Linux以外のIPSecスタックとの相互接続[後編]
LinuxでIPSecを使おう

宮本 久仁男<miyamotokn@nttdata.co.jp>
NTTデータ システム開発事業本部
基盤システム事業部 第一ソリューション技術担当
2002/6/11

Windows 2000におけるIPSecポリシーの設定

 すべての画面を掲載していると非常に数が多くなってしまうため、明示的に注意が必要と思われる部分だけ説明します。

IPセキュリティポリシーの作成

 画面1において、[ローカルコンピュータのIPセキュリティポリシー]を右クリックして[IPセキュリティポリシーの作成]を選択すると、「IPセキュリティポリシーウィザード」が起動します。

画面1 [ローカルセキュリティ設定]画面で「IPセキュリティポリシーウィザード」を起動しているところ

 以後、画面上の指示に従って[次へ]をクリックしていけばよいのですが、[セキュリティで保護された通信の要求]画面において「規定の応答規則をアクティブにする」というチェックは外してください。外さなくても設定は可能ですが、今回はすべてのポリシーについて可能な限り一連の動作で設定できるようにするため、チェックしません。

 「規定の応答規則をアクティブにする」をチェックした場合、認証方法などの設定を行った後にポリシーが作成されますが、規定の応答規則は通信先IPアドレスなどの指定ができないため、結局新しく応答規則の作成が必要になります。

 「IPセキュリティポリシーウィザード」の完了画面で「プロパティの編集を行う」にチェックをした状態で[完了]ボタンをクリックすると、画面2のようなプロパティ画面が表示されます。ここでIPセキュリティの規則を追加します。[追加]ボタンをクリックすると、「IPセキュリティの規則の作成ウィザード」が起動します。

画面2 [事前共有鍵によるIPsec接続(3DES使用)のプロパティ]画面

IPセキュリティの規則の作成

 [トンネルエンドポイント]画面では、今回はトンネルを使用しないので「この規則ではトンネルを使用しない」をチェックします。

 [ネットワークの種類]画面では、「すべてのネットワーク接続」に対して適用するとしてください。このように設定しても、後ほどIPSec接続を行うホストやサブネットなどについての設定を行うので、ここでの「すべての」という文言は気にしない方がよいでしょう。

 画面3は、「どのような鍵や証明書を使うか?」の設定です。今回は事前共有鍵を使った接続を試すので、「次の文字列をキー交換(仮共有キー)の保護に使う」をチェックし、事前共有鍵として使用する文字列(FreeS/WANの/etc/ipsec.secrets内に指定するPre-shared keyの文字列)を指定します。今回は、例として「testtest」という文字列を設定します。

画面3 3番目のオプションボタンをチェックして、文字列を下のテキストボックスに入力する

 画面4では、「IPフィルタ一覧」が表示されます。特定のホストに対する「IPフィルタ一覧」を設定し、適用させるために「追加」を行います。ウィンドウ右側の[追加]ボタンをクリックします。

画面4 すでに存在するIPフィルタが表示されている。今回は新規に作成するため[追加]ボタンを押す

新しい「IPフィルタ一覧」の追加

 画面4で[追加]をクリックすると、「IPフィルタ一覧」の編集画面が表示されます(画面5)。当然、デフォルトではフィルタ規則が存在しないので、フィルタ規則を追加することになります。ウィンドウ右側の[追加]ボタンをクリックして、「IPフィルタウィザード」を起動します。

画面5 IPフィルタ一覧の追加画面

 選択の余地なく[次へ]をクリックしていくと、[IPトラフィックの発信元]を指定するところがあります。ここは、「このコンピュータのIPアドレス」を指定して[次へ]を押します。

 [IPトラフィックの宛先]画面では、「特定のIPアドレス」を選択します。すると、IPアドレスを入力する画面が表示されるので、適切なIPアドレスを入力のうえ、[次へ]を押下します。

 [IPプロトコルの種類]画面では、IPSecで保護するプロトコルを選択します。ただし、FreeS/WANは保護するプロトコルを選べない(KAMEは選べる)ので、プロトコルの種類の選択としては「任意」を選んで[次へ]をクリックします。

 画面6まできたら、[完了]をクリックします。プロパティの編集は不要なので、「プロパティを編集する」はチェックしません。

画面6 「IPフィルタウィザード」終了画面

 これで画面7が表示されます。画面5と似ていますが、新しく作成された「フィルタ」が追加されているところが異なります。このウィンドウは[閉じる]ボタンをクリックして閉じてください。すると画面4まで復帰します。「実験用IPフィルタ」という新しい「IPフィルタ一覧」ができているところが異なります。これで、目的とする「IPフィルタ一覧」ができたので、新しく作成した「IPフィルタ一覧」を使用するように、オプションボタンをチェックして、[次へ]ボタンをクリックします。

画面7 「フィルタ」に、先ほど作成したIPフィルタ一覧が追加されている

新しい「フィルタ操作」の追加

 [フィルタ操作]画面(画面8)では、適切な「フィルタ操作」を作成するために[追加]ボタンをクリックします。すると、[フィルタ操作ウィザード]が起動します。[フィルタ操作名]画面では、「フィルタ操作」の名前と説明を入力します。この名前や説明は実際の動作には影響しないので、分かりやすい名前や説明にするとよいでしょう。

