3. セキュリティと信頼性

    目次
    1. 1. 3.1. ハードウェアよりも優位な素晴らしいセキュリティおよび信頼性
      1. 1.1. ハードウェア VPN 製品の中身を解剖してみよう
      2. 1.2. ハードウェア ASIC とソフトウェアプログラムとの間で暗号強度の違いはない
      3. 1.3. SoftEther VPN はレガシーなハードウェア VPN 製品と比較して確実に安全である
      4. 1.4. SoftEther VPN がハードウェアベンダの VPN 製品よりも安全である 2 つの理由
      5. 1.5. SoftEther VPN がオペレーティングシステム上の TCP/IP ポートを開放する件について
    2. 2. 3.2. インターネット標準プロトコルへの準拠
      1. 2.1. VPN トンネリングプロトコルの上位レイヤ
      2. 2.2. VPN トンネリングプロトコルの中間レイヤ
      3. 2.3. VPN トンネリングプロトコルの下位レイヤ
    3. 3. 3.3. 多数の標準的な暗号化アルゴリズムのサポート
      1. 3.1. 暗号化・復号化アルゴリズム
      2. 3.2. HMAC のためのハッシュアルゴリズム
    4. 4. 3.4. 暗号モジュールは OpenSSL を使用
    5. 5. 3.5. 中間者攻撃の防止
    6. 6. 3.6. ユーザー認証の方法
      1. 6.1. パスワード認証
      2. 6.2. RADIUS および Active Directory を使用した認証
      3. 6.3. 4096 ビットまでの RSA 証明書認証を用いた PKI 認証
      4. 6.4. PKI 認証のためのスマートカードおよび USB トークンのサポート
      5. 6.5. ユーザーのグループ化
    7. 7. 3.7. パケットフィルタ
    8. 8. 3.8. セキュリティポリシー
      1. 8.1. 有害な DHCP パケットのフィルタリング
      2. 8.2. DHCP スヌーピングおよび DHCP 割当 IP アドレスの使用の強制
      3. 8.3. ユーザー側でのブリッジまたはルータ接続の禁止
      4. 8.4. 重複した MAC アドレスおよび IP アドレスを送信元とするパケットの遮断
      5. 8.5. ブロードキャストパケット数の削減
      6. 8.6. プライバシーフィルタモード
      7. 8.7. MAC および IP アドレステーブルを溢れさせる攻撃の防止
      8. 8.8. 帯域制限
      9. 8.9. 1 人のユーザーの同時接続数制限
      10. 8.10. IPv6 セキュリティポリシー
    9. 9. 3.9. VPN セッション上におけるパケットモニタリング
      1. 9.1. トラブルシューティング目的での使用
      2. 9.2. IDS (侵入検知) 目的での使用
    10. 10. 3.10. パケットログ機能
    11. 11. 3.11. HTTP URL ログ機能
    12. 12. 3.12. 仮想 HUB の管理者権限の委譲
    13. 13. 3.13. プログラムの高可用性および安定したバックグラウンド動作

    3.1. ハードウェアよりも優位な素晴らしいセキュリティおよび信頼性

    あなたは SoftEther VPN は果たしてハードウェア VPN 製品と比較して安全であるかどうかという疑問を持つかも知れません。

    世の中には、ソフトウェア VPN がハードウェア VPN と比較して劣っていると勘違いをしている人がいます。SoftEther VPN は確かにソフトウェアのコードとして実装されており、特定目的の集積回路として構築されたハードウェアではありません。しかし SoftEther VPN がハードウェア VPN 製品と比較して十分なセキュリティを有していることは確固たる事実であり、それに加えて SoftEther VPN はハードウェア VPN 製品と比較してさらに優位でもあるということができます。

