通常のhttps通信のsslvpnによるhttps
ゼオンさん
(No.1)
通常のhttps通信とssl-vpnによるhttps通信の違いがわかりません。
■前提の認識
・httpは平文で通信される。sslを使用することでhttpsでセキュアな通信を実現できる。
・sslはアプリケーション層からトランスポート層のプロトコルなのでsslvpnはアプリケーションに依存する
・sslvpnはipsecと比べクライアントに特殊なソフトウェアや設定が不要(クライアント認証等をしない場合)というメリットがある
■不明点
webブラウザからsslvpn装置のurlを指定して通信することでsslvpnが実現できるらしいですね。
しかし、クライアント認証をしない場合、それって誰でもアクセスできてしまいますよね?
いったいどの辺がvpnなのでしょうか、普通のhttps通信と何が違うのでしょうか。
まったく(仮想の)「プライベートなネットワーク」にはなってないように思うのですが、、、。
どなたかわかる方いらっしゃいましたらよろしくお願いいたします。
■前提の認識
・httpは平文で通信される。sslを使用することでhttpsでセキュアな通信を実現できる。
・sslはアプリケーション層からトランスポート層のプロトコルなのでsslvpnはアプリケーションに依存する
・sslvpnはipsecと比べクライアントに特殊なソフトウェアや設定が不要(クライアント認証等をしない場合)というメリットがある
■不明点
webブラウザからsslvpn装置のurlを指定して通信することでsslvpnが実現できるらしいですね。
しかし、クライアント認証をしない場合、それって誰でもアクセスできてしまいますよね?
いったいどの辺がvpnなのでしょうか、普通のhttps通信と何が違うのでしょうか。
まったく(仮想の)「プライベートなネットワーク」にはなってないように思うのですが、、、。
どなたかわかる方いらっしゃいましたらよろしくお願いいたします。
2019.09.02 02:50
サスケさん
(No.2)
私の認識だと、
①クライアントとサーバ間で直で通信するのがHTTPS通信。
②クライアントとサーバ間にSSLVPN装置があって、クライアントとVPN装置間でSSL通信して、
VPN装置とサーバ間はHTTP通信していると認識しています。
また、VPNっていうくらいだから離れた拠点のサーバに対して、LAN内のサーバーのようにアクセスできる(192.168のアドレスでアクセスできる or 内部DNSの名前解決でアクセスできる)。っていう特徴があると思います。
①クライアントとサーバ間で直で通信するのがHTTPS通信。
②クライアントとサーバ間にSSLVPN装置があって、クライアントとVPN装置間でSSL通信して、
VPN装置とサーバ間はHTTP通信していると認識しています。
また、VPNっていうくらいだから離れた拠点のサーバに対して、LAN内のサーバーのようにアクセスできる(192.168のアドレスでアクセスできる or 内部DNSの名前解決でアクセスできる)。っていう特徴があると思います。
2019.09.02 18:16
ゼオンさん
(No.3)
サスケさんありがとうございます。
前半、1.2についてかなりわかりやすいです。
後半、「また、VPNっていうくらいだから~」
が少しわからないです。
sslvpn装置へのアクセスはlan内へのサーバのようにアクセス可能なのでしょうか?
前半、1.2についてかなりわかりやすいです。
後半、「また、VPNっていうくらいだから~」
が少しわからないです。
sslvpn装置へのアクセスはlan内へのサーバのようにアクセス可能なのでしょうか?
2019.09.02 18:35
サスケさん
(No.4)
クライアントとサーバとVPN装置があって、
通常は、クラインとサーバ &VPN装置が違うネットワークに所属しています。
ネットワーク1:クライアント(10.1.1.1)
ネットワーク2:VPN装置(192.168.1.250)、サーバ(192.168.1.30)
とします。
VPN装置はクライアントに対して、同じネットワークの様にアクセスできるように、192.168.1.10とかのIPアドレスを割り当てます。
こうやって、離れた拠点同士でも同じネットワークの様にアクセス出来るようにします。
ちょっとトンネリングとかだいぶ端折ってますが、調べてみてください。
通常は、クラインとサーバ &VPN装置が違うネットワークに所属しています。
ネットワーク1:クライアント(10.1.1.1)
ネットワーク2:VPN装置(192.168.1.250)、サーバ(192.168.1.30)
とします。
VPN装置はクライアントに対して、同じネットワークの様にアクセスできるように、192.168.1.10とかのIPアドレスを割り当てます。
こうやって、離れた拠点同士でも同じネットワークの様にアクセス出来るようにします。
ちょっとトンネリングとかだいぶ端折ってますが、調べてみてください。
2019.09.02 19:13
ぺこさん
(No.5)
この投稿は投稿者により削除されました。(2019.09.03 13:15)
2019.09.03 13:15
ゼオンさん
(No.6)
サスケさん、ありがとうございます。
以降勉強しております。
URLは禁止なので貼れませんが、富士通さんのHPの「SSL-VPN入門 第3回 SSL-VPN の実現方法その2 (ポートフォワーディングとL2フォワーディング)」の「図4. リバースプロキシ方式」
こちらについてみたところ結局、サスケさんの仰っていた
VPN装置とサーバ間はHTTP通信していると認識しています。
まさにその通りだと理解できました。
また、SSL-VPNにはいくつか種類がありますが、そのうち『「リバースプロキシ型」で、なおかつ実現したいプロトコルが「HTTP」の場合』は『クライアントPCから「SSLVPN」装置までの通信は通常のHTTPS通信と同等』という理解をしました。
(上図を参照、該当条件の場合はパケットのカプセル化(=トンネル)はしていないため)
結局、クライアント側から見れば通常のHTTPSとほぼ同じじゃんという認識です。(むしろそれが利点という感じでしょうか。これがはたしてVPNと呼べるのか・・・?という感じですが・・・。)
何か認識の間違いがありましたらよろしくお願いいたします。
以降勉強しております。
URLは禁止なので貼れませんが、富士通さんのHPの「SSL-VPN入門 第3回 SSL-VPN の実現方法その2 (ポートフォワーディングとL2フォワーディング)」の「図4. リバースプロキシ方式」
こちらについてみたところ結局、サスケさんの仰っていた
>①クライアントとサーバ間で直で通信するのがHTTPS通信。
>②クライアントとサーバ間にSSLVPN装置があって、クライアントとVPN装置間でSSL通信して、
VPN装置とサーバ間はHTTP通信していると認識しています。
まさにその通りだと理解できました。
また、SSL-VPNにはいくつか種類がありますが、そのうち『「リバースプロキシ型」で、なおかつ実現したいプロトコルが「HTTP」の場合』は『クライアントPCから「SSLVPN」装置までの通信は通常のHTTPS通信と同等』という理解をしました。
(上図を参照、該当条件の場合はパケットのカプセル化(=トンネル)はしていないため)
結局、クライアント側から見れば通常のHTTPSとほぼ同じじゃんという認識です。(むしろそれが利点という感じでしょうか。これがはたしてVPNと呼べるのか・・・?という感じですが・・・。)
何か認識の間違いがありましたらよろしくお願いいたします。
2019.09.03 18:40
わっつさん
(No.7)
>>クライアント認証をしない場合、それって誰でもアクセスできてしまいますよね?
>>いったいどの辺がvpnなのでしょうか、普通のhttps通信と何が違うのでしょうか。
HTTPSはSSLの技術を利用して「サーバ認証」と「通信の暗号化(秘匿)」を目的にしています。
上記に加えて「クライアント認証」をするか否かは使用用途によると思います。
昨今ではWeb環境のHTTPS化が急速に進んでおり,DV証明書であれば無料で提供されるようになりましたが,一般的なWebサーバでのクライアントは不特定多数であり,なおかつクライアントの身元を特定する必要がないのでクライアント認証をしません。
※ECなどのユーザの特定が必要な場合はサイト接続後に認証が必要となります。
No.6のコメントで「SSL-VPN入門」のサイトを挙げられておられますが,こちらの第4回でユーザ認証について触れられている通り,(通常,アクセス制御を必要とする)SSL-VPNではクライアント証明書を含むいずれかの方法によりクライアント側の認証を実施することが一般的な対応になります。
2019.09.03 22:48
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。