ローカル練習問題(SSL-VPN)

←クリックください。
目標で見える作品を、実際に自身のコンピュータの中へ、ssl-vpn.htmのファイル名で作成してみましょう。


なお 当サイトと同等の支援機能を持つテキスト編集ソフトを起動させるプログラムがあり、 それは ここよりダウンロードできます。


目標で使用している文章を以下に示します。

SSL-VPN(Secure Sockets Layer-Virtual Private Network)
以下でVPN(Virtul Private Network)を簡単分類します。これは、個人専用のように使える仮想的なネットワークです。

専用サービス網を利用するVAN IP-VPN ネットワーク層でカプセル化 
広域Ethernet(またはL2-VPN) データリンク層でカプセル化 
インターネットを利用するVPN IPsec ネットワーク層、トランスポート層でカプセル化 
SSL-VPN セッション層でカプセル化 
PPTP(Point to Point Tunneling Protocol) PPTPゲートウェイ間でカプセル化 
L2TP(Layer 2 Tunneling Protocol) データリンク層でカプセル化 

以下で、上記のSSL-VPNに付いて説明します。これは接続間の暗号化技術にSSL(Secure Sockets Layer)を使用している方式で、専用のクライアント・ソフトウェアを必要とせず、標準的なWebブラウザさえあれば、だれでも簡単にSSL-VPNを利用できます。

IPSecのVPNは非常に自由度が高いのですが、会社のVPNゲートウェイと接続する場合、リモート接続を行うユーザーの全てで対応するルータを使うか、専用のソフトウェアの導入が必要となり、設定も煩雑です。
対してSSL-VPNは、標準的なWebブラウザだけで簡単に使える利便性があります。
逆に使えるのは基本的にHTTPを介するアプリケーションに限られます。しかし近年は、HTTPへ変換するモジュールの追加で、HTTPプロトコル以外のアプリケーションも使うケースが増えています。 

一般には、SSL-VPNゲートウェイと呼ばれる装置を、主にDMZの部分に配置します。
DMZには、企業システム内部からの外部へのゲートウェイとなるプロキシ・サーバや、外部公開向けのサーバが配置されているが、ここにSSL-VPNゲートウェイを配置して、外部からのSSL-VPN接続要求を内部へ配信し直す処理が行われます。 

以下に Aさんがインターネットブラウザで、BのWebサーバーに接続して、SSLで接続する場合の動作概要を示します。
(サーバー側のみの認証例ですが、クライアントから証明書を送ることでクライアント認証も可能。)
ステップ1 Aが、Bに接続するとサーバー証明書が得られます。これでサーバーの認証を行いサーバーのなりすましを防ぎます。サーバー証明書を、ブラウザが持つ認証局の公開鍵で復号できれば、サーバー認証ができたことになります。同時にこれで、サーバーの公開鍵が取り出せます。
ステップ2 共有鍵生成用のデータを、取り出した公開鍵で暗号化してサーバーBに送ります。
ステップ3 サーバーBでは、秘密鍵で復号したデータで共有鍵を生成します。
これで、AとBで暗号に使う共有鍵が用意されました。
ステップ4 これを使ってAとBの間で暗号通信が行われます。この時、ブラウザ側のアドレス欄はhttps://〜 の表示に変わります。