    ハードウェア VPN 製品の中身を解剖してみよう

    現在の市場において出回っているハードウェア VPN 製品のほとんどが、純粋なハードウェア製品でないという事実をご覧いただきたいと思います。実際にはこれらのハードウェア VPN 製品はほとんどソフトウェアプログラムに近いのです。あなたは Cisco ルータの筐体のカバーを外して中身を注視した経験はありますか ? もし中身のデバイスをよく見てみれば、Cisco ルータの構成は普通のコンピュータと大して代わらないということがお分かりいただけるかと思います。大きな違いは CPU のアーキテクチャにあります。製造コストを削減するため、Cisco やその他の VPN ベンダーはコンピュータよりも安価な CPU、たとえば MIPS、ARM および PowerPC を採用しています。デスクトップコンピュータとハードウェア VPN ルータとの間にはこれ以外の重要な違いはありません。あなたはまたインターネットや書籍などで漏洩している Cisco ルータに関する内部実装のメカニズムを分析することもできるでしょう。Cisco の VPN ルータやその他のベンダーのルータはそれらのデバイス上においてソフトウェアオペレーティングシステム上で動作しています。オペレーティングシステム上では、ルーティングと VPN セッション管理のソフトウェアが VPN 通信を処理するために動作しています。現代の市場に存在するハードウェア VPN 製品においては、事実上、ほぼすべての重要なプロセスはハードウェアではなくソフトウェアで実装されているのです。ここで述べていることの信憑性は、そういったハードウェア VPN 製品の製造業者の友達に聞いてみることで検証することができます。

    ハードウェア ASIC とソフトウェアプログラムとの間で暗号強度の違いはない

    ここで一部のとても高価な VPN ルータハードウェア製品、たとえば Cisco VPN コンセントレータなどにはパケットを暗号化・復号化するために ASIC (application-specific integrated circuit) という IC が使用されていることを述べなければなりません。世の中には、ASIC による暗号処理がソフトウェアプログラムによる暗号処理と比較して安全であると勘違いをしている人がいます。これは完全な間違いです。ASIC で処理をしても、ソフトウェアで処理をしても、暗号化処理の結果は全く同一になります。そして、暗号化アルゴリズムは ASIC に実装されているものもソフトウェアで実装されているものも全く同一である以上、ソフトウェア実装のほうの暗号が弱いということは絶対にあり得ません。たとえば、Cisco の ASIC の暗号化プロセスユニットがアメリカ合衆国政府によって公表されている AES-256 を使用しているとします。AES-256 はソフトウェアプログラムでも同様に実装されています。両方の暗号の強度は全く同一です。暗号学の観点から見て ASIC はソフトウェア処理モジュールと比較してより安全であるという誤解をすることのないようご注意ください。

    SoftEther VPN はレガシーなハードウェア VPN 製品と比較して確実に安全である

    SoftEther VPN のセキュリティ強度は、レガシーなハードウェア VPN 製品よりも優良であると言うことは過言ではありません。ご存じのように、Cisco Systems 社やその他のレガシーな VPN ベンダーは彼らのソフトウェアおよびハードウェア ASIC のコードを秘密にしています。そのため、誰もそれらのコードの中身が本当に安全であるかどうかを検証することができません。そしてそれらのコンポーネントに一部の人だけが利用できるバックドアが本当に存在しないかどうかも検証することができません (たとえば、Cisco 社自身や、Cisco 社がある国の政府だけでアクセスできるバックドアがある可能性があります)。もしそのようなバックドアがあれば、顧客のネットワークに顧客の許諾なしに第三者が侵入できてしまう可能性があります。誰もそのようなセキュリティリスクの存在を検証することができません。内部ソフトウェアのコードがハードウェア IC の内部に書き込まれている場合、誰もそのコードをリバースエンジニアリングすることができません。この事実は、レガシーなハードウェア VPN 製品は顧客にとって必ずしも安全ではないという結論につながります。

    さらに、レガシーなハードウェア VPN 製品においては、オペレーティングシステムのレイヤと VPN のレイヤとは同一のベンダーによって開発されている場合が多くあります。これは致命的なセキュリティ問題となる場合があります。大抵のコードには未発見の脆弱性が潜んでいるものです。オペレーティングシステムのレイヤは VPN のレイヤと比較してとても大きく複雑です。そういった非公開で専用のオペレーティングシステムはすべて製造会社の管理下にあります。したがって、製造会社が脆弱性を解決してパッチを顧客に対して配布するという決断をしなければ、すべてのユーザーが脆弱性の影響を受けることになり、誰もそれに対して対処することができなくなってしまいます。これはとても危険な状況です。

