開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2008/03/07

基礎から分かるVPNの最新事情(4)リモートアクセスのメインプレーヤはSSL VPNへ

まずは基礎からしっかりマスター

公衆無線LANや高速モバイルブロードバンドサービスの広がりにより、VPNによるリモートアクセスのニーズは大きな高まりを見せている。中でも、今、最も注目を集めているのがSSL VPNだ。今回は、従来のIPsecベースのVPNが抱える問題点とSSL VPNのメリットについて見ていくことにしよう。

池田冬彦

池田冬彦

AeroVision
富士総合研究所(現みずほ情報総研)のSEを経て、出版業界に転身。1993年からフリーランスライターとして独立しAeroVisionを設立。以来、IT系雑誌、単行本、Web系ニュースサイトの取材・執筆やテクニカル記事、IT技術解説記事の執筆、および、情報提供などを業務とする。主な著書に『これならできるVPNの本』(技術評論社、2007年7月)、『新米&シロウト管理者のためのネットワークQ&A』(ラトルズ、2006年5月)など多数。

IPsecのリモートアクセスにかかる問題

 リモートアクセスの手段として使われるVPNには、PPTP/L2TP、そして、IPsecの3つがある。特に、企業に求められるセキュリティニーズを十分に満たすなら、IPsecが最適であることは、前回解説した通りだ。

 だが、IPsecの認証の仕組みはかなり複雑である(詳細については本連載第2回の記事を参照)が、それに加えてさまざまな問題がある。実は、IPsecの仕様では、リモートアクセスに必要なユーザー認証の仕組みや、ユーザーのアクセス環境に応じたネットワーク情報の設定に関する機能などが規定されていない。

 このため、IPsecでリモートアクセスを行うため、IKE(Internet Key Exchange)の仕様を拡張し、ユーザー認証やネットワーク情報の自動設定のための「IKE-CFG(The ISAKMP Configuration Method:リモートアクセスでIKEを利用するために拡張されたもの)や「XAUTHExtended Authentication within IKE:ワンタイムパスワードやRADIUS認証を行うためのもの)などの仕組みを追加して利用している(図1)。

 これらの具体的な実装についてはベンダーによって差があるため、LAN側とリモートアクセス側とは、同じアクセス環境を用意しておかないと接続できない。単にIPsecだからと言っても相互接続性は保証できないのだ。クライアント側に、ベンダーから配布されるIPsecクライアントソフトをインストールする必要が生じるのは、このためだ。

図1 IPsecの問題点(1)
図1 IPsecの問題点(1)
IPsecクライアントソフトの相互接続性と共に、
バージョンによる接続障害などの問題が発生する


IPsecはルータを超えられない?

 IPsecでのリモートアクセスには、もう1つの問題がある。いわゆるルータ越え問題である。たとえば、自宅から会社にIPsecでアクセスしようとした時、自宅のADSLルータやブロードバンドルータは、自宅LANのプライベートアドレスとグローバルアドレス、およびポート番号をNATで相互変換して通信を行っている。

 しかし、IPsecのパケットをNATが書き換えると、パケットが改ざんされたものとして取り扱われてしまう。また、送信元のポート番号やチェックサムなどは暗号化されているため、NATで書き換えることができない。結果として、IPsecで会社に接続することは不能となってしまうのだ。  この問題を解決するため、「IPsecトンネリングモード」や「IPsec NATトラバーサル」といった仕組みが考え出された。しかしながら、これらの技術の実装方法にもいくつかの手法があり、ベンダー間での相互接続性の問題が生じる。さらに問題なのは、これらの仕組みに対応したルータが必要、という点だ(図2)。これを回避する設定方法はあるが、家庭用のルータ製品では設定できないものが多い。つまり、IPsecで接続するためには、今使っているネットワーク機器を買い直さないといけないのだ。

 さらに、リモートアクセスの利用者が接続しているLANにファイアウォールが導入されている場合は、当然ながらIPsecでの通信は不可能だ。IPsecではUDPポート500番、4500番といった特別なポートの通信を許可する必要があるためだ。

図2 IPsecの問題点(2)
図2 IPsecの問題点(2)
IPsecでのアクセスは環境を選ぶ。コネクティビティの問題は
モバイルユースでは深刻なものとなる


VPN・広域イーサ ジャンルのトピックス

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!