preface : 2004/6/9 (2:48) 3 ★ まえがき 本書は、仮想ネットワーク(VPN)を簡単に構築することができる強力な ソフトウェア「SoftEther」の使い方を、初心者や中級者向けに、なるべくわ かりやすく解説したものです。SoftEther を使うと、これまでのインターネッ ト接続環境で利用できなかったプロトコルや通信ソフトウェアなどを、確実 かつ安全に使用することができます。また、離れた場所にある LAN どうし をごく簡単な操作で接続することもできます。 SoftEther を使いこなすには、基本的なネットワーク、特に TCP/IP に関 する基礎知識と、SoftEther の動作原理を理解する必要があります。また、 SoftEther を活用する目的や用途にあわせた接続方法も知っておく必要があ ります。これらの知識は、ある程度詳しい情報がインターネットの Web サイ ト上に掲載されていますが、本書ではそれらの知識をできるだけ分かりやす く、初心者向けの表現やイラストなどを多く使用して解説しています。 本書のおもな著者 3 人は、SoftEther の開発や配布を行う「ソフトイーサ株 式会社」のメンバーです。本書は SoftEther についての従来の解説記事とは 異なり、SoftEther の開発メンバーが直接執筆にかかわった初めての公式ガ イドブックです。私たちは、より多くの皆さまが SoftEther を活用し、コン ピュータやインターネットをさらに快適で安全に、また便利に活用してくだ さることを目的として、本書を出版するとともに、今後も SoftEther の開発 を続けていきます。 ぜひ、本書をお読みいただき、SoftEther の使い方をマスターしてネット ワークを有効活用してください。 ソフトイーサ株式会社/筑波大学第三学群情報学類 登 大遊 contents : 2004/6/9 (2:48) ★ 9 目 次 まえがき ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 3 謝 辞 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・5 本書の読み方 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・7 1章 SoftEther 入門 15 1.1 インターネットをもっと便利に ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 17 インターネットのここが不便 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・17 VPN をより身近に・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・18 1.2 SoftEther の活用シーン ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 20 1.3 SoftEther のコンセプト・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・23 1.4 3 つの接続形態 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 25 PC to PC 接続 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・25 PC to LAN 接続 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 26 LAN to LAN 接続 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・28 1.5 SoftEther はなぜ動くのか ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・29 1.6 特徴を紹介 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・32 簡単にセットアップできる・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・32 仮想 HUB がすべての通信を中継する ・・・・・・・・・・・・・・・・・・・・・・・・・・・ 32 SoftEther プロトコル ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 34 OS は仮想 LAN カードを LAN カードとして扱う・・・・・・・・・・・・・・・・・・・36 仮想 LAN 内の通信は暗号化と電子署名で保護される・・・・・・・・・・ 37 ブリッジ接続 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 38 セッション継続機能と自動再接続機能 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・39 ユーザーはあらかじめ仮想 HUB に登録する・・・・・・・・・・・・・・・・・・・・・・40 セキュリティオプション・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・42 contents : 2004/6/9 (2:48) 10 ★ 2章 まず使ってみる 43 2.1 インストール ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 45 ダウンロード ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 45 インストール・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・47 アンインストール ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 54 2.2 2 