Windows 2000 および Windows XP の IPSec および L2TP の実装

文書翻訳 文書翻訳
文書番号: 265112
この記事は、以前は次の ID で公開されていました: JP265112
すべて展開する | すべて折りたたむ

目次

概要

この資料では、IPSec (インターネット プロトコル セキュリティ) と Windows 2000 および Windows XP での IPSec の実装について説明します。また、IPSec と L2TP (レイヤ 2 トンネリング プロトコル) のサードパーティ製品との相互運用についても説明しています。

詳細

IPSec について

IPSec は、2 台のコンピュータ間で通信するときにデータを暗号化するように設計されており、データの改ざんや解読を防ぎます。IPSec は内部、プライベート ネットワーク、および外部からの攻撃を防ぐ主要な対策になります。大部分のネットワーク セキュリティ対策は、組織のネットワーク外からの攻撃に焦点を当てていますが、ネットワーク上のデータを解読する内部の攻撃によって多くの機密情報が失われる可能性があります。大部分のデータはネットワーク内を通過するときに保護されておらず、従業員、サポート スタッフ メンバ、または訪問者がネットワークに接続してデータをコピーし、後で解析できます。このような人々は、ほかのコンピュータに対してネットワーク レベルの攻撃をしかけることもできます。ファイアウォールはこのような内部の脅威に対しては保護を提供していません。したがって、IPSec を使用すると企業のデータに対するセキュリティを大幅に強化できます。

IPSec は、管理者が、トラフィックを監視したり、アドレスを調べたり、データの生成元プログラムに関係なく IP データ パケットにさまざまなセキュリティの方法を適用することを可能にするセキュリティ サービスです。

IP フィルタリングを使用すると、IpSec はすべての IP パケットのアドレス、ポート、およびトランスポート プロトコルを検査します。ローカル ポリシーまたはグループ ポリシーに含まれているルールによって、アドレスとプロトコルの情報に応じて、IPSec が特定のパケットを無視するか、またはセキュリティで保護するかが判断されます。

Windows 2000 および Windows XP の IPSec 実装

IPSec と IKE (インターネット キー交換) は Windows 2000 と Windows XP のみに含まれています。Windows 2000 および Windows XP は、最初のリリースで可能な限り IPSec RFC Suite (2401+) に従っています。ただし、まだ実装されていない RFC の項目もあります。RFC はこれらのオペレーティング システムのほかの多くの状況と密接に統合されています。たとえば、TCP/IP スタック、デバイスのプラグ アンド プレイ、証明書サービスおよび CAPIv2 (暗号化モジュール) です。また、ディレクトリ ベースの IPSec ポリシーの配信用のグループ ポリシーともある程度密接に統合されています。

L2TP のみがトンネルである UDP 1701 パケットをセキュリティで保護するために、デフォルトで IPSec を使用します。IPSec は Microsoft Windows 98 には含まれていません。Windows 2000 および Windows XP の IPsec および IPSec に関連するサービスは、Microsoft と Cisco Systems, Inc が共同で開発しました。L2TP の実装は、Microsoft によって行われ、Beta 2 以降で IPSec に統合されました。

コンポーネント

  • トラフィックを監視、フィルタ、および保護する IPSec ドライバ
  • ホスト間のセキュリティ ネゴシエーションを監視し、セキュリティのアルゴリズムで使用するキーを提供する ISAKMP/Oakley (Internet Security Association Key Management Protocol) キー交換および管理サービス
  • ポリシーを検索して、IPSec ドライバと ISAKMP に配信するポリシー エージェント
  • 2 つのホストが通信するセキュリティ環境を定義するポリシーから派生した IP セキュリティ ポリシーとセキュリティ アソシエーション
  • IPSec ドライバ、ISAKMP、およびポリシー エージェントの間にインターフェイスを提供するセキュリティ アソシエーション API
  • ポリシーを作成し、IP セキュリティ統計を監視し、IP セキュリティ イベントをログに記録する管理ツール

コンポーネントの相互作用

  • IP パケットは、IP セキュリティ ポリシーの一部である IP フィルタと一致します。
  • IP セキュリティ ポリシーは、省略可能なセキュリティ メソッドをいくつか持つことができます。IPSec ドライバは、パケットをセキュリティで保護するためにどの方法を使用するかを認識する必要があります。IPSec ドライバは、ISAKMP がセキュリティ方 メソッドとセキュリティ キーをネゴシエートするように要求します。
  • ISAKMP はセキュリティ メソッドをネゴシエートし、セキュリティ メソッドとセキュリティ キーを IPSec ドライバに送信します。
  • このメソッドとキーは IPSec SA (セキュリティ アソシエーション) になります。IPSec ドライバは、この SA をデータベースに格納します。
  • 通信している両方のホストは IP トラフィックをセキュリティで保護するか、または保護を解除する必要があります。したがって、両方のホストは SA を認識および格納している必要があります。

IP セキュリティ メソッド

IP セキュリティ メソッドは、IPSec ドライバによって IP パケットに適用されます。個別にまたは組み合わせて使用できるセキュリティ メソッドが 2 つあります。以下にその 2 つのメソッドを示します。
  • キー付きハッシュ (HMAC) を使用するデータとアドレスの整合性
  • 暗号化を使用するデータの整合性と機密性

IPSec ポリシーの構成

Microsoft 管理コンソール (MMC) で、クライアントとサーバーまたはルーター上に構築された構成 'ポリシー' を使用してユニキャストIP トラフィックの保護を強化できます。このポリシーはローカルまたは Active Directory で構成できます。ローカルで構成する場合は、ローカル コンピュータのスナップインで IP セキュリティ ポリシーを使用し、Active Directory で構成する場合は、Active Directory ツールで IP セキュリティ ポリシーを使用します。ポリシーを適用すると、IPSec はパケット フィルタを使用してセキュリティで保護するトラフィック、ブロックするトラフィック、または許可するトラフィックを判断します。IPSec がトラフィックをセキュリティで保護するとき、IKE を使用してセキュリティの設定のネゴシエートと暗号化キーの交換、および IPSec SA の確立とキーの自動再割り当てが実行されます。IPSec は IP より上の層に対してできるだけ透過的になるように機能します。

IPSec ポリシーによって指定されると、IKE はコンピュータの認証に Windows Kerberos 5 セキュリティ プロトコルを使用でき、証明書を展開する必要がなくなります。Windows 2000 および Windows XP の実装は (この資料で後ほど説明する) Derrell Piper のドラフトに準拠しています。Kerberos は IPSec のキーの割り当てでは使用されず、IKE メイン モード コンピュータの認証でのみ使用されます。チケットはユーザー チケットでもサービス チケットでもなく、コンピュータ チケットなので、Kerberos 拡張はチケットでは使用されません。したがって、Windows 2000 または Windows XP を Kerberos 5 の MIT 互換性モード用に構成し、ほかのコンピュータが Kerberos 5 領域のメンバである場合に、このチケットは機能します。詳細については、以下の Web サイトを参照してください。
Windows 2000 Kerberos Authentication
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/security/kerberos/default.mspx

Windows 2000 Kerberos 認証機能
http://www.microsoft.com/japan/windows2000/library/howitworks/security/kerberos.asp

Windows 2000 Kerberos Interoperability http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/featusability/kerbinop.mspx

Windows 2000 Kerberos の相互運用性
http://www.microsoft.com/japan/windows2000/library/howitworks/security/kerbint.asp

http://www.itef.info/
この資料に記載されている他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載している情報に対して、いかなる責任も負わないものとします。

IPSec API とポリシー

Windows 2000 および Windows XP の IPSec API とポリシー スキーマはまだ公開されていません。IPSec および IKE の ID 保護モード (メイン モードとクイック モード) はプログラム ベースで、接続指向の API には不向きです。IPSec は、セキュリティで保護されている Web 通信で通常使用される SSL/TLS 接続指向のメソッドの後任としては開発されていません。

Windows 2000 および Windows XP における 'ポリシー' の定義は、ホストに配信および適用できる IPSec 固有の一連の設定です。'ポリシー' は、これらの設定を受信するエンド コンピュータの設定ポイントでは評価されていない静的な設定およびデータを含みます。一般的な IPSec の展開では、ドメインの管理者が Active Directory でクライアント、サーバー、およびほかの特別な目的に使用されるコンピュータで必要な IPSec ポリシーを構成します。その後、ポリシーを割り当て、グループ ポリシー システムを使用してポリシーを配信します。また、完全に IPSec ポリシーを構成することもできます。

マイクロソフトは、Windows の今後のリリースでポリシーの保存形式を変更する予定です。そのため、Windows IPSec ディレクトリ ポリシーおよびローカル レジストリの保存形式はマイクロソフト独自のものであると考え、データ構造は公開されていません。

スクリプトの一括処理によって、IPSec ポリシーの作成を行えます。Ipsecpol.exe は、Microsoft Windows 2000 Resource Kit に含まれているコマンド ライン ツールです。このツールを使用して、ポリシー構築のスクリプトを作成できます (ドキュメントがツールに含まれています)。CD-ROM の Support Tools フォルダで、netdiag.exe /test:ipsec /v /debug コマンドを使用して IPSec ポリシーおよびフィルタリングなどの詳細を参照できます (ただし、ポリシーを割り当てたユーザーと同じユーザーでログオンしている場合に限ります)。

今後のリリース (次のリリースとは限りません) に向けて、マイクロソフトは API クライアントがフィルタを組み込んだり、エンジンに提供したりすることが可能な API に取り組んでいます。マイクロソフトは、サードパーティ ベンダの設計を詳細に調査した後、この API を利用できるようにする予定です。ポリシー管理のソリューションは、独自のポリシーの形式を設計して、API を使用してそのポリシーを IPSec システムに組み込めるようになります。

この取り組みは、管理ポリシー指向の API が何をサポートするかに関しての最初のドラフトとして IPSec ポリシー モデルおよびスキーマの提案に基づいて行われています。ただし、ベンダおよび関心のあるユーザーはこのドラフトを十分に検討する必要があります。

IPSec の相互運用

VPN (仮想プライベート ネットワーク) を使用している場合、マイクロソフトは L2TP/IPSec が機能しないゲートウェイからゲートウェイへの通信と、各ポイントが静的な IP アドレスを持ち、静的な IPSec がフィルタを使用してトンネルを許可するエンドポイントからゲートウェイへの通信 (VPN リモート アクセス クライアントは RFC 互換のトンネル実装であり、IKECFG または XAUTH をサポートしないので、VNP リモート アクセス クライアントではないエンドポイントからゲートウェイ) の場合のみ IPSec トンネルを使用することをお勧めします。 For additional information about configuring IPSec tunneling in Windows 2000, click the article number below to view the article in the Microsoft Knowledge Base:
252735 How to Configure IPSec Tunneling in Windows 2000

252735 Windows 2000 における IPSec トンネリングの構成方法
ポリシーの構成ツールは非常に汎用的なので、技術的にはポリシー フィルタを構成してプロトコルおよびポートの IPSec トンネルを提供することは可能です。ただし、マイクロソフトはこのような種類のトンネルをサポートしていません。 IPSec の相互運用性は明確に定義されていません。ベンダによってはベンダ固有のプログラムを実行しています。http://www.icsa.net と http://www.vpnc.org の両方では相互運用性のテスト プログラムを実施しています。Windows 2000 はこれらのどちらにも従っていません。顧客の要求とこれらのテスト プログラムで使用されている相互運用性の基準、およびこれらのプログラムが IPSec をどのように使用するのかを検討して、マイクロソフトはこれらのプログラムで承認されるように申し込むかどうかを決定します。

