VPN 接続の仕組みを学ぼう|研修コースに参加してみた
今回参加したコースは VPN 接続の仕組みを学ぼう です。
新型コロナのパンデミックにともない、自宅などから会社に VPN で接続することが一般的になりましたね。そんな背景もあってコースの参加人数は多く、とっても人気です!
では、 VPN はどんな仕組みかと聞かれると、なにかよくわからないけど、インターネットから会社内につながって、暗号化されていて … と、フワっとしか答えられなかったりしませんか? 少なくとも私はそうです。
今回のコースでは、そんな VPN がどんな仕組みになっているのか、そのプロトコルとネットワークエミュレーターを使って、実際に VPN 接続をライブコーディングならぬライブ構築でデモンストレーションいただきました。
では、どのような内容だったのか、レポートします。
もくじ
コース情報
| 想定している受講者 |
|
|---|---|
| 受講目標 |
|
講師
コースの講師はネットワークのカテゴリでは登壇の多い Gene さんです。
前回レポートした 「 WAN とインターネットの違い ~ WAN の構築 研修コースに参加してみた」でも体系立てて説明されましたが、今回も無理をせず、プライベートネットワークとインターネットの復習からコースがスタートしました。
VPN とは
プライベートネットワークとインターネットの違いを復習してから、本題の VPN に入ります。
- VPN とは「データを暗号化してインターネット経由で安全に通信する」ことではない!
- Virtual Private Network という言葉に暗号化などという言葉は入っていない
- VPN とは様々なユーザが使っているネットワークを、専用のプライベートネットワークであるかのように扱える技術
初っ端からフワッとした「なにかよくわからないけど、インターネットから会社内につながって、暗号化されていて … 」という理解を正されました … スイマセンスイマセン。
VPN 接続の仕組み
- 転送データに VPN 用のヘッダをつけてカプセル化している
- 新しいヘッダをつけて転送することを “トンネリング” という
- 付加したヘッダの宛先以外には転送されない
なるほど、ヘッダで制御しているんですね。確かに昔、教えられて訳もわからず開発用サーバにトンネリングの設定をしたことを思い出しました。
VPN の分類
大まかな仕組みがわかったところで、 VPN の接続方法に解説が進みます。
- 2 つ接続方法がある
- キャリアが用意する WAN サービス (キャリア VPN )
- インターネット VPN
WAN サービス
- 自社だけないユーザも使っているが、自社のデータは他の企業に流れない
- WAN サービスだって VPN !!
- 提供元の通信キャリアが制御している
- MPLS というプロトコルを使っている
安心材料がいっぱいですが、ちなみにいくらぐらいするのでしょうか。
インターネット VPN
- インターネットを自社専用のプライベートネットワークとして利用できる技術
- ただ自社のネットワークをインターネットに繋げるだけで拠点間は繋がらない
- 企業内はプライベートアドレスだから
- ファイアウォールがあるため、インターネットからプライベートネットワークに入れない
- VPN ゲートウェイを使って、 VPN 用ヘッダをつける
- VPN ゲートウェイ間だけでデータ転送ができる
- 転送先の判断はルーティングテーブルではなく IPsec を使っている
- VPN ゲートウェイ間だけでデータ転送ができる
- それでも悪意のあるユーザが盗聴できてしまうので暗号化する
- ただ VPN ゲートウェイはインターネットから通信可能な状態なので DoS 攻撃などができる
- 専用機器もあるが今はルータに付属していることが多い
本筋とは関係ありませんが、ルータって多機能すぎる … って思ってしまいました。ルータで出来ることを一覧しながら学ぶのも良さそうです。
リモートアクセス VPN を使った接続方法を知ろう
ここからは VPN の中でもインターネット VPN について、その接続方法やプロトコルなどを深堀りしていきます。
- サイトツーサイト VPN
- 拠点間通信をインターネット経由で行う
- VPN ゲートウェイがカプセル化と暗号化
- リモートアクセス VPN
- リモートワークや外出先からプライベートネットワークに入る
- カプセル化と暗号化はクライアントが行う
- 専用ソフトを使う
さすがにリモートワーク先までルータを持ち運ぶことはありませんから、クライアントに専用ソフトが必要なんですね。ちなみに話題の NTT 東日本と IPA のシン・テレワークシステムの Web クライアントはどんな風にやっているんでしょうか。
NTT 東日本 – IPA 「シン・テレワークシステム」 – 2021/08/05 HTML5 版 Web クライアントの公開について
リモートユーザの IP アドレスに注意
- アドレスの設定に注意 !!
