オープン スタンダードのフレームワークである IPsec は、暗号化セキュリティ サービスを使用することで、IP ネットワーク上でのセキュリティで保護されたプライベートな通信を保障します。Microsoft Windows での IPsec の実装は、インターネット技術標準化委員会 (IETF) の IPsec ワーキング グループが開発した業界標準に基づいています。
IPsec は、送信元 IP アドレスから宛先 IP アドレスまでの信頼とセキュリティを確立します。セキュリティで保護されたトラフィックについて認識する必要があるコンピューターは、送信側のコンピューターと受信側のコンピューターだけです。どちらのコンピューターも、通信に利用するメディアがセキュリティで保護されていないことを想定して、各末端でセキュリティ処理を行います。ファイアウォール タイプのパケットのフィルター処理やネットワーク アドレス変換 (NAT) が発信元コンピューターと宛先コンピューターの間で実行される場合を除き、発信元から宛先までのデータのルーティングだけに関係するコンピューターが IPsec をサポートしている必要はありません。
[IP セキュリティ ポリシー] スナップインを使って、このコンピューターおよびリモート コンピューターで IPsec ポリシーの作成、変更、および割り当てを行うことができます。
注 | |
このドキュメントは、[IP セキュリティ ポリシー] スナップインについて理解し、それを使用するために十分な情報を提供することを目的としています。ポリシーの設計と展開については、このドキュメントでは取り上げません。 |
IPsec ポリシーについて
IPsec ポリシーは、IPsec セキュリティ サービスを構成するために使用されます。このポリシーは、多くの既存ネットワークのほとんどの種類のトラフィックに対して、さまざまなレベルの保護を提供します。IPsec ポリシーを構成して、コンピューター、組織単位 (OU)、ドメイン、サイト、またはグローバル企業のセキュリティ要件を満たすことができます。このバージョンの Windows で提供される [IP セキュリティ ポリシー] スナップインでは、ローカル コンピューターやリモート コンピューター用の IPsec ポリシーを定義したり、ドメイン メンバー (コンピューター) 用の IPsec ポリシーをグループ ポリシー オブジェクトを使って定義することができます。
重要 | |
[IP セキュリティ ポリシー] スナップインを使って、Windows Vista 以降のバージョンの Windows を実行するコンピューターに適用できる IPsec ポリシーを作成することはできますが、このスナップインを使った場合、Windows Vista 以降のバージョンの Windows で利用できる新しいセキュリティ アルゴリズムや他の新機能は使用されません。これらの新しいバージョンの Windows を実行しているコンピューター用に IPsec ポリシーを作成するには、[セキュリティが強化された Windows ファイアウォール] スナップインを使用してください。[セキュリティが強化された Windows ファイアウォール] スナップインで作成したポリシーは、以前のバージョンの Windows には適用できません。 |
1 つの IPsec ポリシーは、全般的な IPsec ポリシー設定と規則で構成されます。全般的な IPsec ポリシー設定は、構成される規則にかかわらず適用されます。これらの設定は、ポリシーの名前、管理目的の説明、キー交換の設定、およびキー交換方法を決定します。IPsec で検査する必要があるトラフィックの種類、トラフィックを処理する方法、IPsec ピアの認証方法、およびその他の設定が、1 つ以上の IPSec 規則によって決定されます。
ポリシーを作成したら、ドメイン、サイト、OU、およびローカル レベルで適用できます。コンピューターでアクティブにできるポリシーは、一度に 1 つだけです。グループ ポリシー オブジェクトを使って配布され、適用されるポリシーは、ローカル ポリシーを上書きします。
IPsec ポリシー スナップインのタスク
ここでは、[IP セキュリティ ポリシー] スナップインを使って実行することができる最も一般的なタスクをいくつか説明します。
ポリシーを作成する
1 台のコンピューターとその IPsec ピアのみを対象にポリシーを作成している場合以外は、一般的に、実際の IT 環境に合わせて一連の IPsec ポリシーを作成する必要があります。ポリシーの設計、作成、および展開のプロセスは、ドメインの規模やドメイン内のコンピューターの均一性などの要因に応じて複雑になる場合があります。
一般的なプロセスは次のようになります。
- 環境内のコンピューター、サブネット、および条件に合致する IP フィルターの一覧を作成します。
- 接続を認証する方法、データ整合性を適用する方法、およびデータを暗号化する方法に対応するフィルター操作を作成します。フィルター操作は、他の条件にかかわらず [ブロック] または [許可] のいずれかにすることもできます。ブロック操作は他の操作より優先されます。
- 必要とするフィルター処理とフィルター操作の (セキュリティ) 要件に合致する一連のポリシーを作成します。
- [許可] と [ブロック] のフィルター操作を使用するポリシーを最初に展開してから、これらのポリシーを調整する必要が生じる可能性がある問題について、IPsec 環境を監視します。
- クリア テキスト通信で代替するオプションを設定して [セキュリティのネゴシエート] フィルター操作を使用するポリシーを展開します。これにより、通信を中断せずに実際の環境内で IPsec の動作をテストできます。
- 必要な調整をポリシーに対してすべて行ったら、すぐにクリア テキスト通信で代替する操作を必要に応じて削除します。これによってポリシーは、接続を作成する前に認証とセキュリティを要求するようになります。
