IP Network Skill

[ IP Network Skill - No. 0315 - ] SSL/TLS その１０

‥‥……━━━━━━ IP Network Skill No. 00000315 ━━━━━━……‥‥

　　　　　〜　SSL/TLS　その１０  〜

‥‥……━━━━━━━━━━━━━━━━━━━━━━━━━━━━……‥‥

　【まえがき】

　実は最近、引越しをしました。

　引越しをするといろいろな手続きなどあって面倒です。

　銀行やカード会社に住所変更を伝えたり、住民票異動

　や免許の住所変更などは普通にやりますが、この辺は

　多少タイミングが遅くなっても、郵便局で郵便物の転

　送届けを出していればさほど問題になりません。

　それよりも新居でのライフライン獲得が重要で、電気、

　ガス、水道、電話については引っ越す前に新規利用の

　通知を電話でしました。

　現在、その４つと同じくらい大切なライフライン（電話

　は携帯電話があるのでそれほど重要ではない）として

　「ネット環境」があります。

　前回はケーブルテレビ設備があったため、ケーブルテレ

　ビでネットを行いました。この工事は入居日に行えたた

　め、入居時からネット環境が整備されました。それ以前

　も、ADSLを使っていたので、NTTでの電話の開通と同時

　にネットが利用できました。

　今回は、マンションにネット設備がついていて、そのプロ

　バイダに申し込みをする必要がありました。

　手続きに数週間もかかるそうで、未だにネットが開通して

　いません。

　仕事にプライベートに、非常に不便です。もっと早く申請

　すべきでした。


╋━━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━━━━━━━━━━……‥‥
　　　┃本┃日┃の┃試┃験┃対┃策┃問┃題┃　
╋━━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━━━━━━━━━━……‥‥

　〔問題１〕SSL-VPNの特徴として誤っているものはどれか。

　　　１．IPSec VPNと違い、クライアントソフトをあらかじめインストール
　　　　しておく必要はない
　　　２．携帯電話でも使うことができる
　　　３．ActiveXやJavaを使ってHTTP以外のプロトコルもVPN通信させること
　　　　ができる
　　　４．IPSec VPNに比べて通信速度が速い

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　ネ┃ッ┃ト┃ワ┃ー┃ク┃の┃基┃礎┃講┃座┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
　-----------------------------------------------------------------
　この企画は処女作「TCP/IPネットワークステップアップラーニング」
http://www.Amazon.co.jp/exec/obidos/ASIN/4774116351/ipnetworksk01-22
　を基に構成変更、加筆、修正、省略。。。いろいろ手を加えたものです。
　TCP/IPネットワークステップアップラーニングは第３刷を重ねました！
　講習教科書などでご利用いただいています。
　-----------------------------------------------------------------

