IPSec によって保護されるトラフィックと保護されないトラフィック

文書翻訳 文書翻訳
文書番号: 253169 - 対象製品
この記事は、以前は次の ID で公開されていました: JP253169
すべて展開する | すべて折りたたむ

概要

Windows 2000 の IPSec (IP Security Protocol) は、IP アドレスを使用して通信する 2 台のコンピュータ間の IP トラフィックを保護するように設計されています。IPSec は、IPSec ポリシーに定義されたフィルタを使用して IP パケットを分類します。パケットが分類された (フィルタに一致した) 後で、設定されたフィルタ操作が実行されます。

詳細

IPSec は、送受信される IP パケットに適用されます。パケットは、送信 (発信) 時に、それを保護するべきか、ブロックするべきか、またはクリア テキストで渡すべきかを調べるために、フィルタと照合されます。またパケットは、受信 (着信) 時にも、それを保護するべきか、ブロックするべきか、またはクリア テキストでシステムに渡す (許可する) べきかを調べるために照合されます。

設計上、次の種類の IP トラフィックは照合から除外されるため、Windows 2000 の IPSec で保護できません。
  • ブロードキャスト
    1 人の送信者から、送信者にとって未知の多数の受信者に送信されるトラフィックです。この種類のパケットは、IPSec フィルタで分類できません。たとえば、192.168.0.x を使用している標準のクラス C サブネットは、ブロードキャスト アドレスとして 192.168.0.255 を使用します。ブロードキャスト アドレスはサブネット マスクに応じて異なります。
  • マルチキャスト
    ブロードキャスト トラフィックと同様に、1 人の送信者が、送信者にとって未知の多数の受信者に IP パケットを送信します。これには 224.0.0.0 〜 239.255.255.255 の範囲のアドレスを使用します。
  • リソース予約プロトコル (RSVP)
    このトラフィックは IP プロトコル 46 を使用していて、Windows 2000 のサービス品質 (QoS) を提供するために使用されます。IPSec によって保護されるトラフィックに対して QOS マーキングができるようにするために、RSVP トラフィックを除外することが必要になります。
  • インターネット キー交換 (IKE)
    IKE は IPSec で使用されるプロトコルで、セキュリティ パラメータを安全にネゴシエートし (フィルタ操作で、セキュリティをネゴシエートする必要があることが示される場合)、パケットがフィルタに一致した後で、共有暗号化キーを確立します。Windows 2000 では、IKE トラフィックに対して常に、UDP (User Datagram Protocol) の発信元および宛先のポートであるポート 500 が使用されます。
  • Kerberos
    Kerberos は、IPSec 認証のために IKE によって通常使用される、Windows 2000 の中核的なセキュリティ プロトコルです。このトラフィックは、UDP/TCP プロトコルの発信元および宛先のポートであるポート 88 を使用します。Kerberos 自体は、IPSec によって保護する必要のないセキュリティ プロトコルです。Kerberos の除外は基本的に、パケットが TCP または UDP で、発信元ポートまたは宛先ポートが 88 の場合に、そのパケットを許可するという方法で適用されます。
: これらの除外は、パケットを送信しているコンピュータの発信元アドレスを持つパケットの IPSec トランスポート モード フィルタに対して適用されます。IPSec トンネルで保護できるのは、ユニキャスト IP トラフィックのみです。IPSec トンネル モード フィルタは、マルチキャスト パケットおよびブロードキャスト パケットも処理できません。あるアダプタで Kerberos、IKE、または RSVP のパケットを受信し、別のアダプタでパケット転送またはルーティングとリモート アクセス サービスを使用してそれをルーティングする場合、それらのパケットは IPSec トンネル モード フィルタから除外されず、トンネル内で送信される場合があります。

IKE プロトコルの詳細については、RFC 2409 を参照してください。
http://www.ietf.org/rfc/rfc2409.txt
他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載している情報に対して、いかなる責任も負わないものとします。

RSVP の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
227261 [NT] リソース予約プロトコル (RSVP) の説明
Kerberos の詳細については、Windows 2000 ヘルプの "Kerberos V5 認証" に関するトピックと、次のマイクロソフト Web サイトにある Kerberos に関する技術文書を参照してください。
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/security/kerberos/default.mspx
IPSec の設定の詳細については、次のマイクロソフト Web サイトで、「インターネット プロトコル セキュリティ (IPSec) のステップバイステップ ガイド」を参照してください。
http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/deploy/confeat/ispstep.mspx
Microsoft Windows Server 2003 の IPSec 機能の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
810207 Windows Server 2003 で削除された IPSec のデフォルトの除外項目

プロパティ

文書番号: 253169 - 最終更新日: 2007年10月12日 - リビジョン: 6.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
キーワード:?
kbinfo kbipsec kbnetwork KB253169
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com