マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

70-293:Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編

5-2.VPN(Virtual Private Network)

宮本 寿夫/澤村 孝太郎
2004/3/3

 本記事は、@ITハイブックスシリーズ『マイクロソフト認定技術資格試験 MCP/MCSEラーニングブック−70-293:Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編−』(技術評論社発行)より、一部の問題を許可を得て転載したものです。同書籍に関する詳しい情報については、「@ITハイブックス」サイトでご覧いただけます。
 
ほかの問題へ
  問題 05-01-01 入力フィルタと出力フィルタ
  問題 05-01-02 インターネット接続ファイアウォール
  問題 05-01-03 IPセキュリティポリシー
問題 05-02-01 トンネリングプロトコル
  問題 05-02-02 VPNセッションの管理
 

問題 05-02-01 トンネリングプロトコル

 あなたは組織のネットワーク管理者です。東京本社と大阪支社にそれぞれLANが構成されており、インターネットに接続されています。LAN内のコンピュータはすべてプライベートアドレスを使用しており、NATによってインターネットとの通信が行われます。

 インターネットを介して東京本社と大阪支社間でVPNを構築するために、東京本社と大阪支社のLAN内にWindows Server 2003コンピュータを設置し、VPNサーバとして構成します。VPNサーバ間の通信のセキュリティレベルをできる限り高めたいと思います。

 最も適切なトンネリングプロトコルとセキュリティプロトコルの組み合わせを、選択肢から選んでください。

(単一選択)

  PPTPとMPPE
  L2TPとMPPE
  PPTPとIPSec
  L2TPとIPSec

 VPN(Virtual Private Network:仮想プライベートネットワーク)は、インターネットなどの公衆回線網を使用して、プライベートなネットワーク同士が安全に通信できる環境を構築するための技術の総称です。

 VPNサーバは、自ネットワークのクライアントから送信された相手ネットワークあてへのパケットをトンネリングプロトコルによってカプセル化し、相手ネットワークのVPNサーバに配信します。受信した相手ネットワークのVPNサーバはカプセル化されたパケットを元の形式に戻し、適切なあて先に配送します。

 また、VPNサーバはインターネットを通過するこれらのパケットのセキュリティを確保するため、パケットを暗号化します。その場合、受信側のVPNサーバはパケットの復号化を行います。

 Windows Server 2003はトンネリングプロトコルとしてPPTP(Point To Point Protocol)とL2TP(Layer 2 Tunneling Protocol)をサポートしています。また、セキュリティプロトコルとしてはMPPEとIPSecを使用します(表5-5)。

 Windows Server 2003のVPNではPPTPとMPPE、L2TPとIPSecがペアとなって使用されます。

 プロトコル
説明
PPTP/MPPE PPTPはPPP(Point To Point Protocol)を拡張したプロトコルで、Microsoftほか数社によって提唱されました。

MS-CHAP、MS-CHAP V2、またはEAP-TLSの認証処理によって生成される暗号化キーを使って、MPPEによるデータの暗号化が行われるため、VPN接続の際の認証には上記の3通りの方法を使用する必要があります。
L2TP/IPSec L2TPはRFC(Request For Comments)によって標準化されているトンネリングプロトコルです。Windows Server 2003ではIPSecとL2TPを組み合わせることで安全なVPNアクセスを提供します。PPTPではデータの機密性しか保証されませんが、L2TP/IPSecではパケットの機密性に加え整合性も保証されるなど、PPTP/MPPEより強固なセキュリティを実現できます。

VPN接続の際の認証には、証明書を使用する方法と事前共有キーを使用する方法があります。
表5-5 プロトコル

 VPNサーバの構成は、管理ツールの「ルーティングとリモートアクセス」で行います。また、使用する認証や暗号化の設定はリモートアクセスポリシーによって設定します。

 暗号化の設定では、MPPEもしくはIPSec(DES、3DES)による暗号化の強度を設定できます(図5-15)。

図5-15 暗号化の設定拡大

 サーバの構成が完了したら、相手のサーバに接続するためのデマンドダイヤルインターフェイスなどを作成します。接続の作成時にPPTPとL2TPのどちらを使用するかなどを決定できます(図5-16)。

図5-16 VPNの種類の設定拡大

POINT

 Windows 2000の標準では、NATを使用した環境でL2TP/IPSecを使用してVPNを構築することはできませんでした。これは通信の過程でNATによってパケットのヘッダが変更されてしまうと、そのパケットを受信したVPNサーバはパケットの内容が改ざんされたとみなしてそのパケットを破棄してしまうためです。したがって、このような環境ではVPNサーバにパブリックIPアドレスを割り当てるか、PPTPを使用する必要があったのです。

 Windows Server 2003ではこの点が改良され、NAT環境でもL2TP/IPSecが使用できるようになりました。これは、VPNサーバが、L2TPによってカプセル化されたパケット全体をさらにUDPでカプセル化することにより、カプセル化された内部がNATによって変更されないようにしているためです。

 ちなみに、現在ではWindows 2000でもマイクロソフトのWebサイトから修正プログラムをダウンロードしてインストールすることで、NAT環境におけるL2TP/IPSecの使用が可能になっています。

KEYWORD


 NAT Traversal

 L2TP/IPSecを使用するVPNサーバ間でNATが使用されているかどうかを検証するための機能で、Windows Server 2003が標準でサポートしています。NATが使用されていることが分かった場合、VPNサーバはL2TP/IPSecをUDPでカプセル化します。

正 解(05-02-01)
 D

 
前の問題へ   次の問題へ


マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

本記事は、@ITハイブックスシリーズ『マイクロソフト認定技術資格試験 MCP/MCSEラーニングブック−70-293:Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編−』(技術評論社発行)より、一部の問題を許可を得て転載したものです。同書籍に関する詳しい情報については、「@ITハイブックス」サイトでご覧いただけます。


関連記事
VPNの実力を知る(前・後編)
インターネットVPNの導入メリット(前・後編)
検証 VPN実践導入講座
IT管理者のためのIPSec講座
FreeS/WANによるIPSecの導入と運用
書評:VPNの最新ソリューションを学ぼう!
5分で絶対に分かるVPN

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH