SSL-VPN(L2フォワーディング)について説明してみた

プロモーションを含みます
プロモーションを含みます

在宅勤務で利用されている IT 技術の一つ、SSL-VPN (L2 フォワーディング) についてアウトプットしていきます。

SSL-VPNとは

SSL-VPN は、在宅勤務でよく使われている IT 技術の一つです。簡潔に言えば、自宅から会社内ネットワークに接続することができる技術のことです。

自宅に居ながら会社にいる時と同様に、社内サーバーにアクセスする等ができます。

なぜ SSL-VPN が必要か。それは上述のとおり、会社内の PC からしかアクセスできないサーバ(資源)があるからです。

たとえば会社内のファイルサーバ。これにインターネット上の誰からでも簡単にアクセスできてしまっては情報漏えい引っ切り無しです。他にも会社内 PC からしかアクセスできない Web サーバなどです。

昨今、社内サーバはクラウド化しつつありますが、まだまだ社内アクセス限定のサーバが多く存在します。

それでは SSL-VPN について、もう少し深堀していきましょう。

SSL-VPNの種類

SSL-VPN には3種類の方式があります。

  1. リバースプロキシ方式
  2. ポートフォワーディング方式
  3. L2フォワーディング方式

ここ試験に出ます。

また、各方式には次のような特徴があります。

リバースプロキシ方式
・使用できるアプリは、ブラウザで利用できるアプリのみに限定
・専用モジュールが不要

ポートフォワーディング方式
・使用できるアプリは、ポート番号が実行時に変化しないアプリのみに限定
・専用モジュールが必要

L2フォワーディング方式
・使用できるアプリに制限がない
・専用モジュールが必要

今回は、リバースプロキシ方式と並んでよく使われている L2 フォワーディング方式のアプトプットをしていきます。

その前に、リバースプロキシ方式L2フォワーディング方式について、簡単なイメージをお伝えしておきます。

リバースプロキシ方式は、ちょっとだけ VPN を利用するといった時に便利な方式で、L2フォワーディング方式は、一日中がっつりと利用したい時に便利な方式というイメージです。

L2フォワーディング方式とは

L2フォワーディング方式は、専用モジュールを必要とします。

専用モジュールとは
VPN 接続をするために必要なソフトウェアのようなものです。

専用モジュールは、会社内ネットワークに設置されている VPN 装置にアクセスすることで、VPN 装置からダウンロードできます。

VPN 装置とは
会社にリモートアクセスする際に必要となる装置で、会社内に設置されています。

VPN とは
Virtual Private Network の略で、日本語に訳すと、仮想プライベートネットワーク。つまり自宅に居ながら会社のプライベートなネットワークに接続することを (仮想的に) 実現するといった意味になります。

L2 フォワーディング方式は、会社内のサーバとやり取りするデータを HTTP パケットに入れてカプセル化 (データをまとめて包んで)し、SSL (という暗号化プロトコル) で暗号化する方式です。

カプセル化されたデータが OSI 参照モデルの第2層のデータであるため、L2 (Layer 2) フォワーディング方式と呼ばれます。

L2フォワーディング方式の実際のやりとり

1.事前準備

会社内にある VPN 装置に対し、(自宅などからアクセスしてきた PC 用に) 会社内ネットワークで使える IP アドレスをいくつか設定しておく必要があります。

2.モジュールのダウンロード

自宅 PC の Web ブラウザから会社内の VPN 装置に HTTPS (というブラウザとサーバ間の通信データを暗号化するプロトコル) でアクセスし、L2 フォワーディング用のモジュールをダウンロードします。

3.仮想的なトンネル

自宅 PC にインストールされたモジュールは、会社の VPN 装置と安全に通信するため SSL を使って仮想的なトンネルをつくります。トンネル内の通信データは SSL によって暗号化されるため安全です。

モジュールは、自宅 PC に仮想 NIC を追加し、自宅 PC から送信されるデータは全てこの仮想 NIC から送信されます。

仮想 NIC とは
PC がネットワーク通信するために必要なネットワークインターフェースのことを NIC といい、PC にインストールされたモジュールにより仮想的につくられたものを仮想 NIC といいます。

そして、この仮想 NIC には、1.事前準備で用意された IP アドレスが割り当てられます。

4.VPN通信開始

自宅 PC で、VPN 接続アプリケーションを起動し、会社内のサーバ等にアクセスします。

5.データを暗号化して送信

アプリケーションデータは、モジュールにより HTTPS (暗号) 化されます。このデータは 3.仮想的なトンネルで作られた安全なトンネルを使って、会社の VPN 装置に送信されます。

6.データの復号

VPN 装置は、受け取った (HTTPS で暗号化された) データを復号化します。

7.データをサーバへ送信

VPN 装置は、復号化したデータを会社内のサーバに送信します。

8.データの返送

サーバから (自宅 PCへ) の応答データを VPN 装置が受け取り、HTTPS 化して自宅 PC へ返送します。

L2 フォワーディングまとめ

  • SSL-VPN の3種類ある方式の一つが、L2フォワーディング方式。
  • L2 フォワーディング方式は、専用モジュールをインストールする必要がある
  • L2 フォワーディング方式は、会社内の VPN 装置との間でトンネルをつくり、データはこのトンネル内を安全に流れる。
  • L2 フォワーディング方式は、インストールされたモジュールにより自宅 PC に仮想 NIC を追加し、自宅 PC からのデータは仮想 NIC から送出される。
  • 会社内の VPN 装置は、自宅 PC が接続してきたら (あらかじめ用意していた) 会社内ネットワークで使える IP アドレスを自宅 PC の仮想 NIC に割り当てる。
  • 自宅 PC から送出されたデータは OSI 参照モデルの第2層のデータであるため、L2 (Layer 2) フォワーディング方式と呼ばれる。
  • 使用できるアプリケーションに制限がない

この L2 フォワーディングは、令和4年 春期 ネットワークスペシャリスト 午後Ⅱ 問1 設問1で出題されました。

設問内容

・SSL-VPN は、リバースプロキシ方式、ポートフォワーディング方式、【  】方式の3方式がある。

令和4年 春期 ネットワークスペシャリスト試験 午後Ⅱ 問1 設問1
この記事を書いた人
てこ

ITインフラエンジニアのアウトプットブログ。
IT技術やWindows Tips、ガジェットレビューなどを書いてます。
当サイトはリンクフリーです。

written by Terra Yuuki
PR
ネットワーク
てこエンジニアブログ