OpenVPNによる安全なリモートアクセス環境の構築

Similar documents
1. NIC IP 2. VMware Server NAT 3. OS OS CentOS 5.3 NAT NAT /8 eth /8 4. NAT

に対し, プライベート IP が使用されている. 表 1 にプライベート IP アドレス範囲を示す. 表 1 プライベート IP アドレス範囲クラスアドレス範囲クラス A クラス B クラス C 19

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Yoshida Shin (yy y ja jp) sakai dictoss( ) Debian Trivia Quiz

Microsoft Word - ssVPN MacOS クライアントマニュアル_120版.doc

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

HULFT の通信をよりセキュアに HULFT と SSH Tectia を組み合わせたセキュアで強力なファイル転送 Compatibility Note 2008 年 9 月 株式会社セゾン情報システムズの企業内 企業間通信ミドルウェアである HULFT は ファイル転送のアプリケーションとして

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

Microsoft Word - SSL-VPN接続サービスの使い方

TS-109にOpenVPNを建ててAndroidから繋げるようにした

クラウド接続 「Windows Azure」との接続

改定履歴 Version リリース日改訂内容 年 5 月 1 日 OS バージョンアップに伴い 以下の項目の手順 画像を修正しました 3 スマートフォン (Android 6.0) の設定例 を 3 スマートフォン (Android ) の設定例 に修正しました 4

ssh

インターネットVPN_IPoE_IPv6_fqdn

Maser - User Operation Manual

OpenVPN接続マニュアル

ServerView RAID Manager VMware vSphere ESXi 6 インストールガイド

Fujitsu Standard Tool

SFTPサーバー作成ガイド

認証連携設定例 連携機器 BUFFALO FS-M1266 Case IEEE802.1X EAP-TLS/EAP-PEAP Rev2.0 株式会社ソリトンシステムズ

2. 機能 ( 標準サポートプロトコル ) SECURITY for Biz 対応スマートフォンでは標準で対応している VPN プロトコルがあります 本章では NTT ドコモで動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-t

リモートアクセス Smart Device VPN ユーザマニュアル [ マネージドイントラネット Smart Device VPN 利用者さま向け ] 2015 年 10 月 20 日 Version 1.6 bit- drive Version 1.6 リモートアクセス S

汎用プロキシ利用案内 汎用プロキシ利用案内 目次 汎用プロキシ利用案内 はじめに 汎用プロキシとは 利用可能なポート 概要 動作環境 インストール Windows <I

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

IPSEC(Si-RG)

拠点間 VPN オプション設定手手順書 お客客様環境お客様様宅環境のネットワーク構成を下図図に記入しておきます 接続方法 ( )PPPoE ( )Static ( )DHCP IP アドレス ( グローバル )... 接続の詳細情情報ユーーザ ID パスワード 接続の詳細情情報 IP アドレスネット

TeamViewer マニュアル – Wake-on-LAN

Webセキュリティサービス

Mobile Access IPSec VPN設定ガイド

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

Microsoft Word - クライアントのインストールと接続設定

2. 機能 ( 標準サポートプロトコル ) NTT ドコモの Android スマートフォン / タブレットでは標準で対応している VPN プロトコルがあります 本章では 動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-to-

ServerView RAID Manager VMware vSphere ESXi 5 インストールガイド

2. FileZilla のインストール 2.1. ダウンロード 次の URL に接続し 最新版の FileZilla をダウンロードします URL: なお バージョンが異なるとファイル名が

認証連携設定例 連携機器 BUFFALO WAPM-2133TR/WAPM-1266R/ WAPM-1266WDPR/WAPS-1266 Case IEEE802.1X EAP-TLS/EAP-PEAP Rev2.0 株式会社ソリトンシステムズ

Windows PowerShell 用スクリプト形式編 改版履歴 版数 日付 内容 担当 V /4/1 初版 NII V /2/26 動作環境の変更に伴う修正 NII V /8/21 タイムスタンプ利用手順の追加 NII 目次 1. コード署名用証明

