VPNについて少し：ソフトウェア実装の概要の追加

少し前のことですが、私たちのブログでは、VPNソフトウェアの実装のレビューに関する資料を公​​開しました。 次に、第2部を準備することを約束しました。今回は、仮想プライベートネットワークを作成するための次のソフトウェアソリューションを検討します：AnyConnect VPN、OpenConnect VPN、SoftEther VPN、Tinc。



/写真デイブ・クロスビー CC

AnyConnect VPN

シスコが提供する製品を探索すると、「Any Connect」という言葉を無視するのは非常に困難です。この名前は、ベンダーが「次世代」VPNクライアントとして開発したソリューションを隠しています。 また、企業のコンピューターを保護するための高度な機能も提供します。

たとえば、この製品は、SSL（TLSおよびDTLS）およびIPsecに基づいた完全なネットワークアクセスを提供します。これにより、リモートクライアントはほとんどすべてのアプリケーションまたはネットワークリソースとの接続を確立できます。

Cisco AnyConnectセキュアモビリティクライアント、L2TP / IPsec VPN、およびIPsec VPNを使用して接続します。 このソリューションは、ネットワーク制限に合うようにトンネリングプロトコルを自動的に調整し、DTLSプロトコルを使用して、たとえばアプリケーションへのVoIPまたはTCPアクセスを通過するトラフィックを最適化します。

ブラウザで使用されるSSL暗号化の普及により、AnyConnectはクライアントなしでリモートアクセスを提供します。これにより、場所に関係なくネットワークリソース、Webアプリケーション、ターミナルサービスアプリケーション（Citrixなど）にアクセスできます。

AnyConnectは、リモート接続を確立する前に、クライアントにインストールされているウイルス対策ソフトウェアやファイアウォールと同様にオペレーティングシステムを判別できます。これは、セキュリティにもプラスの効果があります。 さらに、テレメトリ機能も言及する価値があります。 システムは、ウイルス対策ソフトウェアによって検出された悪意のあるコンテンツの発信元に関する情報を収集します。この情報を使用して、URLフィルタリングルールを変更することでネットワークセキュリティを改善できます。

Openconnect VPN

OpenConnectは、もともとCisco AnyConnect SSL VPN独自のクライアントの代わりとして作成された、ポイントツーポイント接続を備えたオープンエンドの仮想プライベートネットワークアプリケーションです。 開発の理由は、Linux向けシスコソリューションで見つかった一連の欠点でした。i386以外のアーキテクチャのサポートの欠如（Linuxプラットフォームの場合）、NetworkManagerとの統合の欠如、RPMおよびDEBパッケージ形式の有能なサポートの欠如、非特権ユーザーとしての作業不能、クローズドコード、その他

OpenConnect（ocserv）は、小さく安全で高速なVPNサーバーとして開発されました。 OpenConnect SSL VPNプロトコルをサポートし、AnyConnect SSL VPNプロトコルを使用するクライアントと互換性があります-標準のTLSおよびDTLSデータ転送プロトコルを使用します。 さらに、OpenConnectはデュアルTCP / UDP VPNチャネルを提供し、標準のIETFセキュリティプロトコルで動作します。

接続は2段階で行われます。 最初に、ユーザーが認証される単純なHTTPS接続が確立されます（証明書、パスワード、またはSecureIDを使用）。 認証後、ユーザーはVPN接続の確立に使用されるCookieを受け取ります。

ocservの主な機能の1つは、 セキュリティとフォールトトレランスを向上させるためのユーザー特権の分離です。これは、TCPとUDPの併用によって実現されます。

SoftEther VPN

登大友は、筑波大学で研究を開始したときにSoftEther VPNの開発を開始しました。 2003年に、彼はSoftEtherの最初のバージョンをリリースしましたが、ファイアウォールをバイパスする能力があるため、このプロジェクトはマルウェアの定義に該当すると考える日本政府から警告を受けました。 その結果、SoftEtherはパブリックドメインから除外されました。

しばらくして-2004年4月-三菱マテリアル株式会社は、SoftEther 1.0の購入と10年間の契約（2004年4月から2014年4月）に登bを申し出ました。これにより、SoftEtherを販売する権利と企業にプログラムを販売することを禁じました。 ただし、2013年3月にNoboriはソリューションの無料配布を開始し、2014年1月にGPLv2ライセンスでソリューションを開くことができました。

SoftEther VPNは、別の強力でシンプルなVPNソリューションです。 SoftEther VPNは、最新の一般的なVPN製品と互換性があります：OpenVPN、L2TP、IPsec、EtherIP、L2TPv3、Cisco VPNルーター、MS-SSTP VPNには、Windows、Linux、OS X、FreeBSD、Solarisのバージョンがあります。

