を行うためのもの)などの仕組みを追加して利用している(
図1)。
これらの具体的な実装についてはベンダーによって差があるため、LAN側とリモートアクセス側とは、同じアクセス環境を用意しておかないと接続できない。単にIPsecだからと言っても相互接続性は保証できないのだ。クライアント側に、ベンダーから配布されるIPsecクライアントソフトをインストールする必要が生じるのは、このためだ。
|
図1 IPsecの問題点(1)
|
IPsecクライアントソフトの相互接続性と共に、
バージョンによる接続障害などの問題が発生する
|
IPsecはルータを超えられない?
IPsecでのリモートアクセスには、もう1つの問題がある。いわゆるルータ越え問題である。たとえば、自宅から会社にIPsecでアクセスしようとした時、自宅のADSLルータやブロードバンドルータは、自宅LANのプライベートアドレスとグローバルアドレス、およびポート番号をNATで相互変換して通信を行っている。
しかし、IPsecのパケットをNATが書き換えると、パケットが改ざんされたものとして取り扱われてしまう。また、送信元のポート番号やチェックサムなどは暗号化されているため、NATで書き換えることができない。結果として、IPsecで会社に接続することは不能となってしまうのだ。
この問題を解決するため、「IPsecトンネリングモード」や「IPsec NATトラバーサル」といった仕組みが考え出された。しかしながら、これらの技術の実装方法にもいくつかの手法があり、ベンダー間での相互接続性の問題が生じる。さらに問題なのは、これらの仕組みに対応したルータが必要、という点だ(
図2)。これを回避する設定方法はあるが、家庭用のルータ製品では設定できないものが多い。つまり、IPsecで接続するためには、今使っているネットワーク機器を買い直さないといけないのだ。
さらに、リモートアクセスの利用者が接続しているLANにファイアウォールが導入されている場合は、当然ながらIPsecでの通信は不可能だ。IPsecではUDPポート500番、4500番といった特別なポートの通信を許可する必要があるためだ。
|
図2 IPsecの問題点(2)
|
IPsecでのアクセスは環境を選ぶ。コネクティビティの問題は
モバイルユースでは深刻なものとなる
|