ネットワーク
ISA Server 2006 を使用して VPN リモート アクセスを構成する
Alan Maddison
概要:
- VPN プロトコル
- サイト間 VPN 接続を構成する
- リモート アクセス VPN 接続を構成する
- ISA Server 2006 の新機能
仮想プライベート ネットワーク (VPN) は、導入および拡張しやすく、ネットワーク接続をきめ細かに制御することができます。セキュリティを強化できるだけでなく、従来の専用ポイント ツー ポイント接続に比べて
コストを大幅に節約することができ、柔軟性も提供されます。
VPN にはさまざまな種類があります。モバイル ユーザーを企業ネットワークに接続するために使用されるものもあれば、地理的に離れている 2 つのネットワークを接続するために使用されるものもあります。使用するプロトコルや提供される機能は、VPN の種類によって異なります。認証と暗号化などのセキュリティ機能を提供するものもあれば、セキュリティ機能がまったく組み込まれていないものもあります。また、他の VPN の種類と比べて明らかにセットアップと管理が容易なものもあります。
この記事では、Internet Security and Acceleration (ISA) Server 2006 を使用して VPN を実装する方法を説明します。特に、ISA の VPN 機能を使用して、2 種類の一般的なシナリオに対処する方法を取り上げます。具体的には、ユーザー用の VPN リモート アクセス接続を提供する方法と、サイト間 VPN 接続を提供する方法について説明します。どちらの実装にもセキュリティ機能を組み込んで、データの機密性を確保し、内部ネットワーク リソースを保護します。
1 つ目のシナリオであるリモート アクセス VPN 接続では、リモート クライアントがインターネットを介した ISA Server への VPN 接続を開始します。ISA Server は、リモート クライアントを内部ネットワークに接続し、ユーザーがデータやアプリケーションなどの内部ネットワーク リソースにシームレスにアクセスできるようにします。2 つ目のシナリオであるサイト間 VPN 接続は、ルーターを使用する (ルーターとして ISA を使用することもあります) ため、少し複雑になります。しかし、この接続では、あるオフィスや支社が、別のオフィスや支社または本社にシームレスに接続できる機能が提供されます。
ISA Server 2006 を使用して VPN を実装することで得られるメリットは、他にもいくつかあります。最大のメリットの 1 つは、ISA Server が統合製品であることに由来します。つまり、VPN 機能とファイアウォール機能が連携して動作することです。また、ISA Server は、Windows Server® 2003 のネットワーク アクセス検疫制御機能を使用して、サーバー側スクリプトによって構成が検証されるまでリモート アクセス コンピュータを隔離する VPN 検疫機能を提供します。この機能により、リモート コンピュータに内部ネットワーク リソースへのアクセスを許可する前に、そのコンピュータのウイルス対策定義の状態やローカルのファイアウォール ポリシーなどを確認する手段が提供されるため、保護を強化することができます。
VPN ソリューションとして ISA Server を利用することで得られる管理上の主なメリットは、ポリシーの一元管理、監視、ログ、レポートなどです。日々の管理業務において、これらは非常に有用な機能になり得ます。特に、リアルタイムの監視機能とログのフィルタ機能は、ISA Server を通過するネットワーク トラフィックと接続の状況を把握するのに役立ちます。
VPN プロトコル
ISA の VPN 接続で使用される主要なトンネリング プロトコルは、防御の最前線として接続を保護します。ISA Server では、レイヤ 2 トンネリング プロトコル (L2TP) over IPsec、Point-to-Point トンネリング プロトコル (PPTP)、および IPsec トンネル モードという 3 つのプロトコルがサポートされています。IPsec トンネル モードはサイト間接続でのみサポートされ、基本的に、L2TP や PPTP がサポートされていないルーターや他のオペレーティング システムとの相互運用性を確保するために使用されます。
L2TP はデータの機密性を保護するメカニズムを備えていないため、IPsec と組み合わせて使用します。堅牢な認証方法と暗号化方法を提供する IPsec が L2TP と連携することで、非常に魅力あるソリューションが提供されます。PPTP は、Microsoft® チャレンジ ハンドシェイク認証プロトコル (MS CHAP) Version 2 または拡張認証プロトコル - トランスポート層セキュリティ (EAP-TLS) を認証に使用し、Microsoft Point-to-Point 暗号化 (MPPE) を (ご想像どおり) 暗号化に使用します。
多くの場合、L2TP over IPsec と PPTP のどちらを選択するかは、各組織固有の要因によって決まります。L2TP over IPsec では、より複雑で高度な暗号化を使用でき、より多くの種類のネットワーク (IP、X.25、フレーム リレー、ATM など) がサポートされます。ただし、PPTP の方が実装が容易で、通常は要件も少なくなります。とはいえ、組織固有の制約がない状況では、L2TP over IPsec を実装することがベスト プラクティスであると考えられています。
サイト間 VPN 接続
ISA Server 2006 では、サイト間 VPN のセットアップを簡素化するために、いくつか大きな変更が施されています。以前のバージョンでは、セットアップにかなり多くの手順が必要でした。この例では、L2TP over IPsec を使用して本社に接続するリモート サイトについて説明します。本社とこのサイトには 1 台ずつ ISA Server を配置します。このプロセスでは、リモート サイトを構成する前に、本社の ISA Server を構成する必要があります。
プロセスの最初の手順は、両方の ISA Server に必要なローカル ユーザー アカウントを構成することです。このユーザー ID により、リモート サイトまたは本社の ISA Server への接続時に使用されるセキュリティ コンテキストが提供されます。このアカウントの名前は、ISA 管理コンソールで作成する VPN 接続の名前と同じものにする必要があります。たとえば、良い名前の付け方としては、(リモート サイトを指している) 本社の ISA Server には "Site VPN"というユーザー名を設定し、リモートの ISA Server には "HQ VPN" を設定します。これらのアカウントを作成したら、アカウントのプロパティにアクセスし、[Dial In] (ダイヤルイン) タブを開いて、[Allow Access] (アクセスを許可) が選択されていることを確認します。
ローカル ユーザー アカウントを作成したら、次は、2 つのサイト間の認証に使用される公開キー基盤 (PKI) 証明書を作成します。事前共有キーを使用することもできますが、常に証明書を使用することをお勧めします。最も簡単に VPN 接続用の証明書をインストールするには、組織で利用しているエンタープライズ証明機関に直接接続し、証明書サーバーの Web サイトに証明書を要求します。ただし、この場合、ISA Server に証明書サーバーへの HTTP 接続を許可するアクセス ルールを作成する必要が生じることがあります。
以前のバージョンの ISA Server を使用したことがある場合は、ISA Server 2006 のインターフェイス (図 1 参照) が格段に直感的になっていることがわかると思います。左側のウィンドウで VPN を選択すると、状況に応じた構成とタスクが中央と右側のウィンドウに表示されます。
図 1** ISA Server 2006 のより直感的なインターフェイス **(画像を拡大するには、ここをクリックします)
右側のウィンドウの [VPN サイト間接続の作成] をクリックして、サイト間 VPN 接続の作成に使用するウィザードを起動します。ウィザードが起動すると、サイト間ネットワーク名を指定するよう求められます。この名前は、以前に作成したユーザー アカウントの名前と同じものにする必要があります。名前を入力したら、[次へ] をクリックします。次の画面 (図 2 参照) で、使用する VPN プロトコル (この記事の例では、L2TP over IPsec) を選択します。[次へ] をクリックすると、ネットワーク名と一致するユーザー アカウントが必要であることを示す警告が表示されます。ここでは、その条件を満たしているため、[OK] をクリックして次の画面に進みます。
図 2** 使用する VPN プロトコルの選択 **(画像を拡大するには、ここをクリックします)
次は、IP アドレス プールを作成します。この方法は 2 つあり、ISA Server に静的アドレス プールを作成するか、既存の DHCP サーバーを使用してアドレスの割り当てを行います。どちらの方法も使用できるため、それぞれの方法に必要な社内の手続きを考慮して、使用する方法を選択します。次の画面では、リモート サーバー名の入力が求められます。リモート サーバーの完全修飾ドメイン名 (FQDN) を入力した後、接続に使用するユーザーの資格情報を入力します。このとき、リモート ISA Server に作成したユーザー アカウントの資格情報を入力する必要があることに注意してください。この例では、HQ VPN というユーザー アカウントを入力します (図 3 参照)。
図 3** リモート サーバーの FQDN の入力 **(画像を拡大するには、ここをクリックします)
次の画面では、発信方向の認証方法を選択します (前述のとおり、常に証明書を使用することをお勧めします)。次に、リモート サイトの内部ネットワークで使用する IP アドレスの範囲を入力します。
ISA Server 2006 Enterprise Edition を使用している場合は、この後にリモート サイトのネットワーク負荷分散専用 IP アドレスを構成できます。ISA Server 2006 Standard Edition を使用している場合は、負荷分散の構成を省略し、次の画面 (図 4 参照) に進みます。この画面では、リモート サイトからローカル ネットワークへのトラフィックのルーティングに使用するネットワーク ルールを作成します。
図 4** トラフィックのルーティングに使用するネットワーク ルールの作成 **(画像を拡大するには、ここをクリックします)
次の画面では、アクセス ルールを作成する必要があります。アクセス ルールを構成する場合、プロトコルの使用を許可するオプションは 3 つあり、すべての送信トラフィックを許可するか、特定のプロトコル以外のすべての送信トラフィックを許可するか、特定のプロトコルのみを許可することができます。ほとんどの場合、すべての送信トラフィックを許可するオプションを選択します。
あともう少しで完了です。この段階で、構成の概要が表示されます。[完了] をクリックすると、サイト間 VPN 接続が作成されます。証明書失効リストのダウンロード用のシステム ポリシー ルールを有効にする必要があることを示すダイアログ ボックスが表示されます。[はい] をクリックして、このルールを有効にします。次に、必要になる可能性がある追加の構成についての情報が表示されます。本社サイトの ISA Server の構成が完了したら、同じ手順を実行してリモート サイトを構成する必要があります。両方の手順が完了したら、両サイトのユーザーが VPN を介して通信できるようになります。
リモート アクセス VPN 接続
クライアント アクセス用のリモート アクセス VPN 接続の構成は、はるかに簡単です (図 5 参照)。まず、ISA Server 管理コンソールの左側のウィンドウで、VPN を選択します。次に、右側のウィンドウで [VPN クライアント アクセスを有効にする] タスクを選択します。ルーティングとリモート アクセス サービスが再起動される可能性があることを示す警告が表示されます (接続の問題が発生する可能性があるため、この変更は予定されている保守期間に実装するとよいでしょう)。[OK] をクリックしてこの警告を閉じると、VPN クライアント トラフィックに ISA Server へのアクセスを許可するシステム ポリシーが有効になります。このルールは、ISA Server 管理コンソールで [ファイアウォール ポリシー] をクリックし、[システム ポリシー ルールの表示] タスクをクリックすることで表示できます。
図 5** リモート アクセス VPN 接続の構成 **(画像を拡大するには、ここをクリックします)
既定のネットワーク ルールも有効になり、内部ネットワークと 2 つの VPN ネットワーク (VPN クライアントおよび検疫 VPN クライアント) との間のルーティングが許可されます。このネットワーク ルールは、左側のウィンドウの [ネットワーク] をクリックし、中央のウィンドウの [ネットワーク ルール] タブを開くことで表示できます。
次は、VPN クライアント アクセスを構成します。追加で構成する必要があるパラメータは 3 つあります。これらは、アクセスが許可される Windows セキュリティ グループ、クライアントにより使用される可能性のあるプロトコル、およびユーザー マッピングです。これらのパラメータの構成に使用するダイアログ ボックスを 図 6 に示します。
図 6** VPN クライアント アクセスの構成 **
[グループ] タブでは、VPN を介したリモート アクセスを許可する Windows グループを選択します。管理の観点では、単一のグループを作成して許可を与えることをお勧めします。これにより、リモート アクセスの管理が非常に容易になります。
[プロトコル] タブの既定では PPTP のみが有効になっています。実際の環境で少しでも使用される可能性がある場合は、L2TP over IPsec を有効にします。
[ユーザー マッピング] タブでは、リモート認証ダイヤルイン ユーザー サービス (RADIUS) などの名前空間から Windows アカウントにユーザー アカウントをマッピングして、アクセス ポリシーが正しく適用されるようにすることができます。これらの構成を完了し、ISA Server に変更を適用したら、すべての作業は完了です。クライアントは、VPN 接続を使用して、内部ネットワークのデータやアプリケーションにシームレスにアクセスできるようになります。
ISA Server 2006 の強化点
ISA Server 2006 では、多数の機能強化が施され、以前のバージョンに比べてパフォーマンスが向上しています。HTTP 圧縮、バックグラウンド インテリジェント転送サービス (BITS) のサポート、サービスの品質 (QoS) などの機能強化により、ネットワークの使用率を最適化するためのさまざまな手法が提供されます。もちろん、これらの手法だけでなく、ISA Server にとって重要な、帯域幅を最適化するための一般的なテクノロジ (キャッシュなど) も使用してください。
HTTP 圧縮は、かなり前からさまざまなマイクロソフト製品でサポートされています。たとえば、Internet Explorer® では Version 4 からサポートされており、Windows Server では Windows® 2000 からサポートされています。ただし、HTTP 圧縮や、業界標準の GZIP アルゴリズムと Deflate アルゴリズムがサポートされている ISA Server のバージョンは、これが初めてです。
これによって何が変わるのでしょうか。HTTP 圧縮のサポートにより、HTTP 1.1 に準拠している Web ブラウザから、あらゆる Web サイトの圧縮コンテンツを要求できます。ただし、圧縮されるのは応答のみで、クライアントが開始した送信接続は圧縮されないことに注意してください。
HTTP 圧縮は、特定のネットワーク ルールに関連付けられるのではなく、ISA Server を通過するすべての HTTP トラフィックに適用されるグローバルな HTTP ポリシー設定です。ただし、リスナ単位で HTTP 圧縮を実装することもできます。この構成は、Web Listener wizard (Web リスナ ウィザード) から行います。
HTTP 圧縮は、左側のウィンドウの [全般] オプションで設定でき、既定で有効になっています。ただし、図 7 が示すように、どのネットワーク要素に圧縮を使用するかを構成する必要があります。サイト間 VPN の例では、[圧縮データを返す] タブを選択し、以前作成したサイト VPN ネットワーク要素を追加する必要があります。この時点で、圧縮するコンテンツの種類を構成することもできます。ISA Server 2006 では、標準のコンテンツの種類を示す一覧が提供されますが、[ファイアウォール ポリシー] 作業ウィンドウの [ツールボックス] タブを使用して、カスタムのコンテンツの種類を追加することができます。[圧縮データを返す] タブでネットワーク要素を指定すると、ISA Server でデータが圧縮されてから、それらがクライアントに返されます。Web サーバーでデータが圧縮されてから、それらのデータが ISA Server に送信されるようにするには、[圧縮データの要求] タブを使用する必要があります。
図 7** HTTP 圧縮の構成 **(画像を拡大するには、ここをクリックします)
バックグラウンド インテリジェント転送サービスは、HTTP トラフィックと HTTPS トラフィック用の非同期ファイル転送サービスです。Windows Server 2003 には BITS 1.5 が含まれています。このサービスでは、ダウンロードとアップロードがサポートされています (アップロードには追加でインターネット インフォメーション サービス (IIS) 5.0 以上が必要になります)。インテリジェント ファイル転送サービスである BITS では、ネットワーク トラフィックを確認し、ネットワーク帯域幅の使用されていない部分のみを使用する機能が提供されます。また、ファイル転送は動的に処理されます。BITS は、通常のネットワーク トラフィックが急激に増加した場合、自身のネットワーク使用率を調整します。このメリットは、サイズの大きなファイルのダウンロードとアップロードが、ネットワークを使用する他の操作に悪影響を与えないことです。これは、管理者にとっては、ネットワークのパフォーマンスが悪いという問い合わせが大幅に減ることを意味します。これは朗報ですね。
