2005年01月03日

日経NETWORK 2月号レビュー 2005年の注目ネット技術その1

SoftEtherを簡単に説明すると、登大遊さんという大学生が開発したインターネットを介したVPNで、LANカードやLANスイッチというハードウェア機器をソフトウェアで実現したものです。
どのような仕組みで動くかというと、
  1. 仮想LANカードのプログラムがMACフレームを暗号化して適切な大きさに分割
  2. IPパケットのデータ部分に入れて、仮想HUBが動作するパソコンに送る
  3. IPパケットを受け取った仮想HUBは、データを復号化してもとのMACフレームに組み直す
  4. あて先MACアドレスを見てフレームの転送先の仮想LANカードを決める
  5. 再びMACフレームを暗号化してIPパケットのデータ部分にいれ、仮想LANカードへ転送する
って感じで動作します。
ちなみに、これらのパケットはSSLのパケットに見せかけて動作するので、ファイアウォールやプロキシサーバを介してVPNが構築することが比較的簡単に出来ます。

なので、管理者からすると想定外の「穴」が出来てしまい、そこから不正侵入されるかもしれないというセキュリティ問題を引き起こす危険をはらんでいます。記事の最後に、

管理者はSoftEtherの利用を禁止するかどうか明確にして、ユーザーに周知徹底させる必要がある。一般ユーザーは利用前に管理者に相談すべきである。

と書かれていますが、まさにそのとおりだと思います。ただ、ユーザーに周知徹底させても、一般ユーザーにアドミニストレータ権限を与えたている場合は、意味がないので、しかるべきユーザー権限を与えて、管理するべきだと思います。


この記事へのトラックバックURL