    SoftEther VPN がハードウェアベンダの VPN 製品よりも安全である 2 つの理由

    ハードウェア VPN 製品と比較して、SoftEther VPN はより安全であると言うことができます。それには 2 つの根拠があります。まず、SoftEther VPN の主要な部分は 2010 年からオープンソースソフトウェアとして公開されています。SoftEther VPN の開発者はソフトウェア内にいかなるバックドアも仕掛けることができません。オープンソースソフトウェアのコードは誰でも解析することができるため、そのような仕掛けは不可能です。そのため、バックドアやその他の有害なコードが含まれている可能性について、SoftEther VPN は他のクローズドなハードウェア VPN ベンダーの製品よりも安全であるということができます。

    2 つ目の理由として、SoftEther VPN は現在 Windows、Linux、FreeBSD、Solaris および Mac OS X といった多くのオペレーティングシステム上で動作するという特徴が挙げられます。これらの OS はとても有名ですので、もし特定の OS 内に脆弱性が発見された場合は、誰かがそれを解析してパッチコードを公開することになります。一般的には、OS の開発者自身がパッチを作成し、すべてのユーザーに対して無償で配布します。たとえば Windows Update や Linux ディストリビューションにおける更新プログラムなどがあります。SoftEther VPN の長所は、SoftEther VPN 自身が OS のレイヤから完全に分離しているという点にあります。そのため、OS レイヤ内で発見された問題は OS レイヤだけで解決することができます。SoftEther VPN を使用すれば、ユーザーは OS レイヤで発見された問題について開発者がパッチを公開することを懈怠する心配をする必要がなくなります。一方、その他のレガシーなハードウェア VPN 製品ではそういった問題があります。

    SoftEther VPN がオペレーティングシステム上の TCP/IP ポートを開放する件について

    SoftEther VPN Server をサーバーコンピュータ上で稼働させるために、特定の TCP/IP ポートを VPN 接続の着信を受付けるために開放状態としなければなりません。一般的には、ポート番号は TCP 443 (HTTPS ポート) となります。

    現代のオペレーティングシステムには優秀なファイアウォール機能が搭載されています。このファイアウォール機能は、TCP/IP ポート宛のいかなるパケットもフィルタリングすることができます。ファイアウォール機能は通常はデフォルトで有効に設定されています。そのため、インターネット側から攻撃やウイルスを受けてしまう可能性はありません。そして VPN Server が VPN セッションの着信を受付けるために必要最低限の TCP/IP ポートのみを開放すれば良いのです。そうすれば安全性を実現することができ、たとえ OS として Windows や Linux といった汎用 OS を使用していても危険であるということにはなりません。

    3.2. インターネット標準プロトコルへの準拠

    SoftEther VPN は、インターネットを経由して通信を行う機能において、インターネット標準プロトコルに準拠しています。

    VPN トンネリングプロトコルの上位レイヤ

    SoftEther VPN のトンネリングプロトコルは HTTPS (HTTP over SSL) プロトコルに準拠しています。HTTP は現代において Web ブラウジングのために最も頻繁に使用されているプロトコルです。HTTPS は HTTP にセキュリティ機能を追加した拡張です。誰でもインターネット上で毎日 SSL を使用しています。HTTPS はこの世界において最も安全なプロトコルです。

    VPN トンネリングプロトコルの中間レイヤ

    SSL 3.0 および TLS 1.0 がサポートされています。ユーザーはどちらのプロトコルを使用するか選択することができます。SSL は Secure Socket Layer の略です。TLS は Transport Layer Security の略です。両方ともインターネット上で広く使用されており、暗号科学や暗号産業に関わる多数の人たちによる解析の結果、10 年以上にわたって安全性および信頼性が証明されています。

    VPN トンネリングプロトコルの下位レイヤ

    VPN トンネリングプロトコルの下位レイヤは TCP/IP を使用しています。TCP/IP (Transmission Control Protocol on Internet Protocol) はインターネット標準プロトコルの 1 つです。SoftEther VPN は IPv4 および IPv6 のどちらの上でも TCP を使用することができます。

    3.3. 多数の標準的な暗号化アルゴリズムのサポート

    SoftEther VPN は VPN トンネルがインターネット上における攻撃や盗聴の被害に遭わないようにするため、暗号化アルゴリズムを多数採用しています。ユーザーはどの暗号化アルゴリズムを使用するか任意に選択できます。RC4 は最も高速ですが強度は低めです。AES256 は低速ですがとても高い強度を実現します。

    暗号化・復号化アルゴリズム

    以下の暗号化アルゴリズムは SoftEther VPN 上で指定することができます。すべて国際的な標準アルゴリズムです。

    • RC4 (128 ビット)
    • AES128 (128 ビット)
    • AES256 (256 ビット)
    • DES (56 ビット)
    • Triple-DES (168 ビット)

    RC4 はストリーム暗号、その他はブロック暗号です。

    HMAC のためのハッシュアルゴリズム

    SoftEther VPN は HMAC (Hash-based Message Authentication Code) のために以下のハッシュアルゴリズムを使用することができます。すべて国際的な標準アルゴリズムです。

    • SHA-1 (160 ビット)
    • MD5 (128 ビット)

     

    3.3.jpg

     

    ss3.3.jpg

    暗号化アルゴリズム設定画面。

    3.4. 暗号モジュールは OpenSSL を使用

    SoftEther VPN に搭載されている暗号化、復号化および認証のコアエンジンは OpenSSL をベースとしています。OpenSSL は最も有名で権威のあるオープンソースのソフトウェアライブラリであり、セキュリティ関連で多くの目的のために広く採用されています。OpenSSL が最も安全なライブラリであることは明白です。

    これは SoftEther VPN にとって利点となります。OpenSSL は広く検証されたセキュリティ実装であり、SoftEther VPN はその恩恵を受けています。他のレガシーな VPN 製品の開発者は、オープンソースソフトウェアを使用したくないため、暗号化コードを独自に実装している場合があります。この場合、暗号学の一般説としてはオープンソースのコードと比較して脆弱性が存在する可能性が高くなります。

    言うまでもなく、SoftEther VPN は高いセキュリティを維持するため、OpenSSL に改造を加えることなく利用しています。

    3.5. 中間者攻撃の防止

    "Person in the Middle Attacks" または "Man in the Middle Attacks" と呼ばれる中間者攻撃は、インターネット上における暗号化セッションに対する攻撃手法として有名です。中間者攻撃はクライアントによってサーバー側の証明書を検証することで防止することができます。SoftEther VPN にはその検証機能が搭載されています。VPN Server 側では固有の RSA 秘密鍵を有しており、対応する RSA 公開鍵が X.509 証明書オブジェクトに埋め込まれています。VPN Client が VPN Server に接続しようとする際は毎回 VPN Server が本物かどうかチェックすることができます。もし何らかの不審な点が検出された場合は、VPN セッションは直ちに切断されます。中間者攻撃を行う余地はありません。

     

    ss3.5.jpg

    SSL サーバー証明書の検証により、中間者攻撃を検出して防止することができます。

     

    ss3.5_2.jpg

    宛先 VPN Server が信頼できない SSL 証明書を提示した場合はセキュリティ警告が表示されます。

    3.6. ユーザー認証の方法

    セキュリティを維持するためには、暗号化だけでは不十分です。知らない人による侵入を防止するためには、ユーザー認証が必須です。SoftEther VPN はユーザー認証のためのいくつかの選択肢を用意しています。これらはとても小規模な利用から、数千人の社員を有するエンタープライズにおける大規模利用まで対応することができます。

     