画面8 [フィルタ操作]画面

 [フィルタ操作の全般オプション]画面では「セキュリティのネゴシエート」をチェックし、[次へ]をクリックします。

 [IPSecをサポートしないコンピュータと通信中]画面では、「フィルタ一覧」で指定した条件に合致するホストとIPSec通信ができないときの動作を設定します。今回は「IPSecをサポートしないコンピュータと通信しない」にチェックします。

 [IPトラフィックセキュリティ]画面では、IPトラフィックにおけるセキュリティメソッドを指定します(画面9)。ただし、「高」「中」といわれても具体的なメソッドが見えないため、「カスタム」を選択して[設定]ボタンをクリックします。

画面9 [IPトラフィックセキュリティ]画面

 [カスタムセキュリティメソッドの設定]画面が表示されるので、ハッシュアルゴリズムや暗号化アルゴリズムを指定します。最終的には、画面10のように設定して[OK]ボタンをクリックします。

画面10 [カスタムセキュリティメソッドの設定]画面

 [IPセキュリティフィルタ操作ウィザードの完了]画面で[完了]ボタンをクリックすると、画面11のように新しい「フィルタ操作」が追加されているのが分かります。新しく作成した「フィルタ操作」のオプションボタンをチェックして[次へ]ボタンをクリックします。

画面11 新規に作成した「フィルタ操作」が追加されている

 [新しい規則ウィザードの完了]画面で[完了]ボタンを押します。「プロパティを編集する」チェックは有効にしておきます。

 そして、新しく作成したセキュリティポリシーのプロパティ設定画面で[全般]タブを選択し(画面12)、「キー交換のための設定」で[詳細]ボタンをクリックすると、マスタキーのPFSや鍵の認証/生成間隔が設定可能です。

画面12 [全般]タブでキー交換のための設定を行う

 さらに、「IDの保護に用いるセキュリティメソッド」の個所で[メソッド]ボタンをクリックすると、IKEのときに用いるハッシュや暗号化メソッドの設定が可能になります。後は、ひたすら[OK]をクリックしていくと、[ローカルセキュリティ設定]画面に戻ります。ただし、この状態では作成したセキュリティポリシーが有効になっていないので、有効にしたいポリシーを右クリックして[割り当て]を選択します(画面13)。すると、「ポリシーの割り当て」が「いいえ」から「はい」に変わり、指定したホストに対するIPSecによる通信が有効になります。

画面13 [割り当て]を行わないとポリシーが有効にならない

Windows XP Home Editionの場合

 Windows XP Home Editionの場合、「管理ツール」にはIPセキュリティポリシーの設定を行うための項目がありません。従って、直接MMC(Microsoft管理コンソール)を起動し、画面1417の順序で管理用のスナップインを追加してIPセキュリティポリシーの作成/管理を行えるようにする必要があります。

画面14 スナップインの選択画面。「IPセキュリティポリシーの管理」を選択して[追加]ボタンをクリックする

画面15 管理対象を設定する。今回は「ローカルコンピュータ」を指定

画面16 コンソールにスナップインを追加する画面

画面17 MMCに「IPセキュリティポリシーの管理」が追加された

 筆者の検証環境の都合により、Windows XPによるIPSec通信の検証は行っていませんが、恐らく利用可能ではないかと考えます。必要がある方や興味がある方はぜひトライしてみてください。

2/3

Index
Linux以外のIPSecスタックとの相互接続[後編]
− LinuxでIPSecを使おう −
  Page 1
Windows用のIPSecスタック
IPSecの通信条件とFreeS/WANの設定
 FreeS/WANの設定
Windows 2000の設定
 IPセキュリティポリシーの作成
 動作確認
PGPNetの設定
 PGPNetのインストール
 動作確認
相互接続の基本は6つの条件を満たすこと
 参考資料
  Page 2
Windows 2000におけるIPSecポリシーの設定
  Page 3
PGPNetのIPSec通信設定

Linux Square全記事インデックス


 Linux Squareフォーラム セキュリティ関連記事
連載:習うより慣れろ! iptablesテンプレート集(全4回)
初心者にとって、iptablesは難しい。そこで、学習の第1歩としてテンプレートを自分の環境に適応させることから始めよう
連載:ゼロから始めるLinuxセキュリティ(全11回)
奥が深いセキュリティ対策の世界をゼロから解説。ホストレベルのセキュリティからファイアウォール、IDSの構築、ログ管理方法まで、システム管理者必見
特集:WebDAV時代のセキュリティ対策[前編]
WebDAVのメソッドは便利な反面、セキュリティホールとなり得る。しかし、適切な対策を講じることでメソッドの危険性は取り除くことができる
特集:FreeS/WANによるIPSecの導入と運用[前編]
LinuxでIPSecを利用するには、「FreeS/WAN」というIPSecスタックを用いることになる。まず、これをインストールすることから始めよう
特集:Linux以外のIPSecスタックとの相互接続[前編]
別のOSや異なるIPSecスタックとの相互接続が可能なら、その用途は大幅に広がる。前編では、FreeBSDのKAMEと相互接続を試みる
特集:sshでセキュアネットワーク
サーバにリモートログインする場合は、暗号化して転送するsshを使おう。sshをサーバとクライアントにインストールすれば、インターネット上でも安全な通信が可能になる

MONOist組み込み開発フォーラムの中から、Linux関連記事を紹介します


Linux & OSS フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Linux & OSS 記事ランキング

本日 月間
ソリューションFLASH