OpenVPNでは、いくつかの認証方法が利用できます。How Toでも一通り説明されていますが、やや難しいので、少しまとめてみたいと思います。
OpenVPNで使用できる認証方法は、ざっくり言うと以下の4つです。
静的鍵(Static Key)
サーバーとクライアントで同じファイル(静的鍵ファイル)を保持しておいて、その両者が一致することで接続を許可する仕組みになります。ある意味では、このファイルがパスワードの役割を果たしているとも言えます。さらに、この静的鍵ファイルはデータを暗号化する際の鍵としても使用されます。
利点
とにかくセットアップが簡単なことです。サーバー側で鍵を生成し、それをクライアントにコピーしておくだけで使えます。OpenVPN設定ファイルもいくつかの基本的な設定だけでつなぐことができます。
いかに設定が簡単なのかはこちらのページでもお分かりいただけるでしょう。
欠点
最大の難点は1対1の接続しかできないことです。拡張性はゼロと言っていいでしょう。
また、セキュリティ面のリスクとして、PFSが保たれていないことが挙げられます。実際にこれが問題になるかどうかは別として、理論上は弱点とされます。
証明書認証
OpenVPNではスタンダードと言ってもいい方法です。認証機関を自前で設置(easy-rsaなどを使用)し、証明書と秘密鍵で認証する方法で、サーバーごと、クライアントごとに個別の秘密鍵、証明書を生成します。
利点
手間はかかりますが、拡張性、安全性が高く、バランスの取れた方法と言えるでしょう。さらに、秘密鍵にパスワードを付加すれば、万が一秘密鍵が流出してもVPNに接続されることを防止することもできます。
欠点
証明書認証の欠点は、管理者の負担がとにかく大きいことです。
まず、手始めに認証機関のセットアップが必要なことが挙げられます。これは手順さえ理解すればそれほど面倒なことではありません(個人的には、OpenVPNのパッケージにeasy-rsaが含まれなくなったのはさらに面倒になった気がしますが…)。
次に、サーバーごと、クライアントごとに、秘密鍵、証明書を生成、管理する必要があります。証明書には有効期限もあるため、期限が切れる頃には更新処理も必要です。サーバー数やクライアント数が多い場合には、これはかなり頭の痛い問題になります。
さらに、「証明書認証という概念は、ユーザーにとってわかりにくい」という事実が管理者の負担に拍車をかけます。「ファイルで認証する」というのは一般のユーザーにとっては非常に分かりにくいものです。VPNの規模が大きい場合、セットアップ中のユーザーからの問い合わせや、「秘密鍵や証明書を紛失してしまった」という連絡に追われる可能性もあります(いくら「大切なファイルですよ!」と念押ししても、消されちゃったりするんです…)。その際の証明書の再発行、失効手続きなども管理者にとっては手間のかかる作業です。
ID/パスワード認証(プラグイン認証)
OpenVPNでは、認証処理をプラグインとして実装する機能があります。このプラグインで利用されるのがIDとパスワードによる認証です。ユーザーが接続時にID/パスワードを入力し、両者が正しかった場合にVPN接続が開始されることになります。
OpenVPNからはIDとパスワードをプラグインに渡し、プラグイン側でそのデータをもとに認証処理を行います。プラグインの作成も比較的容易です。
利点
ユーザーにとってわかりやすいこと、証明書などのファイル管理が不要なことなどは、管理者にとって大きなメリットです。
また、認証処理自体はプラグイン方式になっているため、さまざまな認証方法(独自のユーザー情報データベースからの検索や、LDAP認証、ワンタイムパスワードによる認証など)を柔軟に使用できるというメリットもあります。
欠点
手軽であることの裏返しとして、セキュリティ面での安全性は証明書認証にはかないません。ID/パスワードが流出すれば、第三者がVPNに接続できてしまうというリスクが伴います。
また、認証プラグインの導入が必要になります。セットアップは初回導入時だけとはいえ、やや手間がかかるのは避けられません。LDAPを認証に使うopenvpn-auth-ldapなどが公開されていますが、使用できるプラットフォームが限定されていたりと、手軽に使える認証プラグインがまだあまり存在していないというのも事実です。
二要素認証(PKCS#12)
PKCS#12の機構を利用して、セキュリティトークンなどを使った二要素認証にも対応できます。
利点
きちんとセットアップされ、想定通り使用されている限りは、安全性の高さはトップクラスと言えます。
欠点
とにかく、セットアップが非常に難しいのが最大の問題です。ユーザーに配布するセキュリティトークンの導入などに伴うコストも他の認証方式にはない問題です。
まとめ
というわけで、ざっとまとめるとこんな感じでしょうか。
| 方式 | 安全性 | 拡張性 | 設定/管理の容易性 |
|---|---|---|---|
| 静的鍵 | ★★☆☆☆ | ★☆☆☆☆ | ★★★★★ |
| 証明書認証 | ★★★★☆ | ★★★★★ | ★★★☆☆ |
| ID/パスワード認証 | ★★★☆☆ | ★★★★★ | ★★★★☆ |
| 二要素認証(PKCS#12) | ★★★★★ | ★★★★☆ | ★☆☆☆☆ |
では、どれを選択すべきか…
まず前提としておかなければいけないのが、1つのOpenVPNサーバーインスタンス内で認証方法(証明書認証とプラグイン認証など)を混在させることはできない、ということです。「このユーザーはID/パスワード認証で、このユーザーは証明書認証」というようなことはできません(証明書認証+ID/パスワード認証を「併用」することはできますが、認証方法は全ユーザー共通になります)。
さて、これを前提に、認証方法をどうするか、という点を考えましょう。
ユーザー数が少ない場合、安全性を特に重要視する場合は、証明書認証が第一候補になります。認証用プラグインも不要ですので、追加のソフトウェアもインストールせずにすぐに使えます。ユーザー数がある程度多くなってくると判断に迷うところですが、流用したいユーザーデータベースなどが存在していないのであれば、安全性の面からは証明書認証から検討するのが望ましいと思います。初回の導入はちょっと面倒でもいいから、今後の管理の手間を削減したい、ということであればID/パスワード認証が有力でしょう。
既にActive Directoryなどで大規模なユーザーデータベースが存在している場合は、ID/パスワード認証を使って既存のデータベースを参照するのが最善でしょう。もしセキュリティをさらに高めたければ、データベース内のパスワードをそのまま使わず、そのパスワードをベースにしたワンタイムパスワードを使うという方法もあります(時刻ベースのワンタイムパスワード(TOTP)の仕組みについてはこちらを参照してください)。
