ＶＰＮについての基礎部分について

ＶＰＮの基本的な概念について、4点質問したいと思います。

1.ＶＰＮにはクライアントとＶＰＮ機器、ＶＰＮ機器による拠点間接続があり、後者は基本的にはＷＡＮ（拠点間接続は、基本的に何かしらのＶＰＮか専用網で構成されている）

2.DMZ領域にあるサーバーは、基本的にＶＰＮでアクセスはしない。ＤＭＺではおけないサーバー（ファイルサーバー）まどを外部からアクセスする際に、ＶＰＮ機器は導入を検討される。

3.端末制御（アクセス制御）や認証については、基本的にはＶＰＮ機器本体で行うのでしょうか。
（他の認証（ワンタイムパスワードのアプリ）などと組み合わせるのが一般的でしょうか）

4.IPSecとSSL-VPNの違いについて
（リモートアクセスはＳＳＬ－ＶＰＮのほうが、クライアントのアプリが不要な分よいとされていますが、
何かデメリット（特定のアプリが起動しない、特定のポートしか利用できない）などはありますでしょうか。
また、拠点間ではIPSecのほうが一般的な理由はどういったものでしょうか。


長文になってしまい申し訳ございません。
ご存知の方いらっしゃいましたら、アドバイス宜しくお願いします。

No.1 ベストアンサー 回答者： hyter 回答日時： 2013/01/04 00:06

ちょっと前まで仕事でIPSec-VPNとSSL-VPNの機器を設定、構築していたものです。

> 1
はい

> 2
大抵はそうです。

> 3
利用者の人数によります。
10人未満とかであればVPN機器単体で済ませることが多いです。
→IDとパスワードによる認証など。情報はすべてVPN機器内に保持します。

それ以上の人数であればLDAP（≒AD）やRADIUS、ワンタイムパスワードや
クライアント証明書なんかを組み合わせます。
この辺は既存の環境（ユーザ情報源となるものが既にあるか）や
個々の好みですね。

> 4
まずSSL-VPNですが「クライアントのアプリが不要」なのではなく
「クライアントのアプリの設定が不要」です。

リバースプロキシタイプのSSL-VPNであれば確かに不要ですが（ブラウザだけでOK）、
大抵のSSL-VPN機器はそれ以外にもポートフォワードやSSLトンネリングなどの
別の通信手段を設けています。
→この際の利用イメージとしては、ブラウザでSSL-VPNにアクセスすると
　専用のソフトウェアを自動ダウンロード、自動起動してVPNを張る。
　エンドユーザは設定作業は不要、です。

リバースプロキシタイプであれば、動作するアプリは
「ブラウザ上から動かせるもの」に限定されます。

それ以外のタイプであれば、大抵は問題なく動作します。
（対応OSの考慮やセキュリティ対策ソフト、類似ソフトとのバッティングなどは
ありますが…）

拠点間でIPSec-VPNが多い理由は「VPN機器だけ設定してしまえば
他は設定する必要がない（クライアントソフトも不要）」だからです。
エンドユーザはVPNの存在すら意識する必要がありません。

基本的には
　・IPSec-VPN
　　　社内to社内で繋ぐ。常にVPNを張っている。
　　　その他各種機能はSSL-VPNより貧弱。
　　　信頼の置ける人間（社員）が使う。
　・SSL-VPN
　　　外出先to社内で繋ぐ。VPNは適時張る。
　　　その他各種機能はIPSec-VPNより豊富。
　　　社員だけでなく外部の人間（派遣など）も使う。

という認識を持ってしまってもいいと思います。
※その他各種機能ですが、例えば認証だけでなく
　「アクセス先を事細かに制限させたい」や「利用端末の環境もチェックしたい」、
　「VPN終了後に利用端末からキャッシュを消したい」、といったことは
　大抵のSSL-VPN機器では出来ます。IPSec-VPNでは出来ません。

この回答へのお礼

ご回答いただきまして、ありがとうございました。
またお礼遅くなってしまい、大変申し訳ございません。

だいぶ理解することができました！とても助かります。
アドバイスを参考に自分でも調べてみようと思います。

お礼日時：2013/04/20 17:54