以上でVPNサーバ側の設定は一通り完了であるが、セキュリティを強化するために、さらにいくらかの設定を行っておく。
最初に、VPNサーバに接続できるクライアントの条件を限定し、意図しないVPN接続を禁止する。このためにはVPN接続の「リモート アクセス ポリシー」の変更(強化)を行う。
VPN接続のポリシーの設定
VPNの接続ポリシーを強化して、あらかじめ許可されたクライアント以外からの接続を拒否するように設定する。
(1)VPNの接続ポリシーを表示、変更するには、これを選択する。すると右側のペインに現在定義されているポリシーが表示される。
(2)新規に作成したポリシー。これをダブルクリックすると、次で解説するような画面が表示され、ポリシーの内容を確認することができる。
(3)デフォルトのポリシー。アクセスできるVPN接続の種類(Vender ID)を限定している。
(4)デフォルトのポリシー。VPNサーバに接続できる時間帯の指定。
今回の例では、VPNサーバに接続できるクライアント限定することにより、許可されていないVPNクライアントからの接続を拒否するように設定する。上の画面において、右側のペインでマウスを右クリックし、ポップアップ・メニューから[新しいリモート アクセス ポリシー]を選択して、ポリシーのウィザードを起動する。ウィザードの具体的な設定例は省略するが、最終的には次の画面のようなポリシー「VPN_from_Branch」を設定しておく。これはあらかじめ(Active DirectoryのVPN_DialUP_Machinsグループに)登録しておいたVPNクライアントからの接続のみを許可するという設定である。
VPN接続を制限するためのポリシー設定
セキュリティを確保するために、あらかじめ許可されたクライアント以外からのVPN接続を制限するようにポリシーを定義しておく。[ポリシー条件]にある3つの条件が満たされた場合にのみVPN接続を許可する。
(1)接続インターフェイスが「仮想(VPN)」の場合だけ接続を許可する。ほかにもISDNやモデム、FDDI、イーサネットなどを始めとしてさまざまなインターフェイスが定義されており、どのインターフェイス経由でのアクセスを許可するかを設定することができる。
(2)VPN接続を許可する(Active Directoryの)グループの指定。今回の設定では、あらかじめEXAMPLEドメインのVPN_DialUP_Machinesグループに登録されたVPNアカウントにのみVPN接続を許可する。
(3)「Called-Station-Id」とは、VPNサーバのグローバルIPアドレスのこと。VPNサーバのIPアドレスを限定しておくことにより、(何らかの設定ミスなどによって)IPアドレスが変更されるようなことが起こっても、そこへの接続を禁止することができる。このポリシーは必須ではないが、より厳格にするという意味では、あった方がよいだろう。
(4)新しくポリシーを追加するにはこれをクリックする。以上の3種類以外にも、さまざまな条件(プロトコルの種別や認証方法など)を使って接続を制限することができる。
(5)既存のポリシーを編集するにはこれをクリックする。
(6)このポリシーが許可され、VPN接続が確立された場合に適用される各種の設定(プロファイル)を変更することができる。今回の設定では、暗号化の強度を限定させるために、さらに次の画面のような設定を行っておく。
(7)以上の条件を満たした場合に、VPN接続を許可するためには、これを選択する。
以上はポリシーの設定であり、これらの条件が満たされた場合にのみVPN接続が許可される。このポリシー例では、(1)VPN接続であり、(2)VPN_DialUP_Machinesグループに登録された接続アカウントであり、さらに(3)VPNサーバのIPアドレスがあらかじめ決められたものであれば、VPN接続が許可される。各ポリシーには「プロファイル」を定義することができる。プロファイルとは、VPN接続が確立したときに行われる各種の設定のことであり、例えば最大接続可能時間の限定や、無通信時の自動切断、入出力パケット・フィルタ、認証方法、暗号化強度、利用可能なプロトコルの制限などを行うことができる。今回は、暗号化の強度を最高レベルに限定して、通信の安全性を確保するように設定しておく。
上の画面で[プロファイルの編集]をクリックすると、次のような画面が表示される。[暗号化]タブで暗号化の強度を設定することができる。PPTPによるVPN接続では、暗号化アルゴリズムとしてはMPPE(Microsoft Point-to-Point Encryption)が利用できる。MPPEはRSA Data Security社のRC4を利用する暗号化アルゴリズムであり、暗号化キーのbit数としては、40bit/56bit/128bitの3種類が利用できる。
VPN接続のプロファイルの編集
プロファイルを編集すると、VPN接続に関するさまざまな設定を変更することができる。例えば最大接続可能時間の限定や、無通信時の自動切断、入出力パケット・フィルタ、認証方法、暗号化強度、利用可能なプロトコルの制限などを行うことができる。
(1)VPN接続時の暗号化強度を設定するにはこのタブを選択する。
(2)選択可能な暗号化レベル。デフォルトではこの3つのレベル(暗号化キーのbit数)がすべて選択されているが、安全性を考えると、可能な限り高レベルの暗号化のみを許可するようにしておきたい。
(3)暗号化を使用しないという設定。使用しないことが望ましい。
以上でRRASサーバの設定はほぼ完了であるが、念のために、さらにVPNサーバを限定するための設定も行っておこう。RRASの管理ツール([ルーティングとリモート アクセス]管理ツール)において、左側のツリーから[(サーバ名)]−[ポート]を選択して右クリックする。そしてポップアップ・メニューから[プロパティ]を選択すると次のような画面が表示される。
これはVPNで使用できるプロトコルやVPN接続可能な最大ポート数(同時にサーバに接続できるVPNのコネクション数)を設定するための画面である。
VPN接続ポートのプロパティ
ここにはVPN接続で利用できるプロトコルやVPN接続可能な最大ポート数(同時にサーバに接続できるVPNのコネクション数)を設定することができる。
(1)これはPPTPの属性。
(2)これをクリックすると、プロトコルごとに設定を変更することができる。
上の画面でPPTPプロトコルを選択し、[構成]ボタンをダブルクリックする。するとPPTP接続に関する設定を変更することができる。
PPTPポートの設定の変更
ここでは、PPTP接続に関する設定を変更することができる。デフォルトでは特に変更する必要はないが、安全性を向上させるため、PPTP接続できるサーバ側のIPアドレスを限定しておく。
(1)VPNの着信を受け付けるための設定。VPNサーバのデフォルトではこれが有効になっている。
(2)オンデマンドでVPN接続を確立するための設定。今回の例では、インターネット常時接続を利用しているし、各支社側からの自動で接続するように設定しているので、サーバ側ではこれを有効にしなくてもよい。
(3)サーバ側のIPアドレスの指定。PPTPで接続可能なIPアドレスを限定することにより、意図しないVPN接続が許可されてしまうのを防ぐ。
(4)同時に接続可能なPPTPの接続数の指定。
以上で、PPTP接続のためのVPNのサーバ側の設定はすべて完了である。次回は支社側となるPPTPの発信側の設定を行うことにする。
「検証」