SSL-VPNで、Webシステム以外の社内リソースにアクセスするには

すべての返信

• 2011年1月7日 8:10

   

   
  

  0

  何を使って SSL VPN を構成されるのでしょうか?

  セキュリティゲートウェイと言われている Widnows Server 2003 には、標準で SSL VPN を構成する機能はありません。
  Windows Server 2008 であれば、TCP/443 を使う VPN として SSTP が使えますが...

  > 下記構成では、ブロードバンドルータにPLANEX BRL-04CW-Uを使用しています。
  > VPN対応していますがこれとは別にSSL-VPN装置が必要でしょうか。

  一般論ですが、SSL VPN のクライアント側は、クライアント PC に SSL VPN のソフトウェアをインストールしてセンター側のセキュリティゲートウェイに接続するタイプが多いので、拠点側には SSL VPN のセキュリティゲートウェイ(SSL VPN 装置と言われている物)は不要です。(拠点間の VPN であれば、IPsec を使うのが一般的です)
  SSL VPN は https の TCP/443 を使うので、VPN パススルーすら必要ありません。一般的なブロードバンドルーターのファイアウォール機能は、アウトバウンドのTCP/443 はデフォルトでオープンになっています。

  > SSL-VPNは、SSLとHTTPのコンビネーションが基本的なベースとなっていますが、Webシステム以外の社内リソースにアクセスする
  > ためには、SSL-VPNゲートウェイ側で各種のデータや通信を変換する必要がありますか。

  SSL VPN 製品に依存しますので何とも言えません。導入予定の SSL VPN 製品メーカーにお問い合わせください。

  > AD/DNS/DHCPを構成し、Radiousを立てて外部からドメイン内にアクセスしたいと考えています。
  > 同サーバをセキュリティ　ゲートウェイとして

  ちょっと意味不明ですが... 文面どおりに解釈すると、AD がインターネット側から見えてしまうことになりませんか? これはセキュリティ上好ましい状態ではありません。
  RADIUS を立てるとの記述があるので、SSL VPN セキュリティゲートウェイ製品を別に使うのではないかと想像できますが、もしそうであれば AD は認証だけなので NIC の2枚刺しは不要です。

  SSL VPN を構成する場合は、ファイアウォール装置を SSL VPN のセキュリティゲートウェイにするか、DMZ に SSL VPN のセキュリティゲートウェイを配置するのが一般的です。
  Windows Server の標準機能で Windows Server をセキュリティゲートウェイにする場合は、1枚の NIC をインターネット側からのアクセス用(DMZ配置)に、もう1枚の NIC を LAN 側にするので2枚刺しの必要があります。この場合、セキュリティゲートウェイにしている Windows Server がインターネット側からクラックされるリスクが想定されるので、セキュリティゲートウェイを踏み台にした AD や LAN への侵入リスクを下げる工夫が別途必要になります。

  ---

  MVP for Virtual Machine : Networking

  • 回答としてマーク supertomoking 2011年1月11日 8:22
  •