データの保護

  • [アーティクル]

IPSec の管理

最終更新日: 2002年12月27日

目次

IPSec ポリシーの作成
ポリシーの割り当て
IPSec ポリシー エージェント サービス

IPSec セキュリティ サービスの設定には、アプリケーション プログラミング インターフェイス (API) やオペレーティング システムではなく、IPSec ポリシーを使用します。ポリシーを使うと、大半の既存ネットワーク内のほとんどのトラフィックの種類を、さまざまなレベルで保護することができます。ユーザー、グループ、アプリケーション、ドメイン、サイト、またはグローバル エンタープライズのセキュリティ要件に応じて、IPSec ポリシーを設定することができます。Microsoft Windows 2000 の提供する管理インターフェイスである IPSec ポリシー管理 は、ドメインに所属する Active Directory レベルのコンピュータ、またはドメインに所属しないローカル コンピュータの IPSec ポリシーを定義します。

IPSec ポリシーは、Active Directory 内に作成されたコンピュータ、サイト、ドメイン、または組織単位に適用することができます。IPSec ポリシーは、組織の明文化された (または明文化されていない) 安全な運用のためのガイドラインに基づいている必要があります。規則と呼ばれる複数のセキュリティ操作を利用して、異種セキュリティ グループのコンピュータまたは組織単位に 1 つのポリシーを適用することができます。

IPSec ポリシーの格納場所は 2 個所あります。

  • Active Directory

  • スタンドアロン コンピュータと、ドメインに参加していないコンピュータのローカル レジストリ (信頼された Microsoft Windows 2000 ドメインにコンピュータが一時的に参加していない場合、ポリシー情報はローカル レジストリにキャッシュされます)。

各ポリシーは、組織で構築したセキュリティ プランを考慮したシナリオに応じて適用する必要があります。DHCP サーバー、ドメイン ネーム システム (DNS)、Windows インターネット ネーム サービス (WINS)、簡易ネットワーク管理プロトコル (SNMP)、またはリモート アクセス サーバーにポリシーが割り当てられている場合、場合によって特別な構成設定が適用されます。

IPSec ポリシーの作成

Microsoft Windows 2000 には、セキュリティ保護しないものから密にセキュリティ保護するものまで、3 種類のセキュリティ ポリシーがプレインストールされていますが、多くの場合、セキュリティ管理者は特定のセキュリティ ニーズと要件に適した固有のポリシーを作成する必要があります。これを実行する方法のひとつが、IP セキュリティ ポリシー ウィザード を使用することです。IP セキュリティ ポリシー ウィザードを使用すると、以下を設定できます。

フィルタ : IPSec では、IP アドレス範囲、プロトコル、特定のプロトコル ポートに応じて、通信の許可、セキュリティ保護、さらには拒否を指定する基盤として、IP パケット フィルタ メソッドを使用します。

管理者が IPSec ポリシーの特定のフィルタとフィルタ操作を指定できるようにすることで、IPSec によるアクセス制御を行えます。簡易 IP パケット フィルタと認証の成功という 2 種類のアクセス制御が可能です。また、操作の許可と拒否によって、送受信された IP パケットの種類または通信先のアドレスを制御できます。

IPSec ドライバ : アクティブな IPSec ポリシーの IP フィルタ一覧を使用し、セキュリティ保護の必要な発信 IP パケットと、検証と復号化が必要な着信 IP パケットを監視します。

下図に示したように、IPSec ドライバは、IPSec ポリシー エージェントから IP フィルタ一覧を受信します。IPSec ドライバは、格納された IP フィルタ一覧と、すべての発信 IP パケットが一致しているか監視します。一致した場合、発信パケットはセキュリティのネゴシエーションを開始します。IPSec ドライバが、インターネット キー交換 (IKE) に通知し、セキュリティ ネゴシエーションが開始されます。

規則 : IPSec ポリシーがいつどのように通信を保護するかを定めたものです。IP トラフィックの発信元、送信先、種類に基づいて、セキュリティ保護された通信をトリガおよび制御できるようにします。

各規則は、IP フィルタ一覧と、フィルタ一覧と一致した場合に実行されるセキュリティ操作のコレクションで構成されます。

  • フィルタ操作

  • 認証方式

  • IP トンネル設定

  • 接続の種類

各ポリシーには 1 つの規則、もしくはすべてを同時にアクティブにできる複数の規則を含めることができます。たとえば、サイト ルータごとに 1 つのポリシーを付与したいが、イントラネットとインターネットの通信に異なるセキュリティ操作が必要な場合、セキュリティ管理者は可能な通信シナリオごとに複数の規則を作成し、ルータに対して 1 つのポリシーを使用することができます。

クライアントとサーバー ベースの多様な通信を含む、既定の規則が IPSec に提供されています。これらはそのまま利用することもできますし、特定の要件に応じて変更することもできます。

IP パケット フィルタ : IP アドレスは、ネットワーク上のコンピュータ システムの場所を特定します。各 IP アドレス内部は、ネットワーク ID とコンピュータ ID の 2 つの部分に分かれています。

  • ネットワーク ID は、より大きな TCP/IP ネットワーク (ネットワークのネットワーク) 内で単一のネットワークを特定するものです。この ID は、大規模ネットワーク内で各ネットワークを一意に特定する場合にも使用します。

  • 各デバイス (ワークステーションやルータなど) のコンピュータ ID は、固有のネットワーク内のシステムを特定します。

マルチホーム コンピュータはネットワーク アダプタごとに複数の IP アドレスを所有します。

フィルタ : 規則では、IP パケット フィルタと呼ばれるプロセスを利用し、IP トラフィックの発信元、送信先、種類に基づいて、通信のセキュリティ ネゴシエーションをトリガできるようになります。セキュリティ保護、拒否、または (セキュリティで保護されずに) 通過する IP トラフィックを明確に定義できます。

IP フィルタ一覧内の各フィルタは、インバウンドおよびアウトバウンドの両方のトラフィックにおいて、セキュリティ保護する特定のサブセットを示しています。

  • インバウンド フィルタ は、受信トラフィックに適用し、受信先のコンピュータが IP フィルタ一覧とトラフィックを照合できるようにします。セキュリティ保護された通信要求への応答、または既存のセキュリティ アソシエーション (SA) とのトラフィック照合により、セキュリティ保護されたパケットを処理します。

  • アウトバウンド フィルタ は、送信先に向けコンピュータから出力されるトラフィックに適用され、トラフィック送信前に実行する必要のあるセキュリティ ネゴシエーションをトリガします。

関連する規則の適用されたあらゆるトラフィックに、フィルタを利用できる必要があります。一例として、コンピュータ「A」がコンピュータ「B」と常に安全にデータを交換したい場合について説明します。

  • セキュリティ保護されたデータをコンピュータ B へ送信するには、コンピュータ B へのアウトバウンド パケット用のフィルタが、コンピュータ A の IPSec ポリシーに必要です。

  • コンピュータ A からのセキュリティ保護されたデータを受信するには、コンピュータ A からのインバウンド パケット用のフィルタがコンピュータ B の IPSec ポリシーに必要です。

フィルタは以下のパラメータで構成されます。

  • IP パケットの発信元アドレスと送信先アドレス。単独の IP アドレスのように非常に詳細なレベルから、サブネットやネットワーク全体を含むグローバル レベルに至るまで、設定することができます。

  • パケットを転送するプロトコル。TCP/IP プロトコルのすべてのプロトコルを網羅するように既定で設定されています。カスタムのプロトコル番号などの特別な要件を満たすように、個々のプロトコル レベルに合わせてフィルタを設定できますが、これは評価された構成の対象外となります。

