【MCPC1級】4章 モバイルリモートアクセスとネットワークセキュリティ ＜PART.23＞

インターネット回線を利用し、モバイル端末側のVPNクライアント(VPNソフトウェア)と、企業ネットワーク側のVPNゲートウェイ間に、インターネットVPNを構築し直接セキュアに接続するタイプをなんというか。

リモートアクセスVPNタイプ

対向するサイトのVPNゲートウェイ同士を、VPNでセキュアに接続する。移動体通信事業者／無線LAN通信事業者と企業ネットワーク間に、IP-VPN･広域イーサネット・インターネットVPN等を構築し、モバイルネットワークと企業ネットワークをセキュアに接続するタイプを何というか。

サイト間VPNタイプ

インターネットVPNは[A]化(トンネリング)と暗号化によりセキュリティを確保する。また、モバイル端末は紛失・盗難のリスクも高いため、[B]技術も必須である。

[A]：カプセル
[B]：ユーザ認証

SSL-VPNは、クライアントから企業ネットワークのSSL-VPNゲートウェイまでを、無線LANやモバイルインターネットを介して、SSL(Secure Socket Layer)による[A]層レベルでVPNを構築する技術である。

[A]：セッション

SSLのセキュリティプロトコル機能は[A]などに組み込まれており、HTTPを保護するためにHTTPSプロトコルによって暗号化される。SSL-VPNゲートウェイは[B]プロキシとして動作し、SSL-VPNゲートウェイから企業のサーバへ[C]として振り分けられる。暗号化には[D]が採用されている。HTTP以外のプロトコルは標準化された方法ではなく、JavaアプレットやActiveXで対応する必要がある。

[A]：Webブラウザ
[B]：リバース
[C]：HTTP
[D]：AES(Advanced Encryption Standard)

端末の紛失・盗難の対策として、セキュリティ強化技術を挙げよ。

ゲートウェイ証明書
クライアント証明書(USBメモリやICカード)
ワンタイムパスワード認証
生体認証
デバイス認証　　等

SSL-VPNのメリットは、クライアント側は特別なソフトウェアインストールが必要なく、SSL対応Webブラウザのみで実現可能であること。セッション層と[A]層(TCP)を使用するため[B]の必要がないこと。既存の[C]への新たな設定は不要であること。である。

[A]：トランスポート
[B]：IPヘッダ付加
[C]：FW

SSL-VPNのデメリットは、仕様が[A]化されていないため、ゲートウェイ製品によって方式が異なり対応アプリケーションが異なること。[B]や[C]ポートなどを使用するアプリケーションには対応していない場合があること。等である。

[A]：標準
[B]：UDP
[C]：動的TCP

IPsec-VPNは、クライアントから企業ネットワークのIPsec-VPNゲートウェイまでを、無線LANやモバイルインターネットを介して、IPsec(IP security)による[A]層レベルでVPNを構築する技術である。企業の[B]にIPsec-VPNゲートウェイを設置し、小規模拠点間をIPsec-VPNで接続することにも活用される。

[A]：ネットワーク
[B]：2拠点LAN

IPsec-VPNのセキュリティは、暗号化[A]とグローバルアドレスの新IPヘッダを付与し、プライベートアドレスの元IPヘッダを含むIPパケット全体を[B]化することで、企業ネットワークの[C]アドレスのまま通信可能である。暗号化には[D]が使用可能である。

[A]：ESP(Encapsulating Security Payload)ヘッダ
[B]：カプセル
[C]：プライベート
[D]：AES

IPsec-VPNは、[A]鍵(Pre-shared Key、秘密鍵)、ユーザID/パスワード、GW証明書やクライアント証明書による[C]認証などの対策が別途必要である。

[A]：事前共有
[B]：XAUTH(Extended Authentication within IKE)

IPsec-VPNのメリットは、アプリケーションから[A]的にIPネットワークを利用できるため、どのアプリケーションでも利用可能であること。デメリットとしては、企業ネットワーク側に専用の[B]が必要であること、クライアントには同一ベンダのIPsec-VPNクライアントソフトウェアが必要なこと、FWにESPプロトコルとIKEポートを許可する設定や[C]機能が必要なこと等、複雑な設定が必要である。