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

リモートアクセス Smart Device VPN ユーザマニュアル [ マネージドイントラネット Smart Device VPN 利用者さま向け ] 2013 年 11 月 15 日 Version 1.4 bit- drive Version 1.4 リモートアクセス S

証明書(Certificates)

次 概要... 3 (1) SSL-VPN 接続ソフトを... 3 (2) SSL-VPN 接続ソフトのインストール... 4 (3) SSL-VPN 接続ソフトの設定... 7 (4) 接続ソフトの使 法... 9 (5) 接続トラブル発 時の対応 改訂履歴... 13

VPNを利用したオンライン届出接続条件について(詳細)

zabbix エージェント インストールマニュアル [Windows Server] 第 1.2 版 2018 年 05 月 18 日 青い森クラウドベース株式会社

2

IPSEC(Si-RGX)

SMB スイッチ CLI に SSH を使用してアクセスするか、または Telnet で接続して下さい

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製無線アクセスポイント WAB-M2133 の IEEE802.1X EAP-TLS/EAP-PEAP(MS-CHAP V2) 環境での接続について 設定例を示したものです 設定例

How to Install and Configure Panorama Panorama のインストールと設定 Panorama は Palo Alto Networks のサポートサイトからダウンロード可能な VMware イメージです 本書は Panorama のインストールと Panora

Windows PC VPN ユーザー向け手順書 SoftEther VPN (SSL-VPN) を用いた筑波大学 VPN サービスへの接続方法 学術情報メディアセンター VPN ユーザーマニュアルから Windows PC 向けの情報だけを詳細に説明した設定手順書を作成いたしましたのでご利用くださ

VPNマニュアル

Cisco1812-J販促ツール 競合比較資料 (作成イメージ)

Si-R/Si-R brin シリーズ設定例

本製品に接続された端末の IPv6 情報が表示されます 端末に割り当てられた IPv6 アドレス IPv6 アドレスを取得した端末の MAC アドレスが確認できます 注意 : 本ページに情報が表示されるのは本製品が 上位から IPv6 アドレスを取得した場合のみとなります DDNSサービス :DDN

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

ServerView RAID Manager VMware vSphere ESXi 5 インストールガイド

はじめに IRASⅡ(IPsec Remote Access ServiceⅡ) は インターネット暗号化技術により お客様ネットワークにセキュアなリモ-トアクセス環境を提供いたします IRASⅡハードウェアクライアントでは Cisco Systems の IOS ルータ機能を利用します 本マニュア

_mokuji_2nd.indd

証明書ダウンロードシステム操作手順書 (ios) 第 1.15 版 証明書ダウンロードシステム 操作手順書 (ios) Ver1.15 セキュアネットワークサービス 2018 年 10 月 29 日 セキュアネットワークサービス 1 DLS-SNT-IOS-V1.15

Net'Attest EPS設定例

PowerPoint プレゼンテーション

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製 L2 スイッチ EHB-SG2B シリーズおよび EHB-SG2B-PL シリーズの IEEE802.1X EAP-TLS/EAP-TLS+ ダイナミック VLAN 環境での接

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

NetAttest EPS設定例


Rhino6 for Windows ラボラトリーライセンスインストールガイド 株式会社アプリクラフト

本仕様はプロダクトバージョン Ver 以降に準じています

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

クラウドメール移行に伴うメーラーの設定方法設定変更の内容 :SMTP 及び POP 受信ポートの変更 & 送信セキュリティの暗号化接続 Live メールの設定方法 1. 画面上部の アカウント を選択後 直下に表示される プロパティ を選択すると 以下の画面 ( 図 1) が表示されます 図 1 2

メールデータ移行手順

Microsoft PowerPoint - Amazon VPCとのVPN接続.pptx

適応型セキュリティ アプライ アンスの設定

認証連携設定例 連携機器 アイ オー データ機器 BSH-GM シリーズ /BSH-GP08 Case IEEE802.1X EAP-PEAP(MS-CHAP V2)/EAP-TLS Rev2.0 株式会社ソリトンシステムズ

Web 認証拡張機能簡易ドキュメント

PowerPoint Presentation

ファイルサーバ ご利用の手引き 第 1.0 版 2008 年 2 月 14 日 近畿大学総合情報システム部 (KUDOS)

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

2. インストール完了画面の 開く をタップするか ホーム画面 AnyConnect のアイコン をタップし アプリケーションを起動してください or 3. OK をタップし 順に従い 接続 をタップしてください AnyConnect は デバイスに関する情報 (IMEI など ) にアクセスする必

VPN 接続の設定

以 前 の 環 境 1.ハードウェア 構 成 新 機 器 導 入 前 の 構 成 を 示 す No 機 器 CPU メモリ ハードディスク 用 途 1 ノートPC 01 Pentium M 1.60 GHz 2 GB 60 GB 普 段 使 い 用 (ネット 動 画 再 生 等 ) 2 PC A P

リバースプロキシー (シングル構成) 構築手順

C02.pdf

Transcription:

OpenVPN による安全なリモートアクセス環境の構築 宮崎大学工学部教育研究支援技術センター 森圭史朗 1. はじめに 近年 不正アクセスによるアカウント ID や個人情報の流出など社会的信用を失うようなセキュリティインシデントが増加傾向にある このようなセキュリティインシデントを未然に防止するため 昨年から 5 年計画で学内ネットワークに接続する全ての機器を監査するセキュリティ監査が行われることとなった このセキュリティ監査に伴い 支援先にあるサーバやワークステーションのセキュリティ設定見直しを順次行っている 支援先のサーバやワークステーションには リモートアクセスを可能とするために OpenSSH が導入されているが OpenSSH は 不正アクセスを受け易く 設定ミスや脆弱性が原因で外部から不正にサーバを利用されてしまうことが多い そこで 外部ネットワークからのリモートアクセスをより安全に使用するため OpenVPN を利用した VPN ネットワークを導入することにした 本報では 支援先にこれまでの利便性を保ちつつ より安全なリモートアクセス環境を提供するために導入した OpenVPN による VPN ネットワーク環境を構築したことについて報告する キーワード :FreeBSD,OpenVPN,BRIDGE,TAP,IPNAT,IPFW 2. VPN の仕組み 2.1 VPN について VPN(Virtual Private Network) とは 外部から閉ざされた仮想的なネットワーク回線のことである VPN は サーバとクライアント (WindowsOS 等 ) 間に OpenSSL の暗号化アルゴリズムやハッシュアルゴリズムを用いて暗号化された回線により接続し 第 3 者に通信内容を盗まれることのないようにする仕組みである VPN には ルーティング機能を持ったネットワークセグメント間を接続する拠点間接続 ( 図 1) と複数のクライアント端末から VPN サーバに接続するリモートアクセス ( 図 2) を行う方法がある 図 1 拠点間接続 図 2 リモートアクセス 2.2 OpenSSL について OpenSSL とは 様々な暗号化アルゴリズム (3DES AES 等 ) やハッシュアルゴリズム (MD5 SHA-1 等 ) を提供するオープンソースソフトウェアである リモートアクセスを行う際に使用する OpenSSH や 個人情報入力やパスワード認証を必要とするサイトで利用される HTTPS(Hypertext Transfer Protocol Secure) 等の多くは この OpenSSL ライブラリを用いて通信内容が暗号化されている 3. 構築した VPN ネットワーク環境 構築した VPN ネットワークの概要を図 3 に示す

