JANOG3 Log	Thanks for Shinoda-san(NTTPC), Uda-san(NTTPC)

12:30	VPN 実践的な構築と運用		松本 直人　インターネット総合研究所 

logger: 篠田 裕記子(NTTPCコミュニケーションズ)，
	宇田 珠美(NTTPCコミュニケーションズ)
-----------------------
VPN 実践的な構築と運用
  ― 松本 直人（インターネット総合研究所）―
  Agenda
  1．VPNとは
  2．VPNの実践的な構築
  3．VPN技術の将来
  4. まとめ
 
1．VPNとは
  ・VirtualPrivate Network
    −目的：回線コストを押さえる
            VPN内で独自の利用ポリシーを維持
    −手段：仮想的に私設網を構築する
    −利用者：企業ユーザ
  ・Telephony VPN(回線交換機上に構築される)
  ・Internet VPN(Internet上に構築される)
  
  ・VPNの基礎技術
    トンネリング技術：入口でカプセル化、出口で復号化
    暗号化技術：入り口で暗号化、出口で復号化(必要に応じて適宜使用される。)

  ・Internet/Telephony VPN
    利用者の負担と通信事業家の投資の関係図
    Y軸：物理層からApplication層まで
    X軸：Internet VPN 〜 Telephony VPN
    ※業者側の構築は、上位レイヤにいけばいくほどし易い。
    ※ユーザ側での管理は上位レイヤにいけばいくほど難しい。

2．VPNの実践的な構築
   Applicatrion Base VPN: Client-Server上で実現。
   IP Base VPN: IP層上で暗号化・トンネル技術を用いる。
   Data-Link VPN: Data-link層でトンネル技術を用いる。
   Virtual Circuit（今回省略）

  ・Data-link Base VPN
    Case:L2TP
    PC−LAC−Router−Router−LNS−Server
    ネットワークマネージメント
    一つのISPのみを使うのであればよいが、そうでない場合もある。
    ネットワークセキュリティの面で問題となるのは、アタック、
    Smuffy、改ざんなどであるが、データの終端先であるポートが
    ねらわれやすい。ルータへのアタックも多い。
    →encrypt connectionが考えられる。

  ・IP Base VPN
    Case:IPsec   
    PC - Router - Router - Router - Router - Server
    ネットワークマネージメント
    Tunnel mode
    Transport mode
    ・到達点のルータで認証をする場合、1対1で相手を知っている
      場合はよいが、ユーザが誰であるかをしるためのやりとりを
      ルータの中で管理しながら行う必要がある。
    ・1対nで行う場合はKey Serverを使うことで相手を特定できる。
    ・認証を伴わない通信は、別のルータを使う。
    ・どの方法でもも出口の部分のルータがアタックの対象となりやすい
      ので注意が必要。

  ・Application Base VPN
    Case:SOCKSv5
    PC - Router - Router - Router - Server - Server
    ・リクエストをエンキャプセレーションする。
    ・最近、8080ポートを使うケースが多いが、そこへのアタックも
      増えている。
    ・中間ルータが保全されていない場合はそこから覗き見をされてしまう。

  ・VPNの運用
    VPNを管理する側は…
     −ポリシーベース（VPN）単位でネットワーク管理
       (専用線を仮想的に使っていることをユーザは味わいたい。
        そのためのVPNであることを認識する。)
     −管理主体を明確にする。
      （セキュリティに関して)
       (どこからどこまで誰が管理を行う対象かを明確にする。）
     −ユーザーの利便性を追求
       (アプリケーション層になればなるほどユーザ側に煩雑さを強いるため
        負担がかかる)
     −VPN自体の通信帯域に関して考慮する。
       (End-EndのISPだけでなく、中間ISPのトラフィックも考慮に入れる
        必要がある。)
    VPNを使う側は…
     −自分達にあった形のVPNを選択
      （利用者は、複雑なネットワーク管理を望んではいない）

3．VPN技術の将来
   VPNによってネットワークメディアを統合
   通信費の共有化
   利用者のニーズにあったネットワークを提供
   新サービスの創造
   (データリンク層の部分でIPを持ってこれるので、電話網、通信・放送など
    サービスで自分にあったサービスを持ってこられる。)
   Broadcast New Service Telephony
   Application VoIP
   Private IP Network
   FR ATM 等

4. まとめ
   利用者（個人／企業）はVPNを求めている
   VPNには管理が必然
   利用者はネットワークの管理を望んでいない
   利用者へのニーズにあったVPNを提供する
   
  ・Information
    vpnops(vpn operators) ML/WWW statics
    ML vpnops@iijnet.or.jp
    現在250くらいの参加者。
    参加希望者はsubscribe コマンドを送ると参加できる。
    Webへのアクセス数も増えている。(http://www.note.iri.co.jp/vpnops/)

○質疑応答
Q．VPNのニーズとして、パスの管理の次に、暗号化を挙げているが、
  それよりはスループット保証ではないか?
A．見方によると思うが、ルータメーカーや通信事業者の場合は
   スループットの方が重要になるかと思う。

-----------------------