第 2 章 - 仮想プライベート ネットワーク検疫へのアプローチ
最終更新日: 2006年7月18日
ダウンロード
.gif){kind=icon}
Microsoft 仮想プライベート ネットワークでの検疫サービスの実装計画ガイド (英語情報)
トピック
はじめに
仮想プライベート ネットワーク検疫の概要
クライアント コンポーネント
サーバー コンポーネント
ネットワーク要件
はじめに
仮想プライベート ネットワーク (VPN) へのリモート アクセス接続の技術は、ますます成熟度を増しています。しかし、VPN 接続に検疫を備えるという考え方は、最近になって現れた概念です。この章では、VPN 検疫サービスを備える次の要素について説明します。
クライアントベースのコンポーネント
サーバーベースのコンポーネント
ネットワーク コンポーネント
注 : Microsoft® Windows Server™ 2003 Service Pack 1 (SP1) の VPN 検疫の実装は、サポートされています。Microsoft Internet Security and Acceleration (ISA) Server 2004 にも VPN 検疫制御が備わっていますが、現在、Microsoft のカスタマ サポート サービスでは、この VPN 検疫制御の実装を完全にはサポートしていません。
仮想プライベート ネットワーク検疫の概要
VPN テクノロジによって、ユーザーは、インターネットなどのパブリック ネットワーク サービス経由の安全な認証済み接続を介して、プライベート ネットワークにアクセスできます。これらの接続は、パブリック ネットワーク上でパケットをルーティングする前に、各パケットをデジタル的に封をする (暗号化する) トンネリング プロトコルを使用します。このプロセスは、使用する VPN メカニズムによってその詳細が異なります。宛先ネットワークは、パケットを受け取り、そのパケットを復号化します。クライアント コンピュータは、単にプライベート ネットワークに直接接続されているように見えます。
VPN 検疫は、プライベート ネットワークへの完全な接続を遅らせて、その間に、組織の規格に対するリモート アクセス コンピュータの構成を確認および検証することで動作します。接続しているコンピュータが組織のポリシーに従っていない場合、コンピュータが他のネットワーク リソースに接続可能になる前に、検疫プロセスが、サービス パック、セキュリティの更新プログラム、およびウイルス定義をインストールします。VPN 検疫は、クライアントによって実行されるチェックを信頼しているため、悪意のあるユーザーがコンピュータのチェックをすり抜ける可能性があります。VPN 検疫は、特定された攻撃者からネットワークを保護するのではなく、むしろ承認されたユーザーが、組織のコンピュータの設定要件に従っていないコンピュータを、間違って使用することを防止するように設計されています。
注 : VPN 検疫は、完全なセキュリティ ソリューションを保証するものではなく、構成が安全でないコンピュータが、プライベート ネットワークに接続することを防止します。ただし、VPN 検疫は、有効な資格情報を取得した悪意のあるユーザーや、組織のコンピュータの正常性ポリシーに準拠したコンピュータを使用してログオンする悪意のあるユーザーからは、プライベートネットワークを保護しません。また、VPN 検疫は、セキュリティ要件を満たしているコンピュータと接続し、不正な攻撃をしかけようとしている承認されたユーザーからも、プライベート ネットワークを保護しません。
VPN 検疫を実装するには、次のコンポーネントが必要です。
検疫対応リモート アクセス クライアント
検疫対応リモート アクセス サーバー
検疫対応 RADIUS (Remote Access Dial-In User Service) サーバー (省略可)
検疫リソース
アカウント データベース
検疫リモート アクセス ポリシー
このセクションでは、VPN検疫ソリューションを備えるために、これらのコンポーネントがどのように連携して動作するかを概説します。
注 : VPN 検疫ソリューションは、RADIUS または Windows 認証のいずれでも使用可能ですが、RADIUS の方がより適した方法です。Microsoft の RADIUS 実装である ISA の詳細については、後の「インターネット認証サービス (IAS) の実装」で説明します。
仮想プライベート ネットワークを使用した接続
コンピュータが Microsoft Windows® ベースのリモート アクセス サーバーへの VPN 接続を開始すると、サーバーは次の動作を実行します。
リモート アクセス サーバーは、構成済みのリモート アクセス ポリシーに対してチェックを実行することで、接続を許可します。
リモート アクセス サーバーは、ユーザーがリモートに接続する資格があるかどうかを確認します。
リモート アクセス サーバーは、ディレクトリ サービスまたは認証サービスと照合してユーザーの資格情報を確認し、認証します。
リモート アクセス コンピュータは、リモート コンピュータに IP アドレスを割り当てます。
標準的な VPN の実装では、ユーザーが上記の 4 つのステップを正しく完了した場合に、承認されたすべてのネットワーク リソースにアクセス可能になります。 コンピュータは、セキュリティ アップデート、対ウイルス保護などをチェックしません。
仮想プライベート ネットワーク検疫を使用した接続
次の図は、検疫サブネットに配置されたリソース サーバーを利用する VPN 検疫への 1 つのアプローチの概略を示しています。
.gif)
図 2.1 VPN 検疫プロセス パス
拡大表示する VPN 検疫は、ユーザーがリモート ネットワークへの接続を試みた際に、修正されたプロセスを実装します。プロセスでは、次の手順が実行されます。
.gif){kind=link}
コンピュータは、定められた基本要件を満たすかどうかを確認するために、接続前チェックを実行します。接続前チェックには、修正プログラム、セキュリティ アップデート、およびウイルス シグネチャがあります。接続前スクリプトは、このチェックの結果をローカルに格納します。組織は必要に応じて、接続後セキュリティ チェックを実行することも可能です。
接続前チェックが正しく完了すると、コンピュータは、VPN を使用してリモート アクセス サーバーに接続します。
リモート アクセス サーバーは、Active Directory® ディレクトリ サービスに格納されたユーザー名とパスワードに対して、RADIUS サーバーによるユーザーの資格情報の認証を行います。RADIUS は、このプロセスで省略可能なコンポーネントです。
Active Directory がユーザーを認証する場合、リモート アクセス サーバーは VPN 検疫リモート アクセス ポリシーを使用して、検疫内にクライアントを配置します。リモート アクセス クライアント コンピュータのアクセスは、リモート アクセス ポリシーで指定された検疫リソースに限定されます。リモート アクセス クライアント コンピュータ上で検疫を実施するには、次の 2 つの方法が考えられます。1 つは、クライアント コンピュータが永久に検疫内に留まることがないようにタイムアウト時間を指定して検疫を実施する方法です。もう 1 つは、指定したネットワーク リソースのみに IP トラフィックを制限する IP フィルタを使用して検疫を実施する方法です。
接続後スクリプトは、指定した要件にクライアントが従っていることをリモート アクセス サーバーに通知します。指定したタイムアウト時間内で接続が要件を満たしていない場合、スクリプトはユーザーにその旨を通知し、接続を切断します。
リモート アクセス サーバーは、IP フィルタを削除することでクライアント コンピュータを検疫モードから削除し、リモート アクセス ポリシーで指定されたネットワーク リソースへの適切なアクセス許可を与えます。
注 : 接続に失敗すると、ユーザーは失敗した理由を説明するメッセージを受け取ります。
検疫モードでは、クライアントは検疫ネットワークに配置されているリソースにのみアクセスできます。このネットワークは、独立した検疫サブネット、または定義されたインターネットに接続しているサーバー セットで構成されます。検疫ネットワークには、リモート コンピュータが、事前に規定したセキュリティ要件に完全に従うことを可能にするためのリソースを備えています。一般に、これらのリソースには、名前解決のための DNS サーバー、ユーザー命令を発行する Web サーバー、および必要な更新、サービス パック、またはウイルス対策ユーティリティをダウンロードするファイル サーバーがあります。リモート アクセス サーバーは、クライアントを指定した検疫リソースに制限するための、カスタム IP フィルタを実装します。カスタム IP フィルタでは、独立したサブネット上の指名したコンピュータに対して、制限されたポート上でのみ通信を許可します。
