スプリットトンネリング

スプリットトンネリングにより、VPN クライアントは、VPN に接続または VPN から切断することなく、セキュリティー保護されたサイトおよびセキュリティー保護されていないサイトの両方に接続できます。この場合の VPN は Netlet です。クライアントは、暗号化パスを通して情報を送信するか、または非暗号化パスを使用して送信するかどうかを判別します。スプリットトンネリングの問題点は、セキュリティー保護されていないインターネットから、クライアントを介して VPN によるセキュリティー保護ネットワークに直接接続が可能であることです。スプリットトンネリングをオフにすると両方の接続が同時に許可されることがなくなり、インターネット侵入に対する VPN 接続 (この場合は Netlet 接続) の脆弱性が低減します。

Portal Server は、ポータルサイトに接続されている間、複数のネットワーク接続を禁止したりシャットダウンしたりしませんが、権限のないユーザーが他のユーザーのセッションに便乗 (piggybacking) する行為を次の方法で阻止します。

• Netlet は、アプリケーション特有の VPN であり、汎用 IP ルーターではありません。Netlet は、Netlet ルールによって定義されたパケットを転送するだけです。この仕組みは、一度ネットワークに接続すれば LAN 全体へのアクセス権が与えられる標準的な VPN とは異なります。

• Netlet を実行できるのは、認証済みのポータルユーザーだけです。ポータルアプリケーションはユーザーが正常に認証されるまで実行されることはなく、認証されたセッションがなければ新規接続は確立されません。

• アプリケーション側の所定のアクセス制御すべては有効に機能し続けるので、攻撃者はバックエンドアプリケーションにも侵入しなければならなくなります。

• Netlet 接続が確立されると、認証されたユーザーの JVM ^TM で動作する Netlet によって、毎回ダイアログボックスによる通知が認証されたユーザーの画面に表示されます。ダイアログボックスでは、検証と確認を行なって新規接続を許可するかどうか尋ねられます。攻撃者が Netlet 接続を利用するためには、Netlet が実行していたこと、Netlet が待機していたポート番号、およびバックエンドアプリケーションへの侵入方法を知っており、ユーザーに安心して接続を認めさせることが必要になります。