VPNについて(その１)

コロナ禍の影響で急速に普及したリモートワーク
その背景にはVPNという技術が利用されています。
今回から2回に分けてVPNについてまとめていきたいと思います。

VPNとは
Virtual Private Network の略称
Virtual と付く通り、仮想的な専用線を様々な技術を用いて作成します
そうして作成された専用線を用いて通信を行う事で
よりセキュアな通信を行う事が出来ます。
一口にVPNといっても、利用する技術でそれぞれ名称が異なってきます

VPNの種類
・IP-VPN
IP層(L3)で動作するVPN
MPLS というプロトコルを用いてIPパケットに ラベル を付与し
そのラベルを参照しパケットのルーティングを行います。
サービス業者が管理する閉域網を利用するので、後述するインターネットVPNよりセキュアで
且つ通信の品質(速度など)が安定していることがメリットと言えます。
インターネットVPNと比較し、唯一のデメリットとしてはコストが高いことでしょう。

・インターネットVPN
文字通り、インターネットを利用して仮想的なネットワークを構築します
主に2つのプロトコルを用いた方法が確立されています
>IPsec
IP層(L3)で動作するプロトコル、SA というトンネルを作成/利用し通信を行う。
高いセキュリティを提供しますが、その分仕組みは複雑
ちょっとマニアックな内容なので仕組みに関しては次回に…
>SSL/TLS
セキュアプロトコルであるSSL/TLSを利用したVPN
アプリケーション層でクライアントとSSL-VPN装置間の通信を暗号化する方法です
これは3つに分類されます
　Lリバースプロキシ方式
　SSL-VPN装置がユーザ(ブラウザ)からの通信を中継、振り分ける方法
　HTTP/HTTPS以外は対応できないので、例えばメールサーバやファイルサーバにアクセスしたい場合
　はSSL-VPN装置が代理で各サーバにアクセスを行い、その結果をクライアントに返す必要がある。
　名前通り、リバースプロキシの役割を担う。

※上記画像は「ネットワークエンジニアとして」さんより

　Lポートフォワーディング方式
　クライアントにソフトウェアやプラグインといった専用の モジュール を組み込み
　そのモジュールがSSL-VPN装置間との通信に介在します
　SSL-VPN装置はモジュール(クライアント)からの通信を解釈し、リクエスト内の接続先IPアドレスや　　
　ポート番号を確認して、それらに応じたサーバに転送(フォワーディング)します

※上記画像は「ネットワークエンジニアとして」さんより

　Lレイヤ2フォワーディング
　クライアントに専用のソフトウェアを組み込み、仮想的なNICを作成する
　このNICにはSSL-VPN装置で定義されたIPアドレスが割り当てられ、そのIPアドレスは社内でも利用
　可能なIPアドレスとなっている
　イメージとしては、社外にいながら仮想NICのおかげで社内LANに接続しているような感じ
　クライアントからの通信をモジュールがHTTPSで暗号化し、SSL-VPN装置が復号して適切なサーバに
　転送するといった流れ。