光回線にしたので、屋外から自宅のLAN内に安全にアクセスできるようVPNを導入しようかと情報収集中。
■VPNにはpptpとかL2TP/IPsec(L2TP over IPsec)とか色々方式があるらしい。
・PPTP=利点は処理が軽く民生品ルーターの多くでPPTPパススルー対応し少しクラスを上げればPPTPサーバーが内蔵されてる物もある。欠点はセキュリティが低い+ブロードキャスト接続にはかなり条件がある。
・L2TP/IPsec=利点はセキュリティが高い+ブロードキャスト対応、欠点は処理が重いので民生品のルータでの対応は絶望的専用モデルやビジネス向けのみ対応、ルーターを噛まさず直接PCをネットにつなげばL2TP/IPsecできるような話があるがタブレットが使えなくなるので却下。
・自分はWindowsタブレットをWiMAX経由で接続するので無関係な話だが、iOS10(iPhoneやiPad)はPPTPに非対応なのでL2TP/IPsecのみ。AndroidでもDoCoNoのSPモード経由だとPPTPできないのでL2TP/IPsecのみとの事。
予算的にPPTPしかできない。
■PPTPには脆弱性について調査
セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開
https://blogs.technet.microsoft.com/jpsecurity/2012/08/20/2743314-ms-ch/
L2TP/IPsecでは認証前にサーバー・クライアント間で通信を暗号化してからパスワード認証を行うので内部でどんな通信をしてるか一切確認できないが、PPTPではパスワード認証してから回線を暗号化するため認証手続き(ハンドシェイク)がわかってしまう。
認証手続き中にパスワードを通信するが生のパスワードでは無くハッシュ処理(一歩通行の暗号)はされているので一定のセキュリティーはあるのだが、ハッシュ処理に問題があり時間をかければパスワードを解読できるのでこれが脆弱性となっているらしい。
PPTPしか選択肢が無いので、脆弱性を考慮した上で使用するしかない。
・インターネット経路中で認証手続きを盗聴したり、解読にかかる時間などを考えるとこの難易度は高く一般人が一般人を攻撃するのには使えないので脅威は低い。(逆にこの方法で攻撃を受けた場合は相手はプロなので、一般人が一般機器で防御するのは無理だろうしバックドアの作成とかされればログ削除とかで痕跡も残らないので気が付く事さえできないかも。)
・仮にパスワードが漏洩してローカルネットワークに侵入されても、PCやNASのセキュリティー設定を内向きにもパブリック設定にしておけば被害の範囲はせばまるし、通信は盗聴される事を前提にメールやファイルを別途暗号化して送受信すれば危険は少ないだろう。そもそも重要な通信をするつもりは無い。
なんて気休めを書いて自分を納得させたりするが、パスワードの定期的な変更と通信ログの確認は最低限した方が良いのは間違いない。
■VPN(PPTP)に必要な機材の調査
・VPN(PPTP)サーバー
高級機のルーターなら内蔵されている物もある。(PPTPパススルー機能とは違うので注意)、Windows10にも機能があり。
さすがにパソコンをPPTPサーバーにすると電気代が高いので、今回はQNAP社のNASにVPN機能があるのでそちらを利用する。
・VPN(PPTP)クライアント
Windows10なら標準搭載、Androidにも搭載
今回はWindows10タブレットをクライアントとする。
・グローバルIPアドレス1回線。
サーバー側で使用する、プライベートアドレスでは接続できない。
・クライアント用の回線
クラインと側で使用。同一ネットワーク内でPPTPの動作確認ができないので別回線が必要。
・PPTPパススルーに対応したルーター
・固定IPアドレスまたはDDNSサービス
テスト時には非固定のIPアドレスでも確認して接続すればよいので問題ないが、
実際屋外から接続する場合にIPアドレスが変わっていると接続できなくなってしまうので、
固定IPアドレスにするか、DDNSで変化するIPアドレスを定期的にドメインに通知するかのどちらかが必要。
QNAP社のNASには無料のクラウドサービス「myQNAPcloud」にDDNSがあるので使用する。