48.7. 仮想プライベートネットワーク(VPN)
多くの場合、Satellite オフィスが複数ある組織は、転送中の機密データの効率や保護のために、専用ラインで相互に接続することがよくあります。たとえば、多くのビジネスでは、フレームリレーまたは 非同期転送モード (ATM)行をエンドツーエンドネットワークソリューションとして使用し、1 つのオフィスを他のオフィスにリンクします。これは特に、エンタープライズレベルの専用デジタルサーキットに関連する高費用を支払うことなく拡張したい小規模中規模の企業(SMB)の場合は、高価な価値があります。
このニーズに対応するために、仮想プライベートネットワーク (VPNs)が開発されました。専用のサーキットと同じ機能原則に従い、VPNは 2 人の当事者(またはネットワーク)間の安全なデジタル通信を可能にし、既存の ローカルエリアネットワーク(LAN)からWAN( Wide Area Network )を作成できます。フレームリレーまたは ATM の相違点はトランスポートメディアにあります。VPNは、データグラムをトランスポート層として使用して IP 経由で送信し、インターネットを介したセキュアなコンジットを目的の宛先に送信します。ほとんどのフリーソフトウェア VPN 実装には、転送中のデータをさらにマスクするためのオープン標準暗号化方法が組み込まれています。
一部の組織では、ハードウェア VPN ソリューションを使用してセキュリティーを強化し、ソフトウェアやプロトコルベースの実装を使用するものもあります。いくつかのベンダーは、Cisco、Nortel、IBM、Checkpoint などのハードウェア VPN ソリューションを提供します。FreeS/Wan と呼ばれる Linux 用の無料ソフトウェアベースの VPN ソリューションがあり、標準化された Internet Protocol Security (IPsec)実装を利用します。これらの VPN ソリューションは、ハードウェアまたはソフトウェアベースであるかに関係なく、あるオフィスから別のオフィスへの IP 接続間に存在する特殊なルーターとして機能します。
48.7.1. VPN の仕組み
クライアントからパケットが送信されると、VPN ルーターまたはゲートウェイを介して送信され、ルーティングおよび認証に 認証ヘッダー (AH)が追加されます。その後、データは暗号化され、最後に Encapsulating Security Payload (ESP)で囲まれます。後者は、復号化および処理の命令を設定します。
受信側の VPN ルーターはヘッダー情報を取り除き、データの復号化を行い、それを目的の宛先(ネットワーク上のワークステーションまたは他のノード)にルーティングします。ネットワーク対ネットワークの接続を使用すると、ローカルネットワーク上の受信側ノードはすでに暗号化解読されいてすぐに処理ができる状態のパケットを受信します。ネットワーク/ネットワーク間 VPN 接続の暗号化/復号化プロセスは、ローカルノードに透過的です。
このような高さのセキュリティーレベルにより、攻撃者はパケットを傍受するだけでなく、パケットも復号化する必要があります。サーバーとクライアント間で中間者攻撃を使用する侵入者は、セッションを認証するために少なくとも 1 つの秘密鍵にアクセスできる必要があります。VPNは、認証と暗号化の複数のレイヤーを使用するため、複数のリモートノードを接続して統一されたイントラネットとして機能する安全かつ効果的な方法です。
