none
SSL-VPNで、Webシステム以外の社内リソースにアクセスするには

    質問

  • 下記構成で、モバイルPCからVPN接続しドメインにアクセスしたいです。
    SSL-VPNの実装について、以下3点の質問です。

    【構成例】

    www - モバイルPC
    |
    ブロードバンドルータ
    |
    シスコルータ
    |
    シスコスイッチ
    |               |
    Client      Server

    下記構成で、モバイルPCからVPN接続しドメインにアクセスしたいです。
    SSL-VPNの実装について、以下3点の質問です。

    1.SSL-VPN装置が必要か
    下記構成では、ブロードバンドルータにPLANEX BRL-04CW-Uを使用しています。
    VPN対応していますがこれとは別にSSL-VPN装置が必要でしょうか。

    2.SSL-VPNでWebシステム以外の社内リソースにアクセスできるか
    SSL-VPNは、SSLとHTTPのコンビネーションが基本的なベースとなっていますが、Webシステム以外の社内リソースにアクセスするためには、SSL-VPNゲートウェイ側で各種のデータや通信を変換する必要がありますか。
    あるとしたら、その作業は大変でしょうか。宜しければ簡単な手順も教えて頂くと助かります。

    3.NICについて
    本構成では、サーバ(Windows 2003 Server Standard)を立てAD/DNS/DHCPを構成し、Radiousを立てて外部からドメイン内にアクセスしたいと考えています。同サーバをセキュリティ ゲートウェイとして、WANとLAN用にNIC2枚を準備する必要があるみたいです(現在は1枚構成)。1枚構成でも可能でしょうか。
    影響範囲も含めご教授下さい。

    2011年1月7日 6:21

回答

  • 何を使って SSL VPN を構成されるのでしょうか?

    セキュリティゲートウェイと言われている Widnows Server 2003 には、標準で SSL VPN を構成する機能はありません。
    Windows Server 2008 であれば、TCP/443 を使う VPN として SSTP が使えますが...

    > 下記構成では、ブロードバンドルータにPLANEX BRL-04CW-Uを使用しています。
    > VPN対応していますがこれとは別にSSL-VPN装置が必要でしょうか。

    一般論ですが、SSL VPN のクライアント側は、クライアント PC に SSL VPN のソフトウェアをインストールしてセンター側のセキュリティゲートウェイに接続するタイプが多いので、拠点側には SSL VPN のセキュリティゲートウェイ(SSL VPN 装置と言われている物)は不要です。(拠点間の VPN であれば、IPsec を使うのが一般的です)
    SSL VPN は https の TCP/443 を使うので、VPN パススルーすら必要ありません。一般的なブロードバンドルーターのファイアウォール機能は、アウトバウンドのTCP/443 はデフォルトでオープンになっています。

    > SSL-VPNは、SSLとHTTPのコンビネーションが基本的なベースとなっていますが、Webシステム以外の社内リソースにアクセスする
    > ためには、SSL-VPNゲートウェイ側で各種のデータや通信を変換する必要がありますか。

    SSL VPN 製品に依存しますので何とも言えません。導入予定の SSL VPN 製品メーカーにお問い合わせください。

    > AD/DNS/DHCPを構成し、Radiousを立てて外部からドメイン内にアクセスしたいと考えています。
    > 同サーバをセキュリティ ゲートウェイとして

    ちょっと意味不明ですが... 文面どおりに解釈すると、AD がインターネット側から見えてしまうことになりませんか? これはセキュリティ上好ましい状態ではありません。
    RADIUS を立てるとの記述があるので、SSL VPN セキュリティゲートウェイ製品を別に使うのではないかと想像できますが、もしそうであれば AD は認証だけなので NIC の2枚刺しは不要です。

    SSL VPN を構成する場合は、ファイアウォール装置を SSL VPN のセキュリティゲートウェイにするか、DMZ に SSL VPN のセキュリティゲートウェイを配置するのが一般的です。
    Windows Server の標準機能で Windows Server をセキュリティゲートウェイにする場合は、1枚の NIC をインターネット側からのアクセス用(DMZ配置)に、もう1枚の NIC を LAN 側にするので2枚刺しの必要があります。この場合、セキュリティゲートウェイにしている Windows Server がインターネット側からクラックされるリスクが想定されるので、セキュリティゲートウェイを踏み台にした AD や LAN への侵入リスクを下げる工夫が別途必要になります。


    MVP for Virtual Machine : Networking
    2011年1月7日 8:10