    注意 : 通信の転送モードに IPSec ポリシーを適用する設定のみが、評価された構成の対象となります。

  • TCP と UDP 用プロトコルの発信元ポートと送信先ポート。これも既定ですべてのポートを網羅するように設定されていますが、特定のプロトコル ポートに送信または受信されたパケットのみに適用するよう設定することができます。

フィルタ操作 : フィルタ操作は、通信のセキュリティ要件を設定します。使用するアルゴリズム、セキュリティ、プロトコル、および主要なプロパティなど、フィルタ操作に含まれたセキュリティ メソッド一覧に、これらの要件が指定されています。

フィルタ操作は以下のポリシーと共に設定することもできます。

  • パススルー ポリシー。 これはセキュリティ保護された通信を提供しません。この場合、IPSec は単にトラフィックを無視するだけです。このポリシーは、リモート コンピュータが IPSec 対応でないためにセキュリティ保護できないトラフィックや、保護が必要なほど重要ではないトラフィック、あるいは固有のセキュリティを提供するトラフィックに適しています。

  • ブロック ポリシー。 特定のアドレスまたはアドレス グループからの通信を阻止します。

  • ネゴシエート ポリシー。 セキュリティとネゴシエートするが、非 IPSec 対応コンピュータとも通信できるポリシー。ネゴシエーションの削除時にフォールバックを使用するように、フィルタ操作を設定することができます。このようなフィルタ操作の設定が必要な場合、IP フィルタ一覧を最小限の範囲に制限します。ただし、その使用には極めて注意を要します。このポリシーによって影響を受ける通信は、理由に関わらずネゴシエーションに失敗した場合、データが保護されずに送信される可能性があります。IKE ネゴシエーションの発信側が応答側からの応答を受信した場合、ネゴシエーションを削除するフォールバックが許可されません。

フィルタ操作に関する推奨事項

  • 認証されていないコンピュータとの通信を禁止する必要がある場合は、重要でないデータにネゴシエートしていないか、あるいは相手が IPSec 対応でない場合にブロック ポリシーやパススルー ポリシーなどのフィルタ操作を利用しているか確認します。

  • カスタムのセキュリティ メソッドを設定するときは、上位層のプロトコルでデータ暗号化を実行する際に、ESP 機密性を [なし] に設定します。

  • (IPSec トンネリングを含む) リモート通信シナリオでは、3DES のみ、短期のキー有効期間 (50 MB 未満)、およびマスタ キーとセッション キーの PFS (Perfect Forward Secrecy) など、高レベルのセキュリティを指定するセキュリティ メソッドの一覧を考慮します。これは、既知のキー攻撃の防止に役立ちます。

IP フィルタ一覧 : 以下は IP フィルタ一覧に関する推奨事項です。

  • コンピュータ グループを 1 つのフィルタのみでカバーする必要がある場合、一般的なフィルタの使用を試みます。.たとえば、特定のコンピュータの発信元と送信先の IP アドレスを指定せずに、[フィルタのプロパティ] ダイアログ ボックスの [任意の IP アドレス] または IP サブネット アドレスを使用します。

  • 論理的に関連付けられたネットワークのセグメントのトラフィックをグループ化およびセキュリティ保護できるようにフィルタを定義します。

  • フィルタを適用する順序は、IPSec ポリシーの閲覧時に表示される順序とは関係ありません。すべてのフィルタは、システム起動中に IPSec ポリシー エージェントによって同時に取得され、特殊性の高いものから順に処理され、並べ替えられます。すべてのフィルタ処理が終了するまで、一般的なフィルタより先に特殊なフィルタが適用されるという保証はありません。システム起動中に一部の通信操作に影響を与える場合もあります。

次の手順でドメイン コントローラに IPSec ポリシーを作成します。

  1. 次の手順で Windows のエクスプローラを開きます。[スタート] をクリックし、[プログラム][管理ツール] の順にポイントし、[ドメイン コントローラ セキュリティ ポリシー] をクリックします。

