sftpとインターネットVPN

こんにちは

今回、インターネットを利用したFTP通信を顧客と行います。
そこでSFTPかインターネットVPN(IP-sec)を介したFTPか検討しています。

どちらかを選択する上で、メリット・デメリットの比較について
なにか情報ありましたら教えていただきたいと思います。

私の疑問点としては、
IP-secではモード選択によるがパケット認証（改竄の確認）が可能
であるが、SFTPで使用されるSSHは可能か？

SSHではポートフォワーディングであるため、ファイヤーフォールでは
特定アプリケーションのパケットを認識できないのではないか？

といったところですが、他にも費用面や処理の重たさなど、ご教授
いただけたら幸いです。

宜しくお願いいたします。

No.1 回答者： hanabutako 回答日時： 2010/01/09 05:52

sshにも改ざん防止機能がついています。

現状使われているSSH2ではこれにHMAC-MD5やHMAC-SHA1などを使えるので、
sshでもIPsecと同程度の改ざん防止が可能です。

SSHを使うとファイアウォールではSSHにしか見えないので
特定のアプリケーション用のパケットというのはわかりません。
しかし、サーバー側でport forwardを禁止することや特定のコマンドしか
sshから起動できないようにすることは可能です。
(たとえば、rsyncしか起動できないようにすることでネットワークバックアップのための
サーバーを作ったことがあります。)

ファイアウォールでアプリケーションが何かわからないというのはIPsecでも
ESPでカプセル化すればTCPやUDPだとわからないので同じような気がします。
もちろん、この場合はVPNの出先で展開するのでそこでパケットフィルタリングできると
思いますが。

費用面で言えば、専用機器などを導入するならIPsecの方が高くつきそうですが、
暗号化や改ざん防止がL3まですむのに対し、SFTPだと一度L7にあがって処理をするので
遅そうな気がします。

この回答への補足

どうもありがとうございます。

機能としてはどちらも違いはあまりなさそうですね。
プロトコルで行うか、VPN装置で行うかの違いでしょうか。

SSHはポートフォワードしか使えないと思っていました。
もう少し勉強してみます。
SSHについて何か良いサイト等がありましたら教えてください。

補足日時：2010/01/10 00:16