    3.7.jpg

    SoftEther VPN は外部ユーザー認証をサポートしています。

    パスワード認証

    最も簡単な認証方法はパスワード認証です。この方法では、VPN Server 上にある仮想 HUB がユーザーデータベースを保有しています。ユーザーデータベースにはユーザー名とパスワードが保存されています。パスワードはセキュリティを高めるために SHA アルゴリズムでハッシュされています。管理者は大量のユーザーをデータベース上に作成することができます。各ユーザーのパスワードは通常異なります。ユーザー名とパスワードの組み合わせを知らない人は、仮想 HUB に接続することができません。

    RADIUS および Active Directory を使用した認証

    パスワード認証はシンプルであり、多くの目的に適合します。しかし、多数の社員を有する企業において社員が VPN Server に接続することができるようにするために、各社員のユーザーを仮想 HUB 上に定義するのはとても面倒です。そのような大規模な企業では、すでに外部にユーザー認証データベースを持っていると思われます。会社によっては、UNIX を RADIUS 認証サーバーとして使用していることでしょう。また、別の会社では Windows を Active Directory または NT ドメインコントローラとして使用していることでしょう。SoftEther VPN はこれらの外部ユーザー認証サーバーに対して認証要求を転送する機能を有しています。システム管理者がこの方法を採用することにより、管理者はすべての社員を仮想 HUB にそれぞれ登録する必要がなくなります。これにより、とても退屈な作業を行わなくても済むようになります。その他にもメリットがあります。ユーザーがパスワードを変更した場合、VPN Server に接続するために必要なパスワードも変更されたことになります。たとえば企業において外部からのパスワード推測による不正アクセスを防止するために定期的にパスワードを変更するように強制するポリシーがあればそれを適用することができます。

    SoftEther VPN は RADIUS という標準プロトコルに対応しているため、最新のいかなるユーザー認証方法、たとえばワンタイムパスワードトークンを使用したユーザー認証も、認証サーバーが RADIUS プロトコルを採用さていれば使用することができます。

     

    ss3.6_1.jpg

    外部ユーザー認証として RADIUS および Active Directory がサポートされています。

    4096 ビットまでの RSA 証明書認証を用いた PKI 認証

    パスワード認証の仕組みは特定の要求においては十分なセキュリティを提供しない場合もあります。たとえばユーザーがパスワードを忘れることに備えてパスワードをポストイットやメモ帳などにメモしておくことがあります。そうするとパスワードの漏洩リスクが増大します。

    そこで解決策として PKI (Public Key Infrastructures) を使用することができます。PKI は RSA (Rivest, Shamir and Adleman) 証明書ファイルおよび対応する秘密鍵ファイルを使用してユーザー認証を行います。RSA も国際的な標準です。

    ユーザーが PKI を使用するように指定されている場合、ユーザーはパスワードを入力する必要はありません。その代わりに、ユーザーは秘密鍵ファイルを保有している必要があります。秘密鍵ファイルはハードディスク上またはセキュリティトークン上に保持することができます。

     

    ss3.6_2.jpg

    RSA 証明書認証の使用は簡単です。

    PKI 認証のためのスマートカードおよび USB トークンのサポート

    PKI をスマートカードまたは USB トークンと共に使用することは最も安全な方法です。スマートカードや USB トークンはユーザーからの秘密鍵の漏洩を防止することに役立ちます。なぜならば、それらのデバイスは内部に格納された秘密鍵にアクセスするために PIN コード (暗証番号) の入力を要求するからです。さらに、一度そのようなデバイスに格納された秘密鍵ファイルを誰も読み取ることはできない仕組みになっています。そのようなデバイスは乱数によるチャレンジ値に対して署名を生成することしかできないようになっています。この仕組みを破ることはできず、ほぼ完璧なセキュリティが実現できます。この方法を使用する場合は最も高いセキュリティ強度が約束されます。すべてのスマートカードまたは USB トークンが SoftEther VPN でサポートされている訳ではないことに注意してください。サポートされているデバイスの一覧は Web 上で見つけることができます。

     

    0509161.jpg

    PKCS#11 と互換性があるスマートカードやセキュリティトークンが利用できます。

    ユーザーのグループ化

    システム管理者によって仮想 HUB 上に作成されたユーザーオブジェクトはグループ化することができます。グループは複数のユーザーを含むように作成することができます。これはセキュリティポリシーやパケットフィルタリングポリシーをグループ内のユーザーに対して適用する際にとても便利です。

