VPNとインターネット回線について

Question

教えてください。
10拠点の支部を持つ会社で支部には5台ほどPCがあります。
本部には10台ほどのPCがあります。
フレッツVPNで拠点を結びます。
全PCは本部を通ってインターネット回線から外へ出るという環境を用意しなければなりません。まず1点目教えていただきたいのは、
インターネットへのアクセスは、Proxyサーバを通ってインターネットにアクセスするのですが、
そのプロキシサーバは公開サーバなどがあるDMZゾーンに置くべきなのでしょうか？
それともLAN内に置くべきなのでしょうか？
その前にそもそも分からない基本的な質問があります。
今回本部には、支部を結ぶVPNと公開サーバ用のインターネット回線の2回線あります。
普通PCからのインターネットアクセスは公開サーバの回線を通って出て行くべきものでしょうか？それとも本部のVPN回線の方を通って外へ出ていけるのでしょうか？
VPNは閉域網と言われると思うのですが、どのように外へ出て行けるか根本的に分かりません。
教えていただけないでしょうか。
よろしくお願いします。

anmochi · Accepted Answer

本部の公開サーバー回線をH0、VPN用回線をHV、支部用VPN回線をSV1、SV2、・・・、SVnとします。また、VPNが何か書かれていないため、IPsecVPNによるインターネットVPNと仮定します。

> インターネットへのアクセスは、Proxyサーバを通ってインターネットにアクセスするのですが、
> そのプロキシサーバは公開サーバなどがあるDMZゾーンに置くべきなのでしょうか？
> それともLAN内に置くべきなのでしょうか？
下図のルーターH0のパケットフィルターポリシーにもよりますが私なら本部LAN内に置きます。
この場合、本部は
インターネット
｜
H0
｜
ルータH0－（DMZ）
｜
（本部LAN）－Proxyサーバ
｜
本部PC1～10
というネットワークで、PC1→Proxyサーバ→ルーターH0→H0→インターネットという風につながります。IPマスカレードはルーターH0で行う事になります。こうする事で、インターネット側からProxyサーバに対してちょっかいをかけることができなくなります。また、DMZに置いた場合はデータの流れがPC1→本部LAN→ルータH0→DMZのProxyサーバ→ルータH0→インターネットと、2回ルータH0を通る事になるので伝送効率が落ちる懸念があります。
実はH0もHVもルータH0が管理しているというのであればProxyサーバはDMZに置く方が良いでしょう。

支部は以下の通り
インターネット
｜
H0
｜
ルータH0－（DMZ）
｜
（本部LAN）－Proxyサーバ
｜
ルータHV
｜
HV
｜
（インターネット経由のIPsecVPN）
｜
SV1
｜
ルータSV1
｜
（支部1LAN）
｜
支部PC1～5
支部PC1はVPN経由で本部LAN内のProxyサーバに接続し、そこから先は本部PCと同じ流れになります。

> 今回本部には、支部を結ぶVPNと公開サーバ用のインターネット回線の2回線あります。
> 普通PCからのインターネットアクセスは公開サーバの回線を通って出て行くべきものでしょうか？
> それとも本部のVPN回線の方を通って外へ出ていけるのでしょうか？
設定次第でどちらもいけるのですが、外に出て行くのは公開サーバー側の回線を使うのが一般的だと思います。前段のネットワーク図もそれを想定した図として説明しています。セキュリティを本当に気にされるのであれば、H0をインターネット、DMZ、本社LANの3点接続にするのではなく、H0：公開サーバー用回線、H1：インターネットに出ていく用回線、HV：VPN用回線という風にH1を新設して別回線にすべきでしょう。

後、ANo.1様の回答に補足しておくと、VPNはインターネット経由じゃないものもあります。例えばIP-VPNはNTT東西各地域会社がインターネットとは独立して持っている地域IP網という独自の回線を介して拠点間を結びますのでインターネットには絶対に出ていきません。そのようなVPNではインターネットからの攻撃にさらされる事はありませんのでご安心ください。

lupin-333333 · Answer

＞どのように外へ出て行けるか根本的に分

このような場合、その上位のカテゴリーとか、派生版、規格などから見ると、だいたいわかるものです。それは、長所、欠点をおぎなうのが派生版であり、上記の規格等、カテゴリーだからです。

http://ja.wikipedia.org/wiki/SSL-VPN

http://fenics.fujitsu.com/products/ipcom/catalog/data/2/1.html

そうするとＶＰＮでは何をしなければならないのか、何が必要なのかわかりますね。上記のサイトで「トネリング」なんて項目がでてきますね。それを検索して、知識を深めればいいわけです。

https://www.google.co.jp/search?hl=ja&q=%E3%83%88%E3%83%8D%E3%83%AA%E3%83%B3%E3%82%B0%E3%81%A8%E3%81%AF&lr=lang_ja

それらを再認識してから
https://www.google.co.jp/search?hl=ja&q=SSL-VPN&lr=lang_ja#hl=ja&lr=lang_ja&psj=1&q=%E9%96%89%E5%9F%9F%E7%B6%B2%E3%81%A8%E3%81%AF&tbs=lr:lang_1ja

で

http://www.nec-nexs.com/clovernet/about_vpn/tech_info/ip_vpn/

なんて読むと、ＭＰＬＳなんてわかのわかないものがでてきたら
http://e-words.jp/w/MPLS.html
http://www.atmarkit.co.jp/fnetwork/tokusyuu/11mpls/mpls01.html

再度検索すると、これに突き当たる。そこに「VPNサービスの提供」なんてある。一つのやり方として、このようなサービスも提供している。

まず、横文字、略語は、再度検索してよりよい情報サイトを除く事ですね。

Moryouyou · Answer

う～む。文章で説明するのは面倒ですねぇ～。

言われているのは割とオーソドックスな企業のネットワーク管理手法だと思います。

まず、プロキシサーバーの置き場所ですが、どちらかと言えばDMZですかね。
社内ＬＡＮにも置く二段構えの構造がよりセキュアーだと思いますが。

次に、VPN用の回線と公開サーバ用の回線をどちらをインターネットアクセスに
利用するか？ですが、
これもどちらも可能ですが、外向きの接点はどこかひとつにしておいた方が
管理が楽ですよね。

万が一ハッキングがあった場合、どこから侵入されたかが、はっきりしないと
調べるにも手間です。

セキュリティのポリシーとして、VPN網となる所はあくまで社内マシン間の
通信のみ。インターネットなど外とのやりとりはDMZを介してだけ。と
大原則を決めて構築するべきだと思います。

因みにVPN網っていうのはインターネットという道路に個別の秘密のバスを
走らせているようなもので、そのバス以外を走らせることはいくらでも
できてしまいます。VPN網を構築するルータなどのセキュリティ対策を厳重に
しないと、簡単に外からの侵入口になってしまうので気をつけてください。

いかがでしょうか？

VPNとインターネット回線について

本部の公開サーバー回線をH0、VPN用回線をHV、支部用VPN回線をSV1、SV2、・・・、SVnとします。

＞どのように外へ出て行けるか根本的に分

う～む。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング