VPN のセキュリティ情報
ネットワークで VPN サーバーを使用するときは、セキュリティに関するベスト プラクティスに従うことが重要です。詳細については、「セキュリティに関するヒント集」を参照してください。
VPN サーバーがリモート認証ダイヤルイン ユーザー サービス (RADIUS) クライアントとして構成されている場合は、「IAS のセキュリティ情報」を参照してください。
VPN 接続に関する既知のセキュリティ問題には、次のようなものがあります。
- 多くの認証方法には、ほとんどの組織に十分なセキュリティを提供できるだけの強度がありません。
多くの組織は、ネットワークをさまざまなセキュリティ攻撃にさらす認証方法を使用しています。最もセキュリティで保護された認証方法は、スマート カードと共に使用する拡張認証プロトコル - トランスポート レベル セキュリティ (EAP-TLS) です。ただし、EAP-TLS とスマート カードには公開キー基盤 (PKI) が必要となるため、展開が複雑になる場合があります。
推奨事項 :
-
パスワードベースの認証を使用する場合は、ネットワークに強力なパスワード ポリシーを適用して、辞書攻撃を防ぐようにします。詳細については、「強力なパスワード」を参照してください。
-
パスワード認証プロトコル (PAP)、Shiva パスワード認証プロトコル (SPAP)、およびチャレンジ ハンドシェイク認証プロトコル (CHAP) を無効にします。PAP、SPAP、および CHAP は、リモート アクセス ポリシーのプロファイルでは既定では無効になっています。
-
Microsoft チャレンジ ハンドシェイク認証プロトコル (MS-CHAP) を無効にします。MS-CHAP は、リモート アクセス ポリシーのプロファイルでは既定では有効になっています。MS-CHAP を無効にする前に、アクセス サーバーのクライアントがすべて MS-CHAP バージョン 2 (MS-CHAP V2) を使用できることを確認してください。サーバーが Microsoft® Windows Server 2003 を実行していない場合は、MS-CHAP V2 をサポートするのに最新の Service Pack とダイヤルアップ ネットワークの更新が必要になります。
-
MS-CHAP を無効にしない場合は、MS-CHAP の LAN Manager 認証を無効にします。MS-CHAP の LAN Manager 認証は、古いバージョンの Windows を実行しているクライアントで既定では有効になっています。
-
LAN Manager 認証を無効にするには、次のレジストリ キーのレジストリ値 Allow LM Authentication を 0 に設定します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy
注意
-
レジストリを正しく編集しないと、システムが正常に動作しなくなる場合があります。レジストリを変更する前に、コンピュータ上の重要なデータのバックアップを作成する必要があります。
注
-
レジストリ エディタを使用すると、レジストリのエントリを変更できます。詳細については、「レジストリ エディタ」および「値を変更する」を参照してください。
-
MS-CHAP V2 が有効になっていることを確認します。MS-CHAP V2 は、リモート アクセス ポリシーのプロファイルでは既定では有効になっています。
-
Windows XP を実行しているワイヤレス クライアントに対しては、拡張認証プロトコル (EAP)-MS-CHAP V2 と保護された拡張認証プロトコル (PEAP) を有効にします。PEAP と EAP-MS-CHAP v2 は、相互認証を提供します。IAS サーバーは証明書で認証され、一方でユーザーはパスワード ベースの資格情報で認証されます。詳細については、「IAS の新機能」を参照してください。PEAP を使用するリモート アクセス ポリシーの例については、「安全なパスワード認証によるワイヤレス アクセス」を参照してください。
-
EAP-TLS を有効にします。EAP-TLS は、リモート アクセス ポリシーのプロファイルでは既定では無効になっています。EAS-TLS 認証プロトコルを使用するときは、IAS サーバーにコンピュータ証明書をインストールする必要があります。クライアントとユーザーの認証では、クライアント コンピュータに証明書をインストールするか、スマート カードを使用できます。証明書を展開する前に、正しい要件を使用して証明書を設計する必要があります。詳細については、「ネットワーク アクセスの認証と証明書」と「証明書ベースの認証用のコンピュータ証明書」を参照してください。
- リモート アクセス アカウント ロックアウトが権限のあるユーザーへのネットワーク アクセスを否定できます。
リモート アクセス アカウント ロックアウトが有効になっているときに、悪意のあるユーザーが権限のあるユーザーのログオン名を使用して辞書攻撃を試みた場合は、アカウント ロックアウトのしきい値に達するまで、悪意のあるユーザーと権限のあるユーザーの両方のアカウントがロックアウトされます。
推奨事項 :
-
アカウント ロックアウトのポリシーを定義する場合は注意してください。詳細については、パスワードに関する「パスワードのヒント集」を参照してください。
-
認証に成功するか、自動リセットによってユーザー アカウントのロックアウト カウントが 0 にリセットされると、そのユーザー アカウントのレジストリ サブキーが削除されます。アカウント ロックアウトのしきい値が自動的にリセットされる前に、ユーザー アカウントのロックを手動で解除するには、ユーザーのアカウント名に対応する次のレジストリ サブキーを削除します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout\DomainName:UserName
注意
-
レジストリを正しく編集しないと、システムが正常に動作しなくなる場合があります。レジストリを変更する前に、コンピュータ上の重要なデータのバックアップを作成する必要があります。
注
-
レジストリ エディタを使用すると、レジストリのエントリを変更できます。詳細については、「レジストリ エディタ」および「値を変更する」を参照してください。
-
リモート アクセスのアカウント ロックアウトは、ユーザー アカウントのプロパティで表示される [アカウント] タブの [アカウントのロックアウト] の設定とは無関係です。
リモート アクセス アカウント ロックアウトでは、イントラネットにアクセスしようとしている悪意のあるユーザーと、リモート アクセスをしようとしているが、現在のパスワードを忘れてしまった正規のユーザーが区別されません。通常、現在のパスワードを忘れてしまったユーザーは、記憶しているパスワードを試してみるため、試行回数と MaxDenials の設定に応じて、そのユーザーのアカウントがロックアウトされることがあります。
- 既定のドメイン機能レベル設定 (Windows 2000 混在モード) によってセキュリティの欠陥が生じる場合があります。
できる限り、Windows 2000 または Windows Server 2003 を実行しているサーバーを使用するようにします。ルートとリモート アクセスを実行しているサーバーを、Windows NT® 4.0 およびリモート アクセス サービス (RAS) またはルートとリモート アクセス サービス (RRAS) を実行しているサーバーと共に使用すると、ネットワークのセキュリティのレベルが低下します。詳細については、「ドメインとフォレストの機能」および「ドメインのメンバ サーバー」を参照してください。
追加の推奨事項 :
- VPN サーバーまたは DHCP サーバーが IP アドレスのリースを VPN クライアントに割り当てることができるようにします。
VPN クライアントが独自の IP アドレスを指定することは許可しないようにします。VPN サーバーが DHCP サーバーから取得したアドレスを使用するか、構成した指定範囲内のアドレスを使用して、VPN サーバーがリモート アクセス クライアントにアドレスを割り当てる方法は、[ルーティングとリモート アクセス サーバーのセットアップ ウィザード] を実行したときに設定されます。詳細については、「L2TP ベースのリモート アクセス VPN 展開」および「DHCP」を参照してください。
- 最強の暗号化を実現するには、常にレイヤ 2 トンネリング プロトコル/インターネット プロトコル セキュリティ (L2TP/IPSec) 接続を使用します。
最もセキュリティで保護された認証を確保するにはスマート カードを使用し、スマート カードの使用が実用的でない場合には、証明書を使用します。
- インターネット キー交換 (IKE) ネゴシエーションには証明書を使用します。
事前共有キーは使用しないようにします。事前共有キーを使用すると、辞書攻撃を受けやすくなります。
セキュリティに関する考慮事項とヒント集の詳細については、次を参照してください。