関連トピック
使用する Mobile VPN の種類を選択する
Fireware は、以下の 3 種類の Mobile VPN をサポートしています。
- Mobile VPN with IPSec
- Mobile VPN with SSL
- Mobile VPN with L2TP
Firebox は、3 種類のモバイル VPN を同時にサポートできます。クライアント コンピュータが 1 つまたは複数のタイプのモバイル VPN を使用するように構成することができます。どのタイプの Mobile VPN を使用するかを選択する前に、現在のインフラストラクチャとネットワーク ポリシーの設定を考慮する必要があります。使用する Mobile VPN の種類を選択するときに考慮すべき事項については、以下のセクションを参照してください。
Mobile VPN with PPTP の機能は Fireware v12.0 以降では利用できません。お使いの Firebox の Fireware が v11.12.4 以前である場合は、Fireware v12.0 以降にアップグレードした際に、構成から Mobile VPN with PPTP が自動的に削除されます。アップグレードする前に、異なるモバイル VPN ソリューションに移行することをお勧めします。詳細については、WatchGuard ナレッジベースの Fireware v12.0 にアップグレードする前に PPTP から L2TP に移行する方法 を参照してください。Mobile VPN with PPTP のドキュメンテーションについては、Fireware ヘルプ v11.12.x を参照してください。
セキュリティ
それぞれのタイプの Mobile VPN には異なるセキュリティ上の特色があります。
IPSec
Mobile VPN with IPSec は最高のセキュリティレベルを提供し、256 ビット AES までの暗号化レベルおよび複数層暗号化をサポートします。SecurID と VASCO の二要素認証をはじめとする、Firebox でサポートされている認証方法をすべて使用できます。攻撃者は、ログイン認証情報を入手しても、事前共有キーなどの詳細な設定情報がなければ VPN に接続できません。
Mobile VPN with IPSec はまた、事前共有キーの代わりに証明書ベースのクライアント認証をサポートします。
SSL
Mobile VPN with SSL のセキュリティレベルは、IPSec に比べるとわずかに低くなります。多層暗号化がサポートされておらず、攻撃者は Firebox IP アドレスとクライアントのログイン認証情報があれば接続できるからです。
L2TP
Mobile VPN with L2TP には多層セキュリティが含まれていますが、ローカル Firebox 認証と RADIUS に制限されています。クライアントにも事前共有キーを知らせる必要があります。
Mobile VPN with L2TP も、事前共有キーの代わりに証明書ベースのクライアント認証をサポートします。
使いやすさ
SSL
Windows 用 クライアントも Mac OS X 用クライアントも、ユーザーが簡単にダウンロードしてインストールできます。VPN クライアントをダウンロードするには、ユーザーは Firebox に HTTPS で接続してログインします。ユーザーはクライアントをダウンロード後、ログイン認証情報が分かれば接続できます。管理者は、VPN クライアントにユーザー名とパスワードを記憶させるかどうかを選択することができます。
他のオペレーティング システムやモバイル デバイスのクライアントは、OpenVPN クライアントを使用して接続できます。OpenVPN クライアントを使用するには、ユーザーは client.ovpn ファイルを入手する必要があります。このファイルは Firebox から簡単にダウンロードできます。
IPSec
Windows ユーザーは、付加的な機能を提供する WatchGuard Mobile VPN クライアントをダウンロードしてインストールできます。30日の試用期間後は有料のライセンスが必要になります。ほとんどの Windows ユーザーは、Shrew の使いやすく無料の VPN Client for Windows を好んで使用しています。このクライアントは WatchGuard でも配布しています。
いずれのクライアントにも、構成ファイルを提供する必要があります。WatchGuard IPSec Mobile VPN クライアントを使用する場合は、事前共有キーの提供も必要とされる可能性があります。WatchGuard は、暗号化電子メールなどの安全な方法で構成ファイルの配布を行うことをお勧めしています。
構成する許可されたリソースに応じて、両方の Windows クライアントのトンネル ルーティングは広範囲に及ぶこともあれば、必要に応じて限定されることもあります。
Mac OS X デバイスの場合、オンデバイス クライアントの既定の設定と一致するように Mobile VPN プロファイルを構成し、クライアントで VPN 接続を構成する必要があります。クライアントはユーザー名とパスフレーズを使用して接続する必要があります。
IPSec 上の L2TP