台のコンピュータを接続する ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 55 自宅の仮想 HUB の設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 57 クライアントの設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・63 接続プロトコルの選択 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・65 仮想 HUB への接続 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・70 仮想 LAN カードへの IP アドレスの割り当て ・・・・・・・・・・・・・・・・・・・・・・ 72 仮想 LAN の通信の確認 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 74 2.3 Linux 版仮想 HUB ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・77 ダウンロード ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 77 実行ファイルの作成 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・78 異常終了への対応 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・78 Linux 版仮想 HUB の管理 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 79 制限事項 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・80 3章 活用いろいろ 81 3.1 無線 LAN スポットを安全に利用する・・・・・・・・・・・・・・・・・・・・・・・・・・・83 設定の概要 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・84 自宅のコンピュータの設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 85 ノートパソコンの設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 87 IP アドレスの割り当て確認 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・87 会社内や大学内などでの使用 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 91 3.2 社内 LAN へのリモートアクセス (会社に仮想 HUB を設置) 93 設定の概要 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・93 社内コンピュータの設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・95 アクセス後の確認 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・98 contents : 2004/6/9 (2:48) ★ 11 3.3 社内 LAN へのリモートアクセス (自宅に仮想 HUB を設置)100 設定の概要 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 100 自宅のコンピュータの設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 101 社内のコンピュータの設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 102 3.4 ブリッジを使わない PC to LAN 接続 ・・・・・・・・・・・・・・・・・・・・・・・・・ 104 なぜブリッジ接続なのか ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 104 より安全な PC to LAN 接続 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・107 IP アドレスの設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 108 3.5 複数の家庭内 LAN を接続する ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 112 設定の概要 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 113 A さんの自宅側のコンピュータの設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 114 仮想 HUB への接続 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・114 LAN 間接続で可能になること ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 115 LAN 間接続を行う際の注意点 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・116 3.6 社内 LANどうしをリモート接続する・・・・・・・・・・・・・・・・・・・・・・・・・・・ 117 Windows Server 2003 を IP ルータとして使用 ・・・・・・・・・・・・・・・・・ 118 3.7 活用事例:筑波大学 WORD 編集部の リモートアクセスシステム ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 