ファイアウォール　基礎教育 （4日目）.

Presentation on theme: "ファイアウォール　基礎教育 （4日目）."— Presentation transcript:

1 ファイアウォール　基礎教育 （4日目）

2 Agenda（4日目） Netscreenの設定（リモートユーザー接続） Windowsの設定（リモートユーザー接続） 設定練習

3 例） RemotePC⇔192.168.1.0/24間を VPNトンネルを張った場合
/24 /24 /24 RemotePC ※通常は専用のクライアントソフトを利用するが、 　 今回はMicrosoftのネイティブなIPsec Clientの設定を利用

4 Netscreenの設定 トンネルインターフェースの作成① ① Network>Interfaces を選択
②　「New」ボタンをクリック

5 Netscreenの設定 トンネルインターフェースの作成② ①　「Unnumbered」を選択 ②　「OK」ボタンをクリック

6 Netscreenの設定 トンネルインターフェースの作成③ Tunnelインターフェースが作成されているのを確認

7 Netscreenの設定 オブジェクトの作成① ① Objects>Addresses>List を選択
②　「New」ボタンをクリック

8 Netscreenの設定 オブジェクトの作成② ① 接続先のホスト名を入力 ③ 接続先のIPアドレスを入力 ② IP/Netmaskを選択
①　接続先のホスト名を入力 ③　接続先のIPアドレスを入力 ②　IP/Netmaskを選択 ④　「OK」ボタンをクリック

9 Netscreenの設定 オブジェクトの作成③ ①　Trust を選択 ②　「New」ボタンをクリック

10 Netscreenの設定 オブジェクトの作成④ ① 接続元のアドレス名を入力 ③ 接続元のIPアドレスを入力 ② IP/Netmaskを選択
①　接続元のアドレス名を入力 ③　接続元のIPアドレスを入力 ②　IP/Netmaskを選択 ④　「OK」ボタンをクリック

11 Netscreenの設定 VPNゲートウェイの作成① ① VPNs>AutoKey Advanced>Gateway を選択
②　「New」ボタンをクリック

12 Netscreenの設定 VPNゲートウェイの作成② ① 接続先（ゲートウェイ）の名前を入力 ② 「Custom」を選択
①　接続先（ゲートウェイ）の名前を入力 ②　「Custom」を選択 ③　「Static IP Address」を選択 ④　接続先（ゲートウェイ）のIPアドレスを入力 ⑤　事前共有キーを入力 ここでは「test123」と入力 ※RemotePC側も同じ事前共有キーを入力 ⑥　「Advanced」ボタンをクリック

13 Netscreenの設定 VPNゲートウェイの作成③ ① Custom を選択 ② pre-g2-3des-sha を選択
③　Mainを選択 （対向が固定IPアドレスの為） ④　「Return」ボタンをクリック

14 Netscreenの設定 VPNゲートウェイの作成④ VPNゲートウェイが作成されているのを確認

15 Netscreenの設定 Autokey IKEの作成① ① VPNs> Autokey IKE を選択
②　「New」ボタンをクリック

16 Netscreenの設定 Autokey IKEの作成② ① VPN名を入力 ② Compatible を選択
ここでは「Netscreen RemotePC」と入力 ②　Compatible を選択 ③　Predefined を選択 先程作成したVPNゲートウェイであることを確認 ④　「OK」ボタンをクリック

17 Netscreenの設定 Autokey IKEの作成③ AutoKey IKE が作成されているのを確認

18 Netscreenの設定 ポリシーの作成① ① Policies を選択 ④ 「New」ボタンをクリック ②Trustゾーンを選択
③　Untrustゾーンを選択

19 Netscreenの設定 ポリシーの作成② ① Address Book Entry を選択 ② Local segment を選択
③　RemotePC を選択 ④　Tunnel を選択 ⑤　先程作成したVPN名 を選択 ⑥　ここにチェックを入れて両方向にポリシーを適用する ⑦　ログを取得する場合はチェック ⑧　Position at Topボタンをクリック ⑨　「OK」ボタンをクリック

