「Windowsで,ローカルのLANと同じくインターネットを介し,遠隔地のLANへアクセスしたい」。従来であれば,セキュリティを確保しつつ社内LANへ安全にアクセスするためには,ISDNや専用線を用意してダイヤルアップ接続することが普通であった。
しかし,インターネットの常時接続が普及している現在,回線品質の格差はあるもののコストパフォーマンスに優れるインターネットを利用してLANとLANをつなぐことも現実的な手段となりつつある。このためには,暗号化の技術を利用し,極力インターネットの危険にさらさないよう努力する必要があるのだ。
そこで使われるのが「VPN」(Virtual Private Network)と呼ばれるものだ。今回は,このVPNを構築するための手段の1つとして「PPTP」を利用する手順を解説していこう(PPTPについては,詳細を後述)
「VPN」は技術の総称名を指している
最近ではハイエンドルータなどでも見られるようになった「VPN」という言葉。これは,インターネットに接続される異なるネットワークアドレス空間の拠点を,専用線で接続したかのようにみなす技術の総称だ。通常,インターネットをそのまま利用して拠点間を接続すると,途中でデータを盗み見られる恐れがあることから,暗号化を行って通信しようというのがVPNの基本となっている目的だ。
最近ではよく利用されるSSLのような暗号方式は,アプリケーションが送受信するそれぞれのデータを暗号化するものだが,VPNではIPプロトコルのレベルで暗号化を行い送受信する。結果として,どのようなアプリケーションを使ってもすべてのデータが暗号化されるのだ。
VPNの方式には,前述したPPTPだけではなく幾つかのものが用意されている。
1. IPSec
IPプロトコルの部分で認証と暗号化をするためのプロトコル。主にルータなどの機器がIPSecで暗号化を行い,拠点間を結ぶ場合に用いられる。 つまりIPSecはLAN間の接続に使われるものであり,サーバとクライアントを接続するために使われることはほとんどない。
2. PPTP
PPPのレイヤーで暗号化するプロトコルのこと。元々は,サーバに対してクライアントがリモート接続する際,暗号化で安全な通信を行うために考え出されたものだ。近年は,IPSecと同様にLAN間を結ぶためにも利用されることが多い。
3. SSHを利用したフォワーディング
この方式は正式にはVPNとは表現できないかもしれない。しかし,通信を暗号化するという目的でSSHが使われることもあるのだ。 SSHは,主にUNIX系のOSで使われるプロトコルであり,シェルを利用する際の暗号化手段として広く知られている。SSHには,特定のポートから受け取ったデータを他のポートへ転送する「ポートフォワーディング」と呼ばれる機能があり,この機能を使えば任意のアプリケーションのデータを暗号化できるのだ。 Linuxの場合には,SSHを使ったフォワーディングとしてVPNを実装するのがもっとも簡単だ。ただし,SSHによる暗号化は,RFCなどで標準化されているわけではなく,また,TCPプロトコル以外のプロトコルは扱えないという問題点もある。
このように,さまざまなVPNの実装方法があるため用途に応じて使い分けられる。
一般的には,「ルータなどで拠点を結ぶのであればIPSec」,「クライアントからサーバへの接続を提供したいのであればPPTP」,「UNIXで簡単に暗号化したいのであればSSHフォワード」という選択肢になるだろう。
遠隔地のLAN内へアクセスができると?
企業などで支店間を結ぶなどの目的であれば,ルータ間でやり取りができるIPSecを利用したほうがよいだろう。しかし,ほとんどの場合は「自宅のLANに安全に接続したい」,「会社の一部門で扱うサーバへアクセスしたい」といった目的だろう。このような要求は,PPTPを利用すれば比較的手軽に実現できる。そして,企業や個人宅サーバへのアクセスといった目的は異なるものの,インターネットの一部として機能するため,セキュリティ面での格差はない。
自宅のLANがサーバを通じてインターネットに常時接続されているのであれば,Fig.1に示すようにサーバへPPTPデーモンをインストールし,PPTPサーバとして動作させればよい。
PPTPサーバ上の設定は,クライアントがインターネットを介して接続要求してきた際,クライアントに対してLAN側のIPアドレスを割り当てるように設定を行う。そうすると,あたかもLAN内のクライアントのように振る舞うことができるのだ。PPTPプロトコルは,Windows98以降であれば標準で対応されている。そのため,Linuxで構築されたPPTPサーバへはWindowsからアクセスが可能だ。
PPTPサーバを構築しておけば,出先のノートパソコンから接続し,LAN内のデスクトップパソコン(サーバ)に保存されている共有ファイルを参照,といった使い方も可能だ。もちろん,LAN内だけに許可設定している各種サービスも利用できるようになる。
Fig.1■PPTPサーバの構築