図 3 構築した VPN ネットワーク VPN サーバは学内ネットワークに設置し VPN クライアントは外部にある任意のネットワーク上にある まず VPN クライアントは インターネット上を通じて学内にある VPN サーバの 1194udp ポートへアクセスを行う VPN サーバとクライアント間では 暗号化された OpenSSL の RSA 証明書を通じて互いの 1194udp ポートを使用した認証が開始される RSA 証明書による認証において通信の許可が得られると VPN サーバはクライアントに対し 仮想ネットワークデバイス TAP の IP アドレスや DNS サーバ等のネットワーク接続情報を送信する VPN クライアントがこの接続情報を受信すると VPN クライアントの TAP デバイスネットワークは有効となり VPN サーバ内のプライベートネットワーク上に存在できるようになる TAP デバイスが有効となった VPN クライアントは VPN サーバからアクセスしているような状態となり サーバの BRIDGE+NAPT を介して学内制限のかかったサーバやワークステーションに対してアクセスが可能となる 4. VPN ソフトウェアの選定 VPN ソフトウェアは 図 1 の LAN 間接続タイプと図 2 のリモートアクセスタイプの 2 つに分けられる この 2 つのタイプに対応する VPN ソフトウェアは数多くが存在するが その中でもクライアント側への導入が容易であり 導入コストのかからないソフトウェアを 3 つ選定し表 1 に比較検討した この 3 つのソフトウェアについて比較検討を行った結果 通信内容の暗号化による安全性とソフトウェア導入が容易である点から OpenVPN を導入することにした 導入の際に必要なソフトウェア対応 OS ( サーバ側 ) 対応 OS ( クライアント側 ) 使用する IP プロトコル及びポート番号暗号化アルゴリズムが AES に対応ハッシュアルゴリズムが SHA-1 に対応 表 1 VPN ソフトウェアの比較 OpenVPN PPTP L2TP(L2TP/IPSec) OpenVPN Poptop IPsec-Tools OpenSSL PPP( 標準実装 ) PPP( 標準実装 ) LZO OpenSSL Linux FreeBSD Linux FreeBSD Linux FreeBSD MacOS Windows MacOS Windows MacOS Windows ソフトウェアのインスト 標準実装及びオプション 標準実装及びオプションールが別途必要パッケージパッケージ 1194/udp GRE ESP 500/udp ( ポート番号の変更可 ) 1723/tcp 1701/udp 4500/udp MPPE-128 (Windows7 の場合 3DES) - ( 設定項目なし )

5. OpenVPN を用いた VPN 環境の構築 5.1 VPN サーバの構築 VPN サーバの OS には FreeBSD-8.3 を用いた FreeBSD-8.3 を導入後 カーネルの再構築を行う カーネ ル再構築のための設定ファイルは 32bitOS と 64bitOS では 異なる場所にある 32bitOS の場合は /usr/src/ sys/i386/conf 64bitOS の場合は /usr/src/sys/amd64/conf ディレクトリ ( フォルダ ) 内にある BRIDGE+TAP+ IPNAT+IPFW を構築する際は 該当する設定ファイルに以下を追加し コンパイルとインストールを行う options IPFILTER IPNAT 有効 options IPFIREWALL IPFW 有効 device tap 仮想ネットワークインターフェイス TAP デバイス有効 device if_bridge ブリッジ有効 カーネルの再構築後 暗号化アルゴリズム OpenSSL 通信データの転送効率を高めるための圧縮アルゴリズム LZO VPN ソフトウェアである OpenVPN の順にそれぞれ配布元サイトからソースコードをダウンロードし コンパイルとインストールを行う OpenVPN の場合は 先にインストールした LZO と OpenSSL を利用するため コンパイル時には LDFLAGS と CPPFLAGS を追加する # tar xvf openvpn-2.3.4.tar.gz # cd openvpn-2.3.4/ #./configure LDFLAGS="-L/usr/local/ssl/lib -L/usr/local/lib" CPPFLAGS="-I/usr/local/ssl/include -I/usr/local/include" # make install LZO は /usr/local OpenSSL は /usr/local/ssl 以下にインストールされている サーバ及びクライアント用設定ファイルのサンプルは openvpn-2.3.4/sample ディレクトリ内にある /usr/local/etc 内に openvpn ディレクトリを作成し その中に server.conf ファイルを作成する 但し ios の OpenVPN ソフトウェアでは TAP デバイスが利用できない 従って ios の場合は サーバ側設定ファイル server.conf を TUN デバイスで使用するように変更する必要がある 以下に作成した server.conf ファイルの内 容を示す port 1194 サーバ側ポート番号に 1194 を使用 proto udp UDP プロトコル使用 dev tap0 VPN 用仮想ネットワークデバイスに tap0 を指定 ifconfig 192.168.202.1 255.255.255.0 tap0 デバイスに IP 付与 TAP 使用時 server-bridge 192.168.202.1 255.255.255.0 192.168.202.101 192.168.202.130 クライアントの IP を 192.168.202.101~192.168.202.130 の範囲で割当て dev tun0 VPN 用仮想ネットワークデバイスを tun0 を指定 server 192.168.202.144 255.255.255.240 クライアントに IP 割り当て TUN 使用時 ( 割り当てられる IP は 192.168.202.150 192.168.202.154 192.168.202.158) inactive 3600 1 時間ごとに再認証 push "inactive 3600" クライアントにも設定 ca /usr/local/etc/openvpn/easy-rsa/2.0/keys/ca.crt cert /usr/local/etc/openvpn/ easy-rsa/2.0/keys/server.crt RSA 証明書 key /usr/local/etc/openvpn/ easy-rsa/2.0/keys/server.key dh /usr/local/etc/openvpn/ easy-rsa/2.0/keys/dh2048.pem push "dhcp-option 133.54.x.x" クライアントの DNS サーバ設定 push "redirect-gateway def1" クライアントの通信は 全てサーバ経由 cipher AES-256-CBC 暗号化アルゴリズム指定

