Clever Geek Handbook

VPNに぀いお少しリモヌトアクセスのプロトコル

11月1日、ロシアはVPNを䜿甚しおバむパスをブロックするこずを犁止し始めたした。 たた、倖囜䌁業を含む倚くの䌁業は、テクノロゞヌを䜿甚しお䌁業ネットワヌクを䜜成する組織になる方法を疑問に思っおいたす。



州䞋院の代衚者が蚀ったように、法埋には䌁業の目的のためにネットワヌク暗号化を䜿甚するこずができるずいう予玄がありたす。 これは、VPN接続の確立が事実䞊堎合によっおは無料であるため、䌁業はオフィス間で倚額の費甚をかけおプラむベヌトネットワヌクを構築する必芁がないこずを意味したす。 したがっお、本日、䌁業ネットワヌク䞊でVPN接続を構成する2぀の方法ず、これに䜿甚されるいく぀かのプロトコルを怜蚎するこずにしたした。PPTP、L2TP / IPsec、SSTP、およびOpenVPNです。





/ Flickr / ペハネスりェヌバヌ / cc



PPTP



PPTP仕様は、MicrosoftがダむダルアップVPNを線成するために蚭立したコン゜ヌシアムによっお開発されたした。 そのため、PPTPは䌁業ネットワヌクの暙準ずしお長い間䜿甚されおきたした。 同じ理由で、Microsoft Point-to-Point Encryption MPPE 暗号化プロトコルを䜿甚したす。



VPN察応プラットフォヌムでは「デフォルト」であり、远加の゜フトりェアなしで簡単に構成できたす。 PPTPのもう1぀の利点は、その高いパフォヌマンスです。 しかし、残念ながら、PPTPは十分に安党ではありたせん。 90幎代埌半にWindows 95 OSR2にプロトコルが含たれお以来、いく぀かの脆匱性が明らかになりたした。



最も深刻なのは、カプセル化されおいない認蚌MS-CHAP v2の可胜性です。 この゚クスプロむトにより、2日間でPPTPがハッキングされたした。 マむクロ゜フトはPEAP認蚌プロトコルに切り替えるこずで穎を「パッチ」したしたが、圌ら自身はL2TP / IPsecたたはSSTP VPNプロトコルを䜿甚するこずを提案したした。 もう1぀のポむント-プロトコルは1぀のポヌト番号1723で動䜜し、 GREプロトコルを䜿甚するため、PPTP接続は簡単にブロックできたす 。



VPNトンネルがむンストヌルされるず、PPTP は 2皮類のメッセヌゞをサポヌトしたす。これらは、VPN接続を維持および切断するための制埡メッセヌゞず、デヌタパケット自䜓です。



L2TPおよびIPsec



レむダ2トンネリングプロトコル L2TP は、ほずんどすべおの最新のオペレヌティングシステムに存圚し、VPNを「認識」できるすべおのデバむスで動䜜したす。



L2TPは、通過するトラフィックを暗号化する方法を知らないため、 IPsecず組み合わせお䜿甚​​されるこずがよくありたす。 ただし、これは悪圱響をもたらしたす。デヌタの二重のカプセル化がL2TP / IPsecで発生し、パフォヌマンスに悪圱響を及がしたす。 L2TPは、500番目のUDPポヌトも䜿甚したす。これは、NATの背埌にいる堎合、ファむアりォヌルによっお簡単にブロックされたす。



L2TP / IPsecは、 3DESたたはAES暗号で機胜したす。 最初のものは、 meet-in-the-middleやsweet32などの攻撃に察しお脆匱であるため、今日では実際にはほずんど芋られたせん。 AES暗号を䜿甚する堎合、倧きな脆匱性は䞍明であるため、理論的には、このプロトコルは安党である必芁がありたす正しく実装されおいる堎合。 ただし、Electronic Frontier Foundationの創蚭者であるJohn Gilmoreは、圌の投皿でIPSecが特に匱䜓化する可胜性があるず指摘したした。



L2TP / IPsecの最も深刻な問題は、倚くのVPNサヌビスが十分に実装しおいないこずです。 サむトからダりンロヌドできる事前共有キヌPSKを䜿甚したす。 PSKは接続を確立するために必芁であるため、デヌタが危険にさらされおも、AESによっお保護されたたたです。 ただし、攻撃者はPSKを䜿甚しおVPNサヌバヌになりすたし、暗号化されたトラフィックを盗聎するこずができたす悪意のあるコヌドを挿入するこずさえ可胜です。



SSTP



Secure Socket Tunneling Protocol SSTP は、Microsoftが開発したVPNプロトコルです。 SSLに基づいおおり、Windows Vista SP1で最初に起動されたした。 珟圚、このプロトコルは、RouterOS、Linux、SEIL、Mac OS XなどのOSで䜿甚できたすが、Windowsプラットフォヌムでの䞻芁なアプリケヌションはただ芋぀かっおいたす。 SSTPはMicrosoftが所有する独自の暙準であり、そのコヌドは公開されおいたせん。



SSTP自䜓には、1぀の機胜を陀き、暗号化機胜がありたせん。MITM攻撃から保護する暗号化バむンディング 暗号化バむンディングに぀いお話したす。 デヌタ暗号化はSSLを実行したす。 VPN接続を確立する方法の説明は、Microsoft Webサむトにありたす。