Mobile VPN with L2TP は、Windows、Mac OS X、iOS、Android および IPSec 上の L2TP をサポートするほとんどのデバイスに使用できます。接続するには、エンド ユーザーはユーザー名とパスワードを指定する必要があります。一部の VPN クライアントでは、それらの情報を保存することができます。
L2TP 上のクライアント トラフィックの ルーティングは、クライアント構成により制御されます。クライアントでは通常、クライアント トラフィックをすべてトンネル経由でルーティングするか、または仮想 IP アドレスと同じ /24 サブネットだけにトンネル経由でルーティングするかを選択することができます。
ポータビリティ
ポータビリティとは、VPN クライアントが接続できるネットワーク環境のことです。
SSL
Mobile VPN with SSL は、任意の TCP または UDP ポート、または既定の設定である TCP 443 を使用するように構成できます。UDP ポートを使用する場合でも、初回の認証要求には TCP ポートを指定する必要があります。これにより、Mobile VPN with SSL はアウトバウンド HTTPS を許可するほぼすべての環境に移植することができます。インターネット フィルタリング アプリケーションには HTTPS のコンテンツのインスペクションをサポートするものが多く、HTTPS プロトコル規格に準拠しない Mobile VPN with SSL などのトラフィックは阻止される可能性があります。
非準拠の HTTPS 要求を許可するように Firebox で HTTPS プロキシを構成することができます。HTTPS プロキシの詳細については、次を参照してください:HTTP プロキシ:全般設定。
IPSec
Mobile VPN with IPSec の場合、クライアントは UDP ポート 500 と 4500、および ESP IP プロトコル 50 を使用して Firebox にアクセスする必要があります。これは多くの場合、クライアントのインターネット ゲートウェイで特別な構成が必要になるため、クライアントは、ホットスポットからの接続、またはモバイル インターネット接続機能による接続を確立できない場合があります。
アウトバウンド IPSec 要求を許可するようにFirebox を構成できます。アウトバウンドの IPSec パススルーの詳細については、次を参照してください:グローバル VPN 設定について。
L2TP
既定では、L2TP は UDP ポート 500 と 4500 を必要とする IPSec、ならびに ESP IP プロトコル 50 を使用します。
IPSec を無効にしてある場合、Mobile VPN with L2TP では UDP ポート 1701 のみが必要です。このタイプの L2TP 構成は、非常に制限があるネットワーク構成でない限り、ほとんどの環境で許可されているはずです。しかし、この構成は IPSec のセキュリティを提供しません。
Mobile VPN with L2TP 構成で IPsec を無効にする場合は、クライアント デバイスでも IPSec を無効にする必要があります。一部のデバイスでは、この手順はより困難になる可能性があります。デバイス上での IPSec 設定の詳細については、デバイス メーカーのドキュメンテーションを参照してください。
VPN トンネルの容量
VPN のタイプを選択するときに、デバイスにサポートされるトンネル数およびトンネル数を増加するためにアップグレードを購入できるかどうかを確認する必要があります。
IPSec、SSL、および L2TP のモバイル VPN トンネルの最大数は、Firebox のモデルによって異なります。一部のモデルでは、Firebox のモデルがサポートする最大トンネル容量を利用するために追加ライセンスを購入する必要があります。
Firebox の機能キーで、Firebox がサポートしている各タイプの VPN トンネル最大数を確認することができます。詳細については、次を参照してください:VPN トンネルの容量およびライセンス。
認証サーバーの互換性
選択する Mobile VPN ソリューションが、使用する認証サーバーのタイプをサポートしていることを確認してください。
- それぞれのタイプの Mobile VPN は、Firebox-DB、ローカル Firebox 認証サーバーの使用をサポートしています。Firebox-DB では、Firebox でユーザーとグループを直セル作成することができます。
- L2TP は Firebox-DB と RADIUS に制限されています。
- Mobile VPN with SSL は、Firebox によりサポートされている認証方法をすべてサポートします。
- Mobile VPN with IPSec もすべての認証方法をサポートしますが、Shrew Soft の無料クライアントでは二要素認証がサポートされていません。
| Mobile VPN | Firebox | RADIUS | Vasco/ RADIUS | SecurID | LDAP | Active Directory |
|---|---|---|---|---|---|---|
|
Windows 用 WatchGuard IPSec Mobile VPN クライアント (有料のクライアント) |
はい | はい |
はい |
はい |
