3.5 仮想 HUB のセキュリティ
ここでは、仮想 HUB の持つセキュリティに関する機能について解説し、それらの機能の設定方法および注意事項について説明します。
3.5.1 仮想 HUB ごとの管理権限委譲
VPN Server 全体の管理者と仮想 HUB の管理者
PacketiX VPN Server 全体の管理者は、新しい仮想 HUB を作成しその仮想 HUB
に対してパスワードを設定することにより、その仮想 HUB 用のパスワードを仮想 HUB の管理担当者に渡すことで仮想 HUB
単体の管理権限を委譲することができます。
仮想 HUB 単体の管理者は、自分が管理権限を委譲された仮想 HUB 名とパスワードを用いて VPN Server
に接続する必要があります。また、管理することができる項目は自らの仮想 HUB に関する設定に限られ、他の仮想 HUB
に関する情報は取得することも設定することもできません。
なお、仮想 HUB 単体の管理者は VPN Server 全体の設定を参照することはできますが、変更することはできません。さらに VPN
Server のコンフィグレーションファイルや SSL
証明書の秘密鍵ファイルなどの機密事項が格納されたデータには一切アクセスすることができないようになっています。
仮想 HUB の管理者の権限
仮想 HUB の管理権限を委譲された管理者は、自らが管理する仮想 HUB の管理パスワードをいつでも変更することができます。また、仮想
HUB のオンライン / オフライン状態をいつでも変更することができます。その他仮想 HUB
に関する色々な設定変更やカスケード接続の作成、ユーザーやグループなどのオブジェクトの定義などが可能です。ただし、これらの設定変更は VPN
Server 全体の管理者によって予め制限されている場合があります。VPN Server の管理者が仮想 HUB
の管理者が行うことができる操作内容を制限する方法については、「3.5.12 仮想 HUB 管理オプション」 をお読みください。
なお、クラスタリング環境において仮想 HUB の管理者はその仮想 HUB の種類 (スタティック / ダイナミック)
を変更することは許可されていません。この設定を変更することができるのは、VPN Server 全体の管理者に限られます。
3.5.2 仮想 HUB の匿名列挙に関する設定
Windows 版の PacketiX VPN クライアント接続マネージャや VPN サーバー管理マネージャで接続先の VPN
Server のホスト名とポート番号を入力すると、その VPN サーバーに登録されている仮想 HUB
の一覧が自動的に取得され、ドロップダウンリストボックスに表示されます。これは「仮想 HUB の匿名列挙」と呼ばれ、実際に VPN Server
にログインしていないユーザーでも匿名で指定した VPN Server に登録されている仮想 HUB
の一覧を列挙することが可能であることを示しています。
図3-5-1 仮想 HUB の匿名列挙 |
しかし、仮想 HUB の管理者の中には自分が管理する仮想 HUB
の名前を匿名のユーザーに見られるのを好ましくないと考える場合もあります。そのような場合は、VPN サーバーマネージャで [仮想 HUB
のプロパティ] ボタンをクリックし、[セキュリティ設定] の中の [匿名ユーザーに対してこの仮想 HUB を列挙しない]
チェックボックスを有効にすることによりって、匿名ユーザーが VPN Server の仮想 HUB
一覧を列挙した場合にこのチェックボックスが有効になっている仮想 HUB はリストに表示されなくなります。
vpncmd では、SetEnumDeny コマンドを使用することにより同様の設定を行うことができます。
図3-5-2 仮想 HUB の管理用パスワードの設定画面 |
また、この設定を行うと、同時に VPN Server 全体の管理者ではない、仮想 HUB 単体の管理者でその仮想 HUB
の管理者でないユーザーが VPN サーバー管理ツールの最初の仮想 HUB 一覧の画面や vpncmd の HubList
コマンドによって VPN Server に登録されている仮想 HUB の一覧を取得する際に、[匿名ユーザーに対してこの仮想 HUB
を列挙しない] オプションが有効になっている仮想 HUB は表示されなくなります。つまり、その仮想 HUB
の存在を知らないユーザーにとってはその仮想 HUB の名前すら見ることができない状態になります。これは、仮想 HUB
の名前自体に意味がありそれを隠したいような場合に有効です。
3.5.3 使用する外部認証サーバーの設定
仮想 HUB の管理者は、その仮想 HUB で Radius 認証によるユーザー認証を使用したい場合に、事前に使用する Radius
サーバーを設定しておく必要があります。使用する Radius サーバーを設定するには、[認証サーバーの設定]
ボタンをクリックします。vpncmd では、RadiusServerSet コマンドを使用して設定することができます。
Radius サーバー設定で設定する必要のある項目については、「2.2.3 Radius 認証」 を参照してください。また、NT ドメインおよび Active
Directory 認証を使用する場合は使用するドメインコントローラの設定を行う必要はありません。詳しくは 「2.2.4 NT ドメインおよび Active Directory 認証」 を参照してください。
図3-5-3 使用する Radius サーバーの設定画面 |
3.5.4 ユーザーおよびグループ
ユーザーとグループ
仮想 HUB には複数のユーザーとグループを登録することができます。ユーザーはグループに参加していないか、または 1
つのグループにのみ参加することができます。1 人のユーザーが 2 つ以上のグループに同時に参加することはできません。
グループは、複数のユーザーをまとめて管理し、そのグループに登録されているユーザーすべてに同一の [セキュリティポリシー]
を適用したい場合に使用すると便利です。セキュリティポリシーについては、「3.5.9 セキュリティポリシー」 を参照してください。
あるグループにユーザーが参加している場合でそのグループが削除されると、参加していたユーザーはどのグループにも所属していない状態になります。
VPN サーバー管理マネージャでユーザーの一覧を表示するには、[ユーザーの管理]
ボタンをクリックします。グループの一覧を表示するには、[グループの管理]
ボタンをクリックします。ユーザーやグループの管理はこれらのボタンをクリックすることによって表示される一覧画面で行います。vpncmd
コマンドでは、UserList コマンドおよび GroupList
コマンドで登録されているユーザーおよびグループの一覧を取得することができます。
ユーザー一覧
VPN サーバー管理マネージャで [ユーザーの管理] ウインドウを開くか vpncmd で UserList
コマンドを呼び出すと、仮想 HUB
に登録されているユーザーの一覧が表示されます。また、各ユーザーのユーザー名前だけではなく本名、所属グループ、説明、選択されているユーザー認証方法、これまでのログイン回数および最後にログインした日時が表示されます。
図3-5-4 ユーザー管理画面 |
ユーザーの作成
VPN サーバー管理マネージャで新しいユーザーを作成するには [新規作成] をクリックします。vpncmd では
UserCreate コマンドを使用します。
新しいユーザーを作成する際は、そのユーザーのユーザー名を決定する必要があります。ユーザー名には英数字および一部の記号が使用できますが、VPN
Server のシステム内部で使用されている特殊な名前を指定することはできません
(そのような名前を指定すると、パラメータが不正であるというエラーが発生します)。ユーザーの [本名] および [説明] は VPN Server
の動作とは関係がないメモのための入力欄のため、任意の文字を指定することができます。なお、ユーザーを作成するときに設定した項目はあとからいつでも変更することができます。
ユーザーオブジェクトには [有効期限] を設定することもできます。有効期限が設定されているユーザーは、その有効期限後は VPN
Server に接続できなくなります。
図3-5-5 ユーザー作成・編集画面 |
ユーザーの認証方法
ユーザーの認証方法を選択する必要があります。各認証方法の詳細については、「2.2 ユーザー認証」
を参照してください。また、同時に認証方法に応じたパラメータを指定する必要があります。VPN サーバー管理マネージャでは、これらのパラメータは
GUI で簡単に設定することができます。vpncmd では、UserAnonymousSet コマンド、UserPasswordSet
コマンド、UserCertSet コマンド、UserSignedSet コマンド、UserRadiusSet
コマンド、UserNTLMSet コマンドなどを使用して設定することができます。
証明書作成ツール
VPN サーバー管理ツールで新しいユーザーを作成したりユーザー情報を編集したりするウインドウには [証明書作成ツール]
というボタンがあります。これを使用すると、X.509 証明書と秘密鍵のペアを簡単に生成することができます。
ユーザー情報の表示
各ユーザーの統計情報を取得することができます。VPN サーバー管理マネージャでは、ユーザーを選択して [ユーザー情報表示]
ボタンをクリックしてください。vpncmd では UserGet コマンドを使用することができます。
ユーザー情報としては、ネットワーク通信の統計情報の他にそのユーザーオブジェクトが作成された日時、最終更新日時およびログイン回数などが取得できます。
図3-5-6 ユーザー情報表示画面 |
グループ一覧
VPN サーバー管理マネージャで [グループの管理] ウインドウを開くか vpncmd で GroupList
コマンドを呼び出すと、仮想 HUB
に登録されているグループの一覧が表示されます。また、各グループのグループ名だけではなく本名や説明、そのグループに参加しているユーザー数が表示されます。
図3-5-7 グループ管理画面 |
グループの作成と編集
VPN サーバー管理マネージャでグループを作成するには、[グループの管理] 画面で [新規作成]
をクリックしてください。また、すでに作成したグループ情報を編集するには [編集] ボタンをクリックしてください。vpncmd では、GroupCreate
コマンドおよび GroupSet コマンドを使用することができます。
図3-5-8 グループ作成・編集画面 |
ユーザーをグループに追加する方法
VPN サーバー管理マネージャでユーザーをグループに追加するには、ユーザー情報の編集画面で [グループ名]
に所属させたいグループ名を入力するか、[グループの参照]
で一覧から選択してください。またユーザーをグループから削除させたい場合は、[グループ名] を空白にしてください。vpncmd では
GroupJoin コマンドおよび GroupUnjoin コマンドを使用することができます。
グループ情報の表示
VPN Server は、グループに参加しているユーザーがいる場合、それらのユーザーによって接続されている VPN
セッションで通信が行われた場合は通信量の統計情報をグループに対しても記録します。これを参照するためには、VPN
サーバー管理マネージャではグループの編集画面を開き、[このグループの統計情報] を参照してください。vpncmd コマンドでは
GroupGet コマンドを使用することができます。
3.5.5 信頼する証明機関の証明書
仮想 HUB
では信頼できる証明機関の証明書の一覧を管理することができます。この証明書の一覧は、ユーザー認証における「署名済み証明書認証」(「2.2.6 署名済み証明書認証」
を参照してください) でユーザーが提示した証明書が信頼できるかどうかを検証するために使用されるほか、#3.12# の機能でも使用されます。
仮想 HUB が信頼する証明機関の証明書を登録、確認または削除するには、VPN サーバー管理マネージャで [信頼する証明機関の証明書]
ボタンをクリックし、[追加]、[削除] または [証明書の表示] ボタンをクリックしてください。vpncmd では、CAList
コマンド、CAAdd コマンド、CADelete コマンドおよび CAGet コマンドが使用できます。
図3-5-9 信頼する証明機関の証明書の管理画面 |
3.5.6 無効な証明書の一覧
無効な証明書リストの役割
仮想 HUB
では無効な証明書の一覧を管理することができます。無効な証明書の定義は、信頼する証明機関の証明書の定義を上書きします。この機能は、あるルート証明機関が発行したいくつもの証明書のうち
1
つにおいて秘密鍵が漏洩したり、その証明書に対応するユーザーが退社したりした場合などで、証明書の効力をサーバー側で強制的に無効にしたい場合にその証明書のシリアル番号などを登録することによって無効化することができます。
無効な証明書の一覧に登録された条件に一致する証明書をユーザーが提示した場合は、たとえその証明書が信頼する証明機関の証明書の一覧に登録されている証明書によって署名されていた場合でも、ユーザー認証は拒否されます。
無効な証明書一覧への追加、削除および編集
仮想 HUB の無効な証明書一覧に新しい定義を追加したり、既存の定義を編集または削除したりするには、VPN サーバー管理マネージャで
[無効な証明書] ボタンをクリックしてから、[追加]、[削除] または [編集] ボタンをクリックしてください。vpncmd コマンドでは、CrlList
コマンド、CrlAdd コマンド、CrlDel コマンドまたは CrlGet コマンドが使用できます。
図3-5-11 無効な証明書の一覧の管理画面 |
無効な証明書データの登録
新しい「無効な証明書」を定義するためには、その証明書のサブジェクトの各フィルードの値を指定したり、シリアル番号や MD5 または
SHA-1 ダイジェスト値を指定したりする必要があります。また、無効にしたい証明書の X.509
ファイルがある場合はそのファイルを読み込ませてその証明書を無効にすることも簡単にできます (VPN サーバー管理マネージャの機能)。
無効な証明書として登録するデータでは、定義された項目すべての内容に一致する証明書は無効になります。もし、無効にしたい証明書のシリアル番号やダイジェスト値をすでに知っている場合は、それを入力することによってその証明書だけをほぼ確実に無効にすることができます。それ以外の場合は、CN
/ O / OU / C / ST / L
などのサブジェクトフィルードの値を指定してフィルタリングを行い、フィルタにかかった証明書を無効にするという措置をとることができます。
なお、無効にしたい証明書を使った VPN Client からの接続がこれまで成功したことがある場合は、仮想 HUB
のセキュリティログおよび VPN Server
のサーバーログに認証に成功した際にユーザーが提示した証明書のサブジェクトフィールド、シリアル番号およびダイジェスト値が記録されていますので、そのような情報をもとに無効化設定すると確実です。
3.5.7 署名済み証明書認証の CN およびシリアル番号の設定
仮想 HUB に登録するユーザーの認証の種類が「署名済み証明書認証」の場合は、ユーザー認証の際に検証する項目として、ユーザーが提示した
X.509 証明書の CN (Common Name)
またはシリアル番号を検査し、それが事前にユーザーオブジェクトの設定値と完全に一致した場合のみ接続を許可する方法を使用することができます。詳しくは、「2.2.6 署名済み証明書認証」
の「Common Name またはシリアル番号による接続可能証明書の限定」を参照してください。
3.5.8 Radius 認証または NT ドメインおよび Active Directory 認証時の別名設定
Radius 認証または NT ドメインおよび Active Directory 認証時に、仮想 HUB
のユーザーオブジェクトとして登録したユーザー名に対して別名を指定し、その別名を用いて Radius
認証サーバーやドメインコントローラに対して認証要求を行う方法によりユーザー認証を行う設定にすることができます。詳しくは、「2.2.3 Radius 認証」 および
「2.2.4 NT ドメインおよび Active Directory 認証」 を参照してください。
3.5.9 セキュリティポリシー
セキュリティポリシーとは
セキュリティポリシー機能は、PacketiX VPN Server の仮想 HUB が持つ高度な機能のうちの 1
つで、パケット内容の検査およびポリシーに一致したパケットのみを通過させることができます。セキュリティポリシーを適用するにあたって、仮想 HUB
は流れるすべての仮想 Ethernet フレームについて内部で一旦高いレイヤ (ARP / IP / TCP / UDP / ICMP /
DHCP などを自動認識します)
までヘッダ情報を解釈し、その解釈の結果をもとにしてセキュリティポリシーに適合した通信内容であるかを判別します。その結果、仮想 HUB
