• ベストアンサー

トンネリングがVNP構築のために有効な理由

インターネットを使ったイントラネットを外部に対して閉じたものとするには暗号化、トンネリング、認証の3つが有効とお聞きしました。 このうち暗号化と認証が有効であるのは分かるのですが、トンネリングはなぜ閉じたものにするために有効なのでしょうか。 当方素人のため、「トンネリング」の意味については下記で勉強させていただいたので、このくらいの意味がだいたいぼやっと理解できる程度です。 http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%B3%E3%83%8D%E3%83%AA%E3%83%B3%E3%82%B0 http://dictionary.rbbtoday.com/Details/term561.html

質問者が選んだベストアンサー

  • ベストアンサー
  • ymmasayan
  • ベストアンサー率30% (2593/8599)
回答No.4

横から割り込んで失礼します。 ANo.1、ANo.3です。 > 「独自のプロトコル(通信の約束事)を決めておきます」とのことですが、 > 例えばどんな「約束事」があるのでしょうか。例をいくつかいただけると有り難いです。 回答では「プロトコル=ヘッダー」と読めてしまいますが、実はそうではありません。 プロトコル(条約→通信規約)にはヘッダーやデータ部の詳細な定義がされますがそれはほんの一部です。 それ以外に例えば 1.パケットの通信シーケンス(問い合わせ、肯定応答、否定応答、通知、フロー制御・・・) 2.エラーチェック方法 3.タイムアウトと再送 4.ギブアップ 5.暗号化 などなどまだまだ沢山のものがプロトコルの中に存在しています。 もう1点、今頃の世の中に特別のプロトコルを自社用に開発するなんてことは考えられません。 コスト、バグの危険性、開発速度、テストの大変さ、メンテ、どれをとっても不利です。 それよりも既製品を使って暗号化、認証、カプセル化、トンネリングなどをしっかりやったほうがはるかにいいでしょう。 余談になりますが、40年ほど前、異なったメーカーのコンピュータをつなぐ技術が世の中に無かった時代に 通信のプロトコルを自分で決め、通信ソフトを自作して3台のコンピュータをつなぎ工場を動かしたことがあります。 それ以来通信プロトコルを自前で決めたのは1回だけ。それも30年以上前です。もちろんコンピュータユーザです。 TCP/IPではない通信プロトコルは過去に沢山作られました。 これらの現用のプロトコルを孤立させないでリモートでつなぐためにトンネリングが使えるとお考え頂くのが一番いいと思います。 まー、通信秘匿の為に無理矢理人のあまり知らないプロトコルを使うという考え方も無いわけでは有りませんが。 お節介とは思いましたが、若干気に掛りましたもので。

piyo_1986
質問者

お礼

御専門のお立場からの貴重な御意見を頂戴しました。 たいへんよく分かりました。また、知らないことをたくさんお教えいただき、「そうなのか!」の連続でした。 有り難うございました。

その他の回答 (3)

