仮想プライベート ネットワーク (VPN) は、プライベート ネットワーク、またはインターネットなどのパブリック ネットワーク上で確立されるポイント ツー ポイント接続です。VPN クライアントは、トンネリング プロトコルと呼ばれる特殊な TCP/IP ベースのプロトコルを使用します。このプロトコルは、2 台のコンピューター間でデータを送受信できるようにセキュリティで保護されたチャネルを確立します。接続に参加している 2 台のコンピューターからは、2 台の間に専用のポイント ツー ポイント リンクがあるように見えますが、実際にはデータは他のパケットと同様にインターネット経由でルーティングされています。通常の VPN 展開では、クライアントがインターネットを介したリモート アクセス サーバーへの仮想ポイント ツー ポイント接続を開始します。リモート アクセス サーバーはこの呼び出しに応答し、呼び出し元を認証し、VPN クライアントと企業のプライベート ネットワークとの間でデータを転送します。
ポイント ツー ポイント リンクをエミュレートするには、ヘッダーを付けてデータをカプセル化 (ラップ) します。ヘッダーは、データが共有またはパブリック ネットワークを経由してデータのエンドポイントに到達するためのルーティング情報を提供します。プライベート リンクをエミュレートするには、送信するデータを暗号化して、機密性を確保します。このバージョンの Windows でサポートされているトンネリング プロトコルの詳細については、
インストール要件については、「VPN サーバーとして RRAS をインストールするための要件」を参照してください。
VPN 接続
VPN 接続には、次の 2 種類があります。
リモート アクセス VPN
リモート アクセス VPN 接続を使用すると、自宅や外出先で作業をするユーザーは、インターネットなどのパブリック ネットワークが提供するインフラストラクチャを使用して、プライベート ネットワーク上のサーバーにアクセスできます。ユーザーから見た場合、VPN はクライアント コンピューターと組織のサーバー間のポイント ツー ポイント接続です。共有またはパブリック ネットワークのインフラストラクチャは、論理上データが専用のプライベート リンク上を送信されているかのように扱われるため、問題になりません。
サイト間 VPN
サイト間 VPN 接続 (ルーター間 VPN 接続とも呼ばれます) を使用すると、組織は、セキュリティで保護された通信を確保しながら、パブリック ネットワークを介して個々のオフィス間または他の組織とのルーティング接続を実現できます。次の図のように、ネットワークがインターネットを介して接続されると、VPN 対応ルーターが VPN 接続を介してパケットを別の VPN 対応ルーターに転送します。この 2 つのルーターにとって、VPN 接続はデータ リンク層のリンクとして機能します。
サイト間 VPN 接続は、2 つのプライベート ネットワークを接続します。VPN サーバーは、VPN サーバーが接続されているネットワークに、ルーティング接続を提供します。呼び出し元ルーターが、応答ルーターに対して自身の認証を行います。さらに、相互認証の場合は、応答ルーターが呼び出し元ルーターに対して自身の認証を行います。サイト間 VPN 接続において、いずれかのルーターから VPN 接続を介して送信されたパケットは、通常はルーター自体から送られたものではありません。
インターネットを介して 2 つのリモート サイトを接続する VPN
VPN 接続のプロパティ
- カプセル化。プライベート データは、データが通過ネットワークを通過するためのルーティング情報を含むヘッダーを付けてカプセル化されます。カプセル化の例については、
VPN トンネリング プロトコルに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=140602) を参照してください。 - 認証。VPN 接続の認証には、3 種類あります。
- Point-to-Point プロトコル (PPP) 認証を使用したユーザー レベルの認証。VPN 接続を確立するために、VPN サーバーが PPP によるユーザー レベルの認証方法を使用して、接続を試行している VPN クライアントを認証し、この VPN クライアントに適切な権限があることを確認します。相互認証を使用する場合は、VPN クライアントも VPN サーバーを認証します。これにより、VPN サーバーを偽装するコンピューターから保護できます。
- インターネット キー交換 (IKE) を使用したコンピューター レベルの認証。インターネット プロトコル セキュリティ (IPsec) のセキュリティ アソシエーションを確立するために、VPN クライアントと VPN サーバーが IKE プロトコルを使用して、コンピューターの証明書または事前共有キーを交換します。いずれの場合も、VPN クライアントとサーバーが、コンピューター レベルで互いを認証します。より強力な認証方法である、コンピューターの証明書による認証方法の使用を強くお勧めします。コンピューター レベルの認証は、レイヤー 2 トンネリング プロトコル (L2TP)/IPsec 接続または IKE バージョン 2 接続で使用されます。
- データ送信元の認証およびデータの整合性。VPN 接続上で送信されているデータが、接続の相手側システムから送信されていること、また転送中に変更されていないことを確認するため、送信側と受信側しか知らない暗号化キーを基にした暗号化チェックサムをデータに含めます。データ送信元の認証およびデータの整合性は、L2TP/IPsec 接続および IKE バージョン 2 接続で利用できます。
- Point-to-Point プロトコル (PPP) 認証を使用したユーザー レベルの認証。VPN 接続を確立するために、VPN サーバーが PPP によるユーザー レベルの認証方法を使用して、接続を試行している VPN クライアントを認証し、この VPN クライアントに適切な権限があることを確認します。相互認証を使用する場合は、VPN クライアントも VPN サーバーを認証します。これにより、VPN サーバーを偽装するコンピューターから保護できます。
- データの暗号化。共有またはパブリック通過ネットワークを通過中のデータの機密性を確保するため、データは送信側で暗号化され、受信側で暗号化解除されます。暗号化と暗号化解除のプロセスは、共通の暗号化キーを使用して送信側と受信側の両方で処理されます。
通過ネットワーク内を VPN 接続を介して送信されるパケットが傍受されても、共通の暗号化キーを持たない第三者がこのパケットの情報を読み取ることはできません。暗号化キーの長さは、重要なセキュリティ パラメーターです。計算的な手法を使用して、暗号化キーを決めることもできます。ただし、このような手法の場合、暗号化キーが長くなるにつれて、より強力なコンピューター処理能力とより多くの処理時間が必要になります。このため、キーの長さを可能な範囲で長くして、データの機密性を確保することが重要です。