OpenVPN&セキュリティ情報
2013-04-12
OpenVPNをお勧めできる6つの理由
「VPNっていろいろあるけど、OpenVPNのメリットって何?」という疑問は多くの方が持たれますよね。この点は公式サイトなどにもいろいろ書かれているのですが、実際に使ってきたユーザー側としてメリットと思う部分をまとめてみました。
幅広い対応OS
PC向け主要OSとも言えるWindows、Linux、MacOSXはもちろん、BSDやSolaris、現在ではAndroidやiOSでも利用できます。やっぱり、スマートフォンで使えるっていうのは大きいですね。各OSとも同じコードベースなので、OSが異なる場合でもまったく問題なく相互接続が可能です。同一VPN上にLinux、MacOS、Windows、iOSを混在、なんてことも簡単です。設定ファイルも基本的には共通です。IPsecなどで時々起きる「機器間の相性の問題」がまったくないのは本当に便利ですよ!
比較的低コストで実現可能
オープンソースであることのメリットの一つは、ライセンス費用がかからないということですね。自分で導入、設定してしまえばほとんどコストはかかりません。ライセンス費用がかからないのは、ユーザー数が多い場合には特に大きなメリットになります。もう一つ、OpenVPNサーバーを設置するために使用するPCもそんなに高スペックじゃなくても大丈夫、という点もコスト削減につながります。「とりあえず試験運用なので、社内にあった余ったPCで立ててます」なんてケースもそんなに珍しくありません。
OpenVPNはソフトウェアVPNですので、PCのスペックがVPNのスループットに直接影響しますが、それでもそれなりのスペックのサーバーでも実用的には問題ないスループットが期待できます。
高い柔軟性
設定の自由度が高く、さまざまな運用スタイルやネットワーク構成に柔軟に対応できます。たとえば、OpenVPNは認証部分についても、標準的な証明書認証だけでなく、プラグイン形式での拡張にも対応しています。ですから、既存の認証データベースやLDAPサーバーと連携させたり、ワンタイムパスワードを導入したりといったことも柔軟に対応できます。
OpenVPNで利用できる認証方法については、「OpenVPN 認証方法についてのまとめ - 前編」や「OpenVPN 認証方法についてのまとめ - 後編」もご参照ください。
さらに、同一PC上で複数のOpenVPNを起動することもできますので、接続するクライアントによってセキュリティレイヤーを分割したい場合などにも柔軟に対応できます。
最近ではOpenVPNをAWSなどのクラウド環境に導入するケースも増えてきています。これもハードウェアベースのVPNでは実現できない利点ですね。
安全性と安定性
OpenVPNのセキュリティ機能は広く使用されているセキュリティ基盤であるSSLに基づいています。また、OpenVPN自体のセキュリティについても、公式サイトのFAQにもあるように、OpenVPNバージョン1.1.0の公開以降、脆弱性の指摘はありません。さらに、ここ数年でOpenSSLに見つかった脆弱性に関するトピックでも明らかになったように、仮にOpenSSLなどのSSLライブラリに脆弱性があっても、その悪影響がOpenVPNに及びにくいような設計になっていることも注目できます(OpenSSLで見つかった脆弱性がOpenVPNに与える影響については、このブログでも 2011年9月、2012年5月、2013年2月 に取り上げましたが、すべてOpenVPNは脆弱性の影響を受けないとの結論です)。手軽に使えるVPNとして以前はPPTPもよく使われていましたが、使用されている認証プロトコルであるMS-CHAPv2の脆弱性が公表されたことは記憶に新しいところです。
VPNシステムにおいて特に重要となる安定性についても、OpenVPNは世界中で広く使用されており、長期間の連続稼動や大規模なVPNでも安定した稼働を続けてきた実績があります。
回線やキャリアの制限なし
OpenVPNは回線やキャリアの制限がありません。回線付帯のVPNサービスの場合はその回線でしか利用できませんので、回線の切り替えが難しくなります。OpenVPNはサーバー/クライアントともどんな回線やキャリアでも利用できます。ダイナミックDNSを利用することで、DHCPのようにアドレスが変化する環境でサーバーを立てることもできます。
設定が(そんなに)難しくない
最後のこれには「おいおい、簡単じゃないだろ!」と異論がある方もいらっしゃるかもしれませんね。確かに、テキストファイルでの設定になりますので、慣れるまではちょっとハードルが高いところもあるかもしれません。ただ、どうしても設定しなければいけない項目はそれほど多くないので、とてもシンプルな構成から初めて、徐々に設定を追加していくという方法が取れるのは大きなメリットです(クライアント側の設定についてはvpnux Connector Liteなどをお使いいただくことで簡単になりますよ!)。もう一つ、VPNを構築する際に考慮する必要がある点は、VPN自体の設定とは別に、VPNサーバーを設置するネットワーク上の設定(ファイアウォールの設定など)が必要になる、ということです。この点でもOpenVPNは比較的簡単です。たとえば、複数のポートを使用するIPsecとは異なり、OpenVPNは単一のポート(TCP、UDPのいずれかで、好きなポートを使用可能)だけで接続できます。このメリット、地味ではありますが、設定の難易度が下がると同時に、トラブルシュートの難易度も格段に下がるんです!