BITS では、ユーザー エクスペリエンスとネットワークのパフォーマンスを強化できる機能が他にも提供されます。たとえば、バイナリ ファイルの転送には BITS が使用されます。これは、BITS により、ネットワークの停止などが原因で中断されたファイルの転送を (途中から) 再開できることを意味します。また、ISA Server 2006 には、BITS キャッシュを使用して更新を最適化する、Microsoft Update キャッシュ機能のサポートが組み込まれています。
Differentiated Services (DiffServ) プロトコルでは、HTTP トラフィックと HTTPS トラフィックのパケットの優先順位付け (つまり QoS) が可能です。言い換えると、ISA Server の構成に応じて、特定のトラフィックが優先されます。この機能は、トラフィックの量やネットワークの接続速度が原因で帯域幅が制限されているネットワークで役立ちます。インターネット技術標準化委員会 (IETF) の定義によると、DiffServ は、クラス ベースのトラフィック管理メカニズムです。したがって、DiffServ では、トラフィックの種類が区別され、それに従ってトラフィックが管理されるため、優先順位の高いトラフィックを優先的に処理することができます。
この機能を提供するために、ISA Server は QoS をサポートするルーターと連携して動作します。パケットが同じ優先順位でルーティングされるようにする場合は、ISA Server の DiffServ ビットとルーターでの優先順位が一致するようにしてください。
このパケットの優先順位付けは、DiffServ Web フィルタを使用して ISA Server 2006 を通過するすべての HTTP トラフィックに適用されるグローバルな HTTP ポリシー設定として、ISA Server に実装されています。つまり、ISA Server では、他のプロトコルの DiffServ はサポートされていないため、HTTP 以外のトラフィックで既存の DiffServ ビットが失われる可能性があります。
図 8 に示すように、DiffServ は Web フィルタとして実装されており、左側のウィンドウの [アドイン] をクリックしてアクセスできます。ISA Server は、要求や応答の処理時にそれらのサイズを検査する必要があるため、DiffServ フィルタの既定の設定や優先順位は変更しないようにしてください。
図 8** DiffServ Web フィルタの表示 **(画像を拡大するには、ここをクリックします)
図 8 をよく見ると、DiffServ フィルタが既定では有効になっていないことがわかります。このフィルタを有効にするには、作業ウィンドウの [選択したフィルタの有効化] をクリックした後、フィルタを構成します。ISA Server では、特定の URL またはドメインに基づいて DiffServ パケットの優先順位が決定されるため、この情報を DiffServ 基本設定に追加する必要があります。これを行うには、管理コンソールの左側のウィンドウの [全般] を選択し、[グローバル HTTP ポリシーの設定] の下にある [Diffserv 基本設定の指定] を選択します。この基本設定を指定するときは、優先順位、および優先順位を設定する URL とドメインを定義する必要があります。ISA Server 2006 では、VPN クライアント用のリモート アクセスをセットアップしたり、サイト間 VPN を作成したりするための強力な新機能が提供されます。実装する VPN ソリューションを検討する場合は、まず ISA Server 2006 を候補としてお考えください。
Alan Maddison は、MTI Technology Corporation でマイクロソフト テクノロジの導入支援を担当しているシニア コンサルタントです。主な担当分野は、Active Directory、Exchange Server、および仮想化です。
© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.