「SoftEther」を活用しよ��
今年に入ってから「SoftEther」と�言葉をち�ち�見かけるようになりました。「その�ち�と調べてみよう」と思いつつほったらかしでした�(思ったら行動しな��ませんね)タイミングよく、いつも読んで�『NETWORK MAGAZINE』に「SoftEther」につ�の記事があった�で、レビューのネタは決まりです� 今月の『NETWORK MAGAZINE』�記事を読め�、「SoftEther」につ�の概要がよくわかります� ・SoftEtherの概� ・インスト�ルと設� ・セキュリ�機� ・活用� につ�簡単にまとめられて�す。「SoftEtherって何?」と�方は、これによって大まかな�を知ることができます。タダで��を得た��方は、以下�URLが参�なるでしょ�� 「SoftEther.com」�式サイトで� http://www.softether.com/jp/ 登 大遊さ�(開発�)の論文 http://www.softether.com/jp/overview/paper/softetherpaper.pdf こちらを一通り読め�、『NETWORK MAGAZINE』�記事以上���を得られます。『NETWORK MAGAZINE』�記事�ほ�カラーでレイアウトもよく�られて�読み��すけどね� さて、ここから�「SoftEther」につ�の個人�感想です� 一言で�と、これ�「スゴイ」仕�です。ま�実際に自�試しては�せんが、一通り概要を知っただけでわかります�3月後半からSoftEtherのネタをメルマガで取り上げて�たいと�て�す� VPNと�言葉をよく聞きます。突き詰めて�るとVPNと�言葉�とても�意味を持って�のですが、一般�は「インターネット上で仮想�専用線を構築して安�な通信を行う」ことと認識されて�す。インターネットを利用するVPNを特にインターネッ�VPNと呼んで�す�(インターネットを利用しないVPNもあ�) インターネッ�VPNを実現するプロトコルとして� ・IPSec ・PPTP ・L2TP などがあります。この中のプロトコルで一番メジャーなプロトコルはIPSecです�IPSecはレイヤ3においてIPパケ�を暗号化して、安�な通信を行うためのプロトコルです。個人・SOHOユーザ向けのブロードバンドルータで�IPSecによるインターネッ�VPNが可能な製品が出てくるようになりました。また、IPSecによるVPNをIPSec-VPNと呼びます� ただし�IPSec-VPNはNATによるアドレス変換を扱��が難しいと��リ�があります�NATを越えられな�けではありませんが、NATを越える�は難しいのです。また�IPSec-VPNには、クライアント�に専用のソフトウェアをインスト�ルしなければ�な��制�もあります。数台のクライアントしかなければ特に問題にはなりませんが、企業ユースで何百台も�クライアントが存在すれば、クライアントに専用ソフトウェアをインスト�ルするのはかなり大変です� こうしたNAT越え、クライアントソフトウェアの�性と�た制限を解決するために昨年の半�ぐら��SSL-VPNが話題に上るようになりました。SSL-VPNは、Webサイトで買�をするときなどによくみかけるSSL(Secure Socket Layer)によって暗号化して安�な通信を行います�IPSec-VPNがレイヤ3でIPパケ�自体を暗号化して�のに対して、SSL-VPNはSocket通信(トランスポ�ト層)でアプリケーションのメ�ージを暗号化して�す�SSL-VPNでは、IPヘッダを変更しな��でNATの影響はありません�そして、いまどのクライアントコンピュータにもインスト�ルされて�SSL対応�Webブラウザさえあれば�のです� ただし、SSL-VPNを通じて通信が可能なアプリケーションプロトコルに柔軟性がな���リ�があります。一般�HTTPやSMTP、FTPなどには対応して�すが�カスタ�アプリケーションの��タをSSL-VPNに通すことができな��合があります� SSL-VPNとは��発想で、レイヤを下げた�がSoftEtherでのVPNのコンセプト�と思います。SSL-VPNではレイヤをあげることによってNATとクライアントソフトの問題点を解決したのですが、その反面、アプリケーションプロトコルに柔軟性がなくなってしま�した�一般にレイヤが上がれ�扱えるプロトコルの柔軟性は低くなり、レイヤが下がれ�扱えるプロトコルの柔軟性が高くなります� SoftEtherは、レイヤを下げてイーサネットフレー�自体を暗号化することによって、扱��ロトコルの柔軟性を高くして�す。レイヤ2で暗号化すれ�、レイヤ3以上�プロトコルは何でも流せるよ�なるわけです�(ただし、実際にパケ�を転送するIPネットワークは��) SoftEtherは、クライアントに仮想LANカード、サーバに仮想HUBを作�して、仮想LANカードと仮想HUBの間で仮想�LANを構�します。仮想LANカード�、イーサネットフレー�をSSLで暗号化して、仮想HUBのサーバとの間でパケ�を送信するためにIPでカプセル化して�す� 詳細につ�はま�把握して�せんが、仮想HUBでは、仮想LANカードと仮想HUBのポイントツーポイント�接続を実際のLANのようにブロードキャスト�ルチアクセスのエミュレートをして�ようです�。このあたり�、ATMのLANEと�方は似て�みたいです� SoftEtherのVPNでは、NAT越えは問題な��ですが�専用ソフトウェアの問題�残ります�ただ、レイヤ2でのVPNと�柔軟性を�ると、専用ソフトウェアの問題には目をつむってもい�なと思います。この辺は、ネ�ワークの規模�管��リシー次第です�。唯一絶対のソリューションなんてな��ですから。た�、個人が手軽にVPNを構築するにはSoftEtherが現在のところベストなソリューション�と思います。仮想HUBと仮想LANカード�ソフトウェアさえインスト�ルして、簡単な設定をすればそれでVPNができてしま��ですから� こんなに手軽にVPNができてしま���を悩ます�が企業のネットワーク管���方�す�� 手軽にVPNができる�手軽にバックドアができる ことになってしま�す。社��ワークに仮想HUBさえ立ててしまえ�、あとはファイアウォールも気にせずに外部から社��ワークに入れてしま�す。「便利で手軽」と�ことと「セキュリ�」�アンビバレントな性質をよくあらわして�と�ます�。特にSoftEtherの手軽さ、便利さが際立って�ので、それに対するセキュリ�上�リスクも大きくなってしま�す� こうしたことが原�で、一時SoftEtherは公開中止になってしまったそ�すが、SoftEtherの可能性を阻んでしま��はもったいな�思います。「管�きな�ら」SoftEtherを批判するのではなく� 「なんとか管�きるようにするにはど�たら�の�ろう�どのように� たら便利さとセキュリ�を両立させることができる�ろう�� とポジ�ブに�て�方が面白�すよね。そして、ネ�ワーク管���方にとっては、こ��きこそ日ごろのユーザへの啓蒙が�果を確認できるときではな�なと思います� それにしても、このSoftEtherを開発したのが若干19歳の大学生とは驚きです。発想の柔軟性を感じますし、�式サイトや雑誌�記事�インタビューを読むとSoftEtherに対する熱��感じます。ぜひ応援して�たいです�� |
(C) Copyright 2000-2003 Gene All Right Reserved