2001 年 2 月

Windows 2000 IPSec ポリシー エンジンは、ネットワーク インターフェイスを保護するための非常に効果的な手段を提供します。サーバーで、適切なアクセス制御リストを持つファイヤーウォールやルーターによる保護を設けていない場合、ここで説明する手順を実行することで、サーバーのセキュリティが確保されます。すでに 1 つまたは複数の防御層によってサーバーを保護している場合でも、この手順を実行することでさらに効果的な防御層が追加され、ネットワークの "多層防御 （ Defense in Depth ）" が増します。

ここでは、実際にサーバー間やサーバーとその他のノードとの間で何らかの IPSec セキュリティ アソシエーション[1] を作成するわけではなく、IPSec のインターフェイスとポリシー エンジンを使用し、どのプロトコルをサーバーのネットワーク インターフェイスに許可するのか (そしてほかのすべてのプロトコルをブロックするのか) を指定します。この方法は高度な構成オプションで利用できる TCP/IP フィルタよりもずっと柔軟性があります。2 つの方法を比較すると次のようになります。

IPSec ポリシーを使用してサーバーをロック ダウンすることにより、どのインターフェイスをフィルタ処理すべきなのか、および、どの発信元アドレスを許可するのか (このレベルの粒度が必要な場合) を指定できるようになり、柔軟性が高まります。また、IPSec ポリシーによって、ブロックされたトラフィックが自動的に破棄されるため、セキュリティの度合いも高まります。

IPSec ポリシーを大規模に導入するため、および、サーバー構築プロセス自動化の一環としてポリシーの作成を盛り込むために、Windows 2000 リソース キットには IPSECPOL.EXE が付属しています。このコマンドライン ユーティリティを使用すると IPSec ポリシーの作成をスクリプト化できます。詳細についてはリソース キットでも説明していますが、この文書ではサーバーのロック ダウンという状況に備えるための IPSECPOL.EXE の使用について説明します。

"多層防御 (Defense in Depth)" 戦略

この戦略は軍事関係から採用され、情報セキュリティのための非常によい規範ともなります。ネットワークおよびホストのセキュリティを保つために 1 つのメカニズムだけに頼ることは、次に示すいくつかの理由から、現代の情報攻撃に直面した際に適切であるとはいえません。

• 1 つの設定エラーのために、侵入者によるネットワークへの完全なアクセスを許してしまう。

• 1 つの防御層だけでは攻撃に対し脆弱で、トラブル処理チームが対応するための時間が十分に確保されない。

• 1 つのデバイスですべてのセキュリティ ポリシーに対応しようとする結果、規則セットが扱いにくくなり、保守が困難になる。

保護の責務を複数のデバイスに分散させることで、次のような個々の問題に対応します。

• ある層で発生した設定エラーの影響がほかの層によって緩和される可能性が高くなる。

• 複数の防御層を設けることで攻撃者の手間を増やす。これだけでも不意の攻撃の勢いをそぐことができます。また、防御層は、時間という最も価値の高いリソースをトラブル処理チームに提供します。

• 複数のセキュリティ層により、各層に適したポリシーを作成でき、設定が簡素化される。

多層防御により変化に対応するための優れた柔軟性が得られます。たとえば、何らかの Web サーバー、メール サーバー、ニュース サーバー、および DNS サーバーを備えた DMZ (非武装地帯) ネットワークを持っているとします。また、サーバーのロールを簡単に変更できる自動化プロセスがあり、必要ならば Web サーバーをメール サーバーにすばやく変更できるとします。このような場合に、どのホストがトラフィックを受信するのかを制御する規則をファイヤーウォールで指定していると、サーバーのロールを変更するときにそれらの規則を調整する必要があります。大規模な配置ではこのような保守作業が面倒になる可能性があります。その代わりに、ネットワーク内でどの発信元アドレスや宛先アドレスを許可するのか、ではなく、どのプロトコルを許可するのか、ということに関してのみファイヤーウォールを設定します。そして、IPSec ポリシーを各サーバーに追加して、サーバーの受信トラフィックをそのロールに適するものだけに制限します。IPSECPOL.EXE を使用するとこの作業を簡単に実行でき、ポリシーの作成と割り当てを自動化された構築プロセスの一環として盛り込むことができます。サーバーは自身のロールの変更が必要になるたびに、その新しいロールに適した IPSec ポリシーを自動的に受信するようになります。日常的なロール変更でセキュリティを修正する作業は不要になります。