[A]：透過
[B]：IPsec-VPNゲートウェイ
[C]：NATトラバーザル

PPTP-VPN
PPTP(Point to Point Tunneling Protocol)は、[A]標準クライアントなど多くの端末に採用されているトンネリングプロトコルだが、IETFでは標準化されていない。PPTP-VPNは、クライアントから企業ネットワークのPPTP-VPNゲートウェイまでを、無線LANやモバイルインターネットを介して、PPTPによる[B]層レベルでVPNを構築する技術である。また、任意のプロトコルをカプセル化可能な[C]ヘッダとIPヘッダを付与することで、Ethernet、ATM、3G、LTE等の[D]フレームデータをカプセル化可能である。

[A]：Windows
[B]：データリンク
[C]：GRE(Generic Routing Encapsulation)
[D]：PPP(Point to Point Protocol)

PPTP-VPNの暗号化プロトコルには[A]を使用し、暗号化には[B]暗号アルゴリズムを使用する。AES等は使用できないため暗号化の強度は低い。

[A]：MPPE(Microsoft Point to Point Encryption)
[B]：RC4

PPTP-VPNのメリットは、[A]ソフトウェアを利用可能なため、特別なクライアントソフトウェアのインストールが不要である。デメリットとしては、[B]レベルが低い、既存のFWを[C]プロトコル許可するよう設置する必要がある。

[A]：Windows標準
[B]：セキュリティ
[C]：PPTP関連

L2TP/IPsec-VPN
L2TP (Layer2 Tunneling Protocol)は、PPTPと[A]を統合したトンネリングプロトコルで、IETFで標準化されている。L2TP/IPsec-VPNは、クライアントから企業ネットワークのL2TP/IPsec-VPNゲートウェイまでを、L2TP/IPsecによる[B]層レベルでVPNを構築する技術である。[C]プロトコルに対応しているため、L2TPヘッダと[D]ヘッダを付与することによって、EthernetやATM、3G、LTE等のPPPフレームデータをカプセル化可能である。

[A]：L2F(Layer2 Forwarding)
[B]：データリンク
[C]：非IP
[D]：UDPヘッダ

L2TPには暗号化機能がないため、IPsecの暗号化[A]を付与し、PPPフレーム全体を暗号化している。認証プロトコルにはRADIUSサーバを利用する[B]が多用される。

[A]：ESPヘッダ
[B]：MS-CHAPv2

L2TP/IPsec-VPNのメリットは、標準化プロトコルであるため[A]性がある、セキュリティレベルが高い等があり、iphone・Android等スマートデバイスにも標準搭載されるため[B]が増えている。

[A]：互換
[B]：対応機種

IP-VPNは、ルータに実装されるMPLS(Multi-Protocol Label Switching)技術によってレイヤ[A]のVPNを提供する。拠点数が多くても設定が容易である。ルーティングプロトコルは、[B]か[C]のみ利用可能である。

[A]：3
[B]：スタティック
[C]：BGP(Border Gateway Protocol)

広域イーサネットは、スイッチに実装されるVLAN技術によって、レイヤ[A]のVPNを提供する。拠点数が多いと設定が[B]である。ルーティングプロトコルは[C]が利用できる。

[A]：2
[B]：複雑
[C]：任意のもの

IP-VPNと広域イーサネットは、SLA(Service Level Agreement)の対応で、稼働率、[A]時間(MTTR)、[B]時間等、サービス品質保証制度が定められている。

[A]：故障回復
[B]：網内遅延

直収型接続は、移動体通信事業者が提供するサービスで、企業ネットワークへ専用回線等で直接接続し、[A]接続を構築するものである。もっともセキュアな方法であるが、[B]によって専用線の料金が変動してしまう。

[A]：閉域
[B]：収容局の距離

ダイヤルアップ接続は、加入電話回線を利用し、企業ネットワーク内の[A]に接続する方法である。接続回線・[A]装置を自社設備として構築する方法や、通信事業者が提供するマルチキャリアに対応した[B]サービスを利用する方法などがある。通信時間や距離によって[C]が変動する場合が多く、現在はあまり活用されていない。

[A]：RAS(Remote Access Server)
[B]：リモートアクセス
[C]：通信費