Presentation is loading. Please wait.

Presentation is loading. Please wait.

特定ユーザーのみが利用可能な仮想プライベート・ネットワーク

Similar presentations


Presentation on theme: "特定ユーザーのみが利用可能な仮想プライベート・ネットワーク"— Presentation transcript:

1 特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
学籍番号: 宇崎 央泰

2 仮想プライベートネットワーク(VPN)とは
オープンネットワーク上に、仮想的にプライベートネットワークを構築する技術 暗号化、ハッシュ関数、認証などの技術を使い、盗聴、改竄、なりすましなどの危険を防ぐ 代表的なVPNプロトコル:IPsec、PPTP、L2TP、SSH

3 VPN の認証 IPsec SSHのポートフォワーディング VPN確立のときに 送信元と受信先のホストを認証 IPパケット単位で暗号化
VPN確立のときにユーザーのRSA認証を行う TCPストリームを暗号化

4 VPNの問題点 他のユーザーにVPNを利用されてしまう ユーザーの概念が取り入れられていない VPNの入り口でユーザー認証が行われない
Grandma のような共有計算機では問題 このプロセスのユーザーがVPNを作成 VPNの入り口 サーバー VPN 他のユーザーのプロセスまでVPNを使えてしまう

5 パーソナルVPN(PVPN) の提案 パケットごとにユーザー認証を行うVPN PVPNを作成したユーザーしか使えない
PVPNの入り口でPVPNフォワーダ(PVPNF)がパケットの認証をし、PVPNにフォワーディングか遮断する PVPNフォワーダは信頼する このプロセスのユーザーがPVPNを作成 PVPN 他のユーザーのプロセスはPVPNを利用できない PVPNフォワーダ

6 パーソナルVPNの 認証と暗号化 SSL (Secure Socket Layer) で実現 ユーザの認証
認証後の通信の暗号化 ユーザの認証 PVPN作成時に、SSL上で、 RSAでPVPNを作成するユーザーを認証

7 パケットのユーザー認証とフォワーディング
PVPN入り口のユーザー認証 Divertソケットで横取り IPパケットの送信ユーザーを調べる procファイルシステムを利用 tcp通信の場合、送信元ポートと/proc/net/tcpのlocal_addressのポート番号が一致するエントリのユーザーIDからわかる PVPNF App PVPNF PVPNF App PVPNフォワーダ パケットのユーザー認証とフォワーディング Divert ソケット Rawソケット PVPN

8 PVPNの連結 2つのPVPN間でルーティング可能 RSA認証によるユーザー認証
サーバとクライアントが直接通信できない場合(例: private IP)に利用 RSA認証によるユーザー認証 途中のゲートウェイが中継 ①サーバーがゲートウェイに対しRSAユーザー認証を行う クライアント ゲートウェイ サーバー ②ゲートウェイはRSAユーザー認証をクライアントに中継

9 PVPNのオーバーヘッド 実験 WebStoneベンチマークを利用 計測 以下の3つについて計測
Web server のスループットと平均レスポンスタイム 以下の3つについて計測 サーバーとクライアントが直接通信 パーソナルVPNを通して通信(暗号化無し) パーソナルVPNを通して通信(暗号化有り)

10 表:Throughput(Kbyte/sec)
実験結果 PVPNを使うと10倍から数百倍遅くなる 100倍以上遅くなるときは、パケットの再送が頻繁に起きていた 表:Throughput(Kbyte/sec) File size(byte)    1k     10k    1000k Normal 711.3 3168.8 8497.3 Noencrypt  6.1 262.6 821.6 Encrypt  2.2  30.8    629.1

11 まとめ パーソナルVPNを提案・実装した 今後の課題 パケットごとにユーザー認証を行うVPN 再送が頻発する原因を調査、修正
PVPNの連結は設計はできているが、まだ未完成なので、実装を完成させる カーネル内部に実装を行う


Download ppt "特定ユーザーのみが利用可能な仮想プライベート・ネットワーク"

Similar presentations


Ads by Google