  • ymmasayan
  • ベストアンサー率30% (2593/8599)
回答No.3

ANo.1です。追加質問にお答えします。 質問1 > これらを簡単に言うと、「カプセル化によって認証用のハッシュ値を付加することができ、 > それによってデータの改ざんを見抜くことができる」ということでしょうか。 それは言えます。さらに二重の暗号化によってハッシュ値も隠蔽できます。 ただ他にもヘッダー部を暗号化できるのでヘッダーの盗聴を防げるという大きい利点も有ります。 質問2 > もしそうだとすると、「カプセル化では、通信の盗聴を防ぐことはできない。」 >つまり「カプセル化では、通信を外部に対して閉じたものにすることはできない」ということでしょうか。 そうではないと思います。 盗聴にもレベルがあって、(1)単に受信した、(2)ヘッダーを解読した、(3)データを解読した、 という感じに分けられると思います。 普通のパケットではデータの暗号化によって(3)が防げます。 カプセル化ではヘッダーやハッシュも含めて暗号化できるので(2)も防げます。 つまりさらに閉じたものになっているということが言えます。 質問4 > 「カプセル化するパケットは必ずしもIP パケットだけとは限らない。 > 他の種類のプロトコルも、IP パケットの中に入れて配送することで、 > IP ネットワークであるインターネットを使って、 > マルチプロトコルからなるLAN 環境を相互接続することも可能である。」とありますが、ここが難解です。 > これは「盗聴者には解読できない(あるいは、盗聴者が知らない?/盗聴者が利用できない?)プロトコルを > IP パケットの中に入れて配送するので、盗聴を防ぐことはできないが、 > 盗聴されても平文化(復号)されることはない」ということでしょうか。 いえ、これは極単純です。盗聴とか改ざんとは関係なく単にどんなプロトコルであっても カプセル化によって自由に送受できるということです。 例えですが、昔は貨物は鉄道でも船でも積荷別に貨物車や船が分かれていましたが今では特殊なものを除いて コンテナーが利用されています。 ドアツードアでコンテナーが到着しますので見かけ上経路レス(これをトンネルと称しているわけです)になります。 このドアツードアの利点を表現しているに過ぎません。

piyo_1986
質問者

お礼

御懇切な御説明を頂き、たいへんよく分かりました。 また、多くの質問にも拘わらず詳細な御説明を頂き、御礼の申し上げようもありません。 有り難うございました。

  • 918BG
  • ベストアンサー率48% (476/984)
回答No.2

まだ「トンネリング」の意味を十分に把握なさっていないのでわかりにくいのではないかと思います。 「トンネリング」とは、たとえばA社の東京本社とロンドン支社の間でインターネットの回線を利用して通信を行う場合、あたかも東京本社を出たところからロンドン支社に入るところまでトンネルがあるかのように外部からの接触や盗聴を防ぐしくみのことをさしています。しかし、実際にはトンネルがあるわけではなく、むしろ「カプセル化」の技術がその実態であると言っても良いでしょう。(わかりやすさ優先で厳密には不正確な説明であることをご了解下さい) デジタルデータは0と1の信号が羅列されたものであることはご存知だと思います。インターネットでデータのやり取りをする時、パケットと呼ばれる信号の断片にばらして送ります。ちょうどジグソーパズルのピースのように、一つのデータをたくさんの信号の断片に分けて送るのです。ジグソーパズルのピースと違うのは、このパケットにはちゃんと通し番号が入っており、到着した後で元通りのデータに復元できるようになっています。一つ一つのピースは、インターネット上のどの経路を通るか決まっていません。各ピースには全て通し番号と宛先と発送元などの情報が貼られていて、混雑していないルートを選んで東京からロンドンまでバラバラに到着します。 データの切れ端に通し番号や送り先を貼ると言いました。イメージとしては宅配便の荷物に送り状を貼付けるようなものなのですが、実際にはぶつ切りにしたデータの断片の頭に宛先や発送元の情報を記録した信号をくっつけて送り出します。この情報の形式は世界共通の約束事となっており、プロトコルと呼ばれます。だが、形式が世界共通という事は、便利で簡単に地球の裏側まで通信が出来る反面、技術を持った人間の手に掛かれば、A社の東京本社からロンドン支社へ送られたデータが、盗聴されたり内容を改ざんされたりする可能性もあるということになります。これを防ぐためにトンネリング(カプセリングの応用)という技術を利用するのです。 まず、東京本社とロンドン支社との間でインターネットの世界共通のプロトコルとは別の、独自のプロトコル(通信の約束事)を決めておきます。ぶつ切りにしたデータの断片の頭にそのA社独自の約束事で情報を記録して、ロンドン支社でデータを復元できるようにしておきます。つぎに、この、頭にA社独自の情報をくっつけた断片の頭に世界共通のプロトコルによる情報をくっつけてインターネットに送り出すのです。イメージとしては、荷物を包装して中身が分からないようにして宅配便に出すようなものと言えるでしょうか。このようなやり方の事を「カプセル化(=カプセリング)」と呼びます。 ANo.1の回答者さんのアドバイスでは自動車を列車に積み込んで輸送するやり方にたとえていますが、要するに途中の経路では全く違う形に変換して送る事で、他人が関与できないようにすることから、トンネルのイメージに例えられているわけです。

piyo_1986
質問者

補足

たいへん詳細かつ例の豊富な御説明を頂き、イメージとしてよく捕らえることができました。有り難うございました。 1つだけお伺いしてもよいでしょうか。 「独自のプロトコル(通信の約束事)を決めておきます」とのことですが、例えばどんな「約束事」があるのでしょうか。例をいくつかいただけると有り難いです。

