ファイアウォール 基礎教育 (4日目)
Agenda(4日目) Netscreenの設定(リモートユーザー接続) Windowsの設定(リモートユーザー接続) 設定練習
例) RemotePC⇔192.168.1.0/24間を VPNトンネルを張った場合 172.16.0.0/24 10.0.0.0/24 192.168.1.0/24 RemotePC 172.16.0.1 10.0.0.1 192.168.1.1 172.16.0.100 10.0.0.2 ※通常は専用のクライアントソフトを利用するが、 今回はMicrosoftのネイティブなIPsec Clientの設定を利用
Netscreenの設定 トンネルインターフェースの作成① ① Network>Interfaces を選択 ② 「New」ボタンをクリック
Netscreenの設定 トンネルインターフェースの作成② ① 「Unnumbered」を選択 ② 「OK」ボタンをクリック
Netscreenの設定 トンネルインターフェースの作成③ Tunnelインターフェースが作成されているのを確認
Netscreenの設定 オブジェクトの作成① ① Objects>Addresses>List を選択 ② 「New」ボタンをクリック
Netscreenの設定 オブジェクトの作成② ① 接続先のホスト名を入力 ③ 接続先のIPアドレスを入力 ② IP/Netmaskを選択 ① 接続先のホスト名を入力 ③ 接続先のIPアドレスを入力 ② IP/Netmaskを選択 ④ 「OK」ボタンをクリック
Netscreenの設定 オブジェクトの作成③ ① Trust を選択 ② 「New」ボタンをクリック
Netscreenの設定 オブジェクトの作成④ ① 接続元のアドレス名を入力 ③ 接続元のIPアドレスを入力 ② IP/Netmaskを選択 ① 接続元のアドレス名を入力 ③ 接続元のIPアドレスを入力 ② IP/Netmaskを選択 ④ 「OK」ボタンをクリック
Netscreenの設定 VPNゲートウェイの作成① ① VPNs>AutoKey Advanced>Gateway を選択 ② 「New」ボタンをクリック
Netscreenの設定 VPNゲートウェイの作成② ① 接続先(ゲートウェイ)の名前を入力 ② 「Custom」を選択 ① 接続先(ゲートウェイ)の名前を入力 ② 「Custom」を選択 ③ 「Static IP Address」を選択 ④ 接続先(ゲートウェイ)のIPアドレスを入力 ⑤ 事前共有キーを入力 ここでは「test123」と入力 ※RemotePC側も同じ事前共有キーを入力 ⑥ 「Advanced」ボタンをクリック
Netscreenの設定 VPNゲートウェイの作成③ ① Custom を選択 ② pre-g2-3des-sha を選択 ③ Mainを選択 (対向が固定IPアドレスの為) ④ 「Return」ボタンをクリック
Netscreenの設定 VPNゲートウェイの作成④ VPNゲートウェイが作成されているのを確認
Netscreenの設定 Autokey IKEの作成① ① VPNs> Autokey IKE を選択 ② 「New」ボタンをクリック
Netscreenの設定 Autokey IKEの作成② ① VPN名を入力 ② Compatible を選択 ここでは「Netscreen RemotePC」と入力 ② Compatible を選択 ③ Predefined を選択 先程作成したVPNゲートウェイであることを確認 ④ 「OK」ボタンをクリック
Netscreenの設定 Autokey IKEの作成③ AutoKey IKE が作成されているのを確認
Netscreenの設定 ポリシーの作成① ① Policies を選択 ④ 「New」ボタンをクリック ②Trustゾーンを選択 ③ Untrustゾーンを選択
Netscreenの設定 ポリシーの作成② ① Address Book Entry を選択 ② Local segment を選択 ③ RemotePC を選択 ④ Tunnel を選択 ⑤ 先程作成したVPN名 を選択 ⑥ ここにチェックを入れて両方向にポリシーを適用する ⑦ ログを取得する場合はチェック ⑧ Position at Topボタンをクリック ⑨ 「OK」ボタンをクリック