ソフトウェアは、サーバー、ブリッジサーバー、クライアント、GUI、および管理ユーティリティで構成されています。 1台のコンピューターをLANに接続するにはクライアントが必要で（ リモートアクセスVPN ）、2つ以上のネットワークを接続するにはブリッジサーバーが必要です（ サイト間VPN ）。 2番目のオプションを使用すると、特定のクライアントデバイスごとに接続パラメーターを個別に構成する必要がなくなることに注意してください。接続された各ネットワークから1つのVPNゲートウェイを構成するだけで十分です。 ちなみに、サイト間VPNのセットアップに関する小さな実用的なガイドを用意しました 。 こちらで見つけることができます。

SoftEther VPNでは、ローカルブリッジ機能を使用して仮想ハブと物理イーサネットセグメント間のローカルブリッジを決定できます。これにより、物理アダプターと仮想ハブ間でパケットを交換できるようになります。これにより、自宅またはモバイルデバイスからリモートトンネルを構成できます。 2つ以上のイーサネットセグメントを1つのユニットに結合するために、2つ以上のリモート仮想ハブ間にカスケード接続を確立することもできます。

数年前に日本政府の間で不満を引き起こした、ディープパケットインスペクション用のファイアウォールとシステムをバイパスするツールのサポートを忘れないでください。 トンネル検出をより困難にするために、SoftEther VPNは、HTTPSを介した偽装イーサネット転送の技術をサポートしています。クライアント側に仮想イーサネットアダプターを実装し、サーバー側に仮想イーサネットスイッチを実装します。

SoftEther VPN Serverのバイナリバージョンが公開されて以来、8万件以上の成功したサーバー展開が記録されており、そのほとんどは日本、アメリカ、中国にあります。

チンク

TincはVPNデーモンであり、VPN実装の構成が最も小さくて簡単なタイトルの候補の1つです。 このプロジェクトはかなり前の1998年に始まり、今日まで活発な開発が進行中ですが、それにもかかわらず、tincは成熟した製品のように見えます。

Linux、BSD、Mac OS X、Solaris、WindowsなどのOSを実行しているIPv4 / IPv6ネットワーク経由でコンピューターを接続できます。 さらに、iPhoneおよびiPodでの作業をサポートします。

Tincにはいくつかの興味深い機能があります。 すべてのトラフィックはオプションでzlibまたはlzoを使用して圧縮され、LibreSSLまたはOpenSSLが暗号化に使用されます-これにより、送信されたデータが変更から保護されます。

興味深いことに、tincデーモンの構成に関係なく、可能であれば、VPNトラフィックは「フック」することなく宛先に直接送信され、新しいノードの導入は構成ファイルを追加するだけで実行されます。新しいデーモンを起動したり、新しいデバイスを作成したりする必要はありません。

現在、tincはほとんどのディストリビューションのリポジトリで利用でき、Windowsのインストールパッケージは公式Webサイトからダウンロードできます。 開発者は、tincベースのシステムのインストールと構成を簡素化するためのコースを講じており、 サイトのドキュメントには、さまざまなオペレーティングシステムのインストール機能を含むすべての重要な問題が反映されています。

結論の代わりに

インフラストラクチャにVPNを展開するには、サードパーティのVPNプロバイダーのサービスをいつでも使用できますが、特に多数のクライアントをすぐにネットワークに接続する必要がある場合、そのサービスは高価であることに注意してください。 同時に、プロバイダーは企業および個人データを受け取ります-すべての企業がこのステップを実行する準備ができているわけではありません。

より信頼性が高く柔軟なソリューションは、物理サーバーまたは仮想サーバー（ VPS / VDS ）上の仮想プライベートネットワークの自己調整です。 幸いなことに、インターネットには多くの詳細な指示があります。 また、1cloudのクラウドVPS / VDSサーバーを使用するオプションも提供しています（ WindowsおよびLinuxの場合 ）。 このソリューションは、仮想プライベートネットワークの現在の負荷に簡単に対応できます。

PS興味をお持ちの場合は、 IaaSプロバイダー1cloudの開発での経験を共有する準備ができています。 ここに私たちが用意したいくつかの興味深い資料があります：

• クラウドテクノロジーに関する神話。 パート1
• クラウドテクノロジーに関する神話。 パート2
• 仮想インフラストラクチャプロバイダーを作成する方法
• ITプロジェクトの開発の方向を選択する方法
• 始める前にIaaSプロバイダーについて知っておくべきこと