PacketiX VPN 2.0

del.icio.us del.icio.us
Digg Digg
Furl Furl
Reddit Reddit
Rojo Rojo
Add to OnlyWire
PacketiX VPN 2.0
開発元: ソフトイーサ
最新版: 2.0 + Option Pack / 2006年8月
対応OS WindowsLinuxFreeBSDSolarisMac OS X
プラットフォーム x86AMD64Intel 64SPARCPowerPCSH4MIPSARM
種別: VPN
ライセンス プロプライエタリ
公式サイト PacketiX VPN 2.0 Webサイト
ネットワーク・プロトコル
アプリケーション層
DHCP · DNS · FTP · Gopher · HTTP · IMAP4 · IRC · NNTP · XMPP · POP3 · SIP · SMTP · SNMP · SSH · TELNET · RPC · RTCP · RTSP · SSL/TLS · SDP · SOAP · CMIP · STUN · GTP · NTP · EHRP · PX-VPN
トランスポート層
TCP · UDP · DCCP · SCTP · RTP · RSVP · IGMP · PPTP · RUDP · UDP-Lite
ネットワーク層
IP (IPv4 · IPv6) · OSPF · IS-IS · BGP · IPsec · ARP · RARP · RIP · ICMP · ICMPv6 · IGP
データリンク層
802.11 · 802.16 · Wi-Fi · WiMAX · ATM · DTM · トークンリング · イーサネット · FDDI · フレームリレー · GPRS · EVDO · HSPA · HDLC · PPP · SLIP · L2TP · ISDN · SMDS · アークネット
物理層
イーサネット物理層 · モデム · PLC · SONET/SDH · G.709 · OFDM · 光ファイバー · 同軸ケーブル · ツイストペアケーブル

PacketiX VPN 2.0 (パケティックス ブイピーエヌ にーてんぜろ) はソフトイーサによって開発され、2005年12月に発表されたVPNソフトウェアである。有償のソフトウェア製品版と、同等の機能を持つフリーウェア版の2種類のバージョンが存在する。開発中はSoftEther VPN 2.0として呼ばれていた。

VPNプロトコルの名称として、「PacketiX VPNプロトコル」と表現される場合もある。

目次

概要

PacketiX VPN 2.0はインターネットなどのTCP/IPネットワーク上にVPNを構築するためのソフトウェアである。仮想LANカードおよび仮想HUBと呼ばれる手法により、Ethernet仮想化することで、レイヤ2 VPNを構築できる。また、レイヤ3スイッチを仮想化することにより、レイヤ3 VPNを構築できる。独立行政法人情報処理推進機構 (IPA) が主催した平成15年度未踏ソフトウェア創造事業未踏ユース部門のプロジェクトとして開発された成果であるSoftEther 1.0の後継バージョンである。

SoftEther 1.0は登大遊によって個人的に開発されたが、PacketiX VPN 2.0はソフトイーサによって開発され、ソフトウェア製品として出荷されている。

