マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

70-293:Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編

5-1.ネットワークプロトコルセキュリティ

宮本 寿夫/澤村 孝太郎
2004/2/5

 本記事は、@ITハイブックスシリーズ『マイクロソフト認定技術資格試験 MCP/MCSEラーニングブック−70-293:Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編−』(技術評論社発行)より、一部の問題を許可を得て転載したものです。同書籍に関する詳しい情報については、「@ITハイブックス」サイトでご覧いただけます。
 
ほかの問題へ
  問題 05-01-01 入力フィルタと出力フィルタ
  問題 05-01-02 インターネット接続ファイアウォール
問題 05-01-03 IPセキュリティポリシー
  問題 05-02-01 トンネリングプロトコル
  問題 05-02-02 VPNセッションの管理
 

問題 05-01-03 IPセキュリティポリシー

 あなたは組織のネットワーク管理者です。ネットワークは1つのActive Directoryドメインで構成されています。このネットワーク内で機密情報を扱うWindows Server 2003コンピュータが3台あり、これらのコンピュータが行う通信をセキュリティで保護したいと思います。Windows Server 2003コンピュータと通信するクライアントコンピュータは、30台のWindows XP Professionalコンピュータ、10台のWindows NT 4.0 Workstationコンピュータです。

 IPSecを使用して、3台のWindows Server 2003コンピュータとクライアントコンピュータ間の通信の機密性をできる限り保ちたいと思います。ただし、この設定によって、クライアントとサーバ間の通信が行えなくなってしまってはいけません。

 それぞれのコンピュータで使用すべきIPセキュリティポリシーの適切なIPセキュリティポリシーの設定を選択してください。

 (単一選択)

  ドメインセキュリティポリシーを変更し、IPセキュリティポリシーの「セキュリティで保護されたサーバ(セキュリティが必要)」を割り当てる。
  ドメインセキュリティポリシーを変更し、IPセキュリティポリシーの「クライアント(応答のみ)」を割り当てる。
  Windows Server 2003コンピュータのIPセキュリティポリシーを「セキュリティで保護されたサーバ(セキュリティが必要)」に設定する。Windows XP ProfessionalコンピュータのIPセキュリティポリシーを「セキュリティで保護されたサーバ(セキュリティが必要)」に設定する。
  Windows Server 2003コンピュータのIPセキュリティポリシーを「サーバ(セキュリティが必要)」に設定する。Windows XP ProfessionalコンピュータのIPセキュリティポリシーを「クライアント(応答のみ)」に設定する。

 Windows Server 2003ではIPSec(IP Security)がサポートされています。IPSecを使用することで、コンピュータ間の通信を暗号化して盗聴などの不正アクセスからデータを保護したり、署名を施して通信の改ざんを防止したりするなど、通信のセキュリティを確保することができます。

 IPSecの設定を行うには、MMC(Microsoft Management Console:Microsoft管理コンソール)から「IPセキュリティ」のスナップインを追加して設定するか、netshコマンドを使用します(図5-6)。また、Active Directory環境ではグループポリシーを使用してIPSecの設定を集中管理することも可能です。

図5-6 IPセキュリティスナップイン拡大

 IPSecの設定は、コンピュータにIPSecポリシーを割り当てることで行います。デフォルトでは3つのIPSecポリシーが用意されており、必要なセキュリティレベルに応じていずれかを割り当てます。またIPSecポリシーは既存のものをカスタマイズしたり、新規に作成したりすることも可能です。

 既存のIPSecポリシーの内容は以下のとおりです(表5-1)。

 IPSecポリシー
説明
クライアント(応答のみ) 通常の通信にはIPSecを使用しません。通信相手がISPecによる通信を要求してきた場合のみIPSecを使用します。
サーバ(セキュリティが必要) 別のコンピュータからの通信の要求を受け付けた場合、そのコンピュータにIPSecの使用を要求し、IPSecでの通信を行います。ただし、相手がIPSecを使用できない場合は、IPSecを利用せずに通信を行います。
セキュリティで保護されたサーバ 原則としてすべての通信でIPSecを使用します。IPSecを使用できない相手との通信は一切許可しません。
表5-1 既存のIPSecポリシー

 IPSecを標準でサポートするのはWindows 2000、Windows XP Professional、Windows Server 2003です。Windows NTはIPSecをサポートしないため、Windows Server 2003コンピュータに「セキュリティで保護されたサーバ(セキュリティが必要)」のIPセキュリティポリシーを割り当てると、Windows Server 2003コンピュータとWindows NTとの通信が行えなくなります。

 また、Windows XP Professionalコンピュータには、必要な通信にのみIPSecを使用するよう「クライアント(応答のみ)」を使用するのが適切な構成といえます。

POINT

 Active Directory環境では、グループポリシーを使用してIPSecポリシーを割り当てることができるため、同様の設定を行うコンピュータを1つのOU(Organizational Unit:組織単位)にまとめ、そのOUに対してIPSecポリシーの設定を含むグループポリシーを適用する方法が有効です。ドメイン全体に同様のIPSecポリシーを割り当てるとネットワーク内で通信の際に大量のオーバーヘッドが発生するため、このような設定は一般的な環境では推奨されていません。

KEYWORD

 IPフィルタ

 IPフィルタは、どのような通信の際にIPSecを使用するのかを指定するためのフィルタです。

 あて先のIPアドレスやポート番号、プロトコルなどの条件で構成できます。IPフィルタをカスタマイズすることで、通常はIPSecを使用しないが、特定の相手(IPアドレス)と通信する際にはIPSecを使用する、といった構成が可能となります。

 IPフィルタは、IPセキュリティポリシーのプロパティから設定可能です(図5-7)。

図5-7 IPフィルタの設定

正 解(05-01-03)
 D

 
前の問題へ   次の問題へ


マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

本記事は、@ITハイブックスシリーズ『マイクロソフト認定技術資格試験 MCP/MCSEラーニングブック−70-293:Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編−』(技術評論社発行)より、一部の問題を許可を得て転載したものです。同書籍に関する詳しい情報については、「@ITハイブックス」サイトでご覧いただけます。


Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH