付録 B: IPsec ポリシーの要約

最終更新日: 2005年5月30日

この章では、このソリューションで使用している分離グループのすべてのポリシー設定について簡潔に説明します。

トピック

一般ポリシー構成
分離ドメインのポリシー
フォールバックを行わない分離グループのポリシー
境界分離グループのポリシー
暗号化分離グループのポリシー

一般ポリシー構成

以下の情報は、このソリューションで定義されているすべてのポリシーに含まれています。

ポリシーの基本設定

  • ポリシーの更新 : テスト環境の公開では 5 分。 この値は、運用環境では 60 分に増やしてください。 60 分が経過すると、ホストは Active Directory® ディレクトリ サービスからポリシーを更新します。 この機能により、既に割り当てられている IPsec ポリシーに対する変更を、組織のネットワーク全体に 1 時間以内で展開できるようになり、あらゆるネットワーク侵害に迅速に対応することができます。

  • IKE メイン モードの有効期間 : 3 時間。

  • MM ごとのセッション : 0、無限。

  • マスタ PFS : 不使用。この機能は、Microsoft® Windows® インターネット キー交換 (IKE) の機能として使用されていません。これは、他の製品でサポートされていないことが理由で、重複する機能を排除するためでもあります。 MM ごとのセッションを 1 に設定することで、同じ機能が得られます。

  • IKE キー交換セキュリティ メソッド : 3DES/SHA1/高 (2048)、3DES/SHA1/中 (2)、3DES/MD5/中 (2)。キー交換のセキュリティ メソッド

注 : [高 (2048)] は、Microsoft Windows Server 2003 および Windows XP SP2 でのみサポートされています。Windows 2000 および Windows XP の初期のバージョンでは無視されます。 Windows 2000 と Windows XP SP1 以前では、[中 (2)] を使用することで IKE との互換性を確保できます。

既定の応答規則 = 無効

規則 1 :

フィルタ一覧 : "IPSEC - Cluster VIP Exemption List"

フィルタ : My <-> Specific IP Address, Mirrored - Currently Empty

説明 : "組織内のすべてのクラスタ VIP の IP アドレス"

フィルタ操作 : IPSEC-Permit

認証 : Kerberos

トンネル : No

接続の種類 : ALL

規則 2 :

フィルタ一覧 : "IPSEC - DHCP, Negotiation Traffic"

フィルタ : My <-> Any, UDP, SRC Port 68 to DST Port 67, Mirrored

説明 : "DHCP ネゴシエーション トラフィックを許可"

フィルタ操作 : IPSEC-Permit

認証 : Kerberos

トンネル : No

接続の種類 : ALL

規則 3 :

フィルタ一覧 : "IPSEC - DNS Exemption List"

フィルタ : Any <-> 192.168.1.21, Mirrored

Any <-> 192.168.1.22, Mirrored

説明 : "組織内のすべての DNS サーバーの IP アドレス"

フィルタ操作 : IPSEC-Permit

認証 : Kerberos

トンネル : No

接続の種類 : ALL

規則 4 :

フィルタ一覧 : "IPSEC - Domain Controller Exemption List"

フィルタ : Any <-> 192.168.1.21, Mirrored

Any <-> 192.168.1.22, Mirrored

説明 : "組織内のすべての DC の IP アドレス"

フィルタ操作 : IPSEC-Permit

認証 : Kerberos

トンネル : No

接続の種類 : ALL

規則 5 :

フィルタ一覧 : "IPSEC - WINS Exemption List"

フィルタ : Any <-> 192.168.1.22, Mirrored

説明 : "組織内のすべての WINS サーバーの IP アドレス"

フィルタ操作 : IPSEC-Permit

認証 : Kerberos

トンネル : No

接続の種類 : ALL

規則 6 :

フィルタ一覧 : "IPSEC - LOB Application Servers Exemption List"

フィルタ : Any <-> 192.168.1.10, Mirrored

説明 : "組織内のすべての LOB サーバーの IP アドレス"

フィルタ操作 : IPSEC-Permit

認証 : Kerberos

トンネル : No

接続の種類 : ALL

規則 7 :

フィルタ一覧 : "IPSEC - ICMP, All Traffic"

フィルタ : My <-> Any, ICMP, Mirrored

説明 : "ICMP トラフィックを許可"

