SSL-VPNってどうよ?
■ このスレッドは過去ログ倉庫に格納されています
おい、藻前ら
ナウで流行りのSSL-VPNを欲しいんだが、
どれ買ったらよいよ?
こうほ
F5、ネトスクリン apache+mod_proxy+broadcom暗号カード+カスタムapache認証モジュールベースで、
ごりごりGUI管理などを付け加えてアプライアンス化すれば作れそうな気がしてきた >>39
100万以下ってローレンジだと思う。
まあそれはおいておいて、そういう金が無いユーザーに限ってクレーム
だけは一人前だから保守費もかさむしむしろそういう層には売りたくな
いのかも。
>>40
いくつかの製品はLinux+apacheベースなのでできると思うよ。
そして良いモノを作れば金持ちになれる可能性もある。
ただ、r-proxy系の機能だけだと一番ショボいalteonやciscoにも及ばな
いと思う。やっぱりSSL-VPNというくらいだからブラウザのコンポーネン
トを使って透過的に内部NWにアクセスできないと。
今日入っていた某社からの見積もり依頼も「低価格路線」でと念押しがあった(´д`; )
IP130しか勧められないじゃんw
>>40
FirePassはLinuxベース
Linuxで、、て
OpenVPNとか使って終了、にならないか?
適当にWebインタフェース作っておけば、そこそこマイナーだし、誰もわからない
かもしれない apache+mod_proxy+broadcom暗号カード+カスタムapache認証モジュール+OpenVPNを組み合わせて、
自作アプライアンス作成できそうだな
あとは、ActiveXやJavaをつかったSSLVPNクライアントだな 個人的にはSoftEtherがWebベースになってくれればと思う
登氏に期待w
N+Iで管理部門に認知度が増えてくれれば売れると思うんだけどな〜。
会場で喪前らと会っているかもしれないと考えると((;゚Д゚)ガクガクブルブル
そうそうNetscreenは日本語化したらしいね。
どこかはまだ英語らしいけど
F5とNetscreenが国内市場では一歩リードって感じ。
とエロイこといいつつ
まだ漏れは売ってないので(´・ω・`)ショボーン SSL-VPNの必要性がわからん。SSLとVPNを統合するメリットは、なんだ?
コスト的に割があわんと思うが。 >>47
それは藻前様が管理コストを考えてないからと思われ。
拠点間はIPsecで無問題で値段的に勝てないが
PCにインスコするIPsecVPNの場合('A`)マンドクセって実感すると思うよ。
小さいノーミソの私が考えた利点(経験上?)
・素人がクライアントソフトをインスコ&設定ができないから。
・管理部門が全部インスコするといっても時間が結構食うから。
・RAS('A`)メンドクセし案外高いから。
・プラットフォーム選ぶから。
・VPNを簡単に組みたいんじゃ(゚Д゚)ゴルァ!!
・クライアントソフトのCPU負荷が案外高いから。
・むしゃくしゃしていた。相手は誰でもよかったから。
と思われ。
また何かあれば補足よろしく〜(=゚ω゚)ノ >>48
気持ちはわからんでないが、規模の問題だろ?小規模または個人が使う上
ではメリットなしじゃないかぁ。管理コストもソフト的に徐々に解決する
と思われるが。VPN組むだけなら、安価なルータで簡単にできるだろw
まぁ、機嫌が悪いときは、仕方ないか。 >>49
VPNが10人までとかの小規模は誰も導入しないと思う。
その程度の人数ならインスコも簡単だしね。
同時アクセスが25人ぐらいからがSSL-VPNの導入目安なんじゃない?