以下、PacketiX VPN 2.0の概要について述べる。


ソフトウェア構成

PacketiX VPN 2.0は以下のようなソフトウェアによって構成されている。


標準的な付属ソフトウェア

PacketiX VPN Server 2.0 (VPN Server)
名前通り、VPNサーバの役割を果たす。ネットワークを経由して、他のコンピュータにインストールされているVPN ClientやVPN Bridgeからの接続を受け付ける。
VPN Serverには複数個の仮想HUBを作成することができ、仮想HUB内でEthernetフレームを交換することができる。また、VPN Serverには仮想HUBに新しいVPNセッションが接続してきた際におけるユーザー認証を行うための認証機能、仮想HUB内を流れるEthernetフレームにセキュリティポリシーやアクセスリストなどを適用するためのセキュリティ機能などを備えている。
VPN Server内の複数の仮想HUB間でIPルーティングを行うために仮想レイヤ3スイッチを複数個作成することもできる。
その他、ローカルブリッジ機能、カスケード接続機能、クラスタリング機能などを備えている。
PacketiX VPN Client 2.0 (VPN Client)
遠隔地にあるVPN Serverの仮想HUBに接続することができる仮想LANカードとしての機能を持ったVPNクライアントソフトウェア。VPN Clientをコンピュータにインストールすることで、VPN Serverが接続されているLANなどに、インターネット経由でリモートアクセスすることができる。
VPN Clientを使用する場合は、仮想LANカードを作成し、その仮想LANカードをVPN Server上で動作している仮想HUBに接続する形式で通信を行う。仮想LANカードと物理的なLANカードとの間でレイヤ2ブリッジを組むことも可能である。
PacketiX VPN Bridge 2.0 (VPN Bridge)
遠隔地で動作しているVPN Serverの仮想HUBにカスケード接続することができる。その状態でVPN Bridgeを動作させているコンピュータ上の物理的なLANカードとの間でローカルブリッジを構成することにより、遠隔地のLAN同士をVPN接続することが可能である。
PacketiX VPN サーバ管理マネージャ
VPN ServerおよびVPN Bridgeに管理モードで接続して管理を行うためのGUI管理ツールである。すべての項目がGUIで設定・管理可能なため、VPN Serverの管理者は難しいコマンドを覚える必要がない。
サーバ管理マネージャはVPN ServerやVPN Bridgeが動作しているサーバコンピュータ上に必ずしもインストールする必要はなく、別の管理用端末 (ノートパソコンなど) にインストールして使用することもできる。この場合はTCP/IPによって管理用のセッションが確立され遠隔管理が行われる。
PacketiX VPN コマンドライン管理ユーティリティ (vpncmd)
vpncmdというコマンド名で呼び出すことが可能なCUIの管理ユーティリティである。原則としてGUIのサーバ管理マネージャで設定可能なすべての項目をvpncmdを用いることでコマンドラインから設定できる。また、コマンドの使用方法などのオンラインヘルプがvpncmd内に内蔵されており、コマンドの自動補完機能もあるため、コマンドを完全に暗記していなくても利用可能である。
主な使い方としては、コマンドラインによる通常の管理作業のほかに、自動生成したスクリプトを読み込ませることによって各種の管理操作を自動化することが可能である。また結果をファイルに書き出すこともできる。

拡張的なソフトウェア

PacketiX VPN 2.0 Administration Pack
VPNを使用するシステム管理者やネットワーク管理者向けの拡張ソフトウェアパックである。簡易インストーラ作成キット、Web インストーラ作成キット、VPN Server SDK for .NET 2.0が含まれている。[1]
PacketiX VPN 2.0ブランド化開発ツールキット
PacketiX VPN 2.0の各ソフトウェア内のすべてのウインドウ画面やメッセージ文字列、ビットマップ画像、ソフトウェア名称、インストーラなどの項目を書き換えたり、画像イメージやアイコンを差し替えたりすることにより、独自ブランドのVPNソフトウェアを開発することができるキットである。[2]


Option Pack

PacketiX VPN 2.0 Option Packは、VPN Server / VPN Client / VPN Bridgeに対して新機能を追加するためのアップデートモジュールの名称である。[3] Option PackはVPN ServerのStandard EditionおよびEnterprise Editionのライセンス契約を保有しているユーザーに対して無償で提供される。現在のバージョンは、2006年8月に提供された。

以下、Option Packによって追加される機能について述べる。

VoIP / QoS 対応機能
VoIPパケットなどの低遅延・低ジッタでの伝送が必要とされる通信パケットについて他パケットと比較して優先的に帯域確保・伝送する技術であるQoSが利用できるようになる。
syslog 送信機能
VPN Serverの全体の管理ログ、仮想HUBごとにセキュリティログ、仮想HUBごとのパケットログなどのうち管理者が指定した種類のログをSyslogプロトコルによって外部のsyslogサーバに伝送する機能である。
多重ログイン数制限機能
セキュリティポリシーの項目として多重ログイン制限数を設定することができるようになる機能である。


動作環境

PacketiX VPN 2.0は以下のようなオペレーティングシステムおよびCPUの組み合わせで動作する。

  • Windows
    • 以下のWindowsエディション上で動作する。
      1. Windows 98 / 98 Second Edition / Millennium Edition
      2. Windows NT 4.0 Workstation / Server / Server, Enterprise Edition
      3. Windows 2000 Professional / Server / Advanced Server
      4. Windows XP Professional / Professional x64 Edition / Home Edition / Tablet PC Edition / Tablet PC Edition 2005 / Media Center Edition 2004 / Media Center Edition 2005
      5. Windows Server 2003 Standard Edition / Standard x64 Edition / Enterprise Edition / Enterprise x64 Edition / R2 Standard Edition / R2 Standard x64 Edition / R2 Enterprise Edition / R2 Enterprise x64 Edition
      6. Windows Vista Home Basic / Home Premium / Business / Enterprise / Ultimate
    • Windowsを用いる場合にPacketiX VPN 2.0が対応しているCPUアーキテクチャは以下のとおりである。
      1. x86
      2. AMD64
      3. Intel 64
  • Linux
    • Linux Kernel 2.4以降のシステム上で動作する。推奨されているディストリビューションは以下のとおりである。
      1. Red Hat Enterprise Linux AS 4
      2. Red Hat Enterprise Linux ES 4
      3. Turbolinux 10 Server
      4. Fedora Core 4 以降
      5. CentOS 4 以降
    • Linuxを用いる場合にPacketiX VPN 2.0が対応しているCPUアーキテクチャは以下のとおりである。
      1. x86
      2. AMD64
      3. Intel 64
      4. PowerPC
      5. SH4
      6. MIPS
      7. ARM
  • FreeBSD
    • FreeBSD 5.x以降のシステムで動作する。FreeBSDを用いる場合にPacketiX VPN 2.0が対応しているCPUアーキテクチャは以下のとおりである。
      1. x86
      2. AMD64
      3. Intel 64
  • Solaris
    • Solaris 8以降のシステムで動作する。Solarisを用いる場合にPacketiX VPN 2.0が対応しているCPUアーキテクチャは以下のとおりである。
      1. x86
      2. AMD64
      3. Intel 64
      4. SPARC
  • Mac OS X
    • Darwin 7.9.0以降のシステムで動作する。Mac OS Xを用いる場合にPacketiX VPN 2.0が対応しているCPUアーキテクチャは以下のとおりである。
      1. x86
      2. PowerPC


VPN通信プロトコルの仕様

PacketiX VPN 2.0でのVPN通信に使用されているプロトコルは以下のような仕様となっている。

  • 通信プロトコル
    • SSLバージョン3.0およびTCP/IPが使用されている。
    • 内部的な通信プロトコルはHTTP over SSL (HTTPS)拡張プロトコルである。
  • ポート番号
    • VPN ServerではデフォルトでTCPポート443、992、8888がListen状態となり、それらのポートのうち最も好都合なものをユーザーが選択することができる。自由に新しいTCPポートを追加したり、既存のTCPポートを削除したりすることができる。
  • 暗号化・電子署名アルゴリズム
    • RC4-MD5 / RC4-SHA / AES128-SHA / AES256-SHA / DES-CBC-SHA / DES-CBC3-SHA
  • データ圧縮
    • ストリーム型データ圧縮
  • 高速通信のための最適化
    • 1つの論理的なVPNセッションの通信のため、物理的な1本~32本のTCPコネクションを確立し、効率的負荷分散およびタイミング制御を行う。
  • 自動再接続
    • 無限回数または指定した回数
  • 接続方法
    1. 直接TCP/IP接続
    2. HTTPプロキシサーバ経由接続
    3. SOCKSプロキシサーバ経由接続
  • ユーザー認証(クライアント認証)方式
    1. 匿名認証
    2. 標準パスワード認証
    3. Radiusサーバを使用した認証
    4. NTドメインコントローラまたはActive Directoryを使用した認証
    5. X.509証明書とRSAを使用したPKI認証


VPN通信が可能なパケットの種類

PacketiX VPN 2.0でのVPN通信では、標準的なEthernetフレーム (MACフレーム、Ethernetパケット) であればどのようなものでも通信を行うことが可能である。

したがって、IPv4IPv6TCPUDPなどの現在インターネットやLANなどで使用されている一般的なプロトコルのほか、NetBEUIIPX/SPXなどのプロトコルもVPNを通すことができる。

製品形態

PacketiX VPN 2.0には前述のようにいくつかのソフトウェアが含まれ、またソフトウェアによっては有償版と無償版が存在する。以下で整理する。


PacketiX VPN Server 2.0

VPN Serverには有償の製品版と無償版がある。


製品版

VPN Serverの製品版には以下のようなエディションが存在する。これらのエディションを使用するためには、ライセンスを購入する必要がある。

なお、公式サイトで60日間利用可能な体験版が提供されている。

PacketiX VPN Server 2.0 Standard Edition
一般的な企業・官公庁および個人事業者のためのエディションである。クラスタリング機能は利用できない。32ビット版と64ビット版がある。
PacketiX VPN Server 2.0 Enterprise Edition
クラスタリング機能を必要とする程度の大規模なリモートアクセスシステムなどを構成するためのエディションである。Standard Editionとの違いは、クラスタリング機能を利用可能であること、およびAdministration Packが標準で付属することである。32ビット版と64ビット版がある。
PacketiX VPN Server 2.0 HOME Edition
家庭などでVPNを使用するユーザーのためのエディションである。クラスタリング機能が利用できないほか、VPN接続数は同時に1セッションに制限される。32ビット版のみがある。その他の点ではStandard Editionと同等である。
PacketiX VPN Server 2.0 SOHO Edition
小規模の企業および個人事業者が小規模なVPNを構築するためのエディションである。クラスタリング機能が利用できないほか、VPN接続数は同時に3セッションに制限される。32ビット版のみがある。その他の点ではStandard Editionと同等である。
PacketiX VPN Server 2.0 Carrier Edition
インターネットサービスプロバイダ、通信キャリア、Webホスティング事業者などの通信事業者のための特別なエディションである。顧客のためにVPNサーバの機能をホスティングして提供する形態のオンラインサービスのために最適化されている。32ビット版と64ビット版がある。
PacketiX VPN Server 2.0 Embedded Edition
ハードウェアベンダ向けにライセンスされる組み込み用VPN Serverである。ブロードバンドルータなどの組み込み機器にコードを組み込むことにより、VPNゲートウェイなどを開発することができる。


無償版

VPN Serverの無償版には以下のようなエディションが存在する。

PacketiX VPN Server 2.0 Academic Edition
学術研究者向けに無償でライセンスされるエディションである。非営利の学術研究目的でVPN Serverを利用したい研究者や研究組織が申請することによって、無料で提供される。


PacketiX VPN Client 2.0およびPacketiX VPN Bridge 2.0

VPN ClientおよびVPN Bridgeは無償のソフトウェアであり、動作させるためにライセンスの購入などが不要である。


ライセンスキーおよびプログラムファイルの提供形態

VPN Serverを動作させるためには保有しているエディションのライセンスキーが必要である。有償版のライセンスキーは、製品を購入した際に添付されている。無償版のライセンスキーは、ソフトイーサから送付される。VPN Serverには前述のように多数のエディションがあるが、シングルバイナリによって提供されており、入力するライセンスキーの種類によって動作の内容が異なる。VPN ClientおよびVPN Bridgeにはライセンスキーの入力は不要である。

有償版、無償版にかかわらず、すべてのプログラムファイルがSoftEther.com のダウンロードサイトからダウンロード可能である。


32ビット版と64ビット版

PacketiX VPN 2.0の各ソフトウェアには32ビット版と64ビット版のバイナリがある。64ビット版はWindowsLinuxSolarisFreeBSDの各64ビット版OSに対応しており、CPUとしてはAMD64Intel 64SPARC上で動作する。

32ビット版と比較すると、64ビット版には以下のような特徴がある。


通信スループットの向上

同一のハードウェア上であっても、64ビット版のVPN Serverを使用するだけで、32ビット版と比較しておおよそ17%程度のVPN通信スループット向上を行うことが可能である。

たとえば、10ギガビット・イーサネットで接続された6台のVPN Client間の通信を1台のAMD Opteron 2.0GHz Dual Core CPUを2つ持つVPN Serverによって処理させた場合、32ビット版であれば約2650Mbpsのスループットが出るところを、64ビット版を使用することにより、約3130Mbpsのスループットが出る。[4]


同時接続VPNセッション数の向上

メモリ空間の増大により、32ビット版と比較して、64ビット版ではより多くの仮想HUBおよび同時接続VPNセッションを1台のVPN Serverに収納することができる。[5]

32ビット版と64ビット版の比較
項目 32ビット版VPN Server 64ビット版VPN Server
仮想HUBの個数 4,096個 100,000個
同時接続VPNセッション数 4,096セッション 100,000セッション


日本語版以外のバージョン

2007年11月現在、日本語版以外に英語版がリリースされている。[6]

日本語版と英語版は、ユーザーインターフェイスの文字列リソースやオンラインマニュアルなどの言語が異なるのみであり、機能は同等である。異なる言語のVPNソフトウェア同士でVPN接続を行うこともできる。


動作原理

PacketiX VPN 2.0のVPN機能の動作はIPsecPPTPなどの従来のVPNと比較して異なる点がある。以下、これらについて述べる。


仮想HUB

仮想HUBはPacketiX VPN 2.0における最も重要な概念の1つである。仮想HUBは既存の一般的なスイッチングHUBと同等の機能をソフトウェアで実現したものである。仮想HUBはMACアドレス学習機能や学習に基づくフレームの交換機能を持つ。従来のスイッチングHUBはハードウェアとしてこの処理を行っていたが、PacketiX VPN 2.0ではソフトウェアとして同様の処理を行う。

VPN ServerにはメモリやCPUが許す限りいくつでも仮想HUBを作成することができる。それぞれの仮想HUBはVPN経由で流れてきたEthernetフレームを処理する。これにより、仮想的なレイヤ2のEthernetセグメントを実現している。

1個のVPN Server内に複数台の仮想HUBを作成するとき、通常はそれらの仮想HUBは独立して動作し、お互いに干渉することがない。別々の仮想HUB間では通信は行われない。また、各仮想HUBの管理権限を別々の管理者に委譲することが可能である。この場合、特定の仮想HUBの管理者は、自分が委任されている仮想HUBのみ管理でき、それ以外の仮想HUBにはアクセスできない。


仮想LANカード

物理的なLANカード (NIC)をソフトウェアによって仮想化することにより仮想LANカードが実現される。仮想LANカードはVPNプロトコルを用いて、物理的なTCP/IPネットワークを経由し、遠隔地にあるVPN Server内の仮想HUBにVPN接続することができる。

VPN Clientを用いると、仮想LANカードをクライアントコンピュータのOS内にいくつでも作成することが可能である。仮想LANカードはOSから物理的なLANカードと同様に認識されるため、原則としてEthernetでの通信に対応したほぼすべてのプロトコルやアプリケーションが、特に手を加えることなく利用可能である。


仮想HUBと仮想LANカードの接続

1台の仮想HUBに複数台のコンピュータの仮想LANカードが接続すると、上記のような仕組みにより、それぞれのコンピュータ間は自由にEthernetフレームを送受信することができるようになる。これによりVPN接続が実現される。


仮想HUB間のカスケード接続

仮想HUB間のカスケード接続を行うことにより、通常の物理的なスイッチングHUB間をクロスケーブルなどでカスケード接続した場合と同じ効果が得られる。すなわち、もともと分離されていた2個のEthernetセグメントを1つにすることができる。

仮想HUB間のカスケード接続は、同一のVPN Server内の仮想HUB同士だけでなく、物理的に別のVPN Server内の仮想HUB同士でも、VPNセッションを確立することによって可能である。これにより、遠隔地にある複数のEthernetセグメント間のレイヤ2でのブリッジ接続が実現される。


仮想レイヤ3スイッチ

仮想レイヤ3スイッチ は物理的なレイヤ3スイッチのようにIPルーティングを行うハードウェアをソフトウェア的に仮想化したものである。仮想レイヤ3スイッチにより、別々のIPネットワーク間で、Ethernetのセグメントを分離したまま、ルーティングによりネットワーク同士を接続することが可能である。

VPN Server内には仮想HUBと同様に仮想レイヤ3スイッチをいくつでも作成することができる。これにより、複数の仮想HUB間でIPルーティングを行うことにより仮想HUB間通信を実現することができる。

これを応用すると、遠隔地にある複数のEthernetセグメント間のレイヤ3でのルーティングが実現される。


仮想ネットワークと物理ネットワークのブリッジ接続

上記で述べたような仮想HUBや仮想レイヤ3スイッチはあくまでもソフトウェアによってエミュレーションされたネットワーク機器であり、そのままでは仮想的に流れるEthernetフレームは物理的なネットワーク上に出ることはない。

VPN ServerおよびVPN Bridgeでは仮想HUBと既存の物理的なEthernetのセグメントとを、物理的なLANカードを指定することによってブリッジ接続することができる。これをローカルブリッジと呼ぶ。

ローカルブリッジを用いることにより、複数の拠点で、仮想HUBと物理的な既存のLANとの間を接続し、さらに仮想HUB同士を前述したカスケード接続によってVPN接続することによって、インターネット経由で複数のEthernetセグメント間のレイヤ2でのブリッジ接続が実現される。


機能と特徴

以下、PacketiX VPN 2.0に搭載されているVPN通信機能および特徴について述べる。


Ethernetの仮想化

IPsecPPTPなどの従来のレイヤ3をトンネリング対象としていたVPNプロトコルと異なり、PacketiX VPN 2.0ではレイヤ2のEthernetフレームをVPN通信におけるトンネリング対象とする。つまり、従来のレイヤ3型VPNではトンネル内をIPパケットが流れるが、PacketiX VPN 2.0ではEthernetフレームが流れることになる。

これにより、以下のようなメリットがある。

  • Ethernet上で利用可能なプロトコルを、レイヤ3のプロトコルの種類にかかわらず、VPN通信上に流すことができる。
  • リモートアクセスのためにVPNを利用する際、既存のEthernetセグメントに遠隔地から直接LANケーブルでつなぎこんだ場合と同等の効果を得ることができる。
  • レイヤ2での拠点間接続が可能である。拠点間接続のためにVPNを利用する場合、離れた場所にある2つ以上のEthernetセグメントを、あたかも非常に長いLANケーブルによってブリッジ(カスケード)接続した場合と同等の効果を得ることができる。
  • 専用線的サービスにおける広域イーサネットと同様の接続方法を実現するために利用可能である。


NAT、プロキシ、ファイアウォールの通過

従来のVPNプロトコルはNAT、プロキシ、ファイアウォールを経由して通信を行うことができないものが多かった。これは通信に使用するプロトコルがインターネット上で標準的に用いられているTCPプロトコルの規格と異なり、GREなどの特別なプロトコルを用いていたためである。

PacketiX VPN 2.0は物理的な通信のためのプロトコルとして、標準的なTCP規格を採用している。これにより、すべてのVPN通信をTCP上で実現するため、ほとんどのNAT、プロキシ、ファイアウォールの通過することが可能である。

また、デフォルトでTCP443番というHTTPS通信で一般的に利用されるポートと同一のTCPポートを使用することが可能となっているため、基本的にWebサイトが閲覧できるようなネットワーク環境ではPacketiX VPN 2.0を用いてVPN通信を行うことが可能である。


高速なVPN通信の実現

従来のVPNプロトコルのうち、セキュリティの確保のみに注力しているものについては、VPN処理がボトルネックとなり、実際にVPN通信を行った際のスループットが低くなることがある。

PacketiX VPN 2.0は各種の通信回線に合わせて最適化を行っているため、通常のPCサーバを用いて約3.1Gbps程度の高速なVPN通信を行うことができる。[7]


移植性の高さ

PacketiX VPN 2.0は様々なOSやCPU上で動作するように移植性の高いプログラミングによって開発されており、特定のオペレーティングシステムに依存しにくいようになっている。そのため、通常のエディションにおいて、前述のように多くの種類のOSやCPUに対応しているほか、Embedded Editionによってルータやファイアウォールなどのネットワークアプライアンスへの組み込みを行うことが可能となっている。


セキュリティ機能

PacketiX VPN 2.0は以下のようなセキュリティ機能を搭載している。


ユーザー認証

許可されていない第三者による不正なVPN接続を禁止するため、以下のようなユーザー認証が可能である。

匿名認証
実質的に認証を必要としないVPN (誰でも接続可能なVPNサーバ) を実現するために使用する認証方法である。FTPサーバにおけるanonymousアカウントと同様である。
標準パスワード認証
ユーザー名とパスワードによってユーザー認証を行う方法である。ユーザーアカウントのデータベースはVPN Serverが保有する。
Radiusサーバ認証
ユーザー名とパスワードによってユーザー認証を行う方法である。ユーザーアカウントのデータベースはVPN Serverには保有せずに、既存のRadiusサーバに任せることができる。
NTドメインおよびActiveDirectory認証
ユーザー名とパスワードによってユーザー認証を行う方法である。ユーザーアカウントのデータベースはVPN Serverには保有せずに、既存のNTドメインコントローラまたはActive Directoryのサーバに任せることができる。
証明書認証 (PKI認証)
クライアント証明書 (X.509証明書) とRSAを使用したPKI認証である。パスワードなどの固定文字列を用いないためより安全である。また、よりセキュアなスマートカードセキュリティトークンを用いた認証が可能である。


暗号化と電子署名

インターネットなどの盗聴者が存在する可能性のあるネットワークを経由してVPNを利用する際に、盗聴やデータの改ざんを防止するため、すべてのVPN通信パケットに対して、暗号化と電子署名を行うことが可能である。

SSLのバージョン3で暗号化セッションが確立され、内部ではHTTP over SSL (HTTPS)拡張プロトコルが用いられる。


サーバ証明書の検証

VPN接続においては、中間者攻撃を防止するために、接続を行う側 (VPNクライアント) が接続を受け付ける側 (VPNサーバ) が本物であるかどうかを確認したほうが安全である。

従来のPPTPなどのプロトコルでは接続先のVPNサーバの正当性検証の機能が無いため、自分が接続しているVPNサーバが本物であるか偽者であるかをユーザーは見分けることができなかった。

PacketiX VPN 2.0では接続先のVPNサーバが提示するX.509証明書とSSLプロトコル内で行われる正当性検証手続きにより接続先のVPNサーバが本物であるかどうかの検証を自動的に行うことができ、検証に失敗した場合はVPN接続を中止することができる。