フィルタ操作 : IPSEC-Permit

認証 : Kerberos

トンネル : No

接続の種類 : ALL

規則 8 :

フィルタ一覧 : "IPSEC - Exempt Addresses"

フィルタ : Any <-> Specific IP Address, Mirrored - Currently Empty

説明 : "IPsec 通信から除外する特定の IP アドレス"

フィルタ操作 : IPSEC-Permit

認証 : Kerberos

トンネル : No

接続の種類 : ALL

規則 9 :

フィルタ一覧 : "IPSEC - Exempt Subnets"

フィルタ : My <-> Specific IP Subnet, Mirrored - Currently Empty

説明 : "IPsec 通信から除外するサブネット"

フィルタ操作 : IPSEC-Permit

認証 : Kerberos

トンネル : No

接続の種類 : ALL

規則 10 :

フィルタ一覧 : "IPSEC - Policy Version: (1.0.041001.1600)"

フィルタ : 1.1.1.1 <-> 1.1.1.2, ICMP, Mirrored

説明 : "実際のフィルタ一覧ではない。  IPsec ポリシーのバージョンの特定に使用。"

フィルタ操作 : IPSEC-Permit

認証 : Kerberos

トンネル : No

接続の種類 : ALL

規則の動作の説明

規則 1 : この規則は、クラスタ VIP への送信通信を除外するのに必要です。 この規則は、このサーバーからクラスタ VIP への通信が必要ない場合は含めないでください。

規則 2 : この規則は、非 IPsec 動的ホスト構成プロトコル (DHCP) のネゴシエーションの使用を許可します。

規則 3 : この規則は、適用除外リストに含まれている DNS (ドメイン ネーム システム) システムへの 非 IPsec 通信を許可します。

規則 4 : この規則は、適用除外リストに含まれているドメイン コントローラ システムへの非 IPsec 通信を許可します。

規則 5 : この規則は、適用除外リストに含まれている Windows インターネット ネーム サービス (WINS) システムへの非 IPsec 通信を許可します。

規則 6 : この規則は、適用除外リストに含まれているホストへの非 IPsec 通信を許可します。 Woodgrove Bank は、基幹業務アプリケーション サーバー用にこのフィルタ一覧を作成しました。

規則 7 : この規則は、非 IPsec インターネット制御メッセージ プロトコル (ICMP) トラフィックの使用を許可します。

規則 8 : この規則は、適用除外リストに含まれているホストへの非 IPsec 通信を許可します。 フィルタ一覧が空の場合は、この規則をポリシーに含めることはできません。

規則 9 : この規則は、適用除外リストに含まれているサブネットへの非 IPsec 通信を許可します。 フィルタ一覧が空の場合は、この規則をポリシーに含めません。

規則 10 : この規則は、ポリシーのバージョン情報を追跡する目的でのみ使用します。 フィルタ一覧の実装に使用するフィルタは、ICMP トラフィックを許可する 2 つの特定の IP アドレスで構成されたダミー フィルタです。 ポリシーに空のフィルタ一覧を追加することができないため、このダミー フィルタが必要となります。

ページのトップへ

分離ドメインのポリシー

ここでは、Woodgrove Bank のソリューションで分離ドメインの作成に使用した、フィルタ、フィルタ操作、ポリシー、およびグループ ポリシー オブジェクト (GPO) の詳細について説明します。

規則 11 :

フィルタ一覧 : IPSEC - Organizational Subnets

フィルタ : Any <-> internal subnets, all traffic, mirrored

フィルタ操作 : "IPSEC - Secure Request Mode (Ignore Inbound, Allow Outbound)"

セキュリティ メソッドの優先順位 : ESP-null/SHA1、ESP-null/MD5、   ESP-3DES/SHA1、ESP-3DES/MD5

  セキュリティ保護されていない通信を受け付けない

  IPsec に対応していないコンピュータとのセキュリティ保護されていない通信を許可

認証 : Kerberos

トンネル : No    

接続の種類 : ALL

他のすべてのポリシー設定は、前述の「一般ポリシー構成」と同じです。

規則の動作の説明

規則 11 : この規則は、ポリシーで定義されている最も一般的な規則です。 セキュリティ保護されたサブネットへのトラフィックに一致し、IPsec のネゴシエーションを要求します。 IPsec に対応していないクライアントからのセキュリティ保護されていない通信は受け付けませんが、通信の開始側である場合は IPsec に対応していないクライアントと通信することができます。