RASの置き換えが現在メインだから23人程度かもしれないが。
その程度になると管理が面倒になるころだしね。
正直IPsecが('A`)メンドクセって思う状況にならない限り
IPsecVPNには費用も速度も勝てない。
逆に言えば小規模は相手にしていない製品でしょう。
そろそろコテハンもウザイと言われそうなので次から名無しにチェンジ リバースプロキシ上で認証して社内リソースにアクセスというのはいままでもあったが、
それをアプライアンス化・高機能化したような感じですね 1.場所を選ばない
インターネット喫茶、客先や出向先のLAN環境下、自宅
2.端末を選ばない
専用VPNソフトウェアをインスコする必要が無いから
携帯などからでも使える機種もある
3.運用費が安い
運用コストが従来のRAS(ダイヤルアップ、IPsec-VPN等)より抑えられる
メリットが激しく得られるのは100人規模を超える企業だと思います。
いろいろモジュールを突っ込むと100ユーザぐらいじゃ導入するメリットが少ないんじゃないか?
IPSecとSSL−VPNを比較した場合イニシャル4倍以上、運用1/2ぐらいにしかならんし、
インパクト少なすぎ。。>SSL-VPN
漏れは300ユーザ以上の企業に入れた事はあるが>じゅにぱ(NS)
IPsecなんかマンドクセ
クライアントソフトのバージョンアップとか
社員が全国に散っているとやってられねー
つうかさ、わざわざ暗号化する必要ってある?
盗聴とかいうけど、どこで盗聴されるの? 具体的に言って美奈代。
POPもSMTPもイントラにNATすりゃぁいいじゃん。
ファイル共有なんかFTP使えばいいじゃん。
と、厨房っぽい発言を"あえて"してみる。 つーかさ、盗聴される、されないなんてどっちでもいいのよ。
ネタがないからみんなSSL−VPNに走ってるだけよ セキュアな環境ってのは、幾ら高度で高価なシステムを導入しても
使って人間が危機管理の無い香具師らだと全て無駄。
結局、セキュリティの究極は利用者の人間教育(意識改革)に尽きると思う。
暗号化、認証を厳しくするのは世の中の流れじゃない?
来年からは否が応でも個人保護法案も全面施行される訳だし。
それなりに個人情報を扱う組織は特に気にする訳よ。
そこへ暗号だの認証だののソリューションもってくと飛びつくんだよねw
そんなんに金掛けるなら、人間教育しろっての!
公共機関然り。 ぶっちゃけA-Gateでいいと思う。
クライアントライセンスはフリーだし。 >55
内側でやられちゃうケースが増加傾向にあると感じる。
>56
ある意味そーやね。
>>59
老後は貴方の会社に雇って欲しい・・・。
スレ違いスマソ。
あんまりメリットないねえ。
管理は楽だけど使えるアプリが少ないんじゃ。
要件にもよるだろうけど、ユーザのレベルが高ければIPsecで十分。
もっと売りになるものがないと、softetherに時代は持っていかれるな。 >>61
何よ使えるアプリって。
IPだったら何でもOKじゃん。
>>61
メリットは大きいけど、
管理側の負担が増大するのと価格が大きな問題なんじゃ?
費用対効果が合わない、という言い方ならわかるけど。
>>62がいうように今はクライアントレス+ALLIPアプリOK が標準だよ。 >>61
SSL-VPNの利点を知らなさ過ぎです。
エンタープライズ系だと、クライアントに専用ソフトを入れ込むって作業は
管理側の負担はデカんだよ(´д`; )
まず、全てのユーザに基本的な設定スキルを求めちゃダメです。
到底、無理な話だからw 全部のアプリ動く?
社内で作りこんだアプリが動かなくてあしかせになってます。アクティブXなのに >>65
TCP/UDPのみで動くアプリなんですか?
某F社が作ったシステムでNetBIOSが必須なんて変なシステムもありましたがw
そのアプリで使う通信仕様は? N+Iいったので超個人的感想&報告
クレームは入れないで〜。
Netilla見てきた。
tarantellaが入っているらしい。パワーポイントが開いたときはチョト感動。
トンネルでUDPがOKらしい。L3トンネルとか言っていた。
多重に認証システム可能というのは面白い。
けど高いらしい。ダメじゃん。
NOKIAみてきた。
激しくシンプル。セキュリティが(・∀・)イイ!!
案外安いぞ(゚Д゚)ゴルァ!!
a-gate使うならIP130使おうとおもた。
Alteon
漏れ無視ですか、そうですか・・・・なのでパス
絶対売らねーぞ(゚Д゚)ゴルァ!!