　【11．アプリケーションプロトコル】

　11.11. SSLとTLS

　11.11.2.5. SSL-VPN

　SSL-VPNはSSL技術を応用したVPN (Virtual Private Network; 仮想プライベ

　ート網）です。

　VPNには２つのネットワークのゲートウェイ間をトンネルで結ぶ拠点間VPN

　（サイトツーサイトVPN）と、自宅や出張先などから社内網（イントラネット）

　へアクセスするリモートアクセスVPNの２種類がありますが、SSL-VPNはリモー

　トアクセスVPNです。

　リモートアクセスVPNにはIPSec-VPNもありますが、IPSec-VPNはクライアント

　に専用のソフトウェアをインストールする必要があります。

　Windows 2000/XPではOSにプリインストールされている管理コンソールを設定

　することで利用することもできますが、それだと設定が難しいので、通常は

　イントラネットのゲートウェイ装置と同一のベンダから提供されるIPSec-VPN

　クライアントソフトをパソコンにインストールします。そのソフトには暗号

　化トンネルを確立するために必要な情報が含まれています。

　一方、SSL-VPNの場合、専用のクライアントソフトは必要なく、Webブラウザ

　さえあれば、暗号化トンネルを確立することができます。

　WebブラウザはOSに関係なく入っていますし、携帯電話にも入っています。

　そのため、幅広いクライアントでSSL-VPNを利用することができます。

　
　11.11.2.5.1. SSL-VPNのアクセス種別

　IPSec-VPNはレイヤ３の上、つまりIPの上でESPまたはAHというプロトコルを

　使って暗号化通信を行いますが、SSL-VPNの場合、レイヤ４の上、つまりTCP

　のポート番号443上で暗号化通信を行います。

　IPSec-VPNの場合、TCP通信でもUDP通信でも関係なくレイヤ３の上で暗号通信

　させることができますが、SSL-VPNの場合ポート番号443上で動作するため、

　暗号化させたい通信によって以下の通信形態をとります。

　1) ポートフォワーディング

　SSL-VPN上でWebサイトを見たいだけであれば、443番ポートのHTTPS通信を80

　番(HTTP)にポート変換、つまりポートフォワーディングさせることで実現可

　能です。

　それ以外のFTPやTelnet、メールアプリケーションなどを行う場合、443番の

　通信をそれぞれ21番、23番、25番などに変換する必要があります。

　HTTPであれば暗号化と復号化、そしてURLリンクなどをSSLコンセントレータ

　（VPN終端装置）経由となるように書き換える、という動作がコンセントレー

　タにて行われます。

　HTTP以外の静的TCPポート番号を使うプロトコルの場合、ActiveXやJava Applet

　などを使い、クライアントにてソケット（ネットワーク制御部）へ流れるアプ

　リケーションデータをフェッチ（捕捉）し、SSL暗号化を行い、ソケットへ

　送ります。

　2) トンネル

　TCPでも動的なポート番号を使うもの、つまりあて先TCPポートがタイミングに

　よって変わってしまうものはポートフォワーディングができません。

　また、VoIP (Voice over IP) のように音声パケットをUDPで送るような場合に

　も、TCP上のSSLにポートフォワーディングができません。

　このような場合、SSLコンセントレータからトンネル用クライアントをダウン

　ロードし、それを実行させてIPSec VPNのようにクライアントとコンセントレー

　タとの間でトンネルを確立します。

　クライアントソフトは、Webブラウザ経由でActiveXやJavaを使ってダウンロー

　ドします。ほとんどの場合、インストールするのに管理者権限が必要です。

　トンネルはIPSecトンネルと違い、SSL上で確立されるので、クライアントと

　コンセントレータ間を実際に流れるパケットは、

　　暗号化されたアプリケーションデータ＋SSLヘッダ＋TCPヘッダ＋IPヘッダ

　という形になります。IPSecの場合は

　　暗号化されたデータ＋AH/ESPヘッダ＋IPヘッダ

　なので、ヘッダの数が少ないため、SSLに比べて全体的な流れるデータ量は

　少なくなります。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
かんたんネットワーク入門
http://www.amazon.co.jp/exec/obidos/ASIN/477412124X/ipnetworksk01-22

　私のもう一冊の著書ですが、また増版されました。
　ネットワーク入門の絵本で、初心者の方を中心に好評を得ています。
　新入社員やネットワークを扱う企業のバックオフィスの方々（営業や
　SEではなく、庶務、総務、アドミニストレータの方々）に自分の会社
　で扱っている製品やネットワークの基礎知識を持ってもらうのにも
　よい入門書です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　解┃答┃と┃解┃説┃
　━┛━┛━┛━┛━┛

　《本日の試験対策問題》
　　（解答）４
　　　
　　（解説）
　　　　SSL-VPNの場合、暗号データに加えてSSLヘッダ、TCPヘッダ、

　　　　IPヘッダなどヘッダが多くつくので、同じ最大パケットサイズ

　　　　の場合、１つのパケットに含めることができるアプリケーショ

　　　　ンデータの量がIPSecに比べて減ってしまいます。

　　　　つまりIPSec VPNに比べて通信速度が遅くなります。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆◆◆◆◆◆　┃ あとがき ┃　◆◆◆◆◆◆

　今年のインターロップは雨の影響もあって、昨年

　よりも入場者数が少ないのではないかと思います。

　毎年のことなのですが、インターロップにはいろ

　いろなお客さんが来ます。

　メーカーやネットワーク機器販売会社（SIer）の

　人、通信事業者、エンドユーザ、など。

　展示されている製品に興味を持っている人や、情報

　収集、勉強をしに来る人はよいのですが、コンパニ

　オンの写真を撮るのが目的のような方、グッズを貰

　いに来るのが目的のような方、ヘッドハンターなど

　もブースにやってきます。

　外人を見かけるとヘッドハンターであることが多い

　のですが、今回はちゃんとお客さんで外人の方が

　いらっしゃいました。つたない英語で対応しました。。
　
　adzuki

………………………………………………………　　　　　　　　　　 
　IP Network Skill vol.000315　06/15/07
　発行者：adzuki　http://www.xai.nu/ipnet  
…………… ｉｐｎｅｔ７＠ｘａｉ．ｎｕ ……　　　　　　　　　　 

◎￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣◎
｜　新規購読・購読解除・バックナンバー ⇒ http://www.xai.nu/ipnet　 
｜　　IP Network Skill 掲示板
｜　　⇒　http://www.xai.nu/cgibin/ipnet/bbs.cgi　 
｜　　バックナンバー一覧　　　　　　　　　　　　　　
｜　　⇒　http://xai.nu/ipnet/stack/index.html　
｜　　間違いご指摘
｜　　⇒　メルマガにコメントを添えて返信ください。
◎＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿◎

のんびりやろう！情報処理試験！　〜１問１問コツコツと〜

ソフトウェア開発＆基本情報技術者試験対策を中心に初級シスアドや高度区分まで幅広く対応。流行のIT用語の解説も行っているので，パソコンについて勉強した...

Office & VBA パーフェクトマスター

Excel・Access・Word等の今さら聞けない「疑問」、今すぐ知りたい「困った」、たちまち解決！のmoug（モーグ）がお送りする、関数初心者か...

ネットワークのおべんきょしませんか？

TCP/IPってなに？LANって？ルータって何をするの？というネットワークに関することをわかりやすく解説します。情報処理の試験を受ける方にもぴったり...

エクセル(EXCEL)＋ワード(WORD)＝MOUS School：マイクロソフト公認の資格をとろう！

マイクロソフト オフィスユーザ検定試験（MOUS）の資格取得を目的とした、各種情報（練習問題、解説）をご提供。仕事で役立つWord（ワード）／Exc...

ＩＰネットワーク考

インターネットのネットワークＳＥの実務者が、IPネットワークにまつわる話題、問題、技術について実務者ならではの視点から解説します。ネットワーク、TC...

この記事へのコメント

利息が気になるあなたへ

オリックスＶＩＰローンカードなら
<<年率5.9％〜15.0％、利用可能枠最高500万円>>
ゆとりのカードローンです。
←お申込みはこちら

melma!協賛企業