IPSJ SIG Technical Report IPsec-VPN SSL-VPN GSRA Group-based Secure Remote Access CPROXY GSRA CPROXY A proposal of a Remote Access Method that

Size: px

Start display at page:

Download "IPSJ SIG Technical Report IPsec-VPN SSL-VPN GSRA Group-based Secure Remote Access CPROXY GSRA CPROXY A proposal of a Remote Access Method that"

つねときみおか
5 years ago
Views:

1 IPSJ SIG Technical Report IPsec-VPN SSL-VPN GSRA Group-based Secure Remote Access CPROXY GSRA CPROXY A proposal of a Remote Access Method that Realizes Contentes-based Access Groups Kenkichi Miura, 1 Kenta Suzuki, 1 Hidekazu Suzuki 2 and Akira Watanabe 1 IPsec-VPN, SSL-VPN and GSRA(Group-based Secure Remote Access) are conventional technologies for remote access methods. However, they can not participate the contents of applications because they are network level technologies. In this paper, we propose a combination of GSRA and the contents control proxy server, in oder to realize group communication based on the contents of applications. 1 Graduate School of Science and Technology, Meijo University 2 Faculty of Science and Technology, Meijo University 1. Web VPN Virtual Private Network VPN VPN VPN VPN PPTP Point-to-Point Tunnering Protocol 1) L2TP Layer 2 Tunnering Protocol 2) IPsec Security Architecture for Internet Protocol 3) SSL Secure Socket Layer 4) GSRA Group-based Secure Remote Access 5)6) NAT GSRA NAT NAT GSRA GSRA NAT NAT IP / GSRA GSRA GSRA CPROXY GSRA CPROXY GSRA 1 c 2010 Information Processing Society of Japan

2 IPSJ SIG Technical Report CPROXY GSRA IPsec-VPN IPsec-VPN IPsec VPN IPsec-VPN IKE Internet Key Exchange 7) IPsec ESP Encapsulating Security Payload 8) IPsec IP ESP TCP/UDP NAT UDP NAT 9) IPsec NAT NAT SSL-VPN SSL-VPN SSL 4) VPN SSL-VPN DMZ DeMilitarized Zone SSL-VPN SSL-VPN 2 ( 1 ) WEB WEB PDA SSL WEB ( 2 ) OpenVPN 10) OpenVPN Ethernet PPTP PPTP LAN LAN PPTP PPP Point-to- Point Protocol 11) GRE Generic Routing Encapsulation 12) PPTP PPP GRE 4 NAT NAT NAT PPTP NAT PPTP MPPE Microsoft Point to Point Encryption 13) L2TP/IPsec L2TP PPTP L2F 14) PPTP IP L2TP IPsec GSRA GSRA Group-based Secure Remote Access 5)6) NAT-f NAT-free procotol 15) NAT-f NAT NAT NAT GSRA GSRA NAT NAT IP / GSRA TCP/UDP IP / GSRA PCCOM Practical Cipher Communication Protocol 16) PCCOM TCP/UDP NAT 2 c 2010 Information Processing Society of Japan

3 IPSJ SIG Technical Report GSRA NAT IP OpenVPN DHCP IP DNS IPsec-VPN IKEv2 7) IPsec CP Configration Payload PPTP L2TP/IPsec IPCP Internet Protocol Control Protocol) GSRA IP 3 GSRA Squid 17) WEB LAN 1 Squid WEB Node HTTP Request example.net/data1/ HTTP Response Squid (1) (2) HTTP Request HTTP Response 1 Squid Fig. 1 Access control by Squid /data1/ /data2/ Web Server example.net WEB 1 / (1) HTTP URL HTTP WEB (2) HTTP WEB HTTP / WEB Perl 18) PHP 19) JSP 20) Web SSL-VPN 1 SSO Single Sign-On 3 c 2010 Information Processing Society of Japan