Array
N+Iじゃないけど別件で調べた。
UDPトンネルOKでLLBと速度が気になるならいいかも。
SLBは秋頃対応だそうで。
以上私怨交じりの報告ですた(`Д´)ゞ 私もN+I行って来ました。
FirePass+SMXでデモやってるブースが多かったですね。
各社力を入れてるなぁと言った感じです。
阿部様のデモで、地味でしたが次期versionの仮想デスクトップが見られました。
へぇ×15
FirePassのSSL-VPNアプレットってなんで通信のたびにHDDアクセスしてるんですかね。
パフォーマンス悪すぎなんですけれど・・・? >>68
LLBとかSLBって何ですか?
ぐぐっても中国語ばっかりでてくるんですが・・・ >>72
SLBは使わないかな?
漏れは使っているが少数派ですか・・・・。
LLBは余り使わないかも。スマソ。
SLB=鯖ロードバランス
LLB=回線ロードバランス(マルチホーミング)
という意味でよろしこ。 >>73
ロードバランスのことだったんですね。
そういえばAlteonのconfなんかでよく見た記憶がw
SSL-VPNでSLBとは気づきませんでした。
アプリケーションサーバ側には、
既にAlteonなんか入ってたりするケースが
多そうなんですが、やっぱりできたほうが
嬉しいもんなんでしょうか。
SSL-VPN装置の多重化と、それを両Activeで
動かせればそれで良いんじゃないか思ったりして >>74
SSL-VPNはどこもレベルがあがっているので
差別化の意味でそういう付加機能をつけてきたと思われる。
多分いつものごとく
価格が安い低機能と価格が高い高機能の二極化に突き進んで
体力の弱いベンダの淘汰が始まると予想してみるテスト。
でもSLBはあったら使うと思う。
ダウンして首が飛ぶなら(゚听)イラネ。
飛ばないんだったら鯖セットとして管理しやすいと思う。
障害切り分けは難しくなるけどな(´ー`)y─┛~~ すいません。
F5 FirePass のデモ機かりたら、コンソールに
Lilo Boot:
Linux kernel とかあらわれるんですけどwワラタ P3だし
ってまぁそういうもんだとおもうが。HDD壊れたら壊れるんだろうか
そんなんやったら、ソフトだけ売ってくれよ、と思うのだがあるの?
そういやその手のLinux搭載アプライアンスってKernelのアップデートとか
どうするんだろう?保守に含まれるもんなん? うは。ここ強制fusianasanですか・・・・(;_;
スマソ。吊ってきます。
hackしないでね。おねがいします・・・・・
いや、マジで。
>>77
デモ機借りてるんだったら容易に個人が捕捉できちゃいますね。
あと、基本的にHDD壊れちゃったら終わりですよ。
特にFP10x0はシングル構成だし。
>>78
FPなら保守に含まれるけど、カーネルアップデートがあるかない
かは入れてみないとわかりません。 リモートでNotes使いたいんですけど
何処の機器を使うのが御勧めですか?
>>81
ノーツクライアント使いたいならPPP over SSL機能があるメーカーで無問題かと。
漏れだったら自分の触ったことがあるので
F5(デフォでok)とかNetscreenSA(SAMでok,NCまでは(゚听)イラネ)がオススメだ! 阿部様のEX-750ってドウヨ?
EX-1500と筺体同じで何処が廉価版なのか疑問。
ライセンスだけで制限掛けているようにしか思えん。
教えて偉い人!
>>81
Notesって元々、暗号化してなかったけ
port 1352 だけ外部にあけとけばいいんじゃないか?だめぽ
二重にするならVPNできるやつなら、何でもいいと思われ。
値段と機能の折り合いのみかなーと >>84
Webやファイル共有をリモートから使うついでに
Notesも〜って感じなので。
代理店から説明聞いたんですが、
FirePassのv5.0ってすごいですねえ、色々と拡張されてる(^^; もう、softetherでいいよ
マンドクセーから プロやヲタばかりの会社ならそれでもいいだろうけどね。 BIG-IPとFirepassの統合まだ?
