SSL VPN と OpenVPN：多くの嘘とわずかな真実（4/4 ページ）

[Charlie-Hosner，japan.linux.com]

ワームへの障壁

　OpenVPNが現在提供しているセキュリティ機能に感心しただけではない。非常に興味深い機能も発見した。未知のワームに対する障壁である。「ワーム選好性」という脆弱性をもたらすものは何だろうか。攻撃者側から考えてみよう。攻撃者としては、リモートから攻略できるような脆弱性がほしい。自動化でき効率的に攻撃可能なもの、そしてターゲット・システムへの十分なアクセス・レベルが得られるものがあればOSツールにアクセスして感染を拡大できる。また、同じ構成のマシンが大量に存在し、攻略可能な脆弱性を持っていれば、大規模な攻撃が可能だ。つまり、10台のマシンに感染するワームを書きたい者など誰もいない。それでは割に合わないのである。

　OpenVPNの設計者はこの点を考慮し、OpenVPNに偉大なるオプションを与えた。標準的なワーム攻撃を分散させるオプションtls- authである。すべてのVPNクライアントとサーバは、あるキーを持たなければ他のOpenVPNインスタンスとSSL/TLSハンドシェイクを開始することすらできないが、このオプションでそのキーの割り当てが可能となる。キーはOpenVPN管理ドメインごとに一意的であるため、OpenVPNインスタレーションごとに異なる。したがって、ワームで攻撃するにしても、自動的に攻撃できるほど類似性のあるOpenVPNインスタンスは、200万台の Windows 2000マシンではなく、10台、あるいは50台、せいぜい100台である。もちろん、曰わくのある攻撃を止めることはできない。しかし、自動化されたワーム攻撃は劇的に減少する。

　上に述べたセキュリティ制御のほとんどはデフォルトで有効になっているか、インストールの解説書で強く推奨されている。

　優れているのは、セキュリティについてばかりではない。すでに述べたように、初期インストールは容易である。設定もわかりやすい。サーバを制御する設定ファイルは1つ、他のオープンソース製品でお馴染みの形式で記述する。クライアントの構成オプションは、--pushと--pullディレクティブを使って集中制御することもできる。

　複数の--remoteディレクティブを用いれば、複数のOpenVPNサーバによるフェイルオーバー構成が可能。トラフィック制御とサービス品質（QoS）オプションもまた、容易に実装できる。認証法には推奨されているX.509証明書によるものの他、ごく一般的なものがさまざま使える。ユーザー・パスワード、スマート・カード、静的キー設定も、通常レベルから高度なものまで、いろいろなセキュリティ・レベルで利用可能だ。

　OpenVPNを調べていて、VPNに相応しく有用な機能を1つ見つけた。ルーティングとアクセス制御のレベルが適当なのである。ほとんどのSSL VPNでは、この機能が高度すぎる。これに対してOpenVPNのルーティング機能は使いやすく、特定のユーザーに割り当てることができる。まだリリースされていないが、2.1ではグループに割り当てることも可能だ。これによって、リモート・アクセスを分割しクライアント・トラフィックを振り分ける柔軟なネットワーク構成が可能になる。

　コマンドラインを見ると胃が痛くなる質でOpenVPNを使うのは遠慮したいという向きには、OpenVPN環境のインストールと管理を支援するグラフィック・ツール群が用意されている。My Certificate WizardとOpenVPN GUIはよくできた製品で、コマンドライン・インタフェースという怪物から、か弱い心臓を守ってくれる。OpenVPN Webサイトには、他のグラフィック・ツールも提供されている。

　世の中はさまざまだ。中には、定期的にカーネルをコンパイルするのが大好きで、トラブルが発生したら10秒以下で対応すべくマシン・ルームに詰めて VPNマシンのお守りをしている人もいるだろう。そういう人にはIPsecが相応しい。中には、セキュリティはどうでもよく、見栄えのいいリモート・アクセス・ツールがほしいだけの人もいるだろう。そういう人には昨今話題のSSL VPNからいずれかを選ぶとよいだろう。ただし、機密データを扱うような企業の場合は正しい選択ではないだろうが。そうではなく、インテリジェントで管理しやすく堅牢な機能を具備し業界屈指の強力なセキュリティを装備したVPNがほしいのなら、OpenVPNを選択すべきことは明白である。

原文へのリンク