- 環境を監視して、通信が行われていないところがあるかを調べます。これは、メイン モードのネゴシエーション エラーの統計情報が急激に増加することにより判明します。
新しい IPsec ポリシーを作成するには |
[IP セキュリティ ポリシー] ノードを右クリックし、[IP セキュリティ ポリシーの作成] をクリックします。
[IP セキュリティ ポリシー ウィザード] で [次へ] をクリックします。
ポリシーの名前と説明 (省略可能) を入力し、[次へ] をクリックします。
[既定の応答規則をアクティブにする] チェック ボックスをオンにするか、オフのままにして [次へ] をクリックします。
注 既定の応答規則は、Windows XP および Windows Server 2003 以前に適用されるポリシーに対してのみ使用できます。これらよりも後のバージョンの Windows は既定の応答規則を使用できません。
既定の応答規則を使用している場合は認証方法を選択し、[次へ] をクリックします。
既定の応答規則の詳細については、「IPsec の規則」を参照してください。
[プロパティを編集する] チェック ボックスをオンにしたまま、[次へ] をクリックします。必要に応じてポリシーに規則を追加することができます。
ポリシーに対して規則の追加または変更を行う
ポリシーの規則を追加するには |
IPsec ポリシーを右クリックし、[プロパティ] をクリックします。
プロパティのダイアログ ボックスで規則を作成する場合は、[追加ウィザードを使用] チェック ボックスをオフにします。ウィザードを使用するには、チェック ボックスをオンのままにしておきます。[追加] をクリックします。次に、ダイアログ ボックスを使用して規則を作成する手順を示します。
[新しい規則のプロパティ] ダイアログ ボックスの [IP フィルター一覧] タブで、適切なフィルター一覧を選択するか、[追加] をクリックして新しいフィルター一覧を追加します。既にフィルター一覧を作成している場合は、[IP フィルター一覧] に表示されます。フィルター一覧の作成と使用の詳細については、「フィルター一覧」を参照してください。
注 1 つの規則で使用できるフィルター一覧は 1 つだけです。
[フィルター操作] タブで、適切なフィルター操作を選択するか、[追加] をクリックして新しいフィルター操作を追加します。フィルター操作の作成と使用の詳細については、「フィルター操作」を参照してください。
注 1 つの規則で使用できるフィルター操作は 1 つだけです。
[認証方法] タブで、適切な方法を選択するか、[追加] をクリックして新しい方法を追加します。認証方法の作成と使用の詳細については、「IPsec の認証」を参照してください。
注 規則ごとにいくつかの方法を使用できます。これらの認証方法は、一覧に表示される順序で試行されます。証明書を使用するように指定する場合は、これも使用したい順序で一覧に追加します。
[接続の種類] タブで、規則を適用する接続の種類を選択します。接続の種類の詳細については、「IPsec の接続の種類」を参照してください。
トンネルを使用する場合は、[トンネルの設定] タブでエンドポイントを指定します。既定では、トンネルは使用されません。トンネルの使用の詳細については、「IPsec のトンネルの設定」を参照してください。トンネル規則をミラー化することはできません。
すべての設定が完了したら、[OK] をクリックします。
ポリシーの規則を変更するには |
IPsec ポリシーを右クリックし、[プロパティ] をクリックします。
[ポリシーのプロパティ] ダイアログ ボックスで、規則を選択し、[編集] をクリックします。
[規則の編集のプロパティ] ダイアログ ボックスの [IP フィルター一覧] タブで、適切なフィルター一覧を選択するか、[追加] をクリックして新しいフィルター一覧を追加します。フィルター一覧の作成と使用の詳細については、「フィルター一覧」を参照してください。
注 1 つの規則で使用できるフィルター一覧は 1 つだけです。
[フィルター操作] タブで、適切なフィルター操作を選択するか、[追加] をクリックして新しいフィルター一覧を追加します。フィルター操作の作成と使用の詳細については、「フィルター操作」を参照してください。
注 1 つの規則で使用できるフィルター操作は 1 つだけです。
[認証方法] タブで、適切な方法を選択するか、[追加] をクリックして新しい方法を追加します。認証方法の作成と使用の詳細については、「IPsec の認証」を参照してください。
注 規則ごとに複数の方法を使用できます。これらの認証方法は、一覧に表示される順序で試行されます。
[接続の種類] タブで、規則を適用する接続の種類を選択します。接続の種類の詳細については、「IPsec の接続の種類」を参照してください。
トンネルを使用する場合は、[トンネルの設定] タブでエンドポイントを指定します。既定では、トンネルは使用されません。トンネルの使用の詳細については、「IPsec のトンネルの設定」を参照してください。
すべての設定が完了したら、[OK] をクリックします。
ポリシーを割り当てる
このコンピューターにポリシーを割り当てるには |
ポリシーを右クリックし、[割り当て] をクリックします。
注 - 1 台のコンピューターに割り当てることのできるポリシーは、一度に 1 つだけです。別のポリシーを割り当てると、現在割り当てられているポリシーの割り当てが自動的に解除されます。ドメインのグループ ポリシーにより、このコンピューターに別のポリシーが割り当てられ、ローカル ポリシーが無視される可能性があります。
- コンピューター間の IPsec ポリシーが正しく機能するためには、他方のコンピューターでミラー ポリシーを作成し、そのポリシーをそのコンピューターに割り当てる必要があります。
- このポリシーを多数のコンピューターに割り当てるには、グループ ポリシーを使用します。