特集
Windows Server 2003 SP1レビュー

第2回 リモート・アクセス検疫機能

3.検疫ネットワーク用のリモート・アクセス・ポリシーの作成

デジタルアドバンテージ 打越 浩幸
2005/04/14

 VPNサーバの設定が完了すれば、次は検疫サービスのための設定を行う。具体的には、検疫用のリモート・アクセス・ポリシーを新しく定義する。具体的な手順としては、ウィザードで基本となるポリシーを作成後、検疫用のフィルタなどの条件を追加する。

ウィザードによる基本ポリシーの作成

 基本となるポリシーを作成するには、RRASの管理ツールで[リモート アクセス ポリシー]項目を右クリックし(もしくは右側ペインで右クリックする)、ポップアップ・メニューから[新しいリモート アクセス ポリシー]を選択する。IAS認証の場合は、[管理ツール]の[インターネット認証サービス]ツールを利用してポリシーを定義する。

新しいポリシーの追加
検疫用のポリシーを明示的に作成して追加する。デフォルトでは2つのポリシーのみが定義されている。
  これを右クリックしてメニューを表示させる。
  これを選択する。

 メニューを選択するとポリシーの作成ウィザードが起動する。この段階では、VPN用の標準的なポリシーを作成すればよいので、[次へ]を順次押せばよい。

ポリシー作成ウィザードの起動
最初に、標準的なVPN用のポリシーを作成し、後て検疫用のルールを追加する。
  これを選択して、標準ポリシーを作成する。
  ポリシーの名称。

検疫用のフィルタの作成や、接続時間制限などの設定

 いったんリモート・アクセス・ポリシーが作成できれば(名前は[検疫VPN接続]とする)、次は検疫用の特別な追加設定を行う。具体的には、次の2つの項目を追加し、VPN接続時のネットワークへのアクセスを制限させる。

項目名 設定内容 用途
MS-Quarantine-Session-Timeout 例:120秒 検疫をパスしない場合は、120秒経過したら、VPN接続を強制的に切断する。検疫をパスすれば、強制切断はされない
MS-Quarantine-IPFilter 入力フィルタ設定 検疫状態では、非常に限定されたネットワーク・リソースやプロトコルしかアクセスできないようにする。検疫をパスすれば制限なく利用できるようにする
検疫用追加ポリシーの定義
検疫状態では、これらのいずれか(もしくは両方)の設定が適用されるように、ポリシーを定義する。

 これらの属性は、検疫サービスでのみ利用される特別な属性であり、それぞれ次のような意味を持つ。

■MS-Quarantine-Session-Timeout
 これは検疫中の最大猶予時間を設定するための項目である。例えば120秒としておくと、VPNで接続後、120秒以内に検疫をパスしなければ、切断されてしまう。インストールされているOSやソフトウェアのバージョンの調査や、検疫がパスしない場合に特定のWebページへ誘導して表示させるだけならば、この程度でもよいだろう。だがウイルス・チェックの実行や、システム内部のファイルのバージョンや内容の詳細な調査、不足しているパッチなどをダウンロードして強制適用させるといった、非常に込み入った検疫方法では、この程度の時間では不足するかもしれない。その場合は、もっと猶予時間を長くするか、この項目は使用しないようにする。

■MS-Quarantine-IPFilter
 これは、検疫中のアクセス制限を行うためのフィルタ設定である。検疫サービスを利用すると、検査にパスしない限り、非常に限定されたリソースやサーバへしかアクセスできなくなるが、それは、ルーティング機能の禁止やMACアドレス・ベースのパケット・フィルタなどによって実現されているのではない。実際には、この項目で指定したフィルタが機能することによって、アクセス制限を行っている。そのため、フィルタの設定を変更することにより、どのような形態のアクセス制限でも実現可能となる。例えば内部ネットワークへのアクセスをすべて禁止するとか、特定のIPアドレス(群)への接続だけを許可する、特定の内部ネットワークへのアクセスだけを許可する、特定のプロトコルだけを許可する、もしくはこれらを組み合わせた形態にする、などである。

 これら2つの項目は、両方とも定義してもよいし、片方だけ定義してもよい(両方とも定義しないと、何の制限もないという状態になる)。VPN接続した直後は、ここで定義した属性やフィルタが機能しているが、検疫の検査にパスするとこれらの項目が無効になり(削除され)、自由に内部ネットワーク・アクセスできるようになる。

 検疫用のフィルタを定義するには、いま作成したプロファイル名を右クリックし、ポップアップ・メニューの[プロパティ]を選択する。

ルールの追加
作成した標準ポリシーに、検疫用のルールを追加する。
  デフォルトのポリシー条件。
  これをクリックして、ルールを追加する。

 検疫用のフィルタを新しく定義するには、[プロファイルの編集]をクリックし、[詳細設定]タブを選択する。

検疫用ルールの追加
検疫用の属性を2つ追加する。
  [詳細設定]タブを選択する。
  デフォルトの属性。そのまま残しておく。
  これをクリックして追加する。

 デフォルトではこのように2つの属性しか定義されていないが、ここに新たに2つの属性を追加する。[追加]ボタンをクリックすると次のような画面が表示されるので、先の表に示した2つの項目を選択して追加し、値を設定する。