4 IPSJ SIG Technical Report 3. GSRA GSRA 2 GSRA EN External Node IN Internal Node EN GSRA IN1 GSRA GSRA EN GSRA GK Group Key DDNS IN GSRA IP G GR EN IN1 ( 1 ) EN DDNS IN1 G GR EN DNS G GR IP V IN1 EN IN1 IP V IN1 IP GSRA IN IN GSRA IP IP NRT Name Relation Table IN1 IP V IN1 ( 2 ) EN V IN1 EN VAT Virtual Address Translation (3) (3) VAT PIT Process Information Table PIT / / (1) (6) EN(Group1) Application (2) VIN1 TCP PEN:s VIN1:d TCP P EN :s V IN1 :d IP:PEN Karnel ( 3 ) IP:PHR IP:GHR DNS Query Alice DNS Reply PEN:s GGR:t PEN,s,GGR,t Group Authentication Request Group1, Alice Group Authentication Response t TCP PEN:s GGR:t GHR:m GGR:t TCP TCP P EN :s G GR :t G HR :m G GR :t TCP Home Router GGR DDNS Server GSRA Router IN1(Group1) IP:GGR IP:PGR IP:PIN1 HN:Alice Binding Request G HR :m G GR :t PEN, s, GGR, t Binding Response G HR, m Mapping Request GHR, m, GGR, t Mapping Response proc 2 GSRA Fig. 2 GSRA sequence GK2 (3) (4) (5) TCP PGR:t PIN1:d TCP P GR :t P IN1 :d EN IN Alice Group1 GSRA GSRA EN IN GK GSRA t EN EN t VAT PIT ( 4 ) EN EN GSRA / G HR :m GSRA EN 4 c 2010 Information Processing Society of Japan

5 IPSJ SIG Technical Report EN P EN :s G GR :t GSRA GSRA / G HR:m EN GSRA NAT ( 5 ) EN (4) G HR:m (2) G GR :t GSRA GSRA PIT EN EN proc VAT PIT GSRA EN VAT 1 GSRA (2) 1 GSRA EN VAT Table 1 Mapping Table in GSRA router and VAT Table in EN GSRA { G EN : s G GR : t } { P GR : t P IN1 : d } VAT { G EN : s V IN1 : d } { G EN : s G GR : t } ( 6 ) EN IN1 EN VAT IP / PIT GSRA NAT / GSRA / IP / IN1 IN1 EN EN IN1 4. GSRA Squid 3 EN WEB EN IN HTTP CPROXY Squid 2 CPROXY Squid URL GSRA CPROXY GSRA IN CPROXY URL (1) (4) GSRA ( 5 ) EN G HR:m G GR :t GSRA GSRA CPROXY EN Group1 GSRA IP / P GR:t CPROXY (A) 3 URL GSRA IP / P GR:t CPROXY GSRA GSRA CPROXY GSRA EN EN proc VAT GSRA EN VAT 4 GSRA CPROXY 1 4 IP / IN1 P IN1:d CPROXY P XY:d GSRA (2) ( 6 ) 5 c 2010 Information Processing Society of Japan

6 IPSJ SIG Technical Report EN IN1 EN VAT IP / PIT GSRA NAT GSRA / IP / GSRA CPROXY CPROXY 3 (C) HTTP HTTP IP / URL (5) CPROXY HTTP IN1 IN1 EN EN IN1 2 CPROXY Table 2 Access Control Table in CPROXY name path Group status source alice /data1/* Group1,Group2 allow N/A alice /data2/* Group2 allow N/A * * disallow N/A 3 CPROXY Table 3 Access Control Table in CPROXY name path Group status source alice /data1/* Group1,Group2 allow P GR :t alice /data2/* Group2 allow N/A * * disallow N/A 4 VAT Table 4 GSRA Mapping Table and VAT Table { G EN : s G GR : t } { P GR : t P XY : d } VAT { G EN : s V IN1 : d } { G EN : s G GR : t } (1) (6) EN(Group1) Application (2) VIN1 TCP PEN:s VIN1:d HTTP Res PEN:s VIN1:d 5. IP:PEN /data1/ GK2 /data2/ GK2 Karnel Home Router DDNS Server GSRA Router CPROXY IN1 IP:PHR IP:GHR IP:GGR IP:PGR IP:PXY IP:PIN1 HN:alice DNS Query Alice (3),(4) HTTP Req P EN:s G GR:t HTTP Res PEN:s GGR:t DNS Reply GGR Mapping Request GHR, m, GGR, t Mapping Response proc HTTP Req G HR:m G GR:t HTTP Res GHR:m GGR:t (B) Notification Group1, PGR, t Response HTTP Req P GR:t P XY:d HTTP Res PGR:t PXY:d 3 Fig. 3 Sequence of the proposal method (A) (5) (C) HTTP Req PXY:s PIN1:d HTTP Res PXY:s PIN1:d 5 GSRA CPROXY IPsec-VPN L2TP/IPsec UDP NAT 9) CPROXY GSRA 6 c 2010 Information Processing Society of Japan