FirePassは、LinuxだからBSD/OSのBIGIPとの統合は難しいのかな?
いっそのこと、VMwareみたいな仮想OS上で動かして、双方を一つの筐体に 多分誰も買わないからやらないと思う。あとv9はもうBSDじゃないよ。 >>88
> BIG-IPとFirepassの統合まだ?
> FirePassは、LinuxだからBSD/OSのBIGIPとの統合は難しいのかな?
> いっそのこと、VMwareみたいな仮想OS上で動かして、双方を一つの筐体に
もう巨IPもlinuxなんですが 厳密に言うとLinuxじゃないんだけどね。
あと、統合はそもそも設置場所が違うからあまり意味無いと思う。
ハードウェアのデザインだけは統合されるけど。 会社でSSL-VPNを入れる事にしたのだが悩んでいる
Juniper
F5
Safe-Net
CiscoVPN3000
位が候補に上がってるのだが比較サイトみたいな処はないだろうか?
F5のダウンロードモジュール1.6Mbyte位あるそうだ
PHSとかで接続したらSSL-VPNが動作するまで延々掛かりそうだな webベースのアプリならクライアント側にダウンロードモジュールなんて必要ないじゃん >>93
うーん客観的な比較サイト自体は見た事ないなぁ。
一つずつ自分で確かめれ。
Webベースアプリのみなら値段で逝っとけ。
L3ベースの通信必要なアプリあるならF5逝っとけ。
認証はデジタル証明書使っとけ。 >>93
PHSで接続する前に社内からLANでつないで予めインストールしとけば? >>97
なーんかあんまり「クライアントレス」っぽくないな。
モジュールをインストールするなら、IPSecVPN使えばいいじゃん。 SSL-VPNでも最近のはやりは、エンドポイントセキュリティなんかい? 今から入れるなら IPSec だろ。
SSLが安全と言ってしまうかどうかでセキュリチー会社の質が問われる 不特定のPCからインターネット軽油での使用が前提ならSSL-VPNでしょう
特定の会社とか特定少数のPCならIPsecだろうけどね 使用状況等々の要素を考えずに言い切ってしまう人材がいる
会社の質が問われる。 >>100
流行だけ。導入のハードルは高いと思います。
>>101
SSLが安全じゃないって言いたいのかい?
>>102
インターネット軽油ってどんな軽油ですか?
リッター幾らですか?(藁
>>103
禿堂
SSL-VPNで会社にアクセスしている人に聞きたいのですが
使用感どうですか? うーん、普通に便利だと思うよ。
家から開発環境にアクセスできるし、海外旅行行ってもメールチェック
できるし。
IPSecとの比較という意味だとシラネ。使ったこと無いから。 エンドポイントセキュリティの導入ハードル高いかぁ?
ぜんぜんそんな感じしないぞ。 Notesなど、ポート転送の使い方をユーザに説明するのが正直めんどくさい。 >じゅにぱ
Webだけなら特に問題ないけど、IPレベルの通信する場合は管理者権限必要だと。
ユーザにそんな権限与えてません。。。
他の製品はどうですか? ActiveXコンポーネントをインストールするから与えざるを得ないよね。
社内で使うものならIT部門が配るときにインスコしておけばいいんでは。
Firepassも同様だけど、コンポーネントのローディングだけはJavaでできる。 金余ったんでfirepassの安いやつ買ってみます。
調べてみてわかったんだけど、やっぱり完全にユーザ側のインストールレス
や設定レスってわけにはいかないね。ActiveXは管理者権限必要だし、Javaは
runtimeが必要だし。runtimeだってバージョンによって動かなかったり。
でもIPSecよりはずっとトラブルは少ないけど。 ssl-vpnの認証(認証1)を行ったあとに、active directoryの認証
(認証2)を行って、SSOでExchangeとSPSを使いたいんだけど・・・。
こんなことできるの売ってる? ユーザー サポート用に Windows XP のリモートアシスタントに接続できるような
仕組みはないものかしら。
ユーザーがSSL クライアントを ブラウザとかから Javaなり activeX を起動したら、
サポセンの人はユーザーPCの、リモートアシスタントに接続できるような。
PPP over SSL ならできそうな感じもするけど、
何かありませんかね?
アライドとかSonicwallから、安い製品でてきましたね。
所詮はアライドだから、
価格相応の機能提供かと思われ(ワラ
>>121
License的には無制限だけど、同時50セッションぐらいで弱りますって書いてるよ。
ハッキリ言って使い物にならん。
>>122
いいかもしれない。
試してみます。 ありがとう。 Firepassって、F5のサイトみるとモバイルデバイスのサポートってとこで、
PDA端末(PalmOSなど)でセキュアアクセスができますって書いてあるのと、
PocketPCネットワークアクセスクライアントの説明がある。
PocketPCネットワークアクセスクライアントってのを実際に使ってるひと
いますか?
PalmOSにもネットワークアクセスクライアントってのが存在するのか、
知ってる人います?
>>126
PocketPC用はiPaq, Genio等インテルプラットフォームのみ。
WindowsMobile5.0には非対応なのでW-ZERO3では使用不可。
iPaqで使ったことあるよ。普通だった。
PalmOS対応NWアクセスクライアントは無い。 じゅにぱのSSL-VPNでSA2000を導入しているが、
携帯電話でも可能ですといわれてやってみたら
携帯電話で安全でないサイトというメッセージが
連発する。SSL証明書の発行はできんのか? >>128
寝ぼけたらあかんよ
携帯で安全なサイトだと認証できる証明書は、限られた発行機関のもののみ。
自己署名だと、警告が出るか、そもそも繋げられないようになっている
警告は仕方のないものなのか......
なにか手立てはあるのかなと思っていたので..... SSL-VPNをNAPT環境で利用することはできますでしょうか。
GIP ---> F/W(NAPT) ---> SSL-VPNGateway
SSL-VPNを導入しなければならないのですが、グローバルIPのリソースがもうない為、
SSL-VPNゲートウェイを暫定的にTrust領域に設置し、
NAPTにて外部からアクセスさせるような構成をとりたいと考えております。
SSL-VPNゲートウェイにログインするまでは、当然問題ないと思うのですが、
その後の挙動に不安がございます。
Proxyで動作するモードと、Trustネットワークにトンネル(ActiveX)を張るモードの両方を
使用したいと考えておりますが、
SSL-VPNGatewayのログインポートのみを外部に公開するだけで、
問題なく動作しますでしょうか・・。
ご存知の方がいらっしゃいましたら、ご教示の程よろしくお願いいたします。 >>131
使っているSSL-VPN装置にも拠るかもしれないけど、
こちらでは、そういう使い方してるよ。
>>132
情報ありがとうございます。
装置に拠るところがあるのかちょっと心配ですが、
その線で構築行ってみようかと思います! SonicWALLがまた安い製品を出しました。
SSL-VPN 200、、、、、\193.000なり。
安すぎる。外部からの同時アクセスを考えると、中小規模はこれで十分だと
思います。大体IPSecの環境がすでにあって、更にSSL-VPNを検討するユーザー
が巷では多いですから。エンドポイントセキュリティは期待できませんけどね。
http://www.sonicwall.com/japan/products_sslvpn200details.html
うちの会社がF5なんだが、ネットワークアクセスすると接続完了したあと
数秒で"再接続中"になってネットワークにアクセスできない。
今更こんな質問担当の人にも聞けないし
誰かこんな俺をヘルプミー >>135
PCのAdmin権限持ってるならとりあえずActiveXコントロールの再インストールしてみたら? >>135
C:\WINDOWS\Downloaded Program Files
配下にある「F5 Networks」で始まるファイルを
全て消してみて試してみたら?
それに加えて
c:\Windows\Downloaded Program Filesフォルダで
del ur*
もやってみて。 ■ このスレッドは過去ログ倉庫に格納されています