検疫サブネットにリソースを配置した場合、検疫サブネットを使用するには、クライアント コンピュータが必要なすべての更新プログラムをダウンロードできるように、セッション タイムアウト時間を長く設定する必要があります。インターネットに接続する更新サーバーを使用して、VPN 接続を確立する前にアップデートを実行すると、検疫タイムアウトを短く保つことができます。どちらの場合も、スクリプトは検疫ネットワーク自体ではなく、クライアントの更新プログラムを実行します。
タイムアウト値は、VPN 検疫アクセス ポリシーで指定されます。クライアントが一定時間内にネットワーク準拠テストを通過しない場合は、リモート アクセス サーバーは接続を終了します。VPN 検疫設定の詳細については、第 4 章「ソリューションの設計」を参照してください。
VPN 検疫を実装する際に重要なのは、すべてのソリューション コンポーネントが正しく相互運用されていることです。次のセクションでは、これらのコンポーネントについて説明し、各コンポーネントを計画する上での課題を簡単に説明します。
クライアント コンポーネント
VPN 検疫は、リモート クライアント上で実行されているコンポーネントを使用するため、各クライアント コンポーネントの機能および構成を理解することが重要になります。接続マネージャおよび接続マネージャ管理キット (CMAK) は、特に重要です。
接続マネージャの概要
接続マネージャを使用すると、ネットワーク接続の確立と管理を集約して自動化できます。接続マネージャでは、VPN 検疫構成の主要な次の領域をサポートしています。
クライアント コンピュータの構成を自動的に管理する接続前のセキュリティ チェック
接続後のセキュリティ チェックとログオンの検証
管理チームは、接続マネージャ クライアント ダイヤラ ソフトウェアを各リモート アクセス クライアントにインストールします。このソフトウェアには、手動で設定したリモート アクセス接続で備えられた機能より、高度な機能が含まれます。
接続プロセスの簡略化
接続マネージャを利用すると、ユーザーの接続プロセスを簡略化することもできます。ユーザーが変更できる構成オプションの数が制限され、正常に接続できるようになります。接続マネージャをカスタマイズすると、以下のような操作が可能になります。
物理的な場所に基づいて、使用する電話番号をリストから選択できます。
カスタマイズされたグラフィックス、アイコン、メッセージ、およびヘルプを表示します。
VPN 接続を確立する前に、ダイヤルアップでインターネットへ接続します。
接続プロセス中に、接続前動作や接続後動作などのカスタム動作を実行します。たとえば、ダイヤラ プロファイルをリセットしたり、パケット フィルタ ルールの例外を無視するように Windows ファイアウォールを構成できます。
管理可能なソリューションを実装するには、管理者は複数のコンピュータに接続マネージャ設定を作成および展開できるようにする必要があります。これらのコンピュータでは、接続マネージャ プロファイルを作成するために接続マネージャ設定が必要になります。
接続マネージャ プロファイルの作成
接続マネージャ プロファイルは、カスタマイズされた接続マネージャ クライアント ダイヤラ パッケージで、自己解凍型の実行可能ファイルです。ネットワーク管理者は、CMAK を使用してこれらのプロファイルを作成できます。Active Directory のグループ ポリシー、またはインターネットに接続する Web サーバーや、Microsoft Systems Management Server 2003 でのソフトウェア配布などのその他のソフトウェア インストール メカニズムを使用して、組織は、作成した接続マネージャ プロファイルをクライアント コンピュータに展開できます。
ユーザーが実行可能ファイルを実行すると、リモート アクセス サーバーに接続するための適切な設定と共に、プロファイルがローカル コンピュータにインストールされます。ユーザーが Windows XP の [Connect To] メニューでプロファイル名を開始するだけで、プロファイルが自動的に適切なダイヤルアップ接続と VPN 接続を確立します。
接続マネージャ プロファイルのカスタマイズ
柔軟性に富んだ接続マネージャの設計によって、IT 管理者による、特定の管理またはセキュリティ要件に基づいたモジュールの開発および挿入が可能になります。接続マネージャ管理キット ウィザードに従って、接続マネージャ プロファイルを設定する際に必要な各種の設定を選択できます。接続マネージャ管理キットの詳細については、マイクロソフトの Web サイトの「接続マネージャ管理キット」トピック https://technet2.microsoft.com/windowsserver/en/library/be5c1c37-109e-49bc-943e-6595832d57611033.mspx を参照してください。