7 IPSJ SIG Technical Report 5 Table 5 Comparison of the existing system and suggestion system SSL-VPN リモートアクセス技術技術名称コンテンツ単位のアクセス制御箇所暗号方式トンネル通信 Webベース App 制限なし OpenVPN IPsec-VPN L2TP/IPsec PPTP コンテンツコンテンツコンテンツコンテンツコンテンツサーバサーバサーバサーバサーバ提案方式 (GSRA) CPROXY SSL SSL IPsec IPsec MPPE PCCOM 使用使用使用使用使用非使用 EN 〇導入負荷家庭内のホームルータ〇〇〇コンテンツサーバ〇サーバからのアドレス配布方法利可能なアプリケーションサービス単位のアクセス制御コンテンツサーバ台数増加時の管理負荷コンテンツ単位のアクセス制御の柔軟さコンテンツ制御機器〇〇〇〇〇不要 DHCP IPsec CP IPCP IPCP 不要 WEB IP IP 以外のプロトコル〇〇〇〇〇〇〇ログイン操作の回数学外から学内から Firewall CPROXY URL Web SSL-VPN SSO 1 2 GSRA CPROXY 1 CPROXY URL 6. GSRA Squid GSRA Squid 1) K.Hamzeh, G.Pall, W.Verthein, J.Taarud, W.Little and G.Zorn: Point-to-Point Tunneling Protocol (PPTP), RFC 2637, IETF (1999). 2) W.Townsley, A.Valencia, A.Rubens, G.Pall, G.Zorn and B.Palter: Layer Two Tunneling Protocol L2TP, RFC 2661, IETF (1999). 3) S.Kent and K.Seo: Security Architecture for the Internet Protocol, RFC 4301, IETF (2005). 4) T.Dierks and E.Rescorla: The Transport Layer Security (TLS) Protocol, RFC 5246, IETF (2008). 5) NAT Vol.51, No.9, pp.1 11 (2010). 6) NAT DICOMO2010 Vol.2010, No.1, pp (2010). 7) C.Kaufman, P.Hoffman, Y.Nir and P.Eronen: Internet Key Exchange Protocol Version 2 (IKEv2), RFC 5996, IETF (2010). 8) S.Kent: IP Encapsulating Security Payload (ESP), RFC 4303, IETF (2005). 9) A.Huttunen, B.Swander, V.Volpe, L.DiBurro and M.Stenberg: UDP Encapsulation of IPsec ESP Packets, RFC 3948, IETF (2005). 7 c 2010 Information Processing Society of Japan

8 IPSJ SIG Technical Report 10) OpenVPN: 11) W.Simpson: The Point-to-Point Protocol (PPP), RFC 1661, IETF (1994). 12) D.Farinacci, T.Li, S.Hanks, D.Meyer and P.Traina: Generic Routing Encapsulation (GRE), RFC 2784, IETF (2000). 13) G.Pall and G.Zorn: Microsoft Point-To-Point Encryption (MPPE) Protocol, RFC 3078, IETF (2001). 14) A.Valencia, M.Littlewood and T.Kola: Cisco Layer Two Forwarding (Protocol) L2F, RFC 2341, IETF (1998). 15) NAT NAT-f Vol.48, No.12, pp (2007). 16) NAT PCCOM Vol.47, No.7, pp (2006). 17) Squid: 18) Perl: 19) PHP PHP:Hypertext Preprocessor 20) JSP JavaServer Pages 8 c 2010 Information Processing Society of Japan

9 名城大学大学院理工学研究科三浦健吉, 鈴木健太, 鈴木秀和, 渡邊晃

10 大学の講義資料の電子化が進んでいる教材利用時の利便性が向上している一方で, 著作権への配慮等から, 科目履修者に対してのみ教材を配布したい大学でリモートアクセスシステムの導入が進んでいる自宅からでも教材配布サーバや e-learning システムにアクセスできるリモートアクセス時においても, 科目履修者のみに教材を配布したい 2

11 自宅からリモートアクセス技術を利用して教材コンテンツにアクセスするユーザをグループ単位で扱い, コンテンツごとにアクセス制御を実現するあるユーザグループはあるコンテンツにアクセスできるようにする 3

12 ユーザ数が多い ( 学生全員 ) ため, 管理が容易でなければならないコンテンツサーバは一般的な Web サーバを想定コンテンツサーバには手を加えない学科ごとにコンテンツサーバを保有学科ごとに管理者が異なるコンテンツサーバを改造するのは難しいユーザは自宅から教材にアクセスホーム NAT 配下から通信を開始 Client Home Router GW Web Server 4

13 リモートアクセス技術 IPsec-VPN SSL-VPN GSRA*(Group-based Secure Remote Access) コンテンツ単位のアクセス制御技術コンテンツサーバ側で実現する方法プロキシサーバによる方法上記 2 種類の技術を組み合わせる * 鈴木秀和, 渡邊晃 : 通信グループに基づくサービスの制御が可能な NAT 越えシステムの提案, 情報処理学会論文誌,2010 鈴木健太, 鈴木秀和, 渡邊晃 :NAT 越え技術を応用したリモートアクセス方式の提案と設計,DICOMO

14 リモートアクセス技術 IPsec-VPN SSL-VPN GSRA*(Group-based Secure Remote Access) コンテンツ単位のアクセス制御技術コンテンツサーバ側で実現する方法プロキシサーバによる方法上記 2 種類の技術を組み合わせる * 鈴木秀和, 渡邊晃 : 通信グループに基づくサービスの制御が可能な NAT 越えシステムの提案, 情報処理学会論文誌,2010 鈴木健太, 鈴木秀和, 渡邊晃 :NAT 越え技術を応用したリモートアクセス方式の提案と設計,DICOMO2010 6

15 IPsec のトンネルモードを利用任意のアプリケーションが利用できるメリットがある TCP/UDP ヘッダが暗号化範囲に含まれているため, ホーム NAT でアドレス変換されると, 偽装パケットとみなされ破棄されるパケットを UDP によりカプセル化して NAT 越えを実現する手法が存在するが, ヘッダの追加に伴なうオーバヘッドの増加や, ヘッダ部のセキュリティが低下する等の課題が生じるホーム NAT と相性が悪い端末ごとに設定が必要な項目が多く, 管理負荷が高い Client Home Router IPsec GW Server 1 7

16 クライアントが Web ブラウザの場合クライアントは一般的な Web ブラウザだけで良いアプリケーションの種類が Web に限定されるクライアントが専用ソフトの場合 (OpenVPN 等 ) 任意のアプリケーションが利用できる専用クライアントの導入が必要スループットが低い Client Home Router VPN Server Server 1 8

通信グループを定義し, グループごとでアクセス制御通信グループは,ACT(Access Control Table) に記述ホスト単位 (IP アドレス単位 ) サービス単位 ( ポート番号単位 ) ネットワークレベルで実装されているため, 任意のアプリケーションが利用できるスループットが高く, 管理負荷が低い Group: 1 EN(Client) GK2 GSRA Router 80

17 通信グループを定義し, グループごとでアクセス制御通信グループは,ACT(Access Control Table) に記述ホスト単位 (IP アドレス単位 ) サービス単位 ( ポート番号単位 ) ネットワークレベルで実装されているため, 任意のアプリケーションが利用できるスループットが高く, 管理負荷が低い Group: 1 EN(Client) GK2 GSRA Router Group: 1 Group: 2 Group: 2 IN1(alice) IP: P1 EN: External Node IN: Internal Node ACT Hostname IP Service Permit Group alice P1 80 allow 1 alice P1 20,21 allow 2 bob P2 * allow 2 Group: 2 IP: P2 IN2(bob) 9

18 名前解決処理 :DNS 応答内容 (G GR ) を仮想 IPアドレス (V IN ) に書き換え内部ノードを仮想アドレスで認識するグループ認証処理 : アクセスが許可されているかを利用して判断マッピング処理 :EN, ホームルータ,GSRAルータにテーブルを作成 Group:1 Alice と G GR の関係 IP:P EN EN( Client ) Application Kernel Home Router DNS Server GSRA Router IN( Alice ) IP:P HR IP:G HR IP:G GR IP:P GR IP:P IN Group:1 Alice =V IN P EN V IN 名前解決処理パケットを退避グループ認証処理マッピング処理 EN, ホームルータ,GSRA ルータにテーブルを作成 10

EN( Client ) Application Kernel Home Router GSRA Router IN( Alice ) IP:P HR IP:G HR IP:G GR IP:P GR IP:P IN Group:1

