通信の暗号化（4）

IP-VPN、SSH、他

IP-VPN

IP-VPNとは

キャリアが独自に構築したIP網を用いたVPNサービス

ユーザは専用線、xDSL、ATM、イーサネットなどを介してキャリアのIP-VPN網に接続する
MPLS(Multi Protocol Label Switching)と呼ばれるスイッチ技術を用いてパケット転送が行われ、通常のIPルーティングによるパケット転送方式に比べ、より高速な転送処理を実現する
契約によって一定レベルの通信品質が保証され、ユーザは利用帯域幅に応じて料金を負担する

セキュリティにおいて

通信データの暗号化までは提供されない
通信データの暗号化までは提供されない
利用するネットワーク自体がキャリアのプライベートネットワーク(閉域IP網)なので、通信データを暗号化しなくてもある程度のセキュリティは確保される

SSH (Secure Shell)

SSHとは

暗号化や認証機能をもち,リモートからの遠隔操作の機能をもったプロトコル
ポート番号は22番
UNIX系のコマンドから来たものであり、シェルなのでコマンド操作を含む色々なことができる。
【特徴】

セッションごとに異なる暗号鍵を生成して使用する
暗号アルゴリズムとして、Triple-Des、AES、Blowfish、Arcfour等が使用可能
認証機能として、通常のパスワードを用いた方式のほか、公開鍵暗号を用いたRSAなどが使用可能

≪ポートフォワーディング（port forwarding）とは≫

インターネットから特定のポート番号宛にパケット(データ)が届いたときに、あらかじめ設定しておいたLAN側の機器にパケットを転送する機能
この通信経路には、SSHを利用する事が多い
SSHの通信路を使用することによって、通信を暗号化することが可能

SSHのクライアント認証方式

大きく分けて2パターンある

パスワード認証方式
公開鍵認証方式(クライアント証明書)

パスワード認証方式

HTTPS上でのフォームを用いた利用者認証
利用者IDなどとパスワードによる利用者認証形式
利用者がクライアント証明書を用意する必要がないことが最大の利点

公開鍵認証方式

秘密鍵で作成した署名が、対応する公開鍵で検証できることを利用して、次のようにクライアントを認証する。
クライアントがサーバのSSHサービスを利用する際に、パスワードや秘密鍵をネットワーク上に流す必要がない

≪FTPSとSFTP ≫

FTPS(File Transfer Protocol over SSL/TLS)

FTPで送受信するデータを、「SSL/TLS」で暗号化するプロトコル
データを暗号化する技術があるSSL/TLSを利用して、ファイルの転送を安全に通信
SSL証明書を利用して、安全に接続ができる

SFTP（SSH File Transfer Protocol）

FTPで送受信するデータを、「SSH」で暗号化するプロトコル
SSHで暗号化された通信路を利用して、ファイルの転送を安全に通信される
SSHの仕組みを利用して、安全に接続ができる

FTPとFTPSとSFTPの違い

FTP
一般的に、データの送受信に使われているが、パスワードや認証情報などが、暗号化されることなく、そのままの状態で通信を行っている。ため、悪意のある攻撃者（第三者）に、簡単に、転送内容を、盗み見てしまう場合も考えられる
FTPS・SFTP
どちらも、セキュリティを備えているプロトコル(通信規約）となり、ネットワーク上で、安全にファイル転送を実行する事ができる。基本的には、ファイル転送する為のプロトコルとなり目的は同じになるのですが、転送する為の手段が、それぞれ異なる。
SFTPは、「鍵認証」が必要

PPTP

ポイント・ツー・ポイント・プロトコル(PPP)を拡張したトンネリングプロトコル
PPTP自体は認証や暗号化の機能を有していないが、MS-CHAPによる認証とRC4による暗号化を組み合わされたものが、VPNのために利用されている

暗号化にはMPPE(Microsoft Point-to-Point Encryption)という方式を採用
暗号化アルゴリズムのストリーム暗号方式であるRC4を使用
認証にはMS-CHAPという独自の方式が利用されているが、EAPも使用可能
TCPポート番号1723とGRE(プロトコル番号：47)を利用して通信する。

≪PPTPとIPsecの相違点≫

PPTPとIPsecで、認証、暗号化、カプセル化の三つの機能を提供するしくみ、通信の手順に大きな違いはない

相手のVPN装置が本物かを確認する認証
送受信データを暗号化するために使う暗号鍵の取り決め
データの暗号化とカプセル化
カプセル化したデータの送信

という順番になる

PPTPとIPsecの違い

PPTPは双方向、IPsecは一方通行
データ送受信に使うVPNトンネルの数が違う
PPTP：送信データも受信データも1つのVPNトンネルでやりとりする
IPsec：一方向のみのVPNトンネルで送信。受信後、返信用VPNトンネルを作成、戻ってくる
認証機能
PPTP：ダイヤルアップ接続などに使うPPPが持っている認証機能を利用して相手のVPN装置が本物かを確かめる
IPsec：IKEと呼ぶ手順を使って相手を認証する

L2TP

ネットワーク間でのVPN (Virtual Private Network) 接続を実現するトンネリングプロトコル
L2TP自体は暗号化の仕組みを持たないが、IPsecを併用することでデータの機密性や完全性を確保したVPN接続を行う
PPPフレームをUDPでカプセル化することによってIPネットワーク上での交換を可能にし、LACとLNSの2拠点間でのVPNを実現させる
L2TPコネクションの待ち受けにはUDPの1701番ポートが使用される