• 締切済み

VPNのカプセル化とトンネリングについて

VPNのカプセル化とトンネリングについて VPNのカプセル化とトンネリングについてよくわかりませんので質問します。 まず、VPNはイントラネットどうしの通信を行うために専用回線を使用せずにインターネットやIP網を使用して専用回線と同じように通信をしようとしていることはわかります。 そこで、転送データのヘッダに別のプロトコル?を設置するのですよね?これは一体何のためなのでしょうか? そして、暗号化してさらにカプセル化を行うといった内容をよく見るのですが、暗号化とカプセル化の違いがよくわかりません。別のプロトコルにしたからといってインターネット上にデータが流れるわけなのでいくらでもデータを盗聴できるような気がします。 カプセル化は一体何のために行っているかを詳しく知りたいです。 そして、トンネリングですが、よく企業間にトンネルを作るように他のユーザに盗聴されなくなるという風に書いているのですが、インターネットを流れている限り盗聴は当たり前のように行われていると思います。 なぜトンネリングすることによってデータの盗聴や改ざんを行えないようになるのかを知りたいです。 この2つについて質問したいと思います。 よろしくお願いします。

  • RWSP
  • お礼率93% (124/133)

みんなの回答

  • anmochi
  • ベストアンサー率65% (1332/2045)
回答No.1

 暗号化とカプセル化の話は全くの別物で、暗号化だけしてカプセル化しない事もある(HTTPSなど)し、暗号化せずにカプセル化する事もある(PPPoEなど)。書き手によってはHTTPSをSSL-VPN(HTTPのSSLによる暗号化+トンネル)と表現している場合もあるので注意。  トンネルだから盗聴されないというのは質問者がどこかの説明文を読んだ誤解ではないかな。ネットワークの世界でトンネルというのはすなわちカプセル化の事なんだけど、前述の通りカプセル化は暗号化の代わりにはならない。以後はトンネリングの事をカプセル化と表現します。  TCP/IPパケットも、結局IPヘッダとTCPヘッダがくっついたデータブロックです。で、IPヘッダとTCPヘッダも何らかのデータの集まりで、結局パケットそのもの(IPヘッダ-TCPヘッダ-データ部をまとめた塊)も単なる2進数の集まりでしかない。ではパケットそのものを単なるデータとして別の形式のパケットのデータ部に乗せてよそに運んだ後開封してもう一度パケットとして扱いましょうというのがカプセル化でありトンネルなのです。  VPNでよく使われるのはIPsec-VPNとSSL-VPNの2つだけど、ここではSSL-VPNについて説明します。ここで言うSSL-VPNは、SSL-VPNゲートウェイ製品(f5など)を通したゲートウェイではなく、トンネルの経路をSSLで暗号化するOpenVPNを用いたVPNを指す事とします。OpenVPNは逆にカプセル化した上で暗号化した通信を行います。  OpenVPNでは2点間のデータ送受信に主にUDP/IPを使うけど、TCP/IPパケットをUDP/IPパケットにトンネルして受け渡す事もできる(Layer3 over Layer3)し、EthernetフレームをUDP/IPパケットにトンネルして受け渡す事もできる(Layer2 over Layer3)。後者の場合は拠点AでブロードキャストしたEthernetフレームをUDP/IPパケットに包んで拠点Bに転送し、そこで開封した後拠点Bでブロードキャストするような事ができる訳ですな(拠点AとBが同一LANとなる)。この時、EthernetフレームがUDP/IPパケットのデータ部となるのです。これがトンネル。 質問1に対する答えは、上で示したLayer2 over Layer3のように、(普通は通らない場所へデータを届けるためなどで)階層が逆になった受け渡しを行うためであったり、PPPoE(Layer2 over Layer2)などの同階層を包んでEthernet上でPPPの恩恵に預かるためであったりという目的でトンネルは使用されます。 質問2は・・・・前述の通りトンネリングによって盗聴が行えなくなる訳ではないため、理由はないです。OpenVPNを無暗号で行うと、UDP/IPパケットを紐解いた後で普通のTCP/IPパケットやEthernetフレームになるので問題なく盗聴できます。なのでVPNは両方がそろわないとVPNたりえない訳で、よって普通暗号化とカプセル化は対で紹介される訳で、書き手によってはこの2つをごっちゃにしたり二つで一つのものと誤解するような表現をしてしまっていたりするかも知れませんね。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • VPNのカプセル化とトンネリングについて