検疫の猶予時間属性の追加
検疫用の特別な属性を追加する。これは検疫モード時にのみ有効であり、パスすると自動的に無効になる。
  これを選択する。

 まず検疫の猶予時間を設定してみよう。このためには、MS-Quarantine-Session-Timeoutという項目を追加する。項目名をダブルクリックするか、[追加]ボタンをクリックすると、次のようダイアログが表示される。属性の値フィールドには、秒で数えた猶予時間を指定する。120秒(2分)ならば「120」と入力する。

追加する属性
MS-Quarantine-は検疫用の特別な属性。
  属性名。
  値。ここでは120秒(2分)を指定する。

 次は検疫用のパケット・フィルタを指定する。フィルタには入力フィルタ(インターネットからVPN経由で内部ネットワークへアクセスする場合に適用される、インバウンド・フィルタ)と、出力フィルタ(内部ネットワークからインターネットへ向かう、アウトバウンド・フィルタ)の2つがあるが、検疫という用途では入力フィルタのみを設定すればよい。

検疫用パケット・フィルタの設定
検疫ネットワーク(検疫リソースにのみアクセスできるネットワーク)は、実際にはパケット・フィルタで実現されている。
  属性名。
  VPNクライアントからのアクセスを制限するためのルールを定義する。

 フィルタとして設定する内容としては、マイクロソフトのドキュメントなどでは以下の4つの項目を設定する例が紹介されているが、このあたりは実際の環境に合わせて変更する必要がある。ただし一番上のルール(TCPの7250番を通過させるルール)だけは不可欠である(MS-Quarantine-IPFilterを使用する場合)。rqc.exeはこのポートを使って、検疫結果を検疫サーバに渡しているからだ(ポート番号はレジストリの設定などにより変更可能)。

フィルタ 設定内容
rqc.exeの結果の返信用 TCPの7250番ポートを、VPNクライアントからVPNサーバに向けて送信するためのルール。「プロトコル=TCP、宛先ポート=7250」を指定し、それ以外は「任意」のままにしておく
DHCP用 VPNクライアントからVPNサーバへのDHCP要求を送受信するためのルール。「プロトコル=UDP、発信元ポート=68、宛先ポート=67」とする(それ以外は「任意」のまま)
DNS用 VPNクライアントからVPNサーバに対してDNS要求を送受信するためのルール。検疫に、内部ネットワーク上のリソース(コンピュータ名)を名前解決するために利用する。内部リソースへのアクセスを禁止したり、直接IPアドレス指定して接続したりする環境の場合は不要。「プロトコル=UDP、宛先ポート=53」とする
内部リソースへのアクセス用 内部ネットワーク上にある特定のリソース(特定のコンピュータや特定のネットワークなど)へのアクセスを許可するためのルール。必要に応じてルールを設定すること
フィルタ設定の例

 これら4つのフィルタを設定した状態を以下に示しておく。なお4つ目のルールは、内部ネットワーク上にある特定のIPアドレス(10.20.1.11)へのアクセスを許可するためのものなので、環境に合わせて適宜変更する必要があるだろう。

追加するフィルタ・ルール
検疫リソースへのアクセスだけを通すようにパケット・フィルタを設定する。
  こちらを選択する。
  定義したフィルタ・ルール。
  これをクリックして、必要なアクセス・ルールを追加する。

 以上でVPNサーバ側の設定は完了である。後はクライアント側でVPN接続用の設定を行い、実際にVPN接続してみるとよい。例えばWindows XPの[コントロール パネル]−[ネットワーク接続]にある[新しい接続ウィザード]でVPNサーバへの接続プロファイルを作成し、これを実行してみよう。この状態ではまだ検疫用のクライアント設定は何も行っていないので、接続後120秒経過すると(MS-Quarantine-Session-Timeoutの設定による)、自動的に切断されるはずである。また内部ネットワークへのアクセスも制限され、検疫用入力フィルタで指定したコンピュータ以外へのアクセスはすべて拒否されるはずである(pingコマンドなどで確かめることができる)。


 INDEX
  [特集]Windows Server 2003 SP1レビュー
  第2回 リモート・アクセス検疫機能
    1.「リモート・アクセス検疫サービス」とは
    2.検疫サービスのインストール
  3.検疫ネットワーク用のリモート・アクセス・ポリシーの作成
    4.接続マネージャによる接続用設定のプロファイルの作成
    5.VPN接続と検疫スクリプト
 
目次ページへ  「特集」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間