いかがでしょうか? 正直なところ、OpenVPNについては国内にまだまだ情報源が少ないという点がハードルではありますが、OpenVPN.JPだけでなく、インターネット上には実際に導入された方の設定例などもたくさん出てきています。こういった参考情報も助かりますね。
もちろん、「あらゆるケースでOpenVPNが最適!」とまでは言い切りませんが、VPNの導入や切り替えを検討するときには、一度試してみる価値はあるソリューションだと思います。プラムシステムズ株式会社でも、導入や運用にあたってのコンサルティングなどもご提供していますので、どうぞお気軽にお問い合わせください。
Image courtesy of Master isolated images / FreeDigitalPhotos.net
登録:
コメントの投稿
(
Atom
)
Profile
- 山崎 太郎 (Taro Yamazaki)
- プラムシステムズ株式会社所属。 主にVPN(OpenVPN)やセキュリティ関連技術、Webアプリケーションを手がけています。
Page Views
Popular Posts
-
「VPNっていろいろあるけど、OpenVPNのメリットって何?」 という疑問は多くの方が持たれますよね。この点は公式サイトなどにもいろいろ書かれているのですが、実際に使ってきたユーザー側としてメリットと思う部分をまとめてみました。
-
現在ダウンロードできるOpenVPNでは、今まで認証局の構築で使用していたeasy-rsaが含まれなくなっています。 OpenVPN.netのダウンロードページ にも Note that easy-rsa is no longer bundled with OpenVPN...
-
Jan Just Keijser氏の記事「 Optimizing performance on gigabit networks 」については こちら でも概要を取り上げましたが、記事全体にいろいろなヒントが含まれていますので、全文の日本語訳を掲載しています。意訳している部分も...
-
OpenVPNでは、接続してきたクライアントのVPNアドレスは動的に割り振られます(その際に割り振られる際のアドレス範囲はOpenVPNサーバー側設定ファイルに基づきます)。特定のVPNクライアントに特定のVPNアドレスを割り振りたい場合、OpenVPNでは以下の2つの方法で設定...
-
では、いよいよiPhone構成ユーティリティでVoDの設定をしてみましょう。あ、 前の記事 での準備はきちんとやっておいてくださいね!
-
前回 は2つのワンタイムパスワードの生成方法について取り上げました。今回はいよいよ実際の生成アルゴリズムを取り上げましょう。TOTPをベースに説明します(ただ、前回も解説したように、基本的なロジックはTOTPとHOTPで同じです)。 参考としてpythonのコードも併記してみま...
-
現時点においてはマニュアルやHowToにも記載されていない(ChangeLogにちょっとだけ出てきます)あまり知られていない機能なのですが、「設定ファイルで鍵ファイルや証明書ファイルのパスを記載する」という通常の方法とは別に、「鍵ファイルや証明書ファイル内のデータをそのまま設定フ...
-
OpenVPNはLinuxをはじめとした幅広いプラットフォームで動作実績があるのが特徴の一つです。 今回は、最近の電子工作ブームでも話題のシングルボードPC 3機種をOpenVPNサーバーとしてセットアップし、OpenVPNのVPNパフォーマンスを測定してみましょう。 ...
-
前回 はワンタイムパスワードの基本的な仕組みについて説明しました。サーバー側とクライアント側で、それぞれ共通のルールに基づいてパスワードを生成させる必要があることを取り上げましたが、今回は OATH が規定しているその生成ルールについて具体的に説明します。 ワンタ...
-
OpenVPNを使用している方ならよくご存知だと思いますが、通常OpenVPNでは証明書認証を使用します。証明書認証はID/パスワード認証に比較すると安全性が高いとされます(もちろん、秘密鍵の管理方法に大きく依存します)が、証明書認証の概念を理解しにくいユーザーが秘密鍵や証明...
© yamata::memo 2013 . Powered by Bootstrap , WebLyb
0 件のコメント :
コメントを投稿