スマートカードの利用

VPN Clientにおいて、認証方法として証明書認証 (PKI認証) を使用する場合は、セキュアなハードウェアであるスマートカードセキュリティトークンを用いた認証が可能である。以下のようなスマートカードに対応している。

  • 一般的なPKCS#11規格に対応したデバイス
  • 住民基本台帳ネットワークシステムを利用するための住民基本台帳カード [8]
    • 住民基本台帳カードは、通常の市町村であれば誰でも500円で取得することができる。また、内部に格納可能な証明書として都道府県知事による公的個人認証サービスの証明書を利用可能であるが、こちらも500円で購入することができる。したがって、VPNでスマートカードを用いるために最も安価な選択肢として採用可能である。


パケットフィルタリング機能

VPN Serverの仮想HUBには、以下の2種類のパケットフィルタリング機能が搭載されている。


アクセスリスト

アクセスリストとは、一般的なファイアーウォール機器で実現されるような、IPパケットのヘッダ部をリアルタイムで検査し、あらかじめ設定したルールに基づいて通過/破棄を決定する仕組みである。

以下の項目を指定してルールを定義することができる。

  • 動作 (通過または破棄)
  • ルール適用の優先順位
  • 送信元IPアドレスおよびサブネットマスク
  • 宛先IPアドレスおよびサブネットマスク
  • プロトコルの種類 (IPプロトコル番号)
  • 送信元TCP/UDPポート番号 (範囲指定)
  • 宛先TCP/UDPポート番号 (範囲指定)
  • 送信元ユーザー名
  • 宛先ユーザー名


セキュリティポリシー

セキュリティポリシーとは、アクセスリストで実現されるような静的なパケットフィルタリングのみでは対応することができないような場合に、ダイナミックなパケットの流れを監視して通過/破棄を決定する仕組みである。

セキュリティポリシーを適用するため、仮想HUBは流れるすべての仮想Ethernetフレームについてリアルタイムで高レイヤまでパケットの内容を解釈する。解釈結果を元にして、そのパケットがセキュリティポリシーに適合した通信内容であるかどうかを判別する。セキュリティポリシーに違反したパケットが流れた場合は監査記録を保存することも可能である。

セキュリティポリシーとして構成することができる項目には以下のようなものがある。

  • DHCPパケットをフィルタリング
  • DHCPサーバの動作を禁止
  • DHCPが割り当てたIPアドレスを強制
  • ブリッジを禁止
  • ルータ動作を禁止
  • MACアドレスの重複を禁止
  • IPアドレスの重複を禁止
  • ARP・DHCP以外のブロードキャストを禁止
  • プライバシーフィルタモード
  • TCP/IPサーバとしての動作を禁止
  • ブロードキャスト数を制限しない
  • モニタリングモードを許可
  • TCP接続数の最大値
  • タイムアウト時間
  • MACアドレスの上限数
  • IPアドレスの上限数
  • アップロード帯域幅
  • ダウンロード帯域幅
  • 多重ログイン制限数
  • VoIP/QoS対応機能の使用を禁止


モニタリング機能

VPN Serverの管理者は、仮想HUBにモニタリングモードセッションという特別なセッションを作成することにより、その仮想HUB内を流れるすべてのパケットを傍受したり、物理的なLANカードから出力して既存のIDS製品に入力したりすることができる。


パケットログの保存

仮想HUB内を流れるすべてのパケットをログに保存することが可能である。これにより、管理者は事後にトラブルの追跡や不正アクセスの発見などを行うことができる。

パケットログの対象となるパケットは仮想HUBの管理者が細かく設定することができる。この場合、パケットの内容すべてを保存するか、ヘッダ部分のみを保存するかを選択することができる。

パケットログを保存する処理は、ディスクアクセスを伴うため、仮想HUBにおけるパケットのスイッチング速度と比較して低速である。そのため、VPN Serverはパケットを一旦中間データ形式に変換してメモリ内のバッファに追加しておき、CPU時間が空いた場合またはメモリが不足してきた場合にそれをディスクに書き出すようなアルゴリズムを持つ。また、パケットログの取りこぼしを防ぐため、バッファの空き容量が少なくなると自動的に仮想HUBにおける通信速度を調節し、すべてのパケットログが確実にディスクに書き込まれるような仕組みになっている。


SecureNAT

仮想HUBにはSecureNAT機能が搭載されており、仮想NATと仮想DHCPサーバの2つの機能が利用可能である。

SecureNAT機能はすべての機能がユーザーモードで動作し、システム管理者権限でなくとも、一般ユーザー権限で全機能が利用可能であるという特殊なモジュールである。通常カーネルモードで実行されるIPルーティングおよびNAT (IPマスカレード) の処理をすべてユーザーモードで行うことによって実現している。