  2. [セキュリティの設定] を展開し、[Active Directory の IP セキュリティ ポリシー] を右クリックします。[IP セキュリティ ポリシーの作成] をクリックすると、IP セキュリティ ポリシー ウィザードが表示されます。

  3. [次へ] をクリックします。

  4. ポリシー名を入力し、[次へ] をクリックします。

  5. [既定の応答規則をアクティブにする] チェック ボックスをオフにし、[次へ] をクリックします。

  6. [プロパティの編集] チェック ボックスが選択されていることを確認し (既定)、[完了] をクリックします。

  7. 作成したポリシーの [プロパティ] ダイアログ ボックスで、右下の [追加ウィザードを使用] チェック ボックスがオンになっていることを確認し、[追加] をクリックすると、セキュリティの規則ウィザード が起動します。

  8. [次へ] をクリックし、セキュリティの規則ウィザードの次の手順に進みます。

  9. [この規則ではトンネルを指定しない] を選択し (既定は選択)、[次へ] をクリックします。

  10. [すべてのネットワーク接続] のラジオ ボタンを選択し (既定は選択)、[次へ] をクリックします。

  11. [認証方法] で [Windows 2000 既定値 (Kerberos V5 プロトコル)] を選択し、[次へ] をクリックします。

  12. IP フィルタ一覧を選択し、[次へ] をクリックします。

  13. フィルタ操作を選択し、[次へ] をクリックします。

  14. セキュリティ規則を編集するには、[プロパティの編集] チェック ボックスをオンにし、[完了] をクリックします。

ページのトップへ

ポリシーの割り当て

  1. 次の手順で Windows のエクスプローラを開きます。[スタート] をクリックし、[プログラム][管理ツール] の順にポイントし、[ドメイン コントローラ セキュリティ ポリシー] をクリックします。

  2. [セキュリティの設定] を展開し、[Active Directory の IP セキュリティ ポリシー] をクリックします。

  3. 割り当てるポリシーを右クリックし、メニューから [割り当て] を選択します。

  4. これで、詳細ボックスの [ポリシーの割り当て] フィールドが [はい] に変更されます。

ページのトップへ

IPSec ポリシー エージェント サービス

ポリシー エージェントの目的は、IPSec ポリシー情報を取得して、情報を必要とする他の IPSec メカニズムに渡し、ここに示すセキュリティ サービスを実行することです。

IPSec ポリシー エージェント

ポリシー エージェントは、各 Windows 2000 コンピュータに常駐し、システム サービスの一覧に表示される IPSec サービスで、以下のタスクを実行します。

  • コンピュータがドメインのメンバの場合は Active Directory から、ドメインに参加していない場合はローカル レジストリから適切な IPSec ポリシーを取得します (ポリシーが割り当てられている場合)。

  • アクティブな IPSec ポリシー情報を IPSec ドライバに送信します。

ポリシーの取得は、システム起動時、IPSec ポリシーに指定された間隔 (コンピュータがドメインに参加している場合)、および既定の Winlogon ポーリング間隔 (コンピュータがドメインに参加している場合) で実行されます。IPSec ポリシー情報は、ドメインに所属するコンピュータで集中的に設定され、Active Directory に格納されます。また適用されたコンピュータのローカル レジストリにキャッシュされます。

  • 一時的にドメインと切断されたコンピュータにポリシー情報がキャッシュされている場合、コンピュータがドメインに再接続したときに、そのコンピュータの新しいポリシー情報がキャッシュされた古いポリシー情報を上書きします。

  • スタンドアロンのコンピュータ、またはポリシーの格納場所に Active Directory を使用していないドメインのメンバであるコンピュータの場合、IPSec ポリシーはローカル レジストリに格納されます。

ポリシー エージェントはシステム起動時に自動的に開始されます。ディレクトリ サービスまたはレジストリに IPSec ポリシーがない場合、またはポリシー エージェントがディレクトリ サービスと接続できない場合、ポリシー エージェントはポリシーが割り当てられるか、有効になるまで待機します。

ページのトップへ