19 マッピング処理 :EN, ホームルータ,GSRAルータにテーブルを作成アドレス変換処理 : テーブルに従いアドレスを順次変換していく以上により, リモートアクセスを実現 EN VAT テーブル {P EN V IN } {P EN G GR } Home Router NAT テーブル {P EN G GR } {G HR G GR } GSRA Router GSRA マッピングテーブル {G HR G GR } {P GR P IN } Group:1 IP:P EN EN( Client ) Application Kernel Home Router GSRA Router IN( Alice ) IP:P HR IP:G HR IP:G GR IP:P GR IP:P IN Group:1 退避していたパケットを復帰 P EN G GR G HR G GR P GR P IN P EN V IN P EN G GR G HR G GR P GR P IN VAT(Virtual Address Translation): 仮想アドレス変換 11

20 リモートアクセス技術 IPsec-VPN SSL-VPN GSRA*(Group-based Secure Remote Access) コンテンツ単位のアクセス制御技術コンテンツサーバ側で実現する方法プロキシサーバによる方法上記 2 種類の技術を組み合わせる * 鈴木秀和, 渡邊晃 : 通信グループに基づくサービスの制御が可能な NAT 越えシステムの提案, 情報処理学会論文誌,2010 鈴木健太, 鈴木秀和, 渡邊晃 :NAT 越え技術を応用したリモートアクセス方式の提案と設計,DICOMO

21 コンテンツサーバに Perl/PHP/JSP などで記述されたプログラムを導入するログインしたユーザごとに, 異なるコンテンツを提示できるようにする例ログインユーザ A 履修科目である科目 A, 科目 B にのみアクセスできるログインユーザ B 履修科目である科目 A, 科目 C にのみにアクセスできる 13

プロキシサーバは HTTP 通信を中継できるコンテンツの場所を示す URL の情報によりアクセス制御を行う /data1/ /data2/ Client HTTP Request http://example.

22 プロキシサーバは HTTP 通信を中継できるコンテンツの場所を示す URL の情報によりアクセス制御を行う /data1/ /data2/ Client HTTP Request Proxy URL によりアクセス制御 HTTP Request Web Server example.net HTTP Response HTTP Response 14

23 SSL-VPN Web 限定 SSL-VPN アプリケーション制限なしコンテンツサーバ側で実現する方法プロキシによる方法 IPsec-VPN GSRA 提案システムでは,GSRA+ プロキシの組み合わせ要求定義としてコンテンツサーバには手を加えないため, プロキシによる方法を選択 GSRA は独自に開発した技術であるため, プロキシと組み合わせるように改造が可能 15

24 GSRA+ プロキシの組み合わせコンテンツ制御プロキシ (CPROXY) を導入する GSRA ルータと CPROXY が連携することにより, コンテンツ単位のリモートアクセス制御を実現 Group: 1 EN(Client) Home Router GK2 GK2 Group: 1 GSRA Router CPROXY IN1(Web Server) IN2(Web Server) /content1/ /content2/ Group: 2 /content1/ Group: 1 16

25 CPROXYはアクセス制御テーブルを保有 URLとコンテンツの対応関係とアクセス許可グループを関連付け CPROXYはグループ認証用の鍵を保有 Hostname Path Permit Group Source alice CPROXY GK2 アクセス制御テーブル /content1/* allow Group1 none /content2/* allow Group2 none 17

マッピング要求 G HR :m, G GR : t マッピング応答グループ認証通知 Group1, P GR : t グループ認証応答 GSRA Router GSRA マッピングテーブル {G HR G GR }

26 EN は HTTP 通信により,alice の /contents1/ を要求 CPROXY は GSRA ルータ内側のポート番号を記録 Group:1 IP:P EN Application EN Kernel Home Router GK2 GK2 GSRA Router CPROXY IN( Alice ) /content1/ /content2/ IP:G GR IP:P GR IP:P XY IP:P IN マッピング要求 G HR :m, G GR : t マッピング応答グループ認証通知 Group1, P GR : t グループ認証応答 GSRA Router GSRA マッピングテーブル {G HR G GR } {P GR P XY } Hostname Path Permit Group Source /content1/* allow Group1 P GR :t alice /content2/* allow Group2 none 18

Group:1 IP:P EN CPROXY は送信元を確認して, アクセスを許可するか判断

GR IP:P GR GSRA マッピングテーブルに従い変換 IP:P XY CPROXY GK2

/content2/ 待避していたパケットを復帰 G HR G GR P GR P XY P XY P IN P

マッピングテーブル {G HR G GR } {P GR P XY } Hostname Path Permit

27 Group:1 IP:P EN CPROXY は送信元を確認して, アクセスを許可するか判断 Application EN Kernel Home Router GK2 GSRA Router IP:G GR IP:P GR GSRA マッピングテーブルに従い変換 IP:P XY CPROXY GK2 送信元を確認してアクセス許可を確認 IN( Alice ) IP:P IN /content1/ /content2/ 待避していたパケットを復帰 G HR G GR P GR P XY P XY P IN P EN V IN G HR G GR P GR P XY P XY P IN GSRA Router GSRA マッピングテーブル {G HR G GR } {P GR P XY } Hostname Path Permit Group Source /content1/* allow Group1 P GR :t alice /content2/* allow Group2 none 19

28 通常のリモートアクセス機能 EN と GSRA ルータについては,FreeBSD のカーネル部分に実装済みであり, 動作確認性能評価についても完了している EN (Client) リモートアクセス機能 (Kernel に実装済み ) GSRA Router リモートアクセス機能 (Kernel に実装済み ) CPROXY (Squid を改造 ) コンテンツ単位のアクセス制御モジュールグループ認証通知送信モジュール (Kernel 内に実装中 ) グループ認証通知受信モジュール (RAW Socket で実装中 ) 20

29 提案システムを構成する部分について CPROXY は Squid を改造するグループ認証通知は ICMP パケットを使用するコンテンツ単位のアクセス制御モジュールは Squid のモジュールを活用 EN (Client) リモートアクセス機能 (Kernel に実装済み ) GSRA Router リモートアクセス機能 (Kernel に実装済み ) CPROXY (Squid を改造 ) コンテンツ単位のアクセス制御モジュールグループ認証通知送信モジュール (Kernel 内に実装中 ) グループ認証通知受信モジュール (RAW Socket で実装中 ) 21

提案システム :GSRA+CPROXY 既存システム : 一般的なリモートアクセス技術 +コンテンツサーバ側で実現する方法既存提案導入コスト〇管理コストアクセス制御の柔軟さ〇 * [ 既存 ] 学内のコンテンツサーバを入れ替える必要あり [ 提案 ] 学内のコンテンツサーバはそのまま利用できる [ 既存 ] GW

30 提案システム :GSRA+CPROXY 既存システム : 一般的なリモートアクセス技術 +コンテンツサーバ側で実現する方法既存提案導入コスト〇管理コストアクセス制御の柔軟さ〇 * [ 既存 ] 学内のコンテンツサーバを入れ替える必要あり [ 提案 ] 学内のコンテンツサーバはそのまま利用できる [ 既存 ] GW と学内の各コンテンツサーバで個別にユーザを管理する必要がある [ 提案 ] GW と CPROXY は一元的にユーザ管理が可能 [ 既存 ] 個別のコンテンツサーバでアクセス制御を作り込める [ 提案 ] CPROXY で一定レベルのアクセス制御が可能 * 科目コンテンツがディレクトリごとに分けられて設置されている場合は, URL による一定レベルのアクセス制御で十分対応可能 22

31 学内のコンテンツサーバに対するリモートアクセス時に, コンテンツサーバに手を加えずに, 一定レベルのアクセス制御を行う手法を提案した GSRA ルータと CPROXY が認証情報を共有することにより, コンテンツ単位のアクセス制御を実現する今後の作業提案方式の実装の完了 23

Vol.54 No (June 2013) GSRAv2 1,a) 1,b) 1,c) 1,d) , IPsec-VPN SSL-VPN OpenVPN PacketiX VPN GSRA Group-based Secure Remote

Vol.54 No (June 2013) GSRAv2 1,a) 1,b) 1,c) 1,d) , IPsec-VPN SSL-VPN OpenVPN PacketiX VPN GSRA Group-based Secure Remote GSRAv2 1,a) 1,b) 1,c) 1,d) 2012 9 21, 2013 3 1 IPsec-VPN SSL-VPN OpenVPN PacketiX VPN GSRA Group-based Secure Remote Access NAT GSRA GSRA NAT GSRAv2 GSRAv2 NAT VPN Proposal and Evaluation of GSRAv2 that