VPNでネットワーク暗號化を使用する方法について簡単に説明します

文章はすべて切り返しである

アナリストとして、ネットワーク暗號化、暗號化の転送、または仮想プライベートネットワークのセキュリティに関する質(zhì)問が増えています。TJマックスの親會社であるTJX、Marshalls、HomeGoodsストアなどが経験したセキュリティ突破を懸念してのことかもしれない。ミネソタ州サンパウロ近くのMarshalls衣料品店のWi-Fiネットワークの脆弱性をハッカーが利用した場合（クリックして事件を確認）、數(shù)百萬人のクレジットカードが被害を受けた。

セキュリティ突破に遭ったのはTJXだけではない。米政府內(nèi)の現(xiàn)役軍人の80%の名前を含む個人データが突破された注目の個人データが突破された事件もある。これらの事件は、送信され保存された個人識別データの暗號化を求める行政命令を米政府に下した。

私はよくネットワークエンジニアと暗號化転送中のデータについて話します。ここでは、まず暗號化伝送のVPNの様々なタイプを紹介し、次に複雑さの順に考慮すべき暗號タイプを提案します。暗號化された送信における情報の最も一般的な2つの技術(shù)は、SSL（セキュア?ソケット層）とIPsec（IPネットワーク?セキュリティ?プロトコル）である。

ネットワーク暗號化の4種類

1.クライアントなしSSL：SSLの元のアプリケーション。このアプリケーションでは、ホストコンピュータが暗號化されたリンク上でソース（Webサーバ、メールサーバ、ディレクトリなど）に直接接続されます。

2.VPNデバイスを構(gòu)成するクライアントレスSSL：このSSLを使用する方法はホストにとって最初の方法と類似している。ただし、暗號化通信の作業(yè)は、Webやメールサーバなどのオンラインリソースではなく、VPNデバイスで行われます。

3.ホストからネットワークへ：上記2つのシナリオでは、ホストは暗號化されたチャネルでリソースに直接接続されています。この方法では、ホストはクライアントソフトウェア（SSLまたはIPsecクライアントソフトウェア）を?qū)g行して1臺のVPNデバイスに接続し、このホストターゲットリソースを含むそのネットワークの一部となる。

SSL：設(shè)定が簡単なため、SSLはすでにこのタイプのVPNの事実上の選択となっている。クライアントソフトウェアは通常、Javaベースの小さなプログラムです。ユーザーは気づかないかもしれません。

IPsec：SSLがホストからネットワークを作成する一般的な方法になる前に、IPsecクライアントソフトウェアを使用します。IPsecはまだ使用されていますが、混亂しやすいように、ユーザーに多くの設(shè)定オプションを提供しています。

4.ネットワークからネットワークへ：このタイプの暗號化トンネルVPNを作成する方法はたくさんあるが、使用する技術(shù)はほとんどIPsecである.

ネットワークからネットワークへのVPNの場合、あるネットワークデバイスから別のネットワークデバイスへの暗號化について議論しています。現(xiàn)在のネットワークデバイスが行うことを期待しているため、このディスカッションでは、他のテクノロジーとの相互作用、サービス品質(zhì)、深さパケット検出、または広域ネットワークアクセラレーションを使用する広域ネットワークの使用が多いという他の課題が発生します。導入時にこれらのサービスを考慮していない場合は、暗號化によってサービスが無効になります。ネットワークアドレス解析は、まず暗號化された接続を確立する能力に干渉するため、克服すべきもう1つの障害です。

オーバーレイネットワーク：暗號化トンネルVPNは、既存のネットワーク上にオーバーレイ暗號化接続を作成することによって機能します。暗號化された接続は、このネットワーク上の2つの特定のインタフェース間に存在します。ソースから見ると、暗號化するネットワーク通信が再ルーティングされたり、異なるインタフェースに転送されたりすると、暗號化されません。この通信が暗號化された後に再ルーティングされ、指定されたインタフェース以外のインタフェースに送信されると、復(fù)號化されたり破棄されたりすることはできません。

暗號化されたVPNでは、DNS、IPアドレス、およびルーティングに特に注意が必要です。いくつかのセキュリティVPN技術(shù)と専用アドレス分野は非常によく動作している。一部のセキュリティVPN技術(shù)は、ネットワークのエンドポイントに動的アドレスを採用している場合でもよく動作します。場合によっては、企業(yè)はすべてのインターネット通信を1つの中心にルーティングするのが好きです。他の場合、分割トンネル方法を使用して、分岐點には獨自のインターネットゲートウェイがあります。

帯域幅：ネットワークエンジニアは帯域幅の問題を絶えず解決しながら、ユーザーにできるだけ最高の體験を提供します。しかし、暗號化されたVPNの場合、暗號化帯域幅や大型データストリームを暗號化して復(fù)號する能力を考慮する必要があります。

どんな動機であれ、この技術(shù)を探るのはちょうどいい時だ。暗號化技術(shù)は、ファイアウォール、ルータ、WANアクセラレータに組み込まれた、以前よりも安価で製品が多い技術(shù)です。しかし、多くのネットワークエンジニアやデザイナーにとって、この技術(shù)には異なる考え方が必要です。複雑なレベルの順序で考えて、この技術(shù)の中で選択するために、ネットワークとネットワークユーザーの負擔を最小限に抑えるために努力する、など。いくつかの基本的な原則を守ることで、暗號化技術(shù)がネットワークの安全を保証するものになることを保証することができます