接続マネージャのカスタム動作の実装
CMAK ウィザードを使用して、ユーザーがネットワークに接続したときに自動的にプログラムが開始するように、接続マネージャ プロファイルにカスタム動作を含めることができます。CMAK ウィザードを使用すると、接続プロセスの 5 つの異なるポイントで実行するカスタム動作を指定できます。
開始前の動作。ユーザーが接続マネージャを開始すると、指定した開始前の動作が実行されます。これらの動作は、接続マネージャのログオン画面が表示される前に実行されます。ただし、接続マネージャが開始前の動作を実行するのは、[プロパティ] ダイアログ ボックスをクリックするか、サービス プロファイルを作成するときです。
接続前の動作。ユーザーが [接続] をクリックすると、接続マネージャによってサービス プロファイルで指定した接続前の動作が実行されます。接続前の動作は、接続マネージャがリモート アクセス サービスへの接続を確立する前に実行されます。トンネリングに関係する動作の場合、接続マネージャはトンネル前の動作を使用します。
トンネル前の動作 (VPN 用)。接続マネージャは、インターネット サービス プロバイダとの接続を確立してから VPN サーバーへのトンネルを確立するまでの間に、トンネル前の動作を実行します。このタイプの動作が使用できるのは、接続マネージャのサービス プロファイルの一部に VPN が含まれている場合のみです。
接続後の動作。接続マネージャは、トンネルを確立した後に接続後の動作を実行します。ユーザーがリモート アクセス サービスに接続するたびに、CMAK ウィザードで指定した接続後の動作が実行されるように設定できます。
**切断の動作。**接続マネージャは、サービスから切断する直前に、切断の動作を実行します。たとえば、オンラインの合計時間 (分) のデータを収集するなどの定期管理に、切断の動作を使用できます。その後、ユーザーは収集されたデータを参照できます。また、運用チームは、このデータを使用してユーザーの使用状況を分析できます。
注 : 接続マネージャ以外の要因によって切断される場合でも、切断の動作が実行されます。たとえば、電話サービスの中断によってユーザーの接続が終了した場合、予期しない切断が発生した後に、接続マネージャはサービス プロファイルが指定する切断の動作を実行します。
通常、トンネル前の動作は、ネットワーク ポリシー要件のスクリプトを実行して、クライアント コンピュータの準拠を確認します。ネットワーク ポリシー要件のスクリプトの詳細については、このガイドの付録 A「検疫スクリプトのサンプル」を参照してください。
リモート アクセス検疫エージェント
現時点では、VPN 検疫には、リモート アクセス サーバー上で実行する適切なリスナ コンポーネントを操作するための、専用のクライアント エージェントが必要です。クライアント エージェントは、サーバー コンポーネントに対して、クライアントが必要なチェックに合格し、リモート アクセス サーバーがイントラネット リソースへのアクセスを許可されたことを通知します。
Windows Server 2003 SP1 には、Transport Control Protocol (TCP) のポート 7250 でリモート アクセス検疫サービス (RQS.exe) と通信するクライアント エージェント (RQC.exe) が備えられています。接続が検疫された時点で、リスニング コンポーネント (RQS) はクライアント (RQC) に共有秘密キーを送信します。クライアントが必要な条件を満たす場合、クライアントは、リモート アクセス サーバーが検疫を解除できるように、共有キーをサーバーに送信します。リモート アクセス検疫エージェントは、接続マネージャ管理キットの一部としてインストールされます。
サーバー コンポーネント
VPN 検疫の中核となるコンポーネントは、VPN リモート アクセス サーバーです。VPN リモート アクセス サーバーでは、以下を実行できます。
リモート アクセス検疫サービスの実行
検疫アクセスのためのリモート アクセス ポリシーの適用
クライアント エージェントとの通信のネゴシエーション
クライアント エージェントからのポリシー準拠通知の受信
アクセス制限のないリモート アクセス ポリシーの適用
Windows Server 2003 SP1 に備えられているリモート アクセス検疫サービスでは、リモート コンピュータを検疫に配置し、クライアント エージェントがコンプライアンスを通知した後に、そのコンピュータを検疫制限から削除するために必要なアプリケーション プログラミング インターフェイス (API) がサポートされています。