ポリシーの計画

IPSec ポリシーの作成を始める前に、各サーバーに往来する特定のトラフィックの種類について考える必要があります。トラフィックのリストをただ考えるだけではなく、実際に作成しておけば、ポリシーのフィルタを作成するときに参考になるので便利です。フィルタは厳密すぎるとアプリケーションの障害の原因になり、あいまいすぎるとサーバーを不必要に外部にさらすことになります。各サーバー ロール (またはアプリケーション) ごとに必要なポート、プロトコル、およびフローの方向を記述した文書を作成すると、ポリシーの適正さを保証するのに役立ちます。

下のような表を作成します。この例は、公に利用可能な Web サーバーおよびメール サーバーのための規則をいくつか示しています。実際のデータは状況によって異なり、特に、受信トラフィックの発信元アドレスや送信トラフィックの宛先アドレスを制限する規則を実装するような場合には大幅に異なります。

表が完成したら、IPSec ポリシーの作成を始めることができます。IPSec ポリシーを Active Directory に格納してグループ ポリシーを通じてコンピュータに割り当てるようにすることも可能ですが、作成しようとしているロックダウン フィルタを格納するためのローカル ポリシーを使用したほうが、特定のコンピュータに合わせてポリシーが調節されるので便利です。

用語

Windows 2000 における IPSec ポリシーを理解する上で次の用語を知っておくと役立ちます。

• フィルタ一覧 (ポート、プロトコル、および方向)。トラフィックがここで指定した何らかの条件に一致したときに、決められた動作が起動されます。1 つの一覧に複数のフィルタを収めることもできます。前の節で作成した表から導出します。

• フィルタ操作。トラフィックがフィルタ一覧に一致したときに必要な応答を示します。ここでは、"許可" 操作と "ブロック" 操作についてのみ考慮します。

• 規則。フィルタ一覧とフィルタ操作との相互関係を決めるものです。一般に、IPSec のセキュリティ ネゴシエーション パラメータを指定するときに使用しますが、ここでは使用しません。

• ポリシー。規則のコレクションです。ある特定の時点で 1 つのポリシーだけをアクティブにできます ("割り当てる" ことができます)。

サーバーの IPSec ポリシーの作成を始める準備が整ったら、最初に GUI を使用してみます。後で Resource Kit のコマンド ライン ユーティリティについても説明します。

IPSec のフィルタ一覧とフィルタ操作の作成

コンピュータのローカル セキュリティ設定を開きます。

[ スタート ] をクリックし、 [ プログラム ] 、 [ 管理ツール ] をポイントして、 [ ローカル セキュリティ ポリシー ] をクリックします。

この管理コンソールではいくつかのセキュリティ オプションを設定できます。左側ペインで [ローカル コンピュータの IP セキュリティ ポリシー] をクリックします。右側ペインに Windows 2000 の既定のポリシーが表示されますが、ここでは使用しません。

ここで、右側ペインで右クリックします。メニューの先頭に [IP セキュリティ ポリシーの作成] および [IP フィルタ一覧とフィルタ操作の管理] の 2 つの選択肢があります。ポリシーを作成する前に一覧と操作が必要になるので、まずそれらを作成するために 2 番目の項目の [IP フィルタ一覧とフィルタ操作の管理] をクリックします。

ダイアログ ボックスには、フィルタ一覧用とフィルタ操作用の 2 つのタブがあります。[IP フィルタ一覧の管理] タブには Windows 2000 の既定のフィルタ一覧が表示されますが、ここでは使用しません。

少なくとも次の 2 つのフィルタ一覧を作成します。

• サーバーへの流入を許可するトラフィックに一致するフィルタを少なくとも 1 つ含む一覧。サーバーで動作しているアプリケーションによっては、複数のフィルタおよび複数の一覧を作成することもできます。

• すべての受信プロトコルおよびポートに一致する一覧。この一覧を設置する理由はこの後説明します。

[追加] ボタンをクリックして新しいフィルタ一覧を作成し、フィルタ一覧に名前を付けます。この例では、標準および SSL の両方の Web 機能を実行する Web サーバー用のフィルタ一覧を示しています。