    3.7. パケットフィルタ

    VPN Server 上の仮想 HUB においてパケットフィルタルールを設定することができます。ルールの数は最大 4,096 エントリまで登録することができます。パケットフィルタ機能は「アクセスリスト」とも呼ばれます。

    パケットフィルタルールのエントリは、パケットがルールに一致した場合にパケットを通過させるか破棄するかの挙動を決定します。エントリ上には他にも IPv4 や IPv6 パケットのマッチングパターンを指定することができます。マッチングパターンとして、IP アドレスやサブネットマスクだけではなく、TCP や UDP のポート番号の範囲や TCP のフラグを設定することもできます。また、パケットの送信元または宛先のユーザー名またはグループ名を指定することもできます。

    また、仮想 HUB を経由して流れてきた HTTP 接続の要求パケットに対して、ルールに一致した場合にリダイレクトを行うこともできます。たとえば、社員がアクセスリスト上に登録されたブラックリストに一致する禁止された Web サイトにアクセスしようとしたとき、仮想 HUB のパケットフィルタは自動的に「偽装された」 HTTP 応答パケットをクライアントの Web ブラウザに返します。クライアントの Web ブラウザはその応答パケットを本物の宛先サーバーから届いたものとして扱いますので、クライアントユーザーはシステム管理者が指定した URL に自動的にリダイレクトされることになります (例えば、とても恐ろしい怒った顔面表情の警告 Web サイトなどにリダイレクトすることができます)。

     

    ss3.7_1.jpg

    VPN Server の GUI 管理ツール上からアクセスリストを簡単に設定することができます。

     

    ss3.7_2.jpg

    深いレベルの IP、TCP、UDP またはその他のパケットヘッダの値をマッチング条件として指定できます。

    3.8. セキュリティポリシー

    ユーザーの行動を規制するためのほとんどの要求はパケットフィルタ機能で実現することができます。しかし、一部の特定の状況では、VPN ユーザーまたは VPN 接続拠点からの VPN トンネル経由で届いた有害なパケットをドロップするための複雑なルールが必要になることもあります。

    たとえば、Ethernet セグメントの安定化のために、リモートアクセス VPN ユーザーは DHCP リクエストパケットを送信することはできても、DHCP 応答パケットを送信することができないようにしたい場合があります。その他の例として、システム管理者はセキュリティ強化のため偽装 ARP パケットを検出して遮断したい場合があります。これらの需要はパケットフィルタリングだけでは満たすことはできません。そのため、SoftEther VPN Server は優秀なセキュリティポリシー機能を搭載しています。

    セキュリティポリシーとは、特定の有害なパケットを通過させるか拒否させるかを決定する設定値のリストです。セキュリティポリシーは、ユーザーオブジェクトごとまたはグループオブジェクトごとに設定することができます。

     

    ss3.8.jpg

    ユーザーオブジェクトまたはグループオブジェクトごとにセキュリティポリシーを設定することができます。

     

    有害な DHCP パケットのフィルタリング

    何も対策をしない場合、ユーザーは VPN トンネル経由で有害な DHCP パケットを Ethernet セグメントに対して送信することができますたとえばあるユーザーが偽装した嘘の DHCP 応答パケットを別の DHCP 応答パケットを待機しているユーザーに対して送信したとします。そうすると要求ユーザーは間違った IP アドレスを取得してしまう結果になります。この手のパケットはネットワーク全体を混乱させてしまいます。そこで、セキュリティポリシーを設定することによりユーザーが送信することができる DHCP パケットの種類を規制することができます。

    DHCP スヌーピングおよび DHCP 割当 IP アドレスの使用の強制

    現代の市場にある一部の物理的な Ethernet スイッチ製品には、DHCP スヌーピング機能が搭載されており、クライアントコンピュータに対して DHCP サーバーが指定した IP アドレスのみの使用を許容することができるようになっています。SoftEther VPN の仮想 HUB にもこれと全く同じ機能が搭載されています。

