5.2.5 仮想プライベートネットワークプロトコル
Windows NT Server 4.0も,仮想プライベートネットワークのプロトコルとしてPPTPをサポートしていた。Windows 2000 Serverでは,さらにL2TPをサポートしている。これらのプロトコルは,ルーティングとリモートアクセスサービスを有効にするときに,モデムを自動検出して構成されるようになっている。
ただしL2TPは,Windows 95やWindows 98,Windows NT 4.0などの従来オペレーティングシステムではサポートされないので,これらのオペレーティングシステムを利用する環境では注意が必要である。
●PPTP(Point-to-Point Tunneling Protocol)
PPTPは,PPPパケットをIPデータグラムにカプセル化し,IPネットワークで通信するコネクション型プロトコルであり,Windows NT 4.0からサポートされている。PPTPを利用したリモートアクセスクライアントは,インターネットを介してWindows 2000のルーティングとリモートアクセスサービスに接続し,ネットワーク上のリソースにアクセスできるようになる。つまり,PPTPを使用することで,企業のセキュリティを確保しながら,インターネットを介してプライベートネットワークにアクセスできるのである。もちろん,インターネットプロバイダ(ISP)を介して接続することもできるし,直接インターネットと接続することもできる。PPTPは,暗号化したデータをWindows 2000の標準プロトコル(IP,IPX,NetBEUI)で送信できる。
●L2TP
L2TP(Layer 2 Tunneling Protocol)は,IETFによって開発されたプロトコルであり,PPTPとL2F(PPPフレームをIP網やフレームリレー網で中継する技術)を統合したものである。データはPPPダイヤルアップフレームにラップされて送信される。ただし,L2TP over IPであれば,データはPPPダイヤルアップフレームにラップされ,さらにIPにカプセル化される。L2TPでは,IPトランスポートあるいはIPトランスポートを使用することなく,直接X.25,フレームリレー,ATMなどのネットワーク媒体でPPPをカプセル化して送信できる。
なお,L2TP自体には暗号化機能がないので,ほかの暗号化メカニズム(たとえばIPSecのMPPE)と組み合わせて暗号化する必要がある。Windows 2000では,IPSecと組み合わせて利用するようになっている。
Windows 2000は,Layer3プロトコルのIPSecトンネルモードをサポートしている(IPトラフィックのみに対応)。IPSecトンネルモードは,ネゴシエーションしたセキュリティ手法を使用し,プライベートネットワーク間またはパブリックインターネットワーク間で安全にデータを転送できるようにする技術である。具体的には,すべてのIPパケットをカプセル化して暗号化する。暗号化されたパケットは,プレンテキストIPヘッダでカプセル化され,通信相手となるサーバーに送信される。パケットを受け取ったサーバーは,プレンテキストIPヘッダを処理して破棄し,暗号化されている本来のIPパケットを復号化する。
また,Windows 2000では,リモートアクセスポリシー(フィルタ一致条件の集合)によって,暗号化,トンネルメカニズム,認証方法を制御できる。指定した認証方法で認証されたあと,暗号化方法に従ってネゴシエーションを試み,ネゴシエーションされた暗号化方法を用いて通信する。
いずれにせよ,IPSecトンネルモードは,まだ標準化が進められている途中の技術である。さらに,製品間の相互運用性も十分確認されているわけではない。そのため,いまのところWindows 2000ベースのイントラネット環境でのみで利用するほうがよいだろう。
 |
Chapter 5 17/25 |  |