の管理者がユーザーに対して設定したセキュリティポリシーに違反する場合は、その仮想 Ethernet
フレームのみを破棄します。また、セキュリティポリシー違反の記録を、内容によっては仮想 HUB のセキュリティログに確実に残し、後で仮想 HUB
の管理者が記録を監査することができます。
また、セキュリティポリシーを使用すると帯域制御などの細やかな VPN 通信の制御が可能です。
セキュリティポリシーの適用順序
仮想 HUB
で定義することができるユーザーにはセキュリティポリシーを設定することができます。また、複数のユーザーをまとめてグループ化している場合は、グループに対してセキュリティポリシーを適用することができます。この際、仮想
HUB に VPN 接続が行われた瞬間にどのようなセキュリティポリシーをそのセッションに対して適用するかの判定が VPN Server
によって自動的に行われます。その際の適用優先順位は下記のとおりです。
- VPN
接続を行おうとしているユーザーに対してセキュリティポリシーが設定されている場合は、そのセキュリティポリシー設定を採用します。
- VPN
接続を行おうとしているユーザーに対してセキュリティポリシーが設定されていない場合で、かつそのユーザーがグループに所属しており、そのグループに対してセキュリティポリシーが設定されている場合は、そのセキュリティポリシーを採用します。
- ユーザーが #3.14# における Administrator である場合は、Administrator
用の特別なセキュリティポリシーが設定されます。
- それ以外の場合は、デフォルトのセキュリティポリシー (下記を参照してください) が適用されます。
デフォルトのセキュリティポリシー
デフォルトのセキュリティポリシーの値は下記のとおりです。
- [アクセスを許可] が有効
- [TCP 接続数の最大値] は 32 個
- [タイムアウト時間] は 20 秒
ユーザーまたはグループへのセキュリティポリシーの設定
VPN
サーバー管理マネージャを使用してユーザーオブジェクトまたはグループオブジェクトにセキュリティポリシー設定を適用するには、ユーザーまたはグループの編集画面で
[このユーザーのセキュリティポリシーを設定する] または [このグループのユーザーのセキュリティポリシーを設定する]
チェックボックスを有効にしてから [セキュリティポリシー] ボタンをクリックして、セキュリティポリシーを編集してください。
図3-5-12 ユーザーまたはグループへのセキュリティポリシーの編集画面 |
セキュリティポリシーにおけるポリシー項目一覧
PacketiX VPN では、セキュリティポリシー設定において設定または変更可能なポリシー項目としては、下記の 20 項目があります。
|
「アクセスを許可」ポリシー |
| 説明 |
このポリシーが設定されているユーザーは、VPN Server に VPN 接続することを許可されます。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[有効] |
| 備考 |
カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしてはこの項目は指定できません。 |
|
「DHCP パケットをフィルタリング」ポリシー |
| 説明 |
このポリシーが設定されているセッションにおける DHCP パケットをすべてフィルタリングします。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[無効] |
| 備考 |
なし |
|
「DHCP サーバーの動作を禁止」ポリシー |
| 説明 |
このポリシーが設定されているセッションに接続しているコンピュータが、DHCP サーバーとなり IP アドレスを DHCP
クライアントに配布することを禁止します。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[無効] |
| 備考 |
なし |
|
「DHCP が割り当てた IP アドレスを強制」ポリシー |
| 説明 |
このポリシーが設定されているセッション内のコンピュータは、仮想ネットワーク側の DHCP サーバーが割り当てを行った
IP アドレスしか利用できないようにします。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[無効] |
| 備考 |
なし |
|
「ブリッジを禁止」ポリシー |
| 説明 |
このポリシーが設定されているユーザーのセッションでは、ブリッジ接続を禁止します。ユーザーのクライアント側に
Ethernet ブリッジが設定されていても、通信ができなくなります。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[無効] |
| 備考 |
カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしてはこの項目は指定できません。
なお、「ブリッジを禁止」と「ルータ動作を禁止」の両方が [有効] に設定されたユーザーが接続するセッションは、[ルータ
/ ブリッジモード] セッションとして仮想 HUB
に接続することはできなくなります。逆に、「ブリッジを禁止」と「ルータ動作を禁止」のいずれか 1 つでも [無効]
に設定されている場合は、そのユーザーは[ルータ / ブリッジモード] セッションとして仮想 HUB
に接続することができますのでご注意ください。 |
|
「ルータ動作を禁止」ポリシー |
| 説明 |
このポリシーが設定されているセッションでは、IP ルーティングを禁止します。ユーザーのクライアント側で IP
ルータが動作していても、通信ができなくなります。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[無効] |
| 備考 |
カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしてはこの項目は指定できません。
なお、「ブリッジを禁止」と「ルータ動作を禁止」の両方が [有効] に設定されたユーザーが接続するセッションは、[ルータ
/ ブリッジモード] セッションとして仮想 HUB
に接続することはできなくなります。逆に、「ブリッジを禁止」と「ルータ動作を禁止」のいずれか 1 つでも [無効]
に設定されている場合は、そのユーザーは[ルータ / ブリッジモード] セッションとして仮想 HUB
に接続することができますのでご注意ください。 |
|
「MAC アドレスの重複を禁止」ポリシー |
| 説明 |
このポリシーが設定されているセッションでは、別のセッションのコンピュータが使用中の MAC
アドレスを使用することができないようにします。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[無効] |
| 備考 |
なし |
| 「IP
アドレスの重複を禁止」ポリシー |
| 説明 |
このポリシーが設定されているセッションでは、別のセッションのコンピュータが使用中の IP
アドレスを使用することができないようにします。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[無効] |
| 備考 |
なし |
|
「ARP・DHCP 以外のブロードキャストを禁止」ポリシー |
| 説明 |
このポリシーが設定されているセッションでは、仮想ネットワークに対して ARP プロトコルと DHCP
プロトコルにおけるブロードキャストパケット以外のすべてのブロードキャストパケットの送受信を禁止します。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[無効] |
| 備考 |
なし |
|
「プライバシーフィルタモード」ポリシー |
| 説明 |
プライバシーフィルタモードポリシーが設定されているセッション間における直接的な通信をすべてフィルタリングします。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[無効] |
| 備考 |
カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしてはこの項目は指定できません。 |
|
「TCP/IP サーバーとしての動作を禁止」ポリシー |
| 説明 |
このポリシーが設定されているセッションのコンピュータが TCP/IP
プロトコルにおけるサーバーとしての動作を行うことを禁止します。つまり、そのセッションは別のセッションからの TCP
における「SYN」パケットに応答することができなくなります。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[無効] |
| 備考 |
なし |
|
「ブロードキャスト数を制限しない」ポリシー |
| 説明 |
このポリシーが設定されているセッションのコンピュータが通常は考えられないような異常な数のブロードキャストパケットを仮想ネットワークに送出しても自動的に制限しないようにします。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[無効] |
| 備考 |
なし |
|
「モニタリングモードを許可」ポリシー |
| 説明 |
このポリシーが設定されているユーザーはモニタリングモードで仮想 HUB
に接続することができます。モニタリングモードのセッションは仮想 HUB 内を流れるすべてのパケットをモニタリング
(傍受) することができます。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[無効] |
| 備考 |
カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしてはこの項目は指定できません。 |
|
「TCP 接続数の最大値」ポリシー |
| 説明 |
このポリシーが設定されているセッションのセッション1つあたりに割り当てることができる TCP 接続の最大数を設定します。 |
| 設定することができる値 |
1 〜 32 (個) |
| デフォルトの値 |
32 個 |
| 備考 |
カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしてはこの項目は指定できません。 |
|
「タイムアウト時間」ポリシー |
| 説明 |
このポリシーが設定されているセッションのセッションにおいて VPN Client / VPN Server
間の通信に障害が発生した場合、セッションを切断するまでのタイムアウト時間を秒単位で設定します。 |
| 設定することができる値 |
5 〜 60 (秒) |
| デフォルトの値 |
20 秒 |
| 備考 |
カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしてはこの項目は指定できません。 |
|
「MAC アドレスの上限数」ポリシー |
| 説明 |
このポリシーが設定されているセッションの1セッションあたりに登録することができる MAC アドレスの数を指定します。 |
| 設定することができる値 |