  • ymmasayan
  • ベストアンサー率30% (2593/8599)
回答No.1

前の質問で回答したymmasayanです。 トンネリングについて補足します。 トンネリングではプロトコルの変換が行われます。 例えて言えば構内で使用している自動車を列車に載せて送り、相手先で降ろして自動車として走らせる感じです。 それにより 1.アドレス体系やプロトコルを気にせずに接続できる 2.トンネリング(カプセリングの応用)により外部への秘匿性がさらに高まる という利点が得られます。 詳細は参考URLの中の 2.3.2 IPパケットのカプセル化 2.3.3 IPトンネリング をご覧ください。 なおURLはpdfファイルですので規約上ここにURLが書けません。 Googleで「イントラネット間 srekcah」で検索し 「イントラネット間でセキュアな通信を 実現する なぜセキュアな通信が必要か」 をご覧ください。

piyo_1986
質問者

補足

再度の御教示を頂き有り難うございます。 今少しお伺いしてもよろしいでしょうか。 (1)2.3.2の項について 御教示のサイトの2.3.2の項に「TCP/UDP パケットのデータ部を暗号化する場合には、どのような種類の通信が行われているかは盗聴ができればすべてわかってしまう。」とありますが、これは自分は理解できていると思います。 「認証用のハッシュ値など、元のデータには含まれない情報を付加することは、単にデータ部の暗号化だけでは困難である。」とありますが、これは理解できていると思います。 「IP パケットを別のIP パケットの中に埋め込んで、目的の相手まで届ける方法が使われる。これをIP パケットのカプセル化(Encapsulation) と呼ぶ。」とありますが、これは理解できていると思います。 質問1 これらを簡単に言うと、「カプセル化によって認証用のハッシュ値を付加することができ、それによってデータの改ざんを見抜くことができる」ということでしょうか。 質問2 もしそうだとすると、「カプセル化では、通信の盗聴を防ぐことはできない。」つまり「カプセル化では、通信を外部に対して閉じたものにすることはできない」ということでしょうか。 「カプセル化するパケットは、パケット全体を暗号化するため、ヘッダ情報なども隠蔽することができる。」とありますが、これは理解できていると思います。 (2)2.3.3の項について 御教示のサイトの2.3.3の項に「前項で述べたカプセル化の技術を使うと、単にホストとホストの間でパケットの暗号化ができるだけではなく、途中のルータでパケットをカプセル化し、相手の暗号ルータとの間のIP パケットとして送ることができる。この場合、インターネット上を流れるすべてのカプセル化パケットは、暗号ルータ間のものに見え、実際に通信を行っているホストに関する情報は一切見えない。」とありますが、これは理解できていると思います。 「トンネリングを利用すると、組織内ネットワークで利用するアドレスはインターネット上に流れなくなる。したがって、組織内ネットワークではプライベートアドレスを運用していても問題はない。」とありますが、これは理解できていると思います。 質問4 「カプセル化するパケットは必ずしもIP パケットだけとは限らない。他の種類のプロトコルも、IP パケットの中に入れて配送することで、IP ネットワークであるインターネットを使って、マルチプロトコルからなるLAN 環境を相互接続することも可能である。」とありますが、ここが難解です。これは「盗聴者には解読できない(あるいは、盗聴者が知らない?/盗聴者が利用できない?)プロトコルをIP パケットの中に入れて配送するので、盗聴を防ぐことはできないが、盗聴されても平文化(復号)されることはない」ということでしょうか。

関連するQ&A

専門家に質問してみよう