20 Netscreenの設定 ポリシーの作成③ 両方向にVPNに関するポリシーが作成されているのが確認できる

21 Windowsの設定 流れ① １．IPセキュリティポリシーの作成 IPセキュリティポリシー： IPsec VPN （任意の名前）
２．IPフィルタの作成（送信側）：　OUTBOUND （任意の名前） トンネルエンドポイント：　 （ NetscreenのUntrust側のIPアドレス） 　　　　　事前認証キー：　test123（Netscreen側と共通なキー） 　　　　　　　　　 送信元：　 （RemotePCのIPアドレス）　 宛先：　 /24（VPNで接続したいネットワーク） ５．適用 ３.フィルタ操作の作成：　IPsec Proposal（任意の名前） 整合性アルゴリズム：　SHA-1 暗号化アルゴリズム：　3DES ４．適用

22 Windowsの設定 流れ② IPセキュリティポリシー： IPsec VPN（任意の名前）
６．IPフィルタの作成（受信側）：　INBOUND （任意の名前） トンネルエンドポイント：　 （ RemotePCのIPアドレス） 　　　　　事前認証キー：　test123（Netscreen側と共通なキー） 　　　　　　　　　 送信元：　 /24（VPNで接続したいネットワーク） 宛先：　 （RemotePCのIPアドレス）　 9.適用 ７．フィルタ操作の選択：　IPsec Proposal（任意の名前） 整合性アルゴリズム：　SHA-1 暗号化アルゴリズム：　3DES ８．適用 １０．ポリシーの割り当て： IPセキュリティポリシー （ IPsec VPN ）をRemotePCへ割り当て

23 Windowsの設定 IPセキュリティポリシーの作成① ① 「コントロールパネル」から「管理ツール」を開き、
①　「コントロールパネル」から「管理ツール」を開き、 　 　「ローカルセキュリティポリシー」を起動 ②　「ローカルコンピュータのIPセキュリティポリシー」を右クリックして、 　　 「IPセキュリティポリシーの作成」を選択

24 Windowsの設定 IPセキュリティポリシーの作成② ② 「IPセキュリティポリシー名」 : 任意の名前を入力します。
　　 ここでは「IPsecVPN」と入力 ①　「次へ（N）＞」ボタンをクリック ③　「次へ（N）＞」ボタンをクリック

25 Windowsの設定 IPセキュリティポリシーの作成③ ①　チェックを外す ②　 「次へ（N）＞」ボタンをクリック ③　完了ボタンをクリック

26 Windowsの設定 IPセキュリティポリシーの作成④ ① 全般を選択 ③ 「60」を入力 ④ 「OK」ボタンをクリック
①　全般を選択 ③　「60」を入力 ④　「OK」ボタンをクリック ②　 「詳細設定（V）」ボタンをクリック ⑤　「OK」ボタンをクリック

27 Windowsの設定 IPフィルタの作成（送信側）① ①IPセキュリティポリシーの「IPsec VPN」をダブルクリック後、

28 Windowsの設定 IPフィルタの作成（送信側）② ① NetscreenのUntrust側のIPアドレスを指定
③　「すべてのネットワーク接続」を選択 ②　 「次へ（N）＞」ボタンをクリック ④　 「次へ（N）＞」ボタンをクリック

29 Windowsの設定 IPフィルタの作成（送信側）③
①　認証方法として「次の文字列をキー交換(事前共有キー)の保護に使う」を選択し 、キーをテキストボックスへ入力。ここでは「test123」と入力 。 ※Netscreen側も同じ事前共有キーを入力 ②　 「次へ（N）＞」ボタンをクリック ③　 「追加（A）＞」ボタンをクリック

30 Windowsの設定 IPフィルタの作成（送信側）④ ① フィルタの名前を入力。ここでは「OUTBOUND」と入力
「追加（A）＞」ボタンをクリック ③　 「次へ（N）＞」ボタンをクリック

31 Windowsの設定 IPフィルタの作成（送信側）⑤ ① 発信元アドレスに「このコンピュータのIPアドレス」を選択
④　VPNの宛先ネットワークを入力

32 Windowsの設定 IPフィルタの作成（送信側）⑥ ① IPプロトコルの種類：「任意」を選択 ② 「次へ（N）＞」ボタンをクリック
③　「完了」ボタンをクリック

33 Windowsの設定 IPフィルタの作成（送信側）⑦ ① 「OK」 ボタンをクリック ② フィルタ「OUTBOUND」を選択

34 Windowsの設定 フィルタ操作の作成① ①　「フィルタ操作」で 「追加（A）」 ボタンをクリック ②　「次へ（N）＞」ボタンをクリック

35 Windowsの設定 フィルタ操作の作成② ① 名前と説明に適当な文章を入れて「次へ」をクリック
①　名前と説明に適当な文章を入れて「次へ」をクリック 　　 ここでは、名前を IPsec Proposal にしています。 ③　「セキュリティのネゴシエート」 を選択 ②　「次へ（N）＞」ボタンをクリック ④　「次へ（N）＞」ボタンをクリック

36 Windowsの設定 フィルタ操作の作成③ ① 「IPsecをサポートしないコンピュータと通信しない（D）」 を選択

37 Windowsの設定 フィルタ操作の作成④ ② フィルタ「IPsec Proposal 」を選択 ① 「完了」ボタンをクリック
①　「完了」ボタンをクリック ③　「次へ（N）＞」ボタンをクリック

38 Windowsの設定 フィルタ操作の作成⑤ ①　「完了」ボタンをクリック ②　「閉じる」ボタンをクリック

39 Windowsの設定 IPフィルタの作成（受信側）① IPセキュリティポリシーの「IPsec VPN」をダブルクリック後、
「追加」ボタンをクリック

40 Windowsの設定 IPフィルタの作成（受信側）②
②　「次のIPアドレスでトンネルエンドポイントを指定する」を選択RemotePCのIPアドレス( )を入力 ①　「次へ（N）＞」ボタンをクリック ③　「次へ（N）＞」ボタンをクリック

41 Windowsの設定 IPフィルタの作成（受信側）③
③　認証方法として「次の文字列をキー交換(事前共有キー)の保護に使う」を選択し 、キーをテキストボックスへ入力。ここでは「test123」と入力 。 ※Netscreen側も同じ事前共有キーを入力 ①　「すべてのネットワーク接続」を選択 ②　「次へ（N）＞」ボタンをクリック ④　「次へ（N）＞」ボタンをクリック

42 Windowsの設定 IPフィルタの作成（受信側）④ ① 「追加（A）＞」ボタンをクリック
②　フィルタの名前を入力。ここでは「INBOUND」と入力 ③　「追加（A）＞」ボタンをクリック

43 Windowsの設定 IPフィルタの作成（受信側）⑤ ② 発信元アドレスに「特定のIPサブネット」を選択
③　VPNの送信元ネットワークを入力

44 Windowsの設定 IPフィルタの作成（受信側）⑥ ① 発信元アドレスに「このコンピュータのIPアドレス」を選択

45 Windowsの設定 フィルタ操作の選択① ①　「完了」ボタンをクリック ②　「追加（A）＞」ボタンをクリック

46 Windowsの設定 フィルタ操作の選択② ①　フィルタ「INBOUND」を選択 ②　「次へ（N）＞」ボタンをクリック

47 Windowsの設定 フィルタ操作の選択③ ① フィルタ「IPsec Proposal 」を選択 ② 「次へ（N）＞」ボタンをクリック
③　「完了」ボタンをクリック

48 Windowsの設定 フィルタ操作の選択④ ①　「OK」ボタンをクリック

49 Windowsの設定 ポリシーの割り当て ①「ローカルコンピュータのIPセキュリティポリシー」に、先ほど作成した　　「IPsec VPN」が表示されているので、この「IPsec VPN」を右クリックして「割り当て」を選択 ②　ポリシーの割り当てが「はい」になっているのを確認

50 VPNの接続確認 ①　RemotePCよりVPNのセグメントへpingを実施 ②　IKEによりSAを生成していることが分かる

51 設定練習 下記の環境を構築せよ！ 172.16.0.0/24 10.0.0.0/24 192.168.1.0/24 RemotePC