SecureNAT機能を利用することで、一般的なブロードバンドルータと同等程度の機能を、仮想HUB内で利用することができる。利用用途としては以下のようなものがある。

  • 簡易的なネットワークゲートウェイとしての利用
  • DHCPサーバとしての利用


クラスタリング

1台のVPN Serverをインストールしたサーバコンピュータでは処理することができない程の大量のVPNセッションを処理したり、極めて多数の仮想HUBを作成したりするために、クラスタリング機能が提供されている。

クラスタリング機能により複数台のVPN Serverをまとめて動作させることができ、仮想HUBや仮想HUB内のユーザーデータベースやアクセスリストなどの設定が一元化される。また、ロードバランシングフォールトトレランスが実現される。

クラスタリングにより多数のVPN Serverが動作している場合であっても、ユーザーや各仮想HUBの管理者から見ると、1つのVPN Serverのシステムとして認識される。したがって、ユーザーや各仮想HUBの管理者は、クラスタリング機能が動作していることに関して意識する必要がない。


構築できるネットワークの種類

PacketiX VPN 2.0を用いることにより構築することができるネットワークをおおまかに分類すると、以下のようになる。

コンピュータ間VPN
最も単純なVPNの形態である。インターネット上のどこかに設置した仮想HUBに対して、その仮想HUBによって構成される仮想Ethernetセグメントに、複数台のコンピュータのVPN Clientから接続することにより、それらのコンピュータ間でVPN通信が可能になる。
リモートアクセスVPN
コンピュータ間VPNではVPN通信を行いたいコンピュータすべてにVPN Clientをインストールする必要があり手間がかかる。また、既存の物理的なLANに対してVPNを用いてリモートアクセスすることができない。
そこで、仮想HUBと既存のLANとの間をローカルブリッジによって接続することにより、その仮想HUBにリモートアクセスしたVPN Clientは既存のLANに直接接続しているのと同様な状態になる。これがリモートアクセスVPNである。例えば、社内にリモートアクセスVPNのためのVPN Serverを設置しておけば、社外から社内LANに接続して作業を行うことができる。
拠点間接続VPN
離れた場所にある物理的なLAN同士を接続する方法である。従来の専用線やフレームリレー、広域イーサネットなどの代替手段として利用できる。
レイヤ2によってブリッジを行う接続方法と、レイヤ3によってルーティングを行う接続方法がある。ネットワークの規模や状況によっていずれか、または両者を組み合わせた方法で接続する。


実験サービス

ソフトイーサは学術研究目的でPacketiX VPN 2.0を用いた以下のサービスを実験的に無償で提供している。

受賞

PacketiX VPN 2.0は以下のような賞を受賞している。


関連書籍

  • ソフトイーサ PacketiX VPN入門 (大澤 文孝、工学社、2006年) ISBN 4777512037
  • 公式SoftEther活用ガイド (登大遊/村上和美/池嶋俊、アスキー、2004年) ISBN 4756144837
  • 魔法のトンネルSoftEther (ランディス、秀和システム、2004年) ISBN 4798008095
  • SoftEther+VPN構築ガイド (塩見 豊久/ケイズプロダクション、アスペクト、2004年) ISBN 4757210663
  • ハッカー御用達!魔法のソフトウェアガイドブックSoftEther入門 (IPUSIRON、データハウス、2004年) ISBN 4887187599
  • 失敗しないVPN構築―VPNベストチョイス/SoftEther自由自在 (アスキー、2004年) ISBN 4756145698


関連項目

外部リンク


脚注

  1. ^ PacketiX VPN 2.0 Administration Pack
  2. ^ PacketiX VPN 2.0 ブランド化開発ツールキット
  3. ^ PacketiX VPN 2.0 Option Pack
  4. ^ 通信スループットの向上測定実験
  5. ^ VPN Serverにおける同時接続VPNセッション数および仮想HUB数の向上
  6. ^ PacketiX VPN 2.0 英語版
  7. ^ 日経ITproによるPacketiX VPNの通信速度に関する記事
  8. ^ 住民基本台帳カードと連携したVPN接続
"http://ja.wikipedia.org/wiki/PacketiX_VPN_2.0" より作成

This article is from Wikipedia. All text is available under the terms of the GNU Free Documentation License.

Giant Panda

Mercedes Car
James Bond Guide
This site monitored by SitePinger.net