推奨される相互運用性のレベル

  • プロトコルの互換性
    プロトコルの互換性は、サポートされているオプションの技術的な仕様から判断できます。たとえば、IKE 機能と操作モード、認証方法 (認証ベンダ サポート、階層、キーのサイズなど)、およびセキュリティ メソッド (DES、3DES、MD5、PFS など) です。
  • プロトコルの相互運用性
    エンジニアは、2 つの製品の特定のバージョンがデータを送受信できるように構成できます。この場合、最も古いバージョンはベンダの相互運用性のワークショップでテストされているバージョンで、最も新しいバージョンは製品のテスト チームがテストしているバージョンです。
    相互運用のワークショップでは製品版のコードをテストしない場合があることに注意してください。Windows 2000 の最終バージョンであるビルド 2195 は最後のワークショップで使用されました。ワークショップの相互運用の結果は、開発中の製品をテストするためのエンジニアリング ワークショップなので公開されません。この結果は、コードをテストしているエンジニアのみに有意義なものです。
  • 製品の相互運用性
    相互運用性のある製品は、特定の状況 (実際に稼動する状況) で構成したいように構成した場合にも機能し、"操作確認済み" です (信頼性および管理可能性の必要条件を満たしており、実際のトラフィック負荷に耐えられます)。ベンダのテストは、いくつかの製品を使用したいくつかの場合に限られます。ユーザーのセキュリティおよび操作上の必要条件はほかと異なる可能性があるので、ユーザーはテストを確認する必要があります。

L2TP/IPSec の相互運用

Windows 2000 および Windows XP は RFC 2261 ("レイヤ 2 トンネリング プロトコル") と互換性があります。RFC 2661 は L2TP トラフィックが IPSec を使用してセキュリティで保護できることを示していますが、このセキュリティの実装方法の詳細は提供していません。現在、インターネット ドラフト ドキュメントでは、IPSec を使用して L2TP トラフィックをセキュリティで保護することに関する詳細を指定する作業が行われています。インターネット ドラフト ドキュメントは、IETF (Internet Engineering Task Force)、その分野、およびそのワークグループの作業中のドキュメントです。

IPSec を使用した L2TP の保護は、まだ標準ではない (RFC がない) ため、L2TP/IPSec を使用しているこれらの Windows オペレーティング システムの相互運用についてはテストする必要があります。

サードパーティ ベンダのテストを行う場合のガイドとして、Windows 2000 および Windows XP での IPSec を使用した L2TP の保護に関する以下の基本情報を使用してください。
  • コンピュータの認証で証明書が使用されています -- テストで事前共有キーを使用できます。
  • L2TP トラフィックを保護するために IPSec の転送モードが使用されています。
  • 転送元ポートと転送先ポートの両方で UDP ポート 1701 が使用されています。これは、ネゴシエートできません。
マイクロソフトは引き続き IPSec のみ、およびユーザーの要求に応じてほかのベンダを使用した L2TP/IPSec の両方のテストを行います。問題が発見された場合は、「サポート技術情報」でお知らせします。相互運用に関する最新情報については、次の Web サイトを参照してください。 http://support.microsoft.com マイクロソフトがあるベンダとの相互運用を確認していない場合にも、ベンダが Windows 2000 との相互運用を主張することがあります。

セキュリティ

マイクロソフトは、設計と実装の質を保証するために、多くの手順を踏み、内部および外部 (プライベート) 設計およびコードの見直しを行いました。マイクロソフトは、適切な使用法についてユーザーにドキュメントおよびガイドを引き続き提供します。セキュリティ ツールと同様に、オンライン ヘルプとリソース キットのドキュメントを読んで IPSec およびその使用方法について十分に理解する必要があります。IPSec および IKE は IETF RFC 標準でに実装されていますが、業界ではまだ新しいテクノロジです。つまり、厳しい検査と悪意のあるユーザーからの攻撃にさらされることになります。

