特定ユーザーのみが利用可能な仮想プライベート・ネットワーク

Presentation on theme: "特定ユーザーのみが利用可能な仮想プライベート・ネットワーク"— Presentation transcript:

1 特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
学籍番号： 宇崎 央泰

2 仮想プライベートネットワーク（VPN）とは
オープンネットワーク上に、仮想的にプライベートネットワークを構築する技術 暗号化、ハッシュ関数、認証などの技術を使い、盗聴、改竄、なりすましなどの危険を防ぐ 代表的なVPNプロトコル：IPsec、PPTP、L2TP、SSH

3 VPN の認証 IPsec SSHのポートフォワーディング VPN確立のときに 送信元と受信先のホストを認証 IPパケット単位で暗号化
VPN確立のときにユーザーのRSA認証を行う TCPストリームを暗号化

4 VPNの問題点 他のユーザーにVPNを利用されてしまう ユーザーの概念が取り入れられていない VPNの入り口でユーザー認証が行われない
Grandma のような共有計算機では問題 このプロセスのユーザーがVPNを作成 VPNの入り口 サーバー VPN 他のユーザーのプロセスまでVPNを使えてしまう

5 パーソナルVPN（ＰＶＰＮ） の提案 パケットごとにユーザー認証を行うVPN PVPNを作成したユーザーしか使えない
PVPNの入り口でPVPNフォワーダ（PVPNF)がパケットの認証をし、ＰＶＰＮにフォワーディングか遮断する PVPNフォワーダは信頼する このプロセスのユーザーがPVPNを作成 PVPN 他のユーザーのプロセスはPVPNを利用できない ＰＶＰＮフォワーダ

6 パーソナルVPNの 認証と暗号化 SSL (Secure Socket Layer) で実現 ユーザの認証
認証後の通信の暗号化 ユーザの認証 ＰVPN作成時に、SSL上で、 RSAでＰVPNを作成するユーザーを認証

7 パケットのユーザー認証とフォワーディング
PVPN入り口のユーザー認証 Divertソケットで横取り ＩＰパケットの送信ユーザーを調べる procファイルシステムを利用 tcp通信の場合、送信元ポートと/proc/net/tcpのlocal_addressのポート番号が一致するエントリのユーザーIDからわかる PVPNF App PVPNF PVPNF App PVPNフォワーダ パケットのユーザー認証とフォワーディング Divert　ソケット Rawソケット PVPN

8 PVPNの連結 ２つのPVPN間でルーティング可能 RSA認証によるユーザー認証
サーバとクライアントが直接通信できない場合（例： private IP）に利用 RSA認証によるユーザー認証 途中のゲートウェイが中継 ①サーバーがゲートウェイに対しRSAユーザー認証を行う クライアント ゲートウェイ サーバー ② ① ②ゲートウェイはRSAユーザー認証をクライアントに中継

9 PVPNのオーバーヘッド 実験 WebStoneベンチマークを利用 計測 以下の3つについて計測
Web server のスループットと平均レスポンスタイム 以下の3つについて計測 サーバーとクライアントが直接通信 パーソナルVPNを通して通信（暗号化無し) パーソナルVPNを通して通信（暗号化有り）

10 表：Throughput(Kbyte/sec)
実験結果 PVPNを使うと１０倍から数百倍遅くなる １００倍以上遅くなるときは、パケットの再送が頻繁に起きていた 表：Throughput(Kbyte/sec) File size(byte) 　 　1k 　 　　10k 　 　1000k Normal 711.3 3168.8 8497.3 Noencrypt 　6.1 262.6 821.6 Encrypt 　2.2 　30.8 　 　629.1

11 まとめ パーソナルVPNを提案・実装した 今後の課題 パケットごとにユーザー認証を行うVPN 再送が頻発する原因を調査、修正
PVPNの連結は設計はできているが、まだ未完成なので、実装を完成させる カーネル内部に実装を行う