VPNは、IPレベルで暗号化する必要ある？

VPNソフトウエアでは、IPパケットまで暗号化しているようですが、IPパケットまで暗号化する必要はどうしてあるのでしょうか？

No.1 ベストアンサー 回答者： m_mik 回答日時： 2006/02/17 18:02

暗号化していない状態では、途中のパケットの内容がそのまま見られる状態ですので、以下の危険性があります。

・盗聴
・改竄（かいざん）
・なりすまし

暗号化してあれば、途中のパケットが見られた場合でも暗号の複合化が難しいので安全ということです。

途中のパケットを見ることが出来るのか？という疑問がわくかもしれませんが、簡単に途中のパケットを見ることは出来ます。
途中のパケットを見る方法は検索をすると、簡単に探し出すことが出来ると思います。

この回答への補足

すいません、上に加えて、SSL（セッション層での暗号化）とVPN（IP層での暗号化）の違いって何でしょうか？

補足日時：2006/02/17 19:14

この回答へのお礼

早速のご回答ありがとうございます。
データの暗号化はアプリケーションレイヤレベルで
暗号しておけばよいのではないでしょうか？
IPパケットを暗号化する理由がよくわかりません。

お礼日時：2006/02/17 18:40

No.4 回答者： Toshi0230 回答日時： 2006/02/18 01:41

VPNソフトでは、通常IPまたはその下のPPPやイーサネットレベルでパケットを暗号化します。

このようにすることのメリットとして、アプリケーションは暗号／非暗号を意識することなく、暗号化通信を実現できることが挙げられます。
反面、相互に通信する側が、同じVPNの機能を持っている必要があります。

SSLの場合、OSが暗号化の機能を持たなくても、アプリケーション側で暗号化の機能を持たせられるので、VPN機能を持たないシステムにも実装できるという手軽さがある反面、アプリケーションがSSLを意識した作りでないと暗号化通信の恩恵を得られない、というデメリットが有ります。

このように、それぞれメリット・デメリットがありますので、適宜使い分けが行われています。
なお、SSLの手軽さを利用したVPNソフト(SSL-VPNなどと呼ばれます）も販売されています。

No.3 回答者： m_mik 回答日時： 2006/02/17 20:35

最後の方はちょっと慌てて書いていました＾＾；

IPアドレスとポートがばれた場合、アプリに対してアタックされたら大問題になってしまいます。
また、パケットの一部が変えられてアプリが不正な処理で落ちたりしたら、目も当てられません。
（複合化でおかしな値が入ってきて落ちましたなんていうのは、笑い話にしかなりません）

ちょっと質問が変わってきているような気がするのですが、ついでに…

SSLとVPN（というかIPSecだと思いますが）の暗号化については、以下を参照してみてください。
（ちょっと長くなりそうなので、ここでの回答は控えさせていただきます）
http://yougo.ascii24.com/gh/76/007667.html（SSL)
http://yougo.ascii24.com/gh/76/007665.html（IPSec)

No.2 回答者： m_mik 回答日時： 2006/02/17 19:23

暗号化されているアプリケーションを使用していれば大丈夫ですが、暗号化されていないアプリケーションを使用した場合どうなるでしょう？

（例えば、Telnet、FTPなど）
WindowsのPCをネットワークで使用されると、ファイルの共有を行っていてコピーをした場合にも見られてしまう可能性もあります。

VPNによって通過するパケットがすべて暗号化されているアプリケーションならば良いかも知れませんが、現実的には難しいと思います。

また、暗号化してあるアプリケーションでもサーバのIPアドレスやポート番号が分かりますが、それは問題にならないのでしょうか？
内部のIPアドレスやポート番号がばれるのも嫌だと思いますが…