フィルター操作は、データ伝送のセキュリティ要件を定義します。フィルター操作は、ポリシーを作成するとき、またはポリシーを作成する前に定義できます。どのポリシーでもフィルター一覧を使用できます。フィルター一覧を定義するには、[IP セキュリティ ポリシー] ノードを右クリックし、[IP フィルター一覧とフィルター操作の管理] を選択します。
フィルター操作は次のように構成できます。
トラフィックを許可する
IPsec は、このトラフィックを TCP/IP ドライバーとやり取りしますが、その際にセキュリティの変更も要求も行いません。これは IPsec に対応していないコンピューターからのトラフィックに適しています。この種類のフィルター操作を使う場合は、IP フィルター一覧を最低限必要なスコープに制限して、セキュリティで保護する必要のあるトラフィックを許可しないようにします。
トラブルシューティングを行えるように ICMP トラフィックを許可することを検討してください。また、自分のドメイン内にないコンピューター (コンサルタントのコンピューターなど) に、自分のドメイン内の別のコンピューターへのアクセスを許可する必要が生じることがあります。許可のフィルター操作を使用すると、このアクセスを許可できます。
重要 | |
許可のフィルター操作では、認証、データ整合性、または暗号化なしでアクセスを許可します。フィルター一覧に指定されている IP アドレスを持つコンピューターを使用するすべてのユーザーに、アクセスが与えられます。コンピューター間のトラフィックはすべてプレーンテキストで行われ、整合性チェックは実行されません。 |
トラフィックをブロックする
IPsec はブロックされたトラフィックを警告なしで破棄します。ブロックのフィルター操作を使用するときには、正しい IP アドレスのスコープを定義した IP フィルター一覧を使用するようにしてください。よりスコープを広げると、有効なコンピューター間のトラフィックをブロックする可能性が高まります。
セキュリティのネゴシエート
[セキュリティで保護されていない通信を受け付けるが、常に IPsec を使って応答] オプションを有効にする場合、IPsec はセキュリティ アソシエーション (SA) および IPsec で保護されたトラフィックの送信または受信のネゴシエートを試みます。ただし、ピアが IPsec を使用できない場合は、IPsec の保護なしで通信が許可されます。このフィルター操作を選択した後は、次の項目も構成できます。
- セキュリティ メソッドとその順序。メソッドの一覧では、メソッドを試みる順序が定義されます。最初に成功したメソッドが使用され、それ以降のメソッドは試行されません。通常、一覧は、セキュリティ レベルが最も高いものから最も低いものの順に並べる必要があります。これにより、最も安全なメソッドが使用されます。
- セキュリティで保護されていない初期着信トラフィックの受け付け ([セキュリティで保護されない通信を受け付けるが、常に IPSec を使って応答])。IPsec は、セキュリティで保護されない (IPsec によって保護されない) ものとして構成されたフィルター一覧と一致する着信パケットを許可します。ただし、着信パケットに対する発信応答は保護する必要があります。この設定は、クライアントで既定の応答規則を使用している場合に役立ちます。すべての IP アドレスとの通信をセキュリティで保護し、セキュリティで保護されていない通信を受け付け、セキュリティで保護された通信だけで応答する規則によって、サーバーのグループが構成されている場合は、クライアント コンピューターで既定の応答規則を有効にすると、そのクライアントはサーバーからの要求に応答してセキュリティをネゴシエートします。サービス拒否攻撃を防ぐために、このオプションは、インターネットに接続しているセキュリティで保護されたコンピューターに対しては無効にしてください。
- IPsec に対応していないコンピューターとの通信の有効化 ([セキュリティで保護された接続が確立できない場合、保護されていない通信を許可する])。必要に応じて、IPsec はセキュリティで保護されていない通信に戻ります。このフィルター操作でも、IP フィルター一覧を最低限必要なスコープに制限する必要があります。制限しないと、このフィルター操作が含まれる規則を適用した通信で、何らかの理由でネゴシエーションが失敗したときに、セキュリティなしでデータが送信される可能性があります。セキュリティで保護されていない通信について心配な場合は、この設定を無効にすることも考えられます。ただし、無効にすると、レガシ システムなど、IPsec を開始できないコンピューターとの通信がブロックされることがあります。サービス拒否攻撃を防ぐために、このオプションは、インターネットに接続しているセキュリティで保護されたコンピューターに対しては無効にしてください。
- 新しいメイン モードのキー生成情報に基づくクイック モードのセッション キーの生成 ([セッション キーの PFS (Perfect Forward Secrecy) を使う])。セッション キーの PFS を有効にすると、複数のクイック モードのセッション キーを派生させる目的でメイン モードのマスター キー生成情報を使用することができなくなります。クイック モードの PFS を有効にすると、新しいクイック モードのキーが作成される前に、新しい Diffie-Hellman キー交換が実行され、新しいメイン モードのマスター キー生成情報が生成されます。セッション キー (クイック モード) の PFS ではメイン モード再認証の必要がなく、マスター キー (メイン モード) の PFS よりも使うリソースが少なくなります。
IPsec のセキュリティ メソッド
各セキュリティ メソッドは、関連付けられている規則が適用される任意の通信のセキュリティ要件を定義します。複数のセキュリティ メソッドを作成すると、2 つのコンピューター間で共通のメソッドが見つかる可能性が高くなります。インターネット キー交換 (IKE) コンポーネントは、降順でセキュリティ メソッドの一覧を読み取り、許可されているセキュリティ メソッドの一覧を他方のピアに送信します。共通する最初のメソッドが選択されます。通常、セキュリティ レベルの最も高いセキュリティ メソッドが一覧の最上部に表示され、最も低いメソッドが最下部に表示されます。
定義済みのセキュリティ メソッド
定義済みのセキュリティ メソッドは次のとおりです。
暗号化と整合性
ESP プロトコルを使用して、3DES (トリプル データ暗号化標準) アルゴリズム、SHA1 (セキュア ハッシュ アルゴリズム 1) 整合性アルゴリズムでのデータ整合性と認証、および既定のキーの有効期間 (100 MB、1 時間) でデータの機密性 (暗号化) を提供します。データとアドレス指定 (IP ヘッダー) の両方を保護する必要がある場合は、カスタム セキュリティ メソッドを作成できます。暗号化が必要ない場合は、[整合性のみ] を使います。
整合性のみ
ESP プロトコルを使用して、SHA1 整合性アルゴリズムと既定のキーの有効期間 (100 MB、1 時間) で、データ整合性および認証を提供します。この構成では、ESP はデータの機密性 (暗号化) を提供しません。
カスタム セキュリティ メソッド
定義済みの [暗号化と整合性] または [整合性のみ] の設定がセキュリティ要件を満たさない場合は、カスタム セキュリティ メソッドを指定できます。たとえば、暗号化およびアドレスの整合性、より強力なアルゴリズム、またはキーの有効期間を指定する必要がある場合に、カスタム メソッドを使用できます。カスタム セキュリティ メソッドを構成する場合は、次の項目を構成できます。
セキュリティ プロトコル
IP ヘッダー整合性とデータ暗号化が必要な場合は、カスタム セキュリティ メソッドで AH ([暗号化をしないデータとアドレスの整合性]) と ESP ([データの整合性と暗号化]) の両方を有効にすることができます。両方を有効にする場合は、ESP の整合性アルゴリズムを指定する必要はありません。
注 | |
AH プロトコルは、ネットワーク アドレス変換 (NAT) デバイス間では使用することはできません。これは、NAT ではヘッダーのハッシュが使用されるためです。NAT デバイスがヘッダーを変更するので、パケットが正しく認証されません。 |
整合性アルゴリズム
128 ビットのキーを使用するメッセージ ダイジェスト 5 (MD5) です。このアルゴリズムは安全ではないため、相互運用性のために必要な場合にのみ使用してください。