はい | はい |
| Windows 用 Shrew Soft IPSec VPN クライアント | はい | はい | いいえ1 | いいえ1 | はい | はい |
|
Mac OS X または iOS 用 Mobile VPN with IPSec (ネイティブ VPN クライアント搭載) |
はい | いいえ2 |
いいえ |
はい | いいえ2 | いいえ2 |
| Mobile VPN with SSL | はい | はい | はい | はい | はい | はい |
| Mobile VPN with L2TP | はい | はい | いいえ | いいえ | いいえ | はい3 |
1. Shrew Soft IPSec VPN クライアントは二要素認証をサポートしていません。
2. iOS、OS X 用のネイティブ VPN クライアントは、RADIUS、LDAP、Active Directory による認証方法をサポートしていませんが、正常に動作する可能性があります。
3. L2TP のActive Directory Authentication は RADIUSサーバーのみでサポートされます。
互換性に関するその他の注意事項:
RADIUS
RADIUS サーバーは、 Access-Accept 応答で Filter-Id 属性 (RADIUS 属性 #11)を返す必要があります。Filter-Id 属性の値は、正しいグループ名 (SSLVPN-Users、あるいは Mobile VPN with SSL または Mobile VPN with IPSec の構成に定義されているグループ名) に一致させる必要があります。
Vasco RADIUS
現在、Vasco は RADIUS Filter-Id 属性をサポートしていません。その対策として、Microsoft® IAS RADIUS プラグインを使用してください。
Android 用の WatchGuard Mobile VPN アプリは、Google Play ストアから入手することができなくなりました。iOS 用の WatchGuard Mobile VPN アプリは、Apple App Store から入手することができなくなりました。WatchGuard はもはやこれらのレガシー アプリをサポートしていません。
その他の考慮すべき点
- 柔軟性 — 異なるユーザー グループに対して異なる VPN 構成プロファイルを構成できる VPN は、Mobile VPN with IPSec だけです。
- パフォーマンス — Mobile VPN with SSL は最も遅い VPN オプションです。
- プロトコルのサポート — Mobile VPN with IPSec と比較した場合の Mobile VPN with L2TP の利点の 1 つは、IPX や AppleTalk など、IP 以外のプロトコルの転送に L2TP を使用できる点です。
プロトコルの詳細
各タイプのモバイル VPN では、接続を確立するのに異なるポート、プロトコル、暗号化アルゴリズムが使用されます。モバイル VPN が機能するには、モバイル デバイスと Firebox の間で必要なポートやプロトコルが開かれている必要があります。
- 必要なポート:
- IKEは UDP ポート 500
- Nat Traversal (NAT-T) の UDP ポート 4500
- トランスポートおよび認証プロトコル:
- IPSec (インターネット プロトコル セキュリティ)
- IKE (インターネット キー交換)
- カプセル化セキュリティ ペイロード (ESP)
- 認証: MD5、SHA-1、SHA2-256、SHA2-384、SHA2-512
- 暗号化プロトコル:DES, 3DES, AES
- 暗号化の強さ:
- DES および 3DES:56 ビット
- AES:128、192 または 256 ビット
- 必要なポート:
- TCP ポート 443
- UDP ポート 43
- トランスポートおよび認証プロトコル:
- SSL (セキュア ソケット レイヤー)
- TLS (トランスポート層セキュリティ)
- 認証: MD5、SHA-1、SHA-256、SHA-512ヒントSHA-256 と SHA-512 は SHA-2 のバリアントです。
- 暗号化プロトコル:
- 3DES
- AES
- 暗号化の強さ:
- 3DES: 56 ビット
- AES:128、192 または 256 ビット
- 必要なポート: UDP ポート 1701、IKE は UDP ポート 500
- トランスポートおよび認証プロトコル:
- L2TP (レイヤー 2 トンネリング プロトコル)
- IPSec (インターネット プロトコル セキュリティ)
- IKE (インターネット キー交換)
- カプセル化セキュリティ ペイロード (ESP)
- 認証: MD5、SHA-1、SHA2-256、SHA2-384、SHA2-512
- 暗号化プロトコル:DES, 3DES, AES
- 暗号化の強さ:
- DES および 3DES:56 ビット
- AES:128、192 または 256 ビット
Mobile VPN with SSL の場合、別々のポートとプロトコルを選択できます。詳細については、次を参照してください:Mobile VPN with SSL 用ポートとプロトコルの選択