120 導入の経緯 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 120 学外に仮想 HUB を設置 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 120 リモートアクセスの実現 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・122 3.8 活用事例:実験用公開仮想 HUB ・・・・・・・・・・・・・・・・・・・・・・・・・・・ 123 公開仮想 HUB の仕組み ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・124 3.9 活用事例:ストリーミング配信 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 125 導入の経緯 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 125 システムとネットワーク構成 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・126 SoftEther の設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・126 実施結果 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・127 contents : 2004/6/9 (2:48) 12 ★ 4章 管理のヒント 129 4.1 セキュリティに配慮する ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 131 SoftEther の便利なところと注意点 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 131 生じうる問題点を検討する ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 132 導入前の確認のポイント・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 135 SoftEther のインストールを防ぐ ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 136 4.2 仮想 HUB の運用と管理 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・138 セキュリティオプションの活用 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・138 DHCP 利用のヒント・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 142 ログの活用 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 144 コマンドプロンプトからの開始と停止 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・151 設定ファイルのバックアップと復元 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・153 ダイナミックDNS の利用 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 153 NAT の内側に仮想 HUB を設置 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 156 4.3 クライアントの管理 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 158 コマンドプロンプトからの開始と停止 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・158 設定ファイルのバックアップと復元 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・159 MAC アドレスの変更 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 160 Windows XP のファイアウォール機能の利用 ・・・・・・・・・・・・・・・・・・・・ 161 5章 操作リファレンス 165 5.2 管理コンソールのメニュー操作 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 169 メインメニュー ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 170 メインメニュー 状態表示 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 171 メインメニュー ユーザーの管理 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・174 メインメニュー ユーザーの管理 ユーザー作成 ・・・・・・・・・・・・・・・・ 176 メインメニュー セッション管理 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・180 メインメニュー セッション管理 セッション一覧 ・・・・・・・・・・・・・・・・・・・181 △ 仮想 HUB の管理 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・167 パスワードの設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・167 △ △ △ △ △ △ 5.1 contents : 2004/6/9 (2:48) ★ 13 △ △ △ △ △ △ メインメニュー セッション管理 セッション情報表示 ・・・・・・・・・・・・・・182 メインメニュー プロトコル管理 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 185 メインメニュー パスワード設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・186 メインメニュー ログ管理 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 187 △ メインメニュー ログ管理 ログ保存設定 ・・・・・・・・・・・・・・・・・・・・・・・・188 5.3 クライアントの管理 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 191 SoftEther 接続マネージャ ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 191 新しい接続の設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 193 各種接続設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 195 パスワードの設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・197 オプション設定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・198 付録 A デジカメでつづる開発メモ · · · · · · · · · · · · · · · · · · · · · · · · · 199 c1-introduction : 2004/6/9 (2:48) 1 章 SoftEther 入門 c1-introduction : 020 1.2 2004/6/9 (2:48) 1 章 SoftEther 入門 SoftEther の活用シーン では、SoftEther はどのようなところで使うことができるのでしょうか? SoftEther の具体的な活用シーンを紹介しましょう。 ● 出張先から社内 LAN にアクセスしてメールやスケジュールを確認する SoftEther で社内ネットワークにアクセスできるように設定しておけば、出 張先からでも会社のメールを送受信したり、グループウェアで管理してい るスケジュールの確認などが可能です。SoftEther を利用する場合、会社 のグループウェアサーバーは従来どおり社内のネットワーク上に設置した ままでよいので、外部からの不正アクセスを受けることがありません。 ● 自宅や会社に忘れてきてしまった書類を読み出す 出張先で「あ、忘れた!」という経験は、きっと皆さんもおありでしょう。 書類だけではありません。自宅にコレクションしている MP3 データを外 出先で楽しむこともできます。 自宅 会社 出張先 図 1-4 離れた場所から会社や自宅にアクセスする c1-introduction : 2004/6/9 (2:48) 1.2 SoftEther の活用シーン ● 021 離れたところにあるオフィスを社内ネットワークの一部としてつなぐ 本社と支社の LAN のそれぞれで、1 台のコンピュータに SoftEther をセッ トアップするだけで「拠点間接続」ができます。双方の LAN のコンピュー タすべてが、あたかも 1 つのネットワークに接続しているかのように通信 できます。 支社 本社 図 1-5 ● 拠点間接続 街角の無線 LAN アクセスポイントでセキュアに通信する 無線 LAN アクセスポイントでは、他者が通信内容を傍受することも不可 能ではないので、通信内容が盗聴されていないか心配です。そんなときで も、SoftEther を使用すれば通信は暗号化されますから安心です。 自宅 プロバイダ メールサーバー 無線LANアクセスポイント 図 1-6 無線 LAN アクセスポイントの通信を暗号化する c1-introduction : 022 ● 2004/6/9 (2:48) 1 章 SoftEther 入門 田舎のおじいちゃんとテレビ電話で話す 最近、身近になりつつあるテレビ電話ですが、途中にファイアウォールが あると利用できないときもあります。そんなときでも、ファイアウォール が通過できるポートで SoftEther を利用してテレビ電話の通信内容をまる ごと送るようにすれば大丈夫です。 ● 遠くに住んでいる友達とネットワークゲームで遊ぶ ネットワークゲームには、使用が同じ LAN 内に制限されたり、ファイア ウォール越しの設定が難しいものがあります。そんな場面でも SoftEther が役立ちます。SoftEther は比較的高速に通信できるので、リアルタイム 性を要求されるゲームソフトウェアでも十分楽しめます。 友人宅 友人宅 自宅 図 1-7 ファイアウォールを越えてゲームを楽しむ ほかにも、アイデアしだいでいろいろな利用方法があります。皆さんも、 SoftEther を使いこなしてネットワークをもっと便利にしてみませんか? ch03 : 2004/6/9 (2:48) 3 章 活用いろいろ ch03 : 2004/6/9 (2:48) 3.1 無線 LAN スポットを安全に利用する 083 前章では、SoftEther のセットアップ法と基本的な活用例について説明しまし た。この章では、さらに応用的な活用方法について紹介します。SoftEther はい ろいろな可能性を持っているソフトウェアなので、この章で紹介する例をヒント にして利用法を工夫してみてください。 3.1 無線 LAN スポットを安全に利用する 最近ではあらゆる用途においてインターネットが活用されるようになって おり、その接続形態も変化してきています。 たとえば、少し前までは主流であったダイヤルアップによるインターネット 接続も、今ではすっかり ADSL やケーブル TV などのブロードバンド接続に 置き換わってしまったようです。このような背景により、自宅のコンピュー タがインターネットに常時接続されていることも多くなっています。 