    VPNのカプセル化とトンネリングについて VPNのカプセル化とトンネリングについてよくわかりませんので質問します。 まず、VPNはイントラネットどうしの通信を行うために専用回線を使用せずにインターネットやIP網を使用して専用回線と同じように通信をしようとしていることはわかります。 そこで、転送データのヘッダに別のプロトコル?を設置するのですよね?これは一体何のためなのでしょうか? そして、暗号化してさらにカプセル化を行うといった内容をよく見るのですが、暗号化とカプセル化の違いがよくわかりません。別のプロトコルにしたからといってインターネット上にデータが流れるわけなのでいくらでもデータを盗聴できるような気がします。 カプセル化は一体何のために行っているかを詳しく知りたいです。 そして、トンネリングですが、よく企業間にトンネルを作るように他のユーザに盗聴されなくなるという風に書いているのですが、インターネットを流れている限り盗聴は当たり前のように行われていると思います。 なぜトンネリングすることによってデータの盗聴や改ざんを行えないようになるのかを知りたいです。 この2つについて質問したいと思います。 よろしくお願いします

  • VPNのトンネリングについて

    VPNのトンネリングについて VPNのトンネリングについて質問です。 VPNのトンネリングについて公衆回線を使用しているのに専用回線を使用した状態になるという説明をよく見るのですが、なんでそのような状態になるのでしょうか? インターネットを使用しているということはいくらでも盗聴できるはずなのに、なぜVPNは特別にセキュリティが高いのでしょうか? よろしくお願いします。

  • VPNの必要性

    現在、外部のレンタルサーバーでMySQLサーバーを動かし、そのDBに、VPNを介してインターネットを通してやり取りする専用の業務アプリを作り、そのアプリで様々な業務上の作業を行っています。 そこで、ふと思ったのですが、この外部のサーバーとのやり取りはMySQLとの通信だけです。VPNを利用する意味はあるのか?と思いました。 ファイルサーバーやアプリケーションサーバーなどいろいろな用途に使われる場合は、通信のプロトコルやポートなど様々なので、すべてを包括的にトンネル化するVPNが有用だと思いますが、例えば、特定のプロトコルでしか通信しない場合、そのプロトコルで暗号化されていれば、問題ないのかな?と考えました。 実際どうなんでしょうか。 もちろん、接続を開始する段階の「認証」は別で考える必要がありますが。 詳しい方、よろしくお願いします。

    • ベストアンサー
    • VPN
  • VPNの仕組みについて

    よくVPNは「インターネット網に、ユーザー専用の仮想的なトンネルを作る方式」と表現しますが、実質的にはパケットをただ単純に暗号化して他のユーザーのデータと同じ インターネット網を飛ばしてるだけですよね? まるで他のユーザーの回線とは分離されてるみたいな表現されてますけど 同じインターネット回線を使っている以上電気的、物理的には何も分離されてない ってことになりますよね?(だからこそ「仮想」なわけではあるのですが) そういう意味ではネットバンキングの利用やネット通販での 会計処理、Twitterにログインしているときの通信と 実質何も変わらないなという気がします。 そう考えると「専用のトンネルを作る方式」なんていうよく分からん比喩表現するより もっと素直に「データを暗号化して送る方式」といった方が的確な気がするのですが、 タメなのでしょうか?(ITベンダーが売れなくなるから、「嘘も方便」と 考えるべきなのでしょうか?)