Netscreenの設定 ポリシーの作成③ 両方向にVPNに関するポリシーが作成されているのが確認できる
Windowsの設定 流れ① 1.IPセキュリティポリシーの作成 IPセキュリティポリシー: IPsec VPN (任意の名前) 2.IPフィルタの作成(送信側): OUTBOUND (任意の名前) トンネルエンドポイント: 10.0.0.1( NetscreenのUntrust側のIPアドレス) 事前認証キー: test123(Netscreen側と共通なキー) 送信元: 172.16.0.100(RemotePCのIPアドレス) 宛先: 192.168.1.0/24(VPNで接続したいネットワーク) 5.適用 3.フィルタ操作の作成: IPsec Proposal(任意の名前) 整合性アルゴリズム: SHA-1 暗号化アルゴリズム: 3DES 4.適用
Windowsの設定 流れ② IPセキュリティポリシー: IPsec VPN(任意の名前) 6.IPフィルタの作成(受信側): INBOUND (任意の名前) トンネルエンドポイント: 172.16.0.100( RemotePCのIPアドレス) 事前認証キー: test123(Netscreen側と共通なキー) 送信元: 192.168.1.0/24(VPNで接続したいネットワーク) 宛先: 172.16.0.100(RemotePCのIPアドレス) 9.適用 7.フィルタ操作の選択: IPsec Proposal(任意の名前) 整合性アルゴリズム: SHA-1 暗号化アルゴリズム: 3DES 8.適用 10.ポリシーの割り当て: IPセキュリティポリシー ( IPsec VPN )をRemotePCへ割り当て
Windowsの設定 IPセキュリティポリシーの作成① ① 「コントロールパネル」から「管理ツール」を開き、 ① 「コントロールパネル」から「管理ツール」を開き、 「ローカルセキュリティポリシー」を起動 ② 「ローカルコンピュータのIPセキュリティポリシー」を右クリックして、 「IPセキュリティポリシーの作成」を選択
Windowsの設定 IPセキュリティポリシーの作成② ② 「IPセキュリティポリシー名」 : 任意の名前を入力します。 ここでは「IPsecVPN」と入力 ① 「次へ(N)>」ボタンをクリック ③ 「次へ(N)>」ボタンをクリック
Windowsの設定 IPセキュリティポリシーの作成③ ① チェックを外す ② 「次へ(N)>」ボタンをクリック ③ 完了ボタンをクリック
Windowsの設定 IPセキュリティポリシーの作成④ ① 全般を選択 ③ 「60」を入力 ④ 「OK」ボタンをクリック ① 全般を選択 ③ 「60」を入力 ④ 「OK」ボタンをクリック ② 「詳細設定(V)」ボタンをクリック ⑤ 「OK」ボタンをクリック
Windowsの設定 IPフィルタの作成(送信側)① ①IPセキュリティポリシーの「IPsec VPN」をダブルクリック後、
Windowsの設定 IPフィルタの作成(送信側)② ① NetscreenのUntrust側のIPアドレスを指定 ③ 「すべてのネットワーク接続」を選択 ② 「次へ(N)>」ボタンをクリック ④ 「次へ(N)>」ボタンをクリック
Windowsの設定 IPフィルタの作成(送信側)③ ① 認証方法として「次の文字列をキー交換(事前共有キー)の保護に使う」を選択し 、キーをテキストボックスへ入力。ここでは「test123」と入力 。 ※Netscreen側も同じ事前共有キーを入力 ② 「次へ(N)>」ボタンをクリック ③ 「追加(A)>」ボタンをクリック
Windowsの設定 IPフィルタの作成(送信側)④ ① フィルタの名前を入力。ここでは「OUTBOUND」と入力 「追加(A)>」ボタンをクリック ③ 「次へ(N)>」ボタンをクリック
Windowsの設定 IPフィルタの作成(送信側)⑤ ① 発信元アドレスに「このコンピュータのIPアドレス」を選択 ④ VPNの宛先ネットワークを入力
Windowsの設定 IPフィルタの作成(送信側)⑥ ① IPプロトコルの種類:「任意」を選択 ② 「次へ(N)>」ボタンをクリック ③ 「完了」ボタンをクリック
Windowsの設定 IPフィルタの作成(送信側)⑦ ① 「OK」 ボタンをクリック ② フィルタ「OUTBOUND」を選択
Windowsの設定 フィルタ操作の作成① ① 「フィルタ操作」で 「追加(A)」 ボタンをクリック ② 「次へ(N)>」ボタンをクリック
Windowsの設定 フィルタ操作の作成② ① 名前と説明に適当な文章を入れて「次へ」をクリック ① 名前と説明に適当な文章を入れて「次へ」をクリック ここでは、名前を IPsec Proposal にしています。 ③ 「セキュリティのネゴシエート」 を選択 ② 「次へ(N)>」ボタンをクリック ④ 「次へ(N)>」ボタンをクリック
Windowsの設定 フィルタ操作の作成③ ① 「IPsecをサポートしないコンピュータと通信しない(D)」 を選択
Windowsの設定 フィルタ操作の作成④ ② フィルタ「IPsec Proposal 」を選択 ① 「完了」ボタンをクリック ① 「完了」ボタンをクリック ③ 「次へ(N)>」ボタンをクリック
Windowsの設定 フィルタ操作の作成⑤ ① 「完了」ボタンをクリック ② 「閉じる」ボタンをクリック
Windowsの設定 IPフィルタの作成(受信側)① IPセキュリティポリシーの「IPsec VPN」をダブルクリック後、 「追加」ボタンをクリック
Windowsの設定 IPフィルタの作成(受信側)② ② 「次のIPアドレスでトンネルエンドポイントを指定する」を選択RemotePCのIPアドレス(172.16.0.100)を入力 ① 「次へ(N)>」ボタンをクリック ③ 「次へ(N)>」ボタンをクリック
Windowsの設定 IPフィルタの作成(受信側)③ ③ 認証方法として「次の文字列をキー交換(事前共有キー)の保護に使う」を選択し 、キーをテキストボックスへ入力。ここでは「test123」と入力 。 ※Netscreen側も同じ事前共有キーを入力 ① 「すべてのネットワーク接続」を選択 ② 「次へ(N)>」ボタンをクリック ④ 「次へ(N)>」ボタンをクリック
Windowsの設定 IPフィルタの作成(受信側)④ ① 「追加(A)>」ボタンをクリック ② フィルタの名前を入力。ここでは「INBOUND」と入力 ③ 「追加(A)>」ボタンをクリック
Windowsの設定 IPフィルタの作成(受信側)⑤ ② 発信元アドレスに「特定のIPサブネット」を選択 ③ VPNの送信元ネットワークを入力
Windowsの設定 IPフィルタの作成(受信側)⑥ ① 発信元アドレスに「このコンピュータのIPアドレス」を選択
Windowsの設定 フィルタ操作の選択① ① 「完了」ボタンをクリック ② 「追加(A)>」ボタンをクリック
Windowsの設定 フィルタ操作の選択② ① フィルタ「INBOUND」を選択 ② 「次へ(N)>」ボタンをクリック
Windowsの設定 フィルタ操作の選択③ ① フィルタ「IPsec Proposal 」を選択 ② 「次へ(N)>」ボタンをクリック ③ 「完了」ボタンをクリック
Windowsの設定 フィルタ操作の選択④ ① 「OK」ボタンをクリック
Windowsの設定 ポリシーの割り当て ①「ローカルコンピュータのIPセキュリティポリシー」に、先ほど作成した 「IPsec VPN」が表示されているので、この「IPsec VPN」を右クリックして「割り当て」を選択 ② ポリシーの割り当てが「はい」になっているのを確認
VPNの接続確認 ① RemotePCよりVPNのセグメントへpingを実施 ② IKEによりSAを生成していることが分かる
設定練習 下記の環境を構築せよ! 172.16.0.0/24 10.0.0.0/24 192.168.1.0/24 RemotePC 172.16.0.1 10.0.0.1 192.168.1.1 172.16.0.100 10.0.0.2