また、外出先でのアクセス環境も変化しています。以前はインターネット カフェなどを利用してインターネットへアクセスするのが主流でしたが、今 ではノートパソコンや PDA から PHS などを利用してモバイルアクセスをす ることも少なくないようです。さらに、最近では無線 LAN のアクセスポイ ントがいたるところに設置され、自由に利用できるようになっています。 この無線 LAN のアクセスポイントから、常時接続されている自宅のコン ピュータにアクセスして、自由にファイルを取り出すことができれば、いろ いろ便利に活用できます。 ただし、外出先からのリモートアクセスには、データの盗聴などのセキュ リティ上の危険が常につきまとうことも事実です。特に、不特定多数の人が 利用し、通信が暗号化されていなかったり、暗号化キーを複数人で共有して 利用する形態となっていることが多い無料の無線 LAN アクセスポイントか らの接続では、その危険性はさらに高まります。さらに、パスワードを平文 で送受信する POP3(メール受信)や FTP(ファイルの転送)といったプロ トコルを使用すると、パスワードまでも知られてしまう危険もあります。 このような場合、VPN を利用することができれば、通信を傍受されても安 ch03 : 2004/6/9 (2:48) 084 3 章 活用いろいろ インターネット この部分の通信が 盗聴される危険性が高い 無線LANアクセス ポイント ノートパソコン 図 3-1 無線 LAN の危険性 全を確保できますが、無線 LAN のアクセスポイントでは通信に使用できるプ ロトコルが限定されていたり、ファイアウォールやプロキシサーバーがあっ たり、NAT を利用していたりするため、PPTP や L2TP/IPsec のような標準 的な VPN プロトコルを利用することができないことがほとんどです。 では、これらの無料の無線 LAN アクセスポイントは安心して利用でき ないのでしょうか? いいえ。こういう場面にこそ SoftEther の出番です。 SoftEther を使用すれば、自宅のコンピュータと外出先のコンピュータとの間 に、安全な仮想 LAN(VPN)を構築することができるのです。 では、無料の無線 LAN のアクセスポイントから安全にインターネットへ アクセスできるようにする、SoftEther の利用例を紹介しましょう。 ○設定の概要 無線 LAN のアクセスポイントから安全にアクセスするために、次のよう な SoftEther の活用法が考えられます。 まず、常時接続されている自宅のコンピュータに SoftEther の仮想 HUB と仮想 LAN カードをインストールし、さらに仮想 LAN カードと物理的な LAN カード、つまりインターネットへの接続に使用されているインターフェ イスの間で NAT を構成します。これにより、外出先からのインターネット アクセスの際は、いったん自宅のコンピュータを経由してからインターネッ ch03 : 2004/6/9 (2:48) 3.1 無線 LAN スポットを安全に利用する 085 トにアクセスするようにすれば、すべての通信がノートパソコンと自宅のコ ンピュータとの間に作られた仮想 LAN 内を暗号化されてから通ることにな るため、通信自体を盗聴されても安全を確保できるというわけです。 図 3-2 を見ればわかるとおり、これは SoftEther の「PC to PC 接続」の応 用例と考えることができます。 自宅のコンピュータ (NAT) 仮想HUB 仮想LANカード NAT インターネット インターネットにアクセスすると、 パケットは自宅の仮想HUBを経由 して流れる 仮想LANカード ノートパソコン 無線LANアクセスポイント 図 3-2 自宅のコンピュータを経由したインターネットアクセス ○自宅のコンピュータの設定 では、具体的な設定法について説明していきます。まず、自宅のコンピュー タには、SoftEther の仮想 HUB と仮想 LAN カードをインストールします。 仮想 HUB は、57ページで説明したものと同じ設定にします。また、同一コン ピュータ上で動作している仮想 HUB に接続することになるので、仮想 LAN カードは localhost に対して常時接続するように設定してください。 さらに、このコンピュータ上で仮想 LAN カードを NAT の内側、物理的な ch03 : 2004/6/9 (2:48) 086 3 章 活用いろいろ LAN カードを NAT の外側とした NAT を構築します。このコンピュータの 内部でデータがどのように流れているのかを図 3-3 に示します。 クライアントコンピュータ 仮想LANカード インターネット 物理LANカード NAT 仮想LANカード 仮想HUB機能 仮想HUBコンピュータ 図 3-3 NAT として動作する自宅のコンピュータ内におけるデー タの流れ コントロールパネルの[ネットワークとインターネット接続]から、 [ネッ トワーク接続]を開き、インターネットにアクセスする側の LAN カードを選 択してから右クリックして[プロパティ]を選択します。ダイアログの[詳 細設定]タブにある[インターネット接続の共有]から[ネットワークのほか のユーザーに、このコンピュータのインターネット接続をとおしての接続を 許可する]をチェックしてから、共有させる接続先を[ホームネットワーク 接続]プルダウンメニューで[SoftEther 仮想 LAN 接続]を選択し、 [OK] ボタンをクリックします(図 3-4) 。 これで、物理的な LAN カードが NAT の外側、SoftEther の仮想 LAN カー ドが NAT の内側として NAT 機能が稼動し始めます。これで、SoftEther の 仮想 LAN に接続した別のコンピュータは、自宅のコンピュータを経由して インターネットにアクセスすることができるようになります。 ch03 : 2004/6/9 (2:48) 3.1 無線 LAN スポットを安全に利用する 図 3-4 087 「インターネット接続の共有」の設定 ○ノートパソコンの設定 外出先で使用するノートパソコンには、仮想 LAN カードだけをインストー ルします。