ページのトップへ

フォールバックを行わない分離グループのポリシー

ここでは、Woodgrove Bank のソリューションで、フォールバックを行わない分離グループの作成に使用したフィルタ、フィルタ操作、ポリシー、および GPO の詳細について説明します。

規則 11 :

フィルタ一覧 : IPSEC - Organizational Subnets

フィルタ : Any <-> internal subnets, all traffic, mirrored

フィルタ操作 : "IPSEC - Full Require Mode (Ignore Inbound, Disallow Outbound)"

セキュリティ メソッドの優先順位 : ESP-null/SHA1、ESP-null/MD5、

  ESP-3DES/SHA1、ESP-3DES/MD5

  セキュリティ保護されていない通信を受け付けない

  IPsec に対応していないホストとのセキュリティ保護されていない通信を許可しない

認証 : Kerberos

トンネル : No

接続の種類 : ALL

他のすべてのポリシー設定は、前述の「一般ポリシー構成」と同じです。

規則の動作の説明

規則 11 : この規則は、ポリシーで定義されている最も一般的な規則です。 セキュリティ保護されたサブネットへのトラフィックに一致し、IPsec のネゴシエーションを要求します。 IPsec に対応していないクライアントとのあらゆる通信を許可しません。

ページのトップへ

境界分離グループのポリシー

ここでは、Woodgrove Bank のソリューションで、境界分離グループの作成に使用した、フィルタ、フィルタ操作、ポリシー、および GPO の詳細について説明します。

境界ホストはモバイル コンピュータではないことを前提としているため、サブネットを使用してネットワークを定義できます。また、「Windows Server 2003 セキュリティ ガイド」で説明されている要塞ホストとほぼ同様にセキュリティ保護する必要があります。 信頼されていないコンピュータからの攻撃に対して十分に保護する必要があります。 したがって、IPsec ポリシーは、攻撃対象領域を可能な限り削減するフィルタと組み合わせてください。

ポリシーの基本設定 :

IKE メイン モードの有効期間 : 20 分

規則 11 :

フィルタ一覧 : IPSEC - Organizational Subnets

フィルタ : Any <-> internal subnets, all traffic, mirrored

フィルタ操作 : "IPSEC - Request Mode (Accept Inbound, Allow Outbound)"

セキュリティ メソッドの優先順位 : ESP-null/SHA1、ESP-null/MD5、

  ESP-3DES/SHA1、ESP-3DES/MD5

  セキュリティ保護されていない通信を受け付ける

  IPsec に対応していないホストとのセキュリティ保護されていない通信を許可

認証 : Kerberos

トンネル : No

接続の種類 : ALL

他のすべてのポリシー設定は、前述の「一般ポリシー構成」と同じです。

規則の動作の説明

規則 11 : この規則は、ポリシーで定義されている最も一般的な規則です。 セキュリティ保護されたサブネットへのトラフィックに一致し、IPsec のネゴシエーションを要求します。 IPsec に対応していないクライアントからのトラフィックを受け付けることができ、それらのクライアントへの通信を開始できます。

ページのトップへ

暗号化分離グループのポリシー

ここでは、Woodgrove Bank のソリューションで、暗号化分離グループの作成に使用した、フィルタ、フィルタ操作、ポリシー、および GPO の詳細について説明します。

規則 11 :

フィルタ一覧 : IPSEC - Organizational Subnets

フィルタ : Any <-> internal subnets, all traffic, mirrored

フィルタ操作 : "IPSEC - Require Encryption Mode (Ignore Inbound, Disallow

Outbound)"

セキュリティ メソッドの優先順位 : ESP-3DES/SHA1、ESP-3DES/MD5

  セキュリティ保護されていない通信を受け付けない

  IPsec に対応していないホストとのセキュリティ保護されていない通信を許可しない

認証 : Kerberos

トンネル : No

接続の種類 : ALL

他のすべてのポリシー設定は、前述の「一般ポリシー構成」と同じです。

規則の動作の説明

規則 11 : この規則は、ポリシーで定義されている最も一般的な規則です。 セキュリティ保護されたサブネットへのトラフィックに一致し、暗号化された IPsec のネゴシエーションを要求します。 IPsec に対応していないクライアントとのあらゆる通信を許可しません。

ページのトップへ