SHA1 では、160 ビットのキーを使用します。SHA1 は MD5 よりも強力なハッシュで、連邦情報処理規格 (FIPS) に準拠しています。
暗号化アルゴリズム
3DES は、DES の組み合わせの中で最も高いセキュリティを提供しますが、パフォーマンスがいくらか低下します。3DES は、各ブロックを 3 回処理し、3 つの一意な 56 ビット キーを使います。
DES は、56 ビット キーを 1 つ使い、3DES の高いセキュリティが不要でそのオーバーヘッドを避ける場合に使用されます。このアルゴリズムは安全ではないため、相互運用性のために必要な場合にのみ使用してください。
セッション キー (クイック モード) の設定では、新しいキーの生成方法ではなく、生成される頻度を決定します。有効期間は、KB、秒、またはその両方で指定できます。たとえば、キーの有効期間に 1,000 秒を指定し、通信に 10,000 秒かかる場合、その転送を完了するために 100 個のキーが生成されます。これによって、攻撃者が 1 つのセッション キーを解析し、通信の一部の暗号を解読した場合でも、攻撃者は通信全体の暗号を解読することはできなくなります。既定では、新しいクイック モードのキーは 100 MB のデータごとに、または 1 時間ごとに生成されます。キーの有効期間が切れると、キーの更新や再生成のほかに、SA のネゴシエーションも再度行われます。
[新しい規則のプロパティ] ダイアログ ボックスを使用してフィルター操作を作成するには |
[<IP セキュリティ ポリシー名>のプロパティ] ダイアログ ボックスでフィルター操作を作成する場合は、プロパティ ダイアログ ボックスの [規則] タブで、[追加ウィザードを使用] チェック ボックスをオフにします。ウィザードを使用する場合は、チェック ボックスをオンのままにしておきます。[追加] をクリックします。以下に、ダイアログ ボックスを使用してフィルター一覧を作成するときの手順を示します。
[規則のプロパティ] ダイアログ ボックスの [フィルター操作] タブで、[追加ウィザードを使用] チェック ボックスをオフにして [追加] をクリックします。
[セキュリティ メソッド] タブで、そのルールで使用するメソッド (操作) を選択します。
(省略可能) [説明] タブで、フィルター操作の説明を入力します。この説明を参照すると、フィルター操作を並べ替えるときに、プロパティを開かずにフィルター操作をすばやく識別できます。
[OK] をクリックします。
手順 4. ~ 8. を繰り返して一覧にさらにフィルター操作を追加します。
注 規則の一覧にはいくつかのフィルター操作を追加できますが、各規則で使用できるのは 1 つのフィルター操作だけです。
[フィルター操作] タブで、規則にとって適切なフィルター操作を選択し、[OK] をクリックします。
[IP フィルター一覧とフィルター操作の管理] ダイアログ ボックスを使用してフィルター操作を作成するには |
[IP セキュリティ ポリシー] ノードを右クリックし、[IP フィルター一覧とフィルター操作の管理] をクリックします。
プロパティ ダイアログ ボックスを使用してフィルター操作を作成する場合は、[フィルター操作の管理] タブで、[追加ウィザードを使用] チェック ボックスをオフにします。ウィザードを使用する場合は、チェック ボックスをオンのままにしておきます。[追加] をクリックします。以下に、ダイアログ ボックスを使用してフィルター一覧を作成するときの手順を示します。次の手順ではウィザードを使用しません。
[セキュリティ メソッド] タブで、メソッドを選択し、[OK] をクリックします。
[セキュリティのネゴシエート] オプションを選択した場合は、複数のメソッドを追加し、それらのメソッドを試行する順序を指定できます。これを行うには、[追加] をクリックします。
(省略可能) [説明] タブで、フィルターの説明を入力します。この説明を参照すると、フィルターを並べ替えるときに、プロパティを開かずにフィルターをすばやく識別できます。
[OK] をクリックします。
手順 4. ~ 8. を繰り返して一覧にフィルター操作を追加します。