次に SoftEther 接続マネージャで、仮想 HUB を設置した自宅のコ ンピュータに割り当てられているグローバル IP アドレスを入力し、接続ア カウントを設定します。これで、外出先の無線 LAN アクセスポイントなど から自宅のコンピュータの仮想 HUB に接続すると、自宅のコンピュータの NAT を経由してインターネットにアクセスできるようになります。 ○IP アドレスの割り当て確認 接続できたら、ネットワークコマンドや Web サイトを利用して、設定など に問題がないか確認してみましょう。 ch03 : 2004/6/9 (2:48) 088 3 章 活用いろいろ ▼ipconfig コマンドによる確認 ノートパソコンの仮想 LAN カードには、仮想 HUB が動作している自宅 のコンピュータの「インターネット接続の共有」機能が提供する簡易 DHCP サービスによって、自動的に 192.168.0.∗ という形式の IP アドレスが 1 つ 割り当てられ、デフォルトゲートウェイとして 192.168.0.1 が設定されま す。コマンドプロンプトを開き、ipconfig コマンドを利用して正しく設定さ れているかを確認します。 C:Y>ipconfig Windows IP Configuration Ethernet adapter SoftEther 仮 想 LAN 接 続 : Connection-specific IP Address. . . . . Subnet Mask . . . . Default Gateway . . DNS . . . . . . Suffix . . . . . . . . . . . . . . . . : : 192.168.0.236 : 255.255.255.0 : 192.168.0.1 Ethernet adapter ワ イ ヤ レ ス ネ ッ ト ワ ー ク 接 続 : Connection-specific IP Address. . . . . Subnet Mask . . . . Default Gateway . . DNS . . . . . . Suffix . . . . . . . . . . . . . . . . : : 10.0.18.107 : 255.255.0.0 : 10.0.0.1 Ethernet adapter ロ ー カ ル エ リ ア 接 続 : Media State . . . . . . . . . . . : Media disconnected この例では、仮想 LAN カードに IP アドレス 192.168.0.236 が割り当て られ、デフォルトゲートウェイとして 192.168.0.1 が割り当てられているこ とが確認できます。 ▼tracert コマンドによる確認 次に、tracert コマンドを利用して、インターネット上の適当なホスト (www.yahoo.co.jp など)までの経路を調べてみます。 ch03 : 2004/6/9 (2:48) 3.1 無線 LAN スポットを安全に利用する 089 C:Y>tracert www.yahoo.co.jp Tracing route to www.yahoo.co.jp [211.14.15.5] over a maximum of 30 hops: 1 2 3 4 5 6 7 8 9 10 11 12 13 15 28 20 20 27 33 147 36 31 39 84 30 30 ms ms ms ms ms ms ms ms ms ms ms ms ms 16 18 17 18 27 29 28 22 39 32 30 34 23 ms ms ms ms ms ms ms ms ms ms ms ms ms 15 25 27 17 27 28 27 24 32 37 24 177 23 ms ms ms ms ms ms ms ms ms ms ms ms ms 192.168.0.1 gateway.yagi3.jp [61.197.235.196] nas931.mito.nttpc.ne.jp [210.165.249.118] 210.165.249.117 210.165.241.93 g2-1-kanda-core5.sphere.ad.jp [203.138.72.83] p4-3-k-otemachi-core2.sphere.ad.jp [202.239.114206] g2-0-nspixp2p-gw.sphere.ad.jp [202.239.114.118] as9607.nspixp2.wide.ad.jp [202.249.2.88] ge-0-0-0.edge09.colo01.bbtower.ad.jp [211.14.3.40] yahoo-7.demarc.colo01.bbtower.ad.jp [211.14.30.1] 203.141.47.202 211.14.15.5 Trace complete. 最上位に仮想 LAN カードに設定されたデフォルトゲートウェイである 192.168.0.1 があり、その下に自宅のコンピュータまたは自宅のコンピュー タが接続しているプロバイダのルータの IP アドレスが表示されていることか ら、ノートパソコンが無線 LAN アクセスポイントから直接インターネット にアクセスしているのではなく、いったん自宅の SoftEther の仮想 HUB と 「インターネット接続の共有」機能による NAT を経由してから、インター ネットにアクセスしていることがわかります。この仮想 HUB までの通信は、 SoftEther によってすべて自動的に暗号化されるので、たとえ無線 LAN での 通信が盗聴されても、通信内容は保護されます。 ▼確認サイトによる確認 最後に、 「確認サイト」と呼ばれる Web サイト(http://www.ugtop.com/な ど)で、インターネット側から自分のコンピュータがどの IP アドレスで識別 されているかも確認しておきます。図 3-5 の例では、自宅のコンピュータの IP アドレスが表示され、ノートパソコンが実際に接続されている無線 LAN のアクセスポイント側の IP アドレスは表示されません。