    ユーザー側でのブリッジまたはルータ接続の禁止

    SoftEther VPN トンネルは完全に仮想化されたレイヤ 2 Ethernet の LAN ケーブルを実現するという特徴があります。そのため、リモートアクセス VPN のユーザーであっても、ユーザーの側にルータをセットアップしたりブリッジを設置したりすることができてしまいます。これは能力があるユーザーにとって彼らの自宅などでも可能なことです。このようなリモートアクセスを行っておかしなネットワーク形態をエンドポイントの対向側に設置するユーザーの通信を許容することは、企業内 LAN にとって相応しくありません。そこでセキュリティポリシーを設定すれば、VPN クライアント側におけるブリッジやルータなどの設置を禁止することができます。

    重複した MAC アドレスおよび IP アドレスを送信元とするパケットの遮断

    あるユーザーが例えば IP アドレス 192.168.3.2 を使用しており、別のユーザーが同一の IP アドレスを同一の Ethernet セグメント上で使用しようとしたとき、これは厄介な問題になります。厄介な問題だけではなく、これは他人の IP アドレスを偽装している他のクライアントが偽装している IP アドレスを送信元とするパケットを送信できることを意味しますので、セキュリティ上のリスクとなります。そこでこのような通信は禁止されなければなりません。セキュリティポリシーを設定することにより、IP アドレスだけではなく MAC アドレスの重複も禁止することができます。

    ブロードキャストパケット数の削減

    1 つの Ethernet セグメントに VPN 経由で数百ものコンピュータが接続されている場合、何も対策をしなければブロードキャストパケットの数は増大していきます。そのような場合は、このセキュリティポリシーを設定することにより、ARP、DHCP および ICMPv6 以外のブロードキャストパケットをフィルタリングすることができます。

    プライバシーフィルタモード

    このポリシーが設定されているユーザーは、このポリシーが設定されている他のすべてのユーザーとの間で直接通信を行うことができなくなります。このポリシーはシステム管理者がセキュリティ上の理由によりユーザーに中央サーバーとの間の通信は許可したいが同時にユーザー間の通信は禁止したいという場合に便利です。

    MAC および IP アドレステーブルを溢れさせる攻撃の防止

    VPN Server 上の仮想 HUB は MAC アドレスの FDB を持っています。同様に IP アドレステーブルも持っています。一部の悪意のある VPN クライアントユーザーはランダムな MAC アドレスまたは IP アドレスを送信元とするパケットを大量に送信することにより、DoS 攻撃 (denial-of-service attack) を実施することができてしまいます。これは VPN Server 上の貴重なリソース、特に RAM 容量を浪費することになります。そこでこのセキュリティポリシーを使用することにより、単一の VPN セッションに関連付けることができる MAC アドレスと IP アドレスの数を制限することができます。

    帯域制限

    帯域制限は VPN セッションに対して bps (bits per seconds) 単位で設定することができます。これによりインターネットに対する帯域を節約することができます。アップロード方向 (クライアントからサーバー) およびダウンロード方向 (サーバーからクライアント) の両方の帯域をそれぞれ制限することができます。

    1 人のユーザーの同時接続数制限

    デフォルトでは、1 人のユーザーは同時に VPN Server に対して複数の VPN セッションを並行して確立することができます。しかし、このセキュリティポリシーを設定することにより、単一のユーザーの最大接続可能数を制限することができます。

    IPv6 セキュリティポリシー

    VPN ユーザーが IPv6 パケットを送信する際にもセキュリティポリシーを適用することができます。IPv6 には IPv4 には無い新しい概念が導入されています。そのため、IPv6 専用のセキュリティポリシーも搭載されています。SoftEther VPN Server は IPv6 に対するセキュリティの適用のためのフル機能を備えています。

    3.9. VPN セッション上におけるパケットモニタリング

    モニタリング機能を使用すれば、仮想 HUB 内を流れるすべてのパケットを傍受することができます。その機能は VPN ネットワークのネットワーク管理者が使用することができます。したがってこの機能はデフォルトでは無効にされていますが、手動で有効にして使用できます。

    モニタリング機能は VPN Client ソフトウェアおよび Wireshark、Ethereal または IDS (例: snort) などを用いて使用することができます。

    トラブルシューティング目的での使用

    VPN Server を流れるすべてのパケットをキャプチャして診断することができますので、モニタリング機能をトラブルシューティング目的で使用できます。

    IDS (侵入検知) 目的での使用

    ネットワーク上における潜在的なセキュリティ違反を検出するための IDS (Intrusion Detection System) を VPN Server 上の仮想 HUB のモニタリング機能に取り付けることで使用できます。

     

    ss3.9.jpg

    Wireshark、tcpdump、snort またはその他のアナライザを使用して仮想 HUB のパケットを監視できます。

    3.10. パケットログ機能

    VPN Server の仮想 HUB 上を流れるすべてのパケットは、VPN Server のハードディスク上のログファイルとしてログ記録することができます。しかし、すべてのパケットをディスクに保存すると、ディスクはすぐに一杯になってしまいます。そこで SoftEther VPN Server にはどの種類のパケットを記録するかどうか設定可能なフィルタ機能があります。さらに、パケットのペイロードを含めてすべてを保存するか、または重要なヘッダのみ保存するかを設定することもできます。パケットログ機能はソフトウェアで実装されているため、パケットの取りこぼしをすることなくすべてのパケットを保存できます。

    この機能はトラブルシューティング目的だけではなく、会社に対して違法な背信行為を行おうとしているユーザーに関する証拠資料を作成するためにも使用できます。ログ機能を使用すれば、たとえば VPN 経由でユーザーがファイルサーバーやデータベースサーバーにアクセスした際の通信を記録することができます。

     

    ss3.10.jpg

    パケットログ設定画面。

    3.11. HTTP URL ログ機能

    パケットログ機能では、HTTP ベースのトラフィックが含んでいる HTTP ヘッダを「深いレベルの解析」にかけることができます。すべての HTTP 接続要求パケットのターゲット URL が平文の URL テキストとしてパケットログファイルに保存されます。システム管理者は VPN Server の使用状況を監視するために、VPN Server を使用する社員の HTTP アクセスログを保持することができます。

     

    ss3.11.jpg

    パケットログの例。

    Ethernet、IP、TCP/UDP パケットヘッダや HTTP リクエストヘッダの値が保存されています。

    3.12. 仮想 HUB の管理者権限の委譲

    VPN Server には複数の仮想 HUB を作成することができます。そして VPN Server 全体の管理者は、ある特定の仮想 HUB の管理者として誰か特定の管理者を指名することができます。この場合、仮想 HUB の管理権限を当該管理者に対して委譲することができます。

    仮想 HUB の管理者権限の委譲を行うためには、VPN Server 全体の管理者は特定の仮想 HUB の管理者パスワードを指定します。そしてそのパスワードを委譲先の管理者に伝達します。すると委譲された管理者はその仮想 HUB を管理することができます。しかし委譲された管理者は同一の VPN Server 上の別の仮想 HUB を管理することはできません。ユーザーオブジェクトやパケットフィルタルールなどのデータベースやセキュリティ機能の設定は、仮想 HUB ごとに完全に分離されています。

    3.13. プログラムの高可用性および安定したバックグラウンド動作

    SoftEther VPN Server サービスは、一度 VPN Server プロセスが起動した後は 24 時間・365 日間に渡って継続して稼働することを想定して実装されています。VPN Server のコードの開発においては、特にメモリリークや潜在的なクラッシュが発生しなうように極めて慎重な努力が費やされています。現在リリースされている SoftEther VPN Server プログラムには、極めて重大なバグが存在しないと考えられます。

    しかしながら、もし何らかの原因で SoftEther VPN Server プロセスで不具合が発生した場合は、自動的に再起動するメカニズムが組み込まれています。設定データや VPN セッションに関する統計データが失われてしまうことを避けるため、これらのデータは定期的な間隔でディスクに保存されます。もしプロセスが突然停止した場合でも、回復タスクが自動的に呼び出され、クラッシュ前の状態をできるだけ復元するように努力します。