tls-auth /usr/local/etc/openvpn/easy-rsa/2.0/keys/ta.key 0 TLS 有効 ( サーバは "0" クライアントは "1") comp-lzo 圧縮アルゴリズム使用 keepalive 10 120 ping 10 ping-restart 120 push "ping 10" push "ping-restart 120" と同様 chroot "/usr/local/etc/openvpn" プロセスのディレクトリアクセス制限 user nobody group nobody 管理者権限以外を使用してサーバ OS の安全性強化 persist-key persist-tun status /var/log/openvpn-status.log log-append /var/log/openvpn.log ログ出力関連の設定 verb 3 mute 20 通信の暗号化及び認証のための RSA 証明書を作成する 通常は OpenSSL のコマンドによって作成するが 旧バージョンの openvpn-2.2.2/easy-rsa ディレクトリ内にある証明書作成スクリプトを利用すると簡単に作成 できる easy-rsa には Windows 用と Unix 用の作成スクリプトがあるが ここでは Unix 用の 2.0 を利用し た場合を示す この RSA 証明書作成スクリプトを実行する前に設定ファイル vars の修正を行う必要がある export OPENSSL="openssl" export OPENSSL="/usr/local/ssl/bin/openssl" export KEY_SIZE=1024 export KEY_SIZE=2048 export KEY_COUNTRY="US" export KEY_COUNTRY="JP" export KEY_PROVINCE="CA" export KEY_PROVINCE="MIYAZAKI" export KEY_CITY="SanFrancisco" export KEY_CITY="miyazaki" export KEY_ORG="Fort-Funston" export KEY_ORG="University of Miyazaki" export KEY_EMAIL=me@myhost.mydomain export KEY_EMAIL="" RSA 証明書作成スクリプトは bash シェルで作成されているため 先に bash のインストールする bash シ ェルをインストールした場合は 各証明書作成スクリプトにある実行シェルのパスを以下のように変更する #!/bin/bash #!/usr/local/bin/bash 以下のコマンドを順番に実行し OpenVPN 用の RSA 証明書作成を行う (RSA 証明書作成時の詳細は省略 ) # /usr/local/bin/bash bash シェルを使用 #../vars RSA 証明書作成用シェル環境の読み込み #./clean-all./keys ディレクトリ以下のファイル削除 ( 初期化 ) #./build-ca SSL 認証局作成 #./build-key-server server 認証局秘密鍵作成 #./build-dh 暗号鍵作成 #./build-key-pass client パスワード認証付きクライアント証明書及び秘密鍵作成 # /usr/local/sbin/openvpn --genkey --secret./keys/ta.key TLS 鍵作成 サーバ起動時に BRIDGE+TAP+IPNAT+IPFW を有効にするため rc.conf sysctl.conf ipnat.rules rc.firewall ファイルに以下を追加する LAN のネットワークインターフェイスは em0 を使用した例である /etc/rc.conf( ブリッジの作成 ) cloned_interfaces="bridge0 tap0" ifconfig_bridge0="up" ifconfig_tap0="up" autobridge_interfaces="bridge0" autobridge_bridge0="em0 tap0"