[IP フィルタ一覧] ダイアログ ボックスで [追加] ボタンをクリックし、IP フィルタ ウィザードを起動します。前に作成したポリシー計画に基づいてウィザードの個々の質問に答えます。Web サーバーの例で続けます 以下の箇条書き項目はそれぞれウィザード内の項目です)。

• 発信元アドレスを [任意の IP アドレス] にします。

• 宛先アドレスを [特定の IP アドレス] にします。インターネットに接続するインターフェイスの IP アドレスを入力します。サーバーが 1 つのインターフェイスしかない場合は代わりに [このコンピュータの IP アドレス] を選択することもできます。

• 適切な IP プロトコルを選択します。この例では [TCP] を選択します。

• [IP プロトコルのポート] ページ (プロトコルに対して TCP または UDP を選択している場合のみ表示される) では、発信元と宛先の両方のポートを設定できます。既定の設定は [任意の発信ポート] および [任意の宛先ポート] です。宛先ポートを変更するには、[次の宛先ポート] をクリックしてアプリケーションのポート番号を入力します。この例では [80] です。

• 最後に、ウィザードを完了します。

例に従って作業を続ける場合、別のフィルタを追加することになります。ウィザードと同じ手順に従いますが、宛先ポートが 443 (SSL 経由の HTTP 用) になります。完成したフィルタ一覧は下の図のようになります。

ここで、いくつかの選択肢を選ぶことになります。この例の Web サーバーなどのような単一目的のサーバーで作業している場合は、そのサーバー用のフィルタの作成は完了です。サーバーが複数のロールを果たす場合には、既存のフィルタ一覧にさらにフィルタを追加するか、またはロール固有の追加のフィルタ一覧を作成できます。ロール固有の一覧を作成すると、特定のリストを編集しなくてもポリシーに対してロールを簡単に追加または除外できるので便利です。

既存の一覧にさらにフィルタを追加しようとする場合は、次のようにします。

• [追加] ボタンをクリックして手順を繰り返します。

一覧の作成が完了している場合、またはさらに一覧を作成したい場合は、次のようにします。

• [IP フィルタ一覧] ダイアログ ボックスを閉じて [IP フィルタ一覧とフィルタ操作の管理] ダイアログ ボックスに戻ります。さらに一覧を追加する場合は (複数目的のサーバーの場合にのみ追加することに注意)、手順全体を繰り返します。

" すべての受信トラフィックに一致する " フィルタ一覧。インターフェイスに流入するすべてのトラフィックに一致する、もう 1 つのフィルタ一覧を作成する必要があります。既存のすべての IP トラフィック 一覧は "このコンピュータの IP アドレスから流出するすべての送信トラフィックに一致する" として定義されていますが、ここではうまく動作しません。次の手順に従って正しいフィルタ一覧を作成します。

• フィルタ一覧にすべての受信トラフィックという名前を付けます。

• フィルタの追加作業を開始します。

• 発信元アドレスを [任意の IP アドレス] にします。

• 宛先アドレスを [特定の IP アドレス] にします。インターネットに接続するインターフェイスの IP アドレスを入力します。サーバーが 1 つのインターフェイスしかない場合は代わりに [このコンピュータの IP アドレス] を選択することもできます。

• IP プロトコルを [任意] にします。

• 最後に、ウィザードを完了します。

この一覧はこの後 "ブロック" 操作に一致させることになります。詳細は後述します。

フィルタ一覧が完成したら、[フィルタ操作の管理] タブをクリックします。Windows 2000 の既定のフィルタ操作が表示されます。

操作の 1 つが [許可] であることに注意してください。IPSec ポリシーの中で規則を作成するときは、作成した個々のフィルタ一覧に [許可] 操作を割り当てます。このほか、ブロック 操作というもう 1 つのフィルタ操作が必要になります。ここで、次の手順に従ってこのブロック操作を作成します。

• [追加] ボタンをクリックします。

• フィルタ操作に「ブロック」という名前を付けます。

• 全般オプションで [ブロック] を選択します。

• ウィザードを完了します。

これで、すべての一覧と操作が完成しました。[IP フィルタ一覧とフィルタ操作の管理] ダイアログ ボックスを閉じます。

IPSec ポリシーの作成

適切なフィルタ一覧を作成してブロック操作を追加すると、IPSec ポリシーを作成できるようになります。ここでは、一覧を操作に結び付ける規則を定義します。

[ローカル セキュリティ設定] MMC に戻り、右側ペインを右クリックして [IP セキュリティ ポリシーの作成] を選択し、ウィザードを起動します。次の手順に従います。

• ポリシーにパケットフィルタという名前を付けます。

• [既定の応答規則をアクティブにする] チェック ボックスをオフにします。実際には、受信接続は常に許可されるかブロックされるかのどちらかになるため、このオプションは有効または無効のどちらでも問題はありませんが、念のため規則を無効にしておきます。

• [プロパティを編集する] チェック ボックスはオンのままにして、ウィザードを完了します。

ポリシーは作成されていますが、次のような規則がまだありません。

[追加] ボタンをクリックして、規則をポリシーに追加するためのウィザードを起動します。手順は次のようになります。

• トンネル エンドポイントに対して [この規則ではトンネルを指定しない] を選択します。

• ネットワークの種類を [すべてのネットワーク接続] にします。

• 認証方法を Windows 2000 の既定 (Kerberos V5 プロトコル) にします。次の点を理解することが重要です。つまり、規則は実際にはセキュリティとネゴシエートすることはないため、どの認証方法を選択しても問題ありません。規則によってトラフィックを単にブロックまたは許可するだけのときは認証は発生しません。しかし、設定を既定 (Kerberos) にしておくことで規則作成の手順が簡単になります。

• 前に作成したフィルタ一覧を選択します。例に従い、[受信 Web プロトコル] を選択します。

• [許可] フィルタ操作を選択します (この手順と前の手順の詳細は下の図を参照)。

• ウィザードを完了します。

追加のフィルタ一覧を作成している場合は、それらのフィルタ一覧を [許可] 操作に関連付けるたびに上の手順を繰り返します。

最後に重要な手順として、今度はすべての受信トラフィック フィルタ一覧を [ブロック] フィルタ操作に関連付けるために、再度この手順を繰り返します。IPSec ポリシーのエンジンには "既定の拒否" のような概念が存在しないため、既定の拒否の規則を明示的に作成する必要があります。

規則の作成が完了すると、ポリシーのプロパティは次のようになります。

[プロパティ] ダイアログ ボックスを閉じます。

IPSec ポリシー内で処理される規則。通常のファイヤーウォールやパケット フィルタの規則とは異なり、IPSec ポリシー内の規則の一覧を並べ替える方法はありません。規則エンジンは指定内容に応じてトラフィックと規則を比較します。パケットが複数の規則に一致した場合、エンジンは最も具体的な規則をパケットに適用します。この例の場合では、受信 Web プロトコル フィルタ一覧に一致するパケットは当然すべての受信トラフィック 一覧にも一致しますが、前者の一覧のほうがより具体的であるために、規則エンジンはそのリストを使用して処理を決定します。したがって、受信 Web プロトコルで定義されているトラフィックはサーバーに渡されますが、ほかのすべての (すべての受信トラフィックで定義されている) トラフィックはブロックされます。すべての受信トラフィック フィルタ一覧とそれに対応する [ブロック] フィルタ操作がなければ、このポリシーは実際には何の役にも立たないことになります。

IPSec ポリシーの有効化

ここまで、フィルタ一覧とフィルタ操作を作成し、それらを IPSec ポリシー内の規則に関連付けました。後は、ポリシーを有効化してサーバーに割り当てる作業が残されています。一度に割り当てることのできるポリシーは 1 つだけであるため、フィルタ一覧とポリシー規則によってサーバーでの処理を意図しているすべてのトラフィックが調整されることを必ず確認してください。

ポリシーを割り当てるには、次のようにします。

• 作成したポリシー (この例ではパケットフィルタ) を右クリックし、メニューから [割り当て] を選択します。

ポリシーが直ちに適用され、IPSec エンジンはポリシー内の規則に従ってパケットの処理を開始します。サーバーをリブートする必要はありません。

IPSECPOL.EXE を使用したポリシーのスクリプト化

Windows 2000 リソース キットには、IPSec ポリシーの作成、割り当て、および削除を実行できる IPSECPOL.EXE というコマンドライン ユーティリティが付属しています。IPSECPOL.EXE は非常に柔軟なユーティリティで、Active Directory に、あるいはローカルおよびリモートのレジストリに、動的および静的なポリシーを作成できます。詳細についてはリソース キットのマニュアルを参照してください。ここでは、静的なポリシーをローカル コンピュータのレジストリに作成します。

IPSECPOL.EXE には非常に多くのパラメータがあり、その構文も初めて理解するときは混乱するかもしれません。しかし、ここで説明する例に従うことで、上記の GUI の例で示した設定全体を 3 つのコマンドで複製できます。コマンドごとに MMC を開いて表示を更新し、コマンドが意図したとおりの動作を実行しているか確認することもできます。それでは始めましょう。

下の 1 番目のコマンドは、新しいポリシーを作成し、ポリシーに規則を追加して、2 つのフィルタ一覧と 1 つのフィルタ操作を規則に追加します。

ipsecpol –w REG –p "パケット フィルタ" –r "受信 Web プロトコル" 
          -f *+131.107.1.1:80:TCP –f *+131.107.1.1:443:TCP –n PASS

コマンドは便宜上 2 行になっていますが、実際は 1 行で入力します。パラメータは次のとおりです。

• –w REG —静的なポリシーをレジストリに書き込みます。MMC を使用する場合とまったく同じです。

• –p " パケット フィルタ " —"パケット フィルタ" という名前のポリシーを作成します。

• –r " 受信 Web プロトコル " —"受信 Web プロトコル" という名前の規則を作成します。

• -f *+131.107.1.1:80:TCP —フィルタを追加します。ここで、* は任意の発信元アドレスと任意のポートを指定します。131.107.1.1:80 は宛先アドレス (サーバー独自のアドレス) と特定のポートを指定します。:TCP はプロトコルを指定します。+ はフィルタがミラー化されることを示します。

• –f *+131.107.1.1:443:TCP —前と同じですが、宛先ポートが 443 である点が異なります。

• –n PASS —セキュリティのネゴシエーションなしでトラフィックをパススルーします。

–w、–f、および –n の各パラメータの値は大文字小文字を区別するため、大文字だけを使用してください。

フィルタは必要な数だけいくつでも追加できます。ロール ベースのフィルタ一覧に関してすでに説明したように、サーバーで複数のサービスが動作している場合は、フィルタのクラスごとに別々の IPSECPOL.EXE コマンドを使用してください。たとえば、次のコマンドはポート 110、995、143、993、および 25 への受信接続を許可し、ポート 25 上で任意の場所への送信接続を許可します。

ipsecpol –w REG –p "パケット フィルタ" –r "受信/送信メール" 
          -f *+131.107.1.1:110:TCP –f *+131.107.1.1:995:TCP 
          -f *+131.107.1.1:143:TCP –f *+131.107.1.1:993:TCP 
          -f *+131.107.1.1:25:TCP –f 131.107.1.1+*:25:TCP 
          –n PASS

最後のフィルタ –f 131.107.1.1+*:25:TCP はほかのものとは多少異なります。このフィルタは、任意のポート上のサーバー独自のアドレスからポート 25 上の任意のサーバーへの送信トラフィックを許可します。このフィルタにより、サーバーはインターネットへの送信 SMTP 接続が可能になります。

次のコマンドは、すべてのトラフィックに一致してそれらをブロックする汎用の規則を作成します。

ipsecpol –w REG –p "パケット フィルタ" –r "すべての受信トラフィック" 
          -f *+131.107.1.1 –n BLOCK

パラメータは次のとおりです。

• –w REG —静的なポリシーをレジストリに書き込みます。MMC を使用する場合とまったく同じです。

• –p "パケットフィルタ" —"パケット フィルタ" という名前の既存のポリシーに追加します。

• –r "すべての受信トラフィック" —"すべての受信トラフィック" という名前の規則を作成します。

• -f *+131.107.1.1 —フィルタを追加します。ここで、* は任意の発信元アドレスと任意のポートを指定します。131.107.1.1 は宛先アドレスと任意のポートを指定します。プロトコルの指定がないのは任意のプロトコルを意味します。+ はフィルタがミラー化されることを示します。

• –n BLOCK —トラフィックをブロックします。

最後のコマンドは、ポリシーを割り当てます。

ipsecpol –w REG –p "パケット フィルタ" –x

パラメータは次のとおりです。

• –w REG — 静的なポリシーをレジストリに書き込む。MMC を使用する場合とまったく同じです。

• –p "パケットフィルタ" —"パケット フィルタ" という名前の既存のポリシーに追加します。

• –x —ポリシーを割り当てます。

以上でコマンドはすべてです。これらの 3 つのコマンドを使用すれば、GUI と同じ作業が完了します。IPSECPOL.EXE のサポートをサーバー構築スクリプトに追加するときは、サーバーの完全な構築が完了するまで実際にポリシーを割り当てることは避けたいのが普通です。そこで、スクリプトには –n PASS コマンドと –n BLOCK コマンドだけを記述しておき、すべてのサーバーをインストールした後で、次の形式のコマンドを使用してポリシーをリモートに割り当てることができます。

ipsecpol \\コンピュータ名 –w REG –p "ポリシー名" –x

コマンドで指定するコンピュータに対しては管理権限が必要になります。ポリシーの割り当てを一時的に解除する必要が生じた場合は、–x を –y に置き換えます。

次のコマンドを使用すると、関連付けられたすべてのフィルタ一覧とフィルタ操作を含むポリシー全体を削除できます。

ipsecpol –w REG –p "ポリシー名" –o

サーバー構築プロセスでサーバーをリブートせずにそのロールを動的に変更できる場合には、このコマンドが便利です。既存のポリシーを削除し、それから新しいポリシーを作成して割り当てます。すべてのサーバーでのポリシー作成のスクリプトをリモートに作成したい場合には、すべての形式のコマンドに \\コンピュータ名 を追加できます。

GUI と IPSECPOL.EXE との違い。GUI で表示される特定の項目だけに関連して、いくつかの違いがあります。

• 既定の応答規則は無効にできませんが、パケット フィルタの場合は受信接続が常に許可またはブロックされるかのどちらかであるため問題にはなりません。

• 規則名がフィルタ一覧の名前として使用されます。

• –n PASS コマンドと –n BLOCK コマンドは、既存の [許可] 操作および [ブロック] 操作を使用することはありません (GUI の中で作成した場合)。その代わりに、新しい許可操作またはブロック操作が規則ごとに作成され、"規則名 negpol&quot という名前が付けられます。

• 各フィルタ操作のプロパティに、既定のセキュリティ方式リストがありますが、セキュリティのネゴシエーションは実際には発生しないため、このリストは無視されます。

• –o コマンドを使用してポリシーを削除すると、関連付けられたフィルタ一覧とフィルタ操作も削除されます。GUI では、ポリシーを削除しても関連付けられたフィルタ一覧とフィルタ操作が削除されることはありません。

これで本当に正しく動作するのですか?

これで大丈夫です。Windows 2000 がリリースされてからまもなく、多数の Web サーバーのセキュリティについてのテストが著名な業界誌によって実施され、Microsoft もその参加への招待を受けました。Microsoft では、インターネット インフォメーション サービス 5.0 を使用可能にした Windows 2000 Server を構築しました。サーバーを保護するために施した手段は、パスワードを管理者アカウントに追加し、ここで紹介した例とまったく同様に IPSec ポリシーを作成しただけです。サーバーはインターネットに直接接続し、数週間の攻撃の試行にも耐えることができました。

もちろん、このテストは現在の IIS 5.0 の脆弱性が明らかになる前に実施されたものです。ここで説明した手順では、許可されたプロトコルおよびポートを経由して加えられる攻撃を防ぐことはできないことを理解してください。必ず http://www.microsoft.com/japan/technet/security/default.mspx を参照して、対象の環境に関連する修正プログラムをインストールしてください。

この記事に関するご意見やご質問をお待ちしております。こちら までフィードバックをお送りください。

1 "セキュリティ アソシエーション" とは、2 つのノード間においてネゴシエートされた安全な通信を指します。セキュリティ アソシエーションでは、認証の種類、暗号化アルゴリズム、IPSec プロトコル、および宛先アドレスを指定します。