文章はすべて切り返しである

アナリストとして、ネットワーク暗號(hào)化、暗號(hào)化の転送、または仮想プライベートネットワークのセキュリティに関する質(zhì)問(wèn)が増えています。TJマックスの親會(huì)社であるTJX、Marshalls、HomeGoodsストアなどが経験したセキュリティ突破を懸念してのことかもしれない。ミネソタ州サンパウロ近くのMarshalls衣料品店のWi-Fiネットワークの脆弱性をハッカーが利用した場(chǎng)合（クリックして事件を確認(rèn)）、數(shù)百萬(wàn)人のクレジットカードが被害を受けた。

セキュリティ突破に遭ったのはTJXだけではない。米政府內(nèi)の現(xiàn)役軍人の80%の名前を含む個(gè)人データが突破された注目の個(gè)人データが突破された事件もある。これらの事件は、送信され保存された個(gè)人識(shí)別データの暗號(hào)化を求める行政命令を米政府に下した。

私はよくネットワークエンジニアと暗號(hào)化転送中のデータについて話します。ここでは、まず暗號(hào)化伝送のVPNの様々なタイプを紹介し、次に複雑さの順に考慮すべき暗號(hào)タイプを提案します。暗號(hào)化された送信における情報(bào)の最も一般的な2つの技術(shù)は、SSL（セキュア?ソケット層）とIPsec（IPネットワーク?セキュリティ?プロトコル）である。

ネットワーク暗號(hào)化の4種類(lèi)

1.クライアントなしSSL：SSLの元のアプリケーション。このアプリケーションでは、ホストコンピュータが暗號(hào)化されたリンク上でソース（Webサーバ、メールサーバ、ディレクトリなど）に直接接続されます。

2.VPNデバイスを構(gòu)成するクライアントレスSSL：このSSLを使用する方法はホストにとって最初の方法と類(lèi)似している。ただし、暗號(hào)化通信の作業(yè)は、Webやメールサーバなどのオンラインリソースではなく、VPNデバイスで行われます。

3.ホストからネットワークへ：上記2つのシナリオでは、ホストは暗號(hào)化されたチャネルでリソースに直接接続されています。この方法では、ホストはクライアントソフトウェア（SSLまたはIPsecクライアントソフトウェア）を?qū)g行して1臺(tái)のVPNデバイスに接続し、このホストターゲットリソースを含むそのネットワークの一部となる。

SSL：設(shè)定が簡(jiǎn)単なため、SSLはすでにこのタイプのVPNの事実上の選択となっている。クライアントソフトウェアは通常、Javaベースの小さなプログラムです。ユーザーは気づかないかもしれません。

IPsec：SSLがホストからネットワークを作成する一般的な方法になる前に、IPsecクライアントソフトウェアを使用します。IPsecはまだ使用されていますが、混亂しやすいように、ユーザーに多くの設(shè)定オプションを提供しています。

4.ネットワークからネットワークへ：このタイプの暗號(hào)化トンネルVPNを作成する方法はたくさんあるが、使用する技術(shù)はほとんどIPsecである.

ネットワークからネットワークへのVPNの場(chǎng)合、あるネットワークデバイスから別のネットワークデバイスへの暗號(hào)化について議論しています?，F(xiàn)在のネットワークデバイスが行うことを期待しているため、このディスカッションでは、他のテクノロジーとの相互作用、サービス品質(zhì)、深さパケット検出、または広域ネットワークアクセラレーションを使用する広域ネットワークの使用が多いという他の課題が発生します。導(dǎo)入時(shí)にこれらのサービスを考慮していない場(chǎng)合は、暗號(hào)化によってサービスが無(wú)効になります。ネットワークアドレス解析は、まず暗號(hào)化された接続を確立する能力に干渉するため、克服すべきもう1つの障害です。

オーバーレイネットワーク：暗號(hào)化トンネルVPNは、既存のネットワーク上にオーバーレイ暗號(hào)化接続を作成することによって機(jī)能します。暗號(hào)化された接続は、このネットワーク上の2つの特定のインタフェース間に存在します。ソースから見(jiàn)ると、暗號(hào)化するネットワーク通信が再ルーティングされたり、異なるインタフェースに転送されたりすると、暗號(hào)化されません。この通信が暗號(hào)化された後に再ルーティングされ、指定されたインタフェース以外のインタフェースに送信されると、復(fù)號(hào)化されたり破棄されたりすることはできません。

暗號(hào)化されたVPNでは、DNS、IPアドレス、およびルーティングに特に注意が必要です。いくつかのセキュリティVPN技術(shù)と専用アドレス分野は非常によく動(dòng)作している。一部のセキュリティVPN技術(shù)は、ネットワークのエンドポイントに動(dòng)的アドレスを採(cǎi)用している場(chǎng)合でもよく動(dòng)作します。場(chǎng)合によっては、企業(yè)はすべてのインターネット通信を1つの中心にルーティングするのが好きです。他の場(chǎng)合、分割トンネル方法を使用して、分岐點(diǎn)には獨(dú)自のインターネットゲートウェイがあります。

帯域幅：ネットワークエンジニアは帯域幅の問(wèn)題を絶えず解決しながら、ユーザーにできるだけ最高の體験を提供します。しかし、暗號(hào)化されたVPNの場(chǎng)合、暗號(hào)化帯域幅や大型データストリームを暗號(hào)化して復(fù)號(hào)する能力を考慮する必要があります。

どんな動(dòng)機(jī)であれ、この技術(shù)を探るのはちょうどいい時(shí)だ。暗號(hào)化技術(shù)は、ファイアウォール、ルータ、WANアクセラレータに組み込まれた、以前よりも安価で製品が多い技術(shù)です。しかし、多くのネットワークエンジニアやデザイナーにとって、この技術(shù)には異なる考え方が必要です。複雑なレベルの順序で考えて、この技術(shù)の中で選択するために、ネットワークとネットワークユーザーの負(fù)擔(dān)を最小限に抑えるために努力する、など。いくつかの基本的な原則を守ることで、暗號(hào)化技術(shù)がネットワークの安全を保証するものになることを保証することができます