環境のセキュリティを維持するために、マイクロソフトは以下の操作を行うことをお勧めします。
  • 強力な暗号化のアップデート パックをインストールして、IPSec を使用することが予想されるすべてのコンピュータに対して 3DES 暗号化の機能を取得します。これは次の Web サイト http://update.microsoft.com/ からダウンロードできます。
  • IPSec 通信でプライバシが必要な場合にのみ IPSec ポリシーが 3DES を要求していることを確認します。DES 暗号化は、暗号化の攻撃に対して十分ではないことが報告されています。IPSec を使用して保護しているトラフィックに対して高いスループットが必要なコンピュータでは、IPSec が有効になっているネットワーク アダプタに 3DES ハードウェア アクセラレータを使用します。
  • ログオンおよびログオフに関するセキュリティ ログの監査を有効にして、IPSec に関連のあるイベント 541 および 542 を監視します。
  • システム ログで IPSec から発生するイベントを監視します。
  • 最新の Service Pack (リリース後に) にアップグレードして、コンピュータのコンポーネント用に最新の修正およびセキュリティのアップデートを取得します。最新の Service Pack の Release Candidate 版が利用できる場合は (開発環境で) 適用し、最終的なリリースの前に操作確認を行います。問題が発生した場合は、すぐに製品サポート サービス窓口まで連絡してください。
  • IPSec の展開を設計している場合は、「サポート技術情報」 ( http://search.support.microsoft.com ) で最新の構成の詳細、既知の問題、および回避策について調べてください。
  • マイクロソフト セキュリティ Web サイト ( http://www.microsoft.com/japan/security/ ) を定期的に調べて、セキュリティ情報および修正プログラムに関する情報を収集してください。
  • 再現できるセキュリティの脆弱性を見つけた場合は secure@microsoft.com までご連絡ください。調査を迅速に行うために、できるだけ詳しい情報を提供してください。


(Windows 2000 Professional と Server の両方の) オンライン ヘルプは IPSec に関して同じ情報を含んでいます。ただし、目次は異なって表示されます。オンライン ヘルプは次のマイクロソフト Web サイトから入手できます。
Product Documentation
http://www.microsoft.com/windows2000/techinfo/proddoc/default.mspx
オンラインヘルプ
http://www.microsoft.com/japan/windows2000/library/resources/onlinehelp.asp
Windows 2000 Server Resource Kit は IPSec をこれから扱うネットワーク管理者およびサーバー管理者向けのものです。Windows 2000 Resource Kit の詳細については、次のマイクロソフト Web サイトを参照してください。
Windows 2000 Resource Kits
http://www.microsoft.com/windows2000/techinfo/reskit/default.mspx
IPSec および VPN のテストを含めてなんらかの理由により Windows 2000 認証が必要な場合は、次のテスト サイトを使用してください。
http://sectestca1.rte.microsoft.com
Windows 2000 のNetworking ニュースグループは microsoft.public.win2000.networking で利用できます。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
257225 Basic IPSec Troubleshooting in Windows 2000
259335 Basic L2TP/IPSec Troubleshooting in Windows 2000
248750 Description of the Automatic Policy used for L2TP/IPSec
Windows 2000 ベースの仮想プライベート ネットワークおよびVPN 相互運用性のサポートの詳細については、次のマイクロソフト Web サイトを参照してください。
Windows 2000-Based Virtual Private Networking: Supporting VPN Interoperability http://www.microsoft.com/technet/prodtechnol/windows2000serv/deploy/confeat/vpninter.mspx
Windows 2000 ベースの仮想プライベート ネットワークVPN 相互運用性のサポート http://www.microsoft.com/japan/windows2000/library/howitworks/communications/remoteaccess/l2tp.asp

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 265112 (最終更新日 2001-10-04) をもとに作成したものです。

プロパティ

文書番号: 265112 - 最終更新日: 2011年2月3日 - リビジョン: 12.4
キーワード:?
kbinfo kbipsec kbnetwork KB265112
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com