ipnat_enable="yes" ipnat_flags="-cf" /etc/sysctl.conf(ipfw のブリッジ許可 ) net.link.bridge.ipfw=1 /etc/ipnat.rules(tap デバイスの IP アドレスを VPN サーバの IP アドレスへ変換 ) map em0 192.168.202.0/24 -> 0/32 portmap tcp/udp auto mssclamp 1460 map em0 192.168.202.0/24 -> 0/32 mssclamp 1460 /etc/rc.firewall(openvpn と TAP デバイス間の通信許可 ) ipfw add allow udp from any to me 1194 keep-state via em0 ipfw add allow udp from me 1194 to any out keep-state via em0 ipfw add allow log ip from 192.168.202.0/24 to any via tap0 最後に FreeBSD 用のサーバ起動スクリプトがないため 以下にあるサービスを起動させるスクリプトファ イルを /usr/local/etc/rc.d/ に作成する /usr/local/sbin/openvpn --writepid /var/run/openvpn.pid --config /usr/local/etc/openvpn/openvpn.conf 5.2 VPN クライアントの構築サーバ側でクライアント用の RSA 証明書を作成する 複数のクライアント証明書を作成する場合は 先ほどの RSA 証明書作成スクリプト easy-rsa/2.0 において build-key-pass を実行し クライアントごとに作成する # /usr/local/bin/bash #../vars #./build-key-pass client client の部分は クライアントごとに異なる名称にする OpenVPN 用のクライアントソフトウェアは 配布元である http://swupdate.openvpn.org/community/releases よ りクライアント OS と一致するものをダウンロードし インストールする インストール後 クライアント設 定ファイルは RSA 証明書 (ca cert key tls-auth) を含めたファイルを作成する 設定ファイルを作成後 インストール先の conf フォルダ内にコピーし 拡張子は.ovpn とする ios の場合は メールに添付して 送信してメールソフトから添付ファイルを開くか itunes の同期を利用して VPN クライアントソフトにイン ポートする client クライアントとして起動 port 1194 proto udp dev tap0(tun の場合は tun0) remote 133.54.x.x 1194 接続先 VPN サーバの IP アドレスとポート番号 tun-mtu 1392 ios 使用時の MTU 設定 mssfix 1352 ios 使用時の MSS 設定 cipher AES-256-CBC nobind ローカルポート (udp 1194) を開かない comp-lzo key-direction 1 <ca> 行以降にあるキーダイレクションを使用 <ca> -----BEGIN CERTIFICATE----- MIIEUTCCAzmgAwIBAgIJAM6TtzarGhkRMA0GCSqGSIb3DQEBBQUAMHg ( 以下省略 ) -----END CERTIFICATE----- </ca> <cert>

