PacketiX VPN 2.0 マニュアル  第12章 PacketiX VPN ソフトウェア仕様 12.4 PacketiX VPN プロトコル仕様 |
12.4 PacketiX VPN プロトコル仕様
ここでは、PacketiX VPN 2.0 の各ソフトウェアで共通に使用されている VPN 通信プロトコルである「PacketiX VPN
プロトコル」に関する仕様を掲載しています。
12.4.1 プロトコル仕様
PacketiX VPN プロトコルの仕様は下記のとおりです。
| 項目 |
値 |
| 通信プロトコル名称 |
PacketiX VPN Protocol 2.0 (Hyper Protocol) |
| 暗号化通信規格 |
Secure Socket Layer (SSL) Version 3.0 に準拠 |
| ポート番号 |
TCP/IP ポート デフォルト: 443, 992 および 8888
(ユーザーが自由に変更可能) |
|
サポートしている暗号および電子署名アルゴリズム |
RC4-MD5
RC4-SHA
AES128-SHA
AES256-SHA
DES-CBC-SHA
DES-CBC3-SHA |
| データ圧縮 |
ストリーム型データ圧縮をサポート |
| セッションキー長 |
128 bit |
| 準拠するプロトコル |
HTTP over SSL (HTTPS) プロトコルにおける HTTP 1.1 プロトコルにより GET / POST
を行うことでネゴシエーションを行う。その後に HTTPS 独自拡張プロトコルに移行し VPN 通信を行う。 |
| 高速通信機能 |
VPN クライアントから VPN サーバーに対して 1 本〜32 本の TCP/IP
コネクションを確立することによりカプセル化されたパケットの伝送をそれらの複数本のコネクション間で効率的に負荷分散およびタイミング制御して高速通信を試みる。 |
| 自動再接続機能 |
VPN セッションがネットワーク障害または接続先 VPN Server
の障害によって切断された場合は指定回数または無限回数再接続を試行。 |
| 接続方法 |
1. 直接 TCP/IP 接続
2. HTTP プロキシサーバー経由接続
3. SOCKS プロキシサーバー経由接続 |
| ユーザー認証 (クライアント認証)
方法 |
1. 匿名認証
2. 標準パスワード認証
3. Radius サーバーを使用した認証
4. NT ドメインコントローラまたは Active Directory を使用した認証
5. X.509 証明書と RSA 秘密鍵ファイルを使用した認証
6. 証明書が書き込まれたスマートカードを使用した認証 |
| サーバー認証方法 |
X.509 証明書と RSA 秘密鍵ファイルを使用した認証
(SSL サーバー証明書認証) |
|
カプセル化の対象プロトコルおよびパケット種別 |
Ethernet (IEEE802.3) フレーム |
12.4.2 VPN 通信可能なパケットについて
PacketiX VPN プロトコルによってカプセル化しトンネリング通信することができるパケットは、標準的な Ethernet
(IEEE802.3) フレームのうち MAC ヘッダとペイロードの部分であり、かつ MAC ヘッダとペイロードを合計したデータ長が 1,514
Bytes 以下のものです。
12.4.3 PacketiX VPN プロトコルの検出方法について
PacketiX VPN プロトコルの検出
ソフトイーサ株式会社は、企業ネットワークなどのネットワーク管理者の方々に対する配慮として、PacketiX VPN
プロトコルの一部に暗号化されていない "PX-VPN2-PROTOCOL" という文字列を必ず挿入することによって、簡単に PacketiX
VPN プロトコルの使用を検出することができるように SSL 接続シーケンスを拡張しました。
企業ネットワークなどで社員が任意に PacketiX VPN ソフトウェアを使用してインターネット上の PacketiX VPN
Server に対して接続を行うことを検出またはブロックされたい場合は、下記の方法で PacketiX VPN
プロトコルの接続パケットを検出することが可能です。
| TCP/IP プロトコル内のデータ ストリームから、ASCII 文字列
"PX-VPN2-PROTOCOL" (16 Bytes) を検出することによって、PacketiX VPN
プロトコル を検出することが可能です。 |
たとえば、snort を使用している場合は下記のようなシグネチャを作成してください。
alert tcp $HOME_NET any -> $EXTERNAL_NET any:
(msg:"PacketiX VPN 2.0 Connection"; content:"PX-VPN2-PROTOCOL"; )
|
注意事項
- 上記のシグネチャが常に正常に機能することを保証するものではありません。
- 上記の方法で現在提供されている PacketiX VPN 2.0
の検出を行うことができますが、誤検出の可能性が存在します。たとえば、本文に "PX-VPN2-PROTOCOL"
などと書かれたコンテンツや電子メールなどが誤って検出される可能性があります。
- 上記の情報は本仕様書作成時に配布されている PacketiX VPN 2.0
のバージョンにおいてのみ有効であり、それ以外のバージョンの VPN ソフトウェアには適用されない場合があります。
その他の VPN プロトコルの検出方法
PacketiX VPN プロトコルを検出することは上記の方法で容易に行えますが、もし企業の内部から社員が外部の VPN
サーバーに対して任意に接続してしまうことを防止または検出されたいのであれば、PacketiX VPN だけではなくその他のすべての VPN
プロトコルについても同様に外部への接続を検出または遮断してください。PacketiX VPN に限らず、どのような VPN プロトコル (PPTP、IPSec、SSH、SOCKS、SSL-VPN
など多くの種類があります) も社内ユーザーが社外の VPN サーバーに接続して情報を送受信できる危険性を持っています。特に近年普及している
SSL-VPN 製品の多くは HTTPS と同等のパケットを使用して通信を行うため、検出が困難な場合がありますので特にご注意ください。 |