  • インターネットVPNについて教えてください

    ネットワークに詳しくないので、変な質問かもしれませんが、おしえてください。 インターネットVPNは、インターネット網を使ってVPNを構築するんですよね? で、データは専用ルータなどで暗号化してインターネット経由でやり取りするわけですよね? たとえば、インターネットVPNを使って会社の本社と支社を結んでイントラネットを構築した場合、本社と支社の間にはF/Wは必要なのでしょうか? F/Wが必要な場合、穴をあけるポートは通常のインターネットと同様に80ポートとかしか通らないのでしょうか? IPアドレスの体系はどうなるのでしょうか? 間にNATやIPマスカレードが必要なのでしょうか? それとも本社と支社は同じセグメントでいいのでしょうか? 今現在専用線でつながっている本社と支社のNWをインターネットVPNに変更したいのですが、特殊な業務アプリ等の関係や本社から支社のシステムを遠隔コントロールしたりで、UTPプロトコルを使ったり沢山のポートを使ったりしてデータのやりとりをしています。インターネットVPNに変更しても、現状の環境はそのまま継続したいのです。可能でしょうか? また、専用線と違ってインターネットを経由することでNW帯域が保証されず、パケットロスなどが発生してしまうのでは?と心配です。 NW帯域は2Mbps程度保証されるでしょうか? パケットロスなどは発生しないのでしょうか? よろしくお願いします。

  • トンネリングがVNP構築のために有効な理由

    インターネットを使ったイントラネットを外部に対して閉じたものとするには暗号化、トンネリング、認証の3つが有効とお聞きしました。 このうち暗号化と認証が有効であるのは分かるのですが、トンネリングはなぜ閉じたものにするために有効なのでしょうか。 当方素人のため、「トンネリング」の意味については下記で勉強させていただいたので、このくらいの意味がだいたいぼやっと理解できる程度です。 http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%B3%E3%83%8D%E3%83%AA%E3%83%B3%E3%82%B0 http://dictionary.rbbtoday.com/Details/term561.html

  • VPNが暗号化するものについて

    OpenVPNなどのVPNを用いた通信間では、どのようなプロトコルを使用しているかも暗号化されるのでしょうか。 第三者から見て、暗号化プロトコルを使用していることは分かると思います。その他にファイル転送プロトコルのFTPなどを使用していることも第三者から見て分かってしまうのかという質問です。

  • SSL通信とVPNの違い

    SSLは暗号化通信で、VPNというのも暗号化によって同一回線で通信するものの別のネットワークである可能様な利用をするものです。つまり、同一回線を通じて通信するものの、暗号化によって他者に読み取られないというのは同じことです。 両者はどこが違うのですか? もっというとダークウェブとかも同じ回線を通じて通信するのに暗号化されていて他者からは読めないということなので、同じことではないかと思います。 どう違うのですか?

  • L2VPN

    「VPN内ではICMP、UDP、TCP、AppleTalk、IPX/SPXなど様々なプロトコルが使えます」 と説明されているVPNは、L2ネットワークという事ですか? 例えばcorega社の"VPNゲートウェイシステム"や、 NTT Communications社の"OCN-SMF"などは L2ネットワークを利用したVPNサービスといえますか? それと、L2トンネリングを行っていても、 結局はインターネットにデータを通してるという事に変わりないですか?

  • SoftEther社のVPN over HTTPサービスを個人で実現したい

    こんばんは。 SoftEther社のMobileFree.jpというシステム(http://www.mobilefree.jp/jp/) を既成のソフトウェアで実現したいと考えています。 現在、ドコモのデータ通信でSkypeやリモートアクセスをする際このシステムにお世話になっていますが、学術実験目的であるためいずれは利用できなくなるまたは有償での利用になると考えています。 従って、いつ利用できなくなったとしても困らないために早く対策を立てようと考えています。 検索エンジンや本を買って調べたところ、VPN トンネル カプセル化などを可能とするソフトウェアがあるようですが、IPsec SSL-VPNなど多数の形式があるようで、混乱しています。 ドコモデータ通信で利用できない通信を可能とするために、VPNoverHTTPを個人で実現できますか。また、実現するソフトウェアなどありませんか。 もし規制ソフトウェアがなくとも、トンネリングとカプセル化に興味があり、VPNoverHTTPを可能にするソフトウェアを作ることを目標にプログラミングを勉強したいと思っています。従って、お勧めのサイトなどがございましたら教えてください。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する