-----BEGIN CERTIFICATE----- MIIEuDCCA6CgAwIBAgIBBjANBgkqhkiG9w0BAQUFADB4MQswCQYDV ( 以下省略 ) -----END CERTIFICATE----- </cert> <key> -----BEGIN ENCRYPTED PRIVATE KEY----- MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQIzRkfJ56RU ( 以下省略 ) -----END ENCRYPTED PRIVATE KEY----- </key> <tls-auth> -----BEGIN OpenVPN Static key V1----- e0639a43e0543e11e6304bbe78763323a855636140fc26ce96039daf4b11d59b8422 ( 以下省略 ) -----END OpenVPN Static key V1----- </tls-auth> 6. 動作確認及びスループット速度の計測 表 2 にある VPN サーバと VPN クライアントを用いて 動作確認とスループット速度の計測を行った 表 2 動作確認及びスループット測定に用いたハードウェア VPN サーバ VPN クライアント1 VPN クライアント2 CPU Pentium4 3.06GHz CPU Core-i5 3GHz ハードウェア構成 Memory DDR-266 1GB Memory DDR3-1333 4GB HDD 7,200rpm UDMA100 HDD 7,200rpm SATA3.0 iphone5 LAN Intel PRO/1000 LAN Realtek Giga OS FreeBSD-8.3 Windows7 ios7.0.6 6.1 動作確認 VPN クライアントソフトウェアである OpenVPN GUI を起動し タスクバーに OpenVPN のアイコンを表示させる ( 図 4) このタスクバーのアイコンを実行して RSA 証明書の認証に成功すると タスクバーアイコンは VPN 接続済み ( 図 5) となり サーバからクライアントへネットワーク接続情報が送信される ( 図 6) ネットワーク接続情報を受信後 VPN 通信が開始され VPN クライアントから学内ホストへアクセスする全ての通信は VPN サーバからアクセスしているような状態となる ( 図 7) 図 8 は ios7 の OpenVPN クライアントソフトを用いて VPN 接続したものである 図 4 VPN 未接続 図 5 VPN 接続済み 図 6 VPN 認証ログ 図 7 VPN 接続後の TAP の情報 図 8 ios7 による VPN 接続

図 9 と図 10 は VPN クライアントが VPN サーバに接続後 学内ホストに対し telnet でリモートアクセス した際の通信内容を tcpdump によりテキスト化したものである VPN サーバと VPN クライアントの間では 通信内容が暗号化されていることがわかる 図 9 学内ホストと VPN サーバ間の通信内容 図 10 VPN サーバと VPN クライアント間の通信内容 6.2 スループット速度の計測 表 3 は OpenVPN によるスループット速度の影響を調査した結果である この結果は 表 2 のサーバ及び クライアントを用いて 学内ホストにある 200MB のファイルを各 5 回ずつ速度計測し平均したものである 表 3 スループット速度の計測 OpenVPN 無し OpenVPN FTP SFTP FTP SFTP Windows7 772.17Mbps 122.33Mbps 63.04Mbps 56.35Mbps VPN サーバ 151.73Mbps 102.08Mbps - - ios7 LTE 回線 - 13.07Mbps - 7.92Mbps OpenVPN による通信は OpenVPN 無しに比べてスループット速度が低下している これは VPN サーバ のハードウェア性能不足と VPN サーバ及びクライアントにおける通信内容の暗号化及び復号化処理に負荷が かかってしまうことが原因であると考えられる 7. まとめ OpenVPN を導入したことにより OpenSSH にはない TLS 鍵の利用が可能となる他 安全性の高い暗号化アルゴリズム及びハッシュアルゴリズムの選択にも幅が広がり これまでよりも安全なリモートアクセス環境を支援先に提供することができた また サーバを管理する側にとっても 外部ネットワークからの ssh ポートに対するアクセスをファイアーウォールで閉じてしまうことが可能となるため 頻繁に行われる不正アクセスによる大量のサーバログがなくなり ログ管理の負担も大幅に軽減された 表 3 のスループット速度計測結果より OpenVPN 接続時のスループット速度は サーバのハードウェア性能と通信内容の暗号化処理によって低下しているが 1Mbps 以上のスループット速度を確保できているため リモートアクセス環境において速度低下の影響はないものと考えられる