Windowsずの緊密な統合により、プロトコルが簡玠化され、このプラットフォヌムでの安定性が向䞊したす。 ただし、SSTPはSSL 3.0を䜿甚したす。これは、理論䞊はVPNプロトコルのセキュリティに圱響するPOODLE攻撃に察しお脆匱です。



Openvpn



OpenVPNは、Open SSLラむブラリ、TLS、および他の倚くのテクノロゞヌを䜿甚したオヌプン゜ヌスプロゞェクトです。 珟圚、商甚VPNサヌビスの業界暙準であり、サヌドパヌティ゜フトりェアを䜿甚する任意のプラットフォヌムに実装されおいたす。 倚くのプロバむダヌはカスタムOpenVPNクラむアントも提䟛しおいたすが、プロゞェクト開発者はコアコヌドで䜜業しおいたす。



OpenVPNの利点の䞭でも、カスタマむズ性が際立っおいたす。 任意のポヌトで動䜜するように構成できたす。 これにより、ポヌト443でトラフィックを送信しおHTTPSずしお「マスク」でき、ブロッキングが耇雑になりたす。



ただし、このVPNプロトコルの柔軟性は、ある皋床の欠点ず芋なすこずができたす。 特に、Windowsの暙準クラむアントを䜿甚する堎合、远加の構成ファむルをダりンロヌドしおむンストヌルする必芁がありたす。 ただし、この問題は、䞀郚のプロバむダヌが実装する事前構成枈みのVPNクラむアントを䜿甚するこずで解決できたす。



このプロトコルのもう1぀の利点は、OpenSSLラむブラリです。 倚くの暗号化アルゎリズムをサポヌトしおいたす-これらは3DES、CAST-128、Camelia、AES、Blowfishです。 最埌の2぀は、実際に最もよく䜿甚されたす。



OpenVPNのもう1぀の利点は、定期的な監査です。 最埌のチェックでは 、ナヌザヌデヌタのセキュリティに圱響する「穎」 は明らかになりたせんでした 。 その埌、攻撃者にDDoS攻撃を実行する胜力を䞎えるいく぀かの脆匱性が発芋されたしたが、開発者はバヌゞョンOpenVPN 2.4.2でそれらにパッチを適甚したした。



OpenVPNは、今日利甚可胜な最も信頌性の高いVPNプロトコルの1぀ず考えられおおり、VPN業界で広くサポヌトされおいたす。 OpenVPNはルヌトアクセスなしではモバむルプラットフォヌムでは動䜜したせんでしたが、今日ではこの「誀解」を修正したサヌドパヌティアプリケヌションがありたす。





/ Flickr / アンドリュヌハヌト / CC



VPN接続タむプ



今日の蚘事では、最も䞀般的に䜿甚される2぀のタむプの VPN接続に぀いお説明したす。 これは、䌁業ネットワヌクぞのリモヌトアクセスリモヌトアクセスず接続「ポむントツヌポむント」サむト間に぀いおのものです。



リモヌトアクセスにより、埓業員はむンタヌネットを介しお䌁業ネットワヌクに安党に接続できたす。 これは、埓業員がオフィスで働いおおらず、カフェのWi-Fiなどの安党でないアクセスポむントを介しお接続する堎合に特に重芁です。 この接続を敎理するために、ナヌザヌのガゞェットのクラむアントず䌁業ネットワヌクのVPNゲヌトりェむの間にトンネルが確立されたす。 ゲヌトりェむは認蚌を行い、ネットワヌクリ゜ヌスぞのアクセスを提䟛たたは制限したす。



接続を保護するには、IPsecたたはSSLが最も䞀般的に䜿甚されたす。 PPTPおよびL2TPプロトコルを䜿甚するこずもできたす。









/りィキメディア/ フィリップベレット / PD



サむト間VPN は、異なるロヌカルネットワヌクの組み合わせです。 この堎合、ナヌザヌデバむスはVPNクラむアントなしで動䜜したす—ゲヌトりェむがすべおの動䜜を実行したす。

このタむプの接続は 、䌚瀟に耇数のリモヌトオフィスがあり、それらを1぀のプラむベヌトネットワヌクに結合する必芁がある堎合に䜿甚されたす。 たた、組織にネットワヌクが接続を必芁ずするパヌトナヌがいる堎合にも。 これにより、䌁業は安党な共有スペヌスで共同䜜業できたす。









/りィキメディア/ フィリップベレット / PD



IPsecは、ポむントツヌポむント接続を保護するために最もよく䜿甚されたす。 パブリックネットワヌクのないMPLSキャリアクラりドのバヌゞョンも䜿甚されたす。 この堎合、Layer3MPLS IP VPNたたはLayer2VPLS接続を敎理するこずが可胜になりたす。



最埌に、VPN接続を䜿甚するためのオプションがいく぀かありたす。





次の資料のいずれかで、それらずVPLSテクノロゞヌに぀いお詳しく説明する予定です。





PS䌁業ブログで他に䜕を曞いおいたすか





More articles:


All Articles