- 自宅なら自宅のネットワークのアドレスポリシーがアプライされている
- VPN 用アドレスを追加する
- インターネット VPN 経由でインターネットアクセスをさせるかはポリシーで決めておこう
- インターネットアクセスの履歴も取れるようになる
- 一方で VPN ゲートウェイに負荷がかかる
なるほど、ユーザ数が多いと VPN ゲートウェイで負荷がかかるので、 VPN が遅くなるのですね。
リモートアクセス VPN で使う IPsec を知ろう
どんどん実装よりの話に触れます。今度は IPsec です。
- VPN で使われる暗号化とカプセル化で使われる
- プロトコルを組み合わせたアーキテクチャ
- 主に使われているプロトコルは 2 つ
- IKE (Internet Key Exchange)
- 暗号鍵の共有と更新
- ESP (Encapsulating Security Payload)
- プライベートネットワークのデータのカプセル化と暗号化/改ざんチェック
- IKE (Internet Key Exchange)
IPsec とは
IKE
- 暗号鍵を安全に転送するために公開鍵暗号方式を利用
- IKE フォーズ 1: ISAKMP SA
- データを秘密鍵暗号方式で暗号化
- IKE フェーズ 2: IPsec SA
ESP
- 通常はトンネルモードでカプセル化が行わる
- IP ヘッダに IPsec ヘッダを付加してカプセル化
- もとの IP パケットをラップして新しいアドレスを追加している
VPN 接続 デモ
最後に、これまで学んだことをもとに、 Gene さんが実際に VPN をライブで構築します!
プログラミングではカンファレンスなどでライブコーディングが時々行われ、なかなかドキドキ楽しいものですが、今回はいかがでしょうか。
- インターネットにあるリモート PC から社内の Web サーバにアクセスできるようにする
- IPsec を使ってリモートアクセス VPN を設定する
- IPsec を使ってリモートアクセス VPN を設定する
- Cisco 謹製の Cisco Packet Tracer を使って演習
- フリーソフトウェア
- Easy VPN を使って設定する
- ちなみに全く Easy ではない …
お題
- VPN ゲートウェイで IPsec を設定
- 設定することが多い
- リモート PC から VPN ゲートウェイに接続できるよう VPN ゲートウェイを設定
- 社内の Web サーバに ping してブラウザから Web サーバにアクセスしてページが表示されるか確認
デモ手順
無事に成功しました!
なお、このコースの動画には Cisco Packet Tracer の設定ファイルもダウンロードできて、コマンドのサンプルもあるので上記の手順と同じように構築できます。動画コースをご覧になれる方はぜひお試しください。
最後、 Gene さんが今日の学んだことをまとめて、このコースは修了しました。
まとめ
リモートワーク・テレワークが進む中、リモート先からの仕事を支える技術、 VPN の接続の仕組みを学びました。
いつものように Gene さんが体系立てて順序よく説明いただいたので、フワッとした理解から、自分でもしっかり説明できるほどわかりました!
リモートアクセス案件が増えているいま、タイムリーにその仕組みと負荷のかかるところやセキュリティの実装などがわかるので、 IT エンジニアだけでなくセールス系の方にもオススメのコースでした!
ぜひ今度は VPN の問題点を解決する “ゼロトラスト” を Gene さんから学びたいです !!
label SEカレッジを詳しく知りたいという方はこちらから !!
IT専門の定額制研修 月額28,000円 ~/ 1社 で IT研修 制度を導入できます。
年間 670 コースをほぼ毎日開催中!!
SEプラスにしかないコンテンツや、研修サービスの運営情報を発信しています。