このことによって、 ch03 : 2004/6/9 (2:48) 090 3 章 活用いろいろ インターネットとの間での通信がすべて SoftEther 経由で自宅を通過してい ることがよくわかります。 図 3-5 開発メモ インターネット側から見える IP アドレスを確認 デフォルトゲートウェイの優先順位 ところで、ノートパソコンの物理的な LAN カード(無線 LAN カード)と仮 想 LAN カードの両方に「デフォルトゲートウェイ」が設定されている場合、ど ちらの設定が優先されるのでしょうか? Windows では、各 LAN カードに「インターフェイスメトリック」と呼ばれ る整数値を指定し、この整数値がその LAN カード側に設定されたデフォルト ゲートウェイのメトリック値(優先順位)となります。したがって、複数の LAN カードにデフォルトゲートウェイが割り当てられている場合、使用され る優先順位は各 LAN カードのインターフェイスメトリックによって決定され ます(数字が小さいほど優先度が高くなります) 。 物理的な LAN カードのインターフェイスメトリック値は、デフォルトでは 10〜30 の間で割り当てられます(どの値が設定されるかは、接続速度によっ て決定されます)。一方、仮想 LAN カードのインターフェイスメトリックは、 インストール時に自動的に 1 が設定されます。したがって、仮想 LAN カー c4-manage : 2004/6/9 (2:48) 4 章 管理のヒント c4-manage : 2004/6/9 (2:48) 132 4 章 管理のヒント これはどの VPN 手段にも共通していえることですが、SoftEther も使い方 を誤ればネットワークを危険な状態にする可能性があります。そこでここで は、使用方法を誤まるとどのようなことが起こりうるかを説明することによっ て、逆説的に設定や運用の注意点を明確にしていくことにします。またその あとに、具体的な確認事項を挙げることにします。 ○生じうる問題点を検討する SoftEther の仮想 LAN に接続することは、原理的には物理的なスイッチ ングハブに接続することとほぼ同じであり、仮想 LAN に接続しているコン ピュータどうしは物理的な LAN に接続しているときと同様に、Ethernet パ ケットを交換します。これが SoftEther の本質であり、動作原理です。 仮想 LAN の通信は、基本的に物理的な通信経路に存在するファイアウォー ルやウィルス検出ソフトウェアによるチェックを受けません。なぜなら、 SoftEther によってカプセル化されたパケットは暗号化されており、また、通 信内容は HTTPS プロトコルとしてファイアウォールに認識されるので、途 中の装置やコンピュータが中身をチェックすることはできないからです。こ れは、暗号化されたメールを受信者以外が読めないのとよく似ています。そ のため、仮想 LAN を経由するパケットはファイアウォールなどのチェック 仮想HUB 仮想HUBに信頼できないクライアントが接続していると、 不正アクセスされたり、ウィルスを送られたりする可能性がある 図 4-1 仮想 LAN 内に信頼できないコンピュータがある場合 c4-manage : 2004/6/9 (2:48) 4.1 セキュリティに配慮する 133 を「すり抜け」 、仮にワームやウィルス、トロイの木馬などが使用するパケッ トが含まれていたとしても、それを防止することは困難です。 仮想 LAN 内に悪意のあるユーザーが接続していれば、同じ仮想 LAN 内の コンピュータはハブで直接つないでいるのと同様にアクセスが可能なので、 不正アクセスに遭う危険性があります。また悪意がなくても、共有ファイル や共有プリンタを制限なく公開していれば、ファイルを覗いたり壊したりす ることが可能です。うっかり者のユーザーがワームに感染したコンピュータ を接続すれば、仮想 LAN 内にワームが伝播する可能性もあるでしょう。 PC to LAN 接続や LAN to LAN 接続でブリッジ接続を設定している場合 には、仮想 LAN 内だけでなく、ブリッジした物理ネットワークにも波及し ます。 仮想HUB ブリッジを設定して いるクライアント 仮に仮想LAN内に信頼できないコンピュータがあるとすると、 ブリッジ接続を設定しているクライアントがあれば、その クライアントの物理ネットワークも安全ではなくなる 図 4-2 ブリッジ接続をしている場合 さらに、仮想 LAN のなかに想定外のブリッジ接続や他のネットワークへ のルーティングを設定しているコンピュータがあれば、そのコンピュータを 足場にした不正アクセスが及ぶことも考えられます。 c4-manage : 2004/6/9 (2:48) 134 4 章 管理のヒント 仮想HUB ブリッジを設定して いるクライアント 仮想LAN内のコンピュータが顔見知りばかりだとしても、 ブリッジ接続や他のネットワークへのルーティングを設定 していれば、仮想LAN外からも不正アクセスが可能になる ルーティングを設定して いるクライアント 図 4-3 仮想 LAN 内に想定外のブリッジ接続を設定したコンピュータがある場合 また、社内のメールサーバでウィルスフィルターを運用していたとしても、 仮想 LAN 経由で外部のメールサーバを介してメールをやりとりすれば、コ ンピュータウィルスが広まる可能性もあります。 A社LAN SoftEtherクライアント ウィルスフィルタ付き メールサーバー 仮想 LAN メールサーバーでウィルスをフィルタリングしていても、SoftEtherの クライアントが、仮想LAN経由で感染する可能性がある 図 4-4 ワームやウィルスのチェックをすり抜ける このようなことから、SoftEther を利用するときには、接続相手を限定でき るかどうか、接続相手が信頼できるかどうか、仮想 LAN 内に意図しないルー ティングやブリッジを設定するユーザーがいないかどうか、また仮想 LAN に 接続するコンピュータはアクセス制御が適切に設定され、ウィルス検出ソフト ウェアなどがきちんと導入されているかどうかに注意をはらうべきでしょう。
© Copyright 2024 Paperzz
