＠IT：＠ITハイブックス連携企画

マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

70-293：Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編

5-2．VPN（Virtual Private Network）

宮本寿夫／澤村孝太郎
2004/3/3

　本記事は、＠ITハイブックスシリーズ『マイクロソフト認定技術資格試験　MCP/MCSEラーニングブック－70-293：Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編－』（技術評論社発行）より、一部の問題を許可を得て転載したものです。同書籍に関する詳しい情報については、「＠ITハイブックス」サイトでご覧いただけます。

ほかの問題へ
	問題　05-01-01　入力フィルタと出力フィルタ
	問題　05-01-02　インターネット接続ファイアウォール
	問題　05-01-03　IPセキュリティポリシー
	問題　05-02-01　トンネリングプロトコル
	問題　05-02-02　VPNセッションの管理

問題　05-02-01　トンネリングプロトコル

　あなたは組織のネットワーク管理者です。東京本社と大阪支社にそれぞれLANが構成されており、インターネットに接続されています。LAN内のコンピュータはすべてプライベートアドレスを使用しており、NATによってインターネットとの通信が行われます。

　インターネットを介して東京本社と大阪支社間でVPNを構築するために、東京本社と大阪支社のLAN内にWindows Server 2003コンピュータを設置し、VPNサーバとして構成します。VPNサーバ間の通信のセキュリティレベルをできる限り高めたいと思います。

　最も適切なトンネリングプロトコルとセキュリティプロトコルの組み合わせを、選択肢から選んでください。

（単一選択）

	PPTPとMPPE
	L2TPとMPPE
	PPTPとIPSec
	L2TPとIPSec

　VPN（Virtual Private Network：仮想プライベートネットワーク）は、インターネットなどの公衆回線網を使用して、プライベートなネットワーク同士が安全に通信できる環境を構築するための技術の総称です。

　VPNサーバは、自ネットワークのクライアントから送信された相手ネットワークあてへのパケットをトンネリングプロトコルによってカプセル化し、相手ネットワークのVPNサーバに配信します。受信した相手ネットワークのVPNサーバはカプセル化されたパケットを元の形式に戻し、適切なあて先に配送します。

　また、VPNサーバはインターネットを通過するこれらのパケットのセキュリティを確保するため、パケットを暗号化します。その場合、受信側のVPNサーバはパケットの復号化を行います。

　Windows Server 2003はトンネリングプロトコルとしてPPTP（Point To Point Protocol）とL2TP（Layer 2 Tunneling Protocol）をサポートしています。また、セキュリティプロトコルとしてはMPPEとIPSecを使用します（表5-5）。

　Windows Server 2003のVPNではPPTPとMPPE、L2TPとIPSecがペアとなって使用されます。

プロトコル	説明
PPTP/MPPE	PPTPはPPP（Point To Point Protocol）を拡張したプロトコルで、Microsoftほか数社によって提唱されました。 MS-CHAP、MS-CHAP V2、またはEAP-TLSの認証処理によって生成される暗号化キーを使って、MPPEによるデータの暗号化が行われるため、VPN接続の際の認証には上記の3通りの方法を使用する必要があります。
L2TP/IPSec	L2TPはRFC（Request For Comments）によって標準化されているトンネリングプロトコルです。Windows Server 2003ではIPSecとL2TPを組み合わせることで安全なVPNアクセスを提供します。PPTPではデータの機密性しか保証されませんが、L2TP/IPSecではパケットの機密性に加え整合性も保証されるなど、PPTP/MPPEより強固なセキュリティを実現できます。 VPN接続の際の認証には、証明書を使用する方法と事前共有キーを使用する方法があります。

表5-5 プロトコル

　VPNサーバの構成は、管理ツールの「ルーティングとリモートアクセス」で行います。また、使用する認証や暗号化の設定はリモートアクセスポリシーによって設定します。

　暗号化の設定では、MPPEもしくはIPSec（DES、3DES）による暗号化の強度を設定できます（図5-15）。

図5-15 暗号化の設定（拡大）

　サーバの構成が完了したら、相手のサーバに接続するためのデマンドダイヤルインターフェイスなどを作成します。接続の作成時にPPTPとL2TPのどちらを使用するかなどを決定できます（図5-16）。

図5-16 VPNの種類の設定（拡大）

■POINT■

　Windows 2000の標準では、NATを使用した環境でL2TP/IPSecを使用してVPNを構築することはできませんでした。これは通信の過程でNATによってパケットのヘッダが変更されてしまうと、そのパケットを受信したVPNサーバはパケットの内容が改ざんされたとみなしてそのパケットを破棄してしまうためです。したがって、このような環境ではVPNサーバにパブリックIPアドレスを割り当てるか、PPTPを使用する必要があったのです。

　Windows Server 2003ではこの点が改良され、NAT環境でもL2TP/IPSecが使用できるようになりました。これは、VPNサーバが、L2TPによってカプセル化されたパケット全体をさらにUDPでカプセル化することにより、カプセル化された内部がNATによって変更されないようにしているためです。

　ちなみに、現在ではWindows 2000でもマイクロソフトのWebサイトから修正プログラムをダウンロードしてインストールすることで、NAT環境におけるL2TP/IPSecの使用が可能になっています。

■KEYWORD■

　NAT Traversal

　L2TP/IPSecを使用するVPNサーバ間でNATが使用されているかどうかを検証するための機能で、Windows Server 2003が標準でサポートしています。NATが使用されていることが分かった場合、VPNサーバはL2TP/IPSecをUDPでカプセル化します。

正　解（05-02-01）
　D

前の問題へ

次の問題へ

マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

関連記事

VPNの実力を知る（前・後編）

インターネットVPNの導入メリット（前・後編）

検証 VPN実践導入講座

IT管理者のためのIPSec講座

FreeS/WANによるIPSecの導入と運用

書評：VPNの最新ソリューションを学ぼう！

5分で絶対に分かるVPN

Security&Trust記事一覧

Security&Trust フォーラム新着記事

Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ （2017/7/24）
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。
WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に （2017/7/11）
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。
Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは （2017/7/10）
　代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する
侵入されることを前提に考える――内部対策はログ管理から （2017/7/5）
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃（APT：Advanced Persistent Threat）対策の観点から考える。