リモートアクセス検疫サービスは、Windows Server 2003 SP1 に含まれるオプション コンポーネントです。リモートアクセス検疫サービスは、クライアント エージェントからの通知を受け取るために、TCP ポート 7250 上でリッスンする実行可能ファイル (RQS.exe) で構成されています。Windows 2003 Server SP1 内のリモート アクセス検疫サービス コンポーネントは、Microsoft カスタマ サポート サービスでサポートされる唯一の検疫サービスのバージョンです。
注 : リモート アクセス サーバーとクライアントの間のすべてのファイアウォールは、必ずポート 7250 上のトラフィックを許可する必要があります。リモート アクセス サーバーは、TCP ポート 7250 の受信トラフィックを許可することを要求します。
各 VPN 接続上に配置された検疫の制限は、以下のとおりです。
検疫されたリモート アクセス クライアントが送信または受信可能なトラフィックを制限する検疫パケット フィルタ
強制的に切断される前に、クライアントが検疫モードで接続を継続できる時間を制限する検疫セッション タイマ
ネットワーク要件
VPN 検疫ソリューションに必要なネットワーク コンポーネントは、以下のとおりです。
インターネット認証サービス (IAS) サーバー
SUS (Software Update Services) サーバー (オプション コンポーネント)
Windows Update (オプション コンポーネント)
追加のネットワーク コンポーネント
また、ネットワークには、ソリューションをサポートするために必要な帯域幅を備える必要があります。ネットワークには、効率よくパケット転送を行うために必要な、ルーターおよびゲートウェイも装備する必要があります。
インターネット認証サービスの実装
RADIUS を使用すると、拡張認証プロトコル (EAP) 規格のサポートなど、VPN 接続でのより柔軟なユーザー認証が可能です。EAP では、デジタル証明書またはスマート カードを使用した 2 要素認証の制御を行うことができます。
組織で、認証方式として RADIUS を使用するようにリモート アクセス サーバーを構成する場合、IAS サーバーのみが必要です。VPN の検疫シナリオで RADIUS 認証に IAS を使用すると、多くの利点があります。IAS を使用すると、次の操作が可能になります。
ユーザー認証および承認の集中管理
Active Directory との統合
承認と認証の広範囲に渡るオプションの設定
IAS サーバーは認証プロセスを管理し、ユーザーの認証要求とログオン情報を Active Directory に送信します。Active Directory は、ログオン情報をそのリモート ユーザーの資格情報と照合します。資格情報が一致すると、ユーザーは IAS によって認証されます。IAS の詳細については、マイクロソフトの Web サイトの「Internet Authentication Service」www.microsoft.com/windowsserver2003/technologies/ias/default.mspx (英語情報) を参照してください。
注 : VPN 検疫を構成する際に必要になるリモート アクセス ポリシー プロファイルでの高度な属性の設定は、Windows Server 2003 の IAS でのみサポートされています。その他の RADIUS 実装では、この機能はサポートされていない可能性があります。詳細については、第 4 章「ソリューションの設計」を参照してください。
IAS は、VPN検疫に必要な 2 つのベンダ固有の属性である MS-Quarantine-Session-Timeout と MS-Quarantine-IPFilter を唯一サポートしている RADIUS サーバーです。これらの 2 つの属性の詳細については、第 4 章「ソリューションの設計」を参照してください。
Software Update Service の使用
リモート コンピュータがイントラネット上のリソースに接続する場合、事前にこれらのコンピュータに最新のサービス パックとセキュリティの更新プログラムが設定されていることを確認する必要があります。SUS には、集中管理されたソフトウェアの更新プログラムのデータベースが備えられており、このデータベースを使用することにより、リモート コンピュータを更新できます。リモート アクセス クライアント コンピュータは、接続マネージャ プロファイルに指定されたカスタム動作によって更新プログラムを確認します。
SUS は、クライアントが企業のネットワークに接続した後に、クライアントを更新するのに適しています。ただし、SUS はアイドル状態の帯域幅を使用するため、リモート アクセス コンピュータの更新に時間がかかる場合もあります。Software Update Services の詳細については、マイクロソフトの Web サイトの「Microsoft Solutions for Management:Patch Management Using Microsoft Software Update Services」www.microsoft.com/downloads/details.aspx?FamilyId=38D7E99B-E780-43E5-AA84-CDF6450D8F99&displaylang=en (英語情報) を参照してください。
Windows Update の使用
Windows Update は、誰もが利用可能なセキュリティ更新プログラムや、Microsoft の各種オペレーティング システムの修正プログラムがあるインターネット Web サイトです。リモート コンピュータは、会社のネットワークに接続する前に、Windows Update を使用して更新プログラムをダウンロードできます。また、Windows XP の自動更新サービスを使用すると、Windows Update の Web サイトを定期的にチェックして、自動的にセキュリティ更新プログラムをインストールすることができます。Windows Update は、Active Directory に依存しません。
接続前スクリプトは、コンピュータが会社のネットワーク要件に従っているかどうかを確認できます。接続前スクリプトは、Microsoft Internet Explorer を起動して、Windows Update Web サイトを表示します。Windows Update の詳細については、マイクロソフトの Web サイトの「Windows Update」https://update.microsoft.com/windowsupdate/v6/default.aspx?ln=ja を参照してください。
追加のネットワーク コンポーネントの実装
VPN 検疫には、次の追加のネットワーク コンポーネントが必要です。
動的ホスト構成プロトコル (DHCP) サーバー。 DHCP は、リモート クライアントに IP アドレスを自動的に割り当てます(推奨)。
Active Directory。Active Directory は、ユーザー アカウントの認証を行います。Active Directory は IAS と統合され、スマート カード認証などの追加のセキュリティ機能をサポートします (推奨)。
ドメイン ネーム システム (DNS) サーバー。DNS は名前解決サービスを提供し、検疫ネットワークに置かれたクライアント コンピュータが、SUS サーバー、Web サーバー、およびウイルス対策ファイルやその他の更新プログラムを保存しているファイル サーバーに接続できるようにします (推奨)。
ファイル サーバー。 ウイルス対策更新プログラム、およびウイルス対策ソフトウェアの完全インストールが保存されています。リモート アクセス コンピュータを検疫中に更新しようとする場合にのみ、ファイル サーバーが必要になります (省略可)。
Web サーバー。検疫からコンピュータを削除するプロセスにおける、エンド ユーザーに対する指示、およびこのプロセスが完了したかどうかを確認するためのリンクを提供します。また、VPN 接続を作成する前に、Web サーバーを使用して更新プログラムを配布できます (省略可)。
これらのコンポーネントの計画と展開方法の詳細については、第 4 章「ソリューションの設計」を参照してください。
この章では、Windows Server 2003 SP1 でのみ使用可能な機能を含め、VPN 検疫を提供するコンポーネントについて説明しました。第 3 章「問題点と要件」では、 Woodgrove National Bank が VPN 検疫テクノロジを実装する際に直面する問題点および制約について説明します。
目次
- 概要
- 第 1 章 - はじめに
- 第 2 章 - 仮想プライベート ネットワーク検疫へのアプローチ
- 第 3 章 - 問題点と要件
- 第 4 章 - ソリューションの設計
- 付録 A - 検疫スクリプトのサンプル
- 付録 B - リモート アクセス検疫サービス パラメータ
- 付録 C - 関連リンク
- 謝辞