[設定無し] または 1 〜 65535 (個) |
| デフォルトの値 |
[設定無し] |
| 備考 |
なし |
| 「IP
アドレスの上限数」ポリシー |
| 説明 |
このポリシーが設定されているセッションの1セッションあたりに登録することができる IP アドレスの数を指定します。 |
| 設定することができる値 |
[設定無し] または 1 〜 65535 (個) |
| デフォルトの値 |
[設定無し] |
| 備考 |
なし |
|
「アップロード帯域幅」ポリシー |
| 説明 |
このポリシーが設定されているセッションにおける仮想 HUB の外側から仮想 HUB
の内側方向に入ってくるトラフィックの帯域幅を制限します。 |
| 設定することができる値 |
[設定無し] または 1 〜 4294967295 bps (約 4 Gbps) |
| デフォルトの値 |
[設定無し] |
| 備考 |
なし |
|
「ダウンロード帯域幅」ポリシー |
| 説明 |
このポリシーが設定されているセッションにおける仮想 HUB の内側から仮想 HUB
の外側方向に出ていくトラフィックの帯域幅を制限します。 |
| 設定することができる値 |
[設定無し] または 1 〜 4294967295 bps (約 4 Gbps) |
| デフォルトの値 |
[設定無し] |
| 備考 |
なし |
|
「ユーザーはパスワードを変更できない」ポリシー |
| 説明 |
このポリシーが設定されているユーザーがパスワード認証の場合、ユーザーが VPN
クライアント接続マネージャなどから自分のパスワードを変更することを禁止します。 |
| 設定することができる値 |
[有効] または [無効] |
| デフォルトの値 |
[無効] |
| 備考 |
グループに対して適用するのは無意味です。また、カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしてはこの項目は指定できません。 |
現在適用されているセキュリティポリシーの内容の確認
VPN Server の仮想 HUB に VPN Client から接続している場合は、ユーザーは現在の VPN
セッションに対して適用されているセキュリティポリシーの設定値を確認することができます。詳しくは、「4.5.2 接続状況の確認」 をお読みください。
3.5.10 アクセスリストによるパケットフィルタリング
アクセスリストの役割
仮想 HUB には最大 4,096
個のアクセスリストエントリを定義することができます。アクセスリストとは一般的に「パケットフィルタリングルール」と呼ばれている、ネットワーク機器を通過する
IP パケットを指定されたルールによって通過させたり破棄させたりする機能です。
図3-5-13 アクセスリストの管理画面 |
アクセスリストの項目で定義できる内容
仮想 HUB に登録するアクセスリストには下記のような内容のデータを定義することができます。
- アクセスリストの説明
アクセスリスト項目の説明を入力します。この項目は仮想 HUB
の管理者が項目をわかりやすくするために任意の文字を設定することができるものであり、ここに入力した内容でパケットフィルタリングの動作が変わることはありません。
- 動作
アクセスリスト項目の定義に一致する IP パケットがあった場合、その IP パケットをどのように扱うかを指定します。[通過] または
[破棄] を設定します。
- 優先順位
アクセスリスト内におけるこのアクセスリスト項目の優先順位を整数値で指定します。優先順位は、小さいほど高くなります。もし同じ優先順位のアクセスリスト項目があった場合はどちらが先に適用されるかは未定義です。
- 送信元 IP アドレス
パケットの一致条件として、送信元 IP アドレスを指定します。ネットワークアドレスとサブネットマスクを指定することによって複数の IP
アドレスが含まれるサブネット範囲を指定することもできます。指定しない場合はすべての送信元 IP アドレスが一致します。
- 宛先 IP アドレス
パケットの一致条件として、宛先 IP アドレスを指定します。ネットワークアドレスとサブネットマスクを指定することによって複数の IP
アドレスが含まれるサブネット範囲を指定することもできます。指定しない場合はすべての宛先 IP アドレスが一致します。
- プロトコルの種類
パケットの一致条件として、その IP パケットのプロトコル番号を指定します。すべての IP
プロトコルを一致させることもできます。指定できる番号は整数で入力することができますが、予め 6 (TCP/IP)、17 (UDP/IP)、1
(ICMP) が定義されています。
- 送信元 / 宛先ポート番号の範囲
プロトコルの種類としては TCP/IP または UDP/IP
を選択した場合は、パケットの一致条件として送信元ポート番号および宛先ポート番号の最小値および最大値を指定することができます。指定しない場合はすべてのポート番号が一致すると見なされます。
- 送信元ユーザー名
パケットの一致条件として、そのパケットが特定のユーザーが送信したパケット (厳密には、特定のユーザー名の VPN
セッションが送信したパケット)
のみを一致させたい場合にそのユーザー名を指定します。指定しない場合は送信元のユーザー名をチェックしません。
- 宛先ユーザー名
パケットの一致条件として、そのパケットが特定のユーザーが受信することになるパケット (厳密には、特定のユーザー名の VPN
セッションが受信する予定のパケット)
のみを一致させたい場合にそのユーザー名を指定します。指定しない場合は宛先のユーザー名をチェックしません。
どのアクセスリスト項目にも一致しなかった場合
仮想 HUB に複数のアクセスリストが登録されており、IP パケットがどのアクセスリスト項目にも一致しなかった場合は、デフォルトで
[通過] の動作が決定されます。
アクセスリストの追加、削除および編集
仮想 HUB のアクセスリストに項目を追加したり削除または編集したい場合は、VPN サーバー管理マネージャの [アクセスリストの管理]
ボタンをクリックしてください。次に [追加]、[編集] または [削除] のボタンをクリックします。アクセスリストの操作が完了したら、必ず
[保存] ボタンをクリックしてください。[保存] ボタンをクリックしないと、変更が仮想 HUB
に対して適用されませんのでご注意ください。なお、アクセスリストは設定した瞬間からすぐに有効になります (すでに接続されている VPN
セッションに対しても適用されます)。
vpncmd コマンドでアクセスリストを操作するには、AccessAdd コマンド、AccessList
コマンド、AccessDelete コマンド、AccessEnable コマンドおよび
AccessDisable コマンドを使用します。
図3-5-14 アクセスリストエントリ編集画面 |
3.5.11 IP アクセス制御リストによる接続元の限定
IP アクセス制御リストについて
「IP アクセス制御リスト」を使用すると、仮想 HUB に対して VPN 接続しようとする VPN 接続元のコンピュータの物理的な IP
ネットワーク上での IP アドレスによって、仮想 HUB への VPN 接続を許可または拒否する機能です。
IP アクセス制御リストは「アクセスリスト」に名前や設定内容がよく似ていますが、両者は性質が全く異なります。アクセスリストは仮想 HUB
の中を流れる IP パケットを IP アドレスやプロトコル、ポート番号などによって制御する仕組みですが、IP アクセス制御リストは仮想 HUB
への VPN 接続ができる接続元の物理的な IP アドレスを絞るために使用します。
たとえば、企業で拠点間 VPN 接続を行う場合、VPN Server に対して別の拠点の VPN Bridge
からカスケード接続を常時接続状態にすることになりますが、この際セキュリティ上の不安がある場合は、その VPN Server
のカスケード接続先の仮想 HUB の「IP アクセス制御リスト」を適切に設定し、VPN Bridge が設置されている拠点の物理的な IP
アドレスのみを接続元とする VPN 接続でない場合は仮想 HUB への VPN 接続を一切認めないように設定することができます。つまり、接続元
IP アドレスによって認証を行うことが可能になります。これにより、接続元 IP アドレスによって拒否された接続元の VPN
クライアントコンピュータはユーザー認証のフェーズに進むこともできないため、大幅にセキュリティが向上します。
IP アクセス制御リストのルール項目
IP アクセス制御リストには複数のルール項目を追加することができます。これらのルール項目で定義することができる値は次のようになっています。
- 接続元の IP アドレス (単一またはサブネット)
- 動作 (接続を許可 / 接続を拒否)
- 優先順位 (整数で指定します。アクセスリストエントリと同様に、小さいほど優先順位が低くなります。)
なお、すべての IP アドレスに対して適用したいルール項目を作成する場合は、接続元の IP アドレスとして 0.0.0.0 /
0.0.0.0 を指定することが可能です。
IP アクセス制御リストの設定例
例えば IP アドレス 130.158.6.51 からの接続は許可したいが、それ以外の IP
アドレスからの接続はは拒否したい場合は、下記のような 2 つのエントリを作成します。
- 優先順位が 10 のエントリ
IP アドレス 130.158.6.51 (単一ホスト) からの接続を許可する
- 優先順位が 20 のエントリ
IP アドレス 0.0.0.0、サブネットマスク 0.0.0.0 からの接続を禁止する
このように設定すると、接続元の IP アドレスが 130.158.6.51 である VPN
接続要求は許可され、ユーザー認証フェーズに進むことができます。それ以外の IP
アドレスの接続元からの接続要求は、ユーザー認証フェーズ以前の段階で拒否されるので、特に拠点間 VPN など接続元の IP
アドレスやその範囲がある程度わかっている場合に使用する仮想 HUB の場合は IP
アクセス制御リストを活用するとセキュリティをより向上することができます。
IP アクセス制御リストの追加、削除および編集
仮想 HUB の IP アクセス制御リストに項目を追加したり削除または編集したい場合は、VPN サーバー管理マネージャの [仮想 HUB
のプロパティ] から [IP アクセス制御リスト] ボタンをクリックしてください。次に [ルールの追加]、[ルールの編集] または
[ルールの削除] のボタンをクリックします。IP アクセス制御リストの操作が完了したら、必ず [保存] ボタンをクリックしてください。[保存]
ボタンをクリックしないと、変更が仮想 HUB に対して適用されませんのでご注意ください。なお、IP
アクセス制御リストは設定した瞬間からすぐに有効になりますが、すでに接続されているすべてのセッションに対して IP
アクセス制御リストが適用され、一致しないセッションは直ちに切断される訳ではありません。
vpncmd コマンドで IP アクセス制御リストを操作するには、AcList コマンド、AcAdd
コマンドおよび AcDel コマンドを使用します。
図3-5-15 IP アクセス制御リスト管理画面 |
3.5.12 仮想 HUB 管理オプション
仮想 HUB 管理オプションについて
仮想 HUB の管理者は 「3.5.1 仮想 HUB ごとの管理権限委譲」 で解説したように、自らの仮想 HUB
についてほとんどの設定を自由に行う権限を持っています。しかし、VPN Server
の管理者は管理上の都合により、いくつかの機能を無効にして使用できないようにしたい場合があります。たとえば、仮想 HUB から別の仮想 HUB
へカスケード接続を行う機能を無効にしたり、SecureNAT 機能を無効にしたりしたい場合があります。
このような場合は、「仮想 HUB 管理オプション」機能を使用すると VPN Server の管理者は仮想 HUB
管理者の管理権限を細かく指定して縮小させることができます。
図3-5-16 仮想 HUB 管理オプション編集画面 |
仮想 HUB 管理オプションの値
仮想 HUB 管理オプションの項目の一覧は英語の文字 (キーワード) とそれに対応する値で構成されます。すべての項目は仮想 HUB
を作成した初期状態は 0 が設定されています。これを 1 に設定したり、または任意の数字を指定したりすることによって、仮想 HUB
の管理者が行える権限を狭めることができます。
仮想 HUB 管理オプションの項目名には、命名規則があります。
"allow_"、"deny_" または "no_" で開始される項目名には、0 または 1
を指定します。0 を指定した場合はその仮想 HUB 管理オプション項目による制限は無効、1 を指定した場合はその仮想 HUB
管理オプション項目による制限は有効になります。
"max_" で開始される項目名は、0 または 1 以上の任意の整数を指定します。0 の場合は制限無しという意味になり、1
以上の場合はその値が最大値として制限されます。
本マニュアル執筆時の PacketiX VPN Server のバージョンでは、下記の仮想 HUB
管理オプションが使用可能になっています。
- allow_hub_admin_change_option
この項目は特殊です。この項目が 1 (有効) の場合は、VPN Server 全体の管理者だけでなく仮想 HUB
の管理者も自ら仮想 HUB 管理オプションを変更することができるようになります。
- max_users
この項目が 1 以上に設定されている場合は、仮想 HUB
に登録できるユーザーの最大数がこの項目の指定数に制限され、それ以上のユーザーオブジェクトを登録することはできなくなります。
- max_groups
この項目が 1 以上に設定されている場合は、仮想 HUB
に登録できるグループの最大数がこの項目の指定数に制限され、それ以上のグループオブジェクトを登録することはできなくなります。
- max_accesslists
この項目が 1 以上に設定されている場合は、仮想 HUB
に登録できるアクセスリスト項目の最大数がこの項目の指定数に制限され、それ以上のアクセスリスト項目を登録することはできなくなります。
- max_sessions
この項目が 1 以上に設定されている場合は、仮想 HUB に接続できる VPN
セッション数がこの項目の指定数に制限され、それ以上の VPN 接続を同時に処理することはできなくなります。
- max_bitrates_download
この項目が 1 以上に設定されている場合は、仮想 HUB に接続するすべての VPN セッションのセキュリティポリシーのうち
[ダウンロード帯域幅] ポリシーの値がこの項目の指定数に強制的に変更され、セッションのダウンロード速度が制限されます。たとえば、この値が
1000000 になっている場合は、この仮想 HUB に対するいかなる VPN 接続セッションでもそのダウンロード通信速度は 1
Mbps を超えることはできなくなります。
- max_bitrates_upload
この項目が 1 以上に設定されている場合は、仮想 HUB に接続するすべての VPN セッションのセキュリティポリシーのうち
[アップロード帯域幅] ポリシーの値がこの項目の指定数に強制的に変更され、セッションのアップロード速度が制限されます。たとえば、この値が
1000000 になっている場合は、この仮想 HUB に対するいかなる VPN 接続セッションでもそのアップロード通信速度は 1
Mbps を超えることはできなくなります。
- deny_empty_password
この項目が 1 (有効) の場合は、仮想 HUB
に登録されているユーザーに空のパスワードを設定することはできなくなります。もし空のパスワードが設定されているユーザーがいる場合は、そのユーザーは
VPN 接続を行うことはできません (例外として、localhost からの接続は可能です)。
- deny_bridge
この項目が 1 (有効) の場合は、仮想 HUB
に対して接続されるセッションは、接続時のユーザーのセキュリティポリシーの内容にかかわらず常にブリッジが禁止されます。したがって、この仮想
HUB にブリッジ目的で接続することができなくなります。
- deny_routing
この項目が 1 (有効) の場合は、仮想 HUB
に対して接続されるセッションは、接続時のユーザーのセキュリティポリシーの内容にかかわらず常にルータ動作が禁止されます。したがって、この仮想
HUB にルーティング目的で接続することができなくなります。
- deny_change_user_password
この項目が 1 (有効) の場合は、仮想 HUB
のユーザーが「パスワード認証」モードの場合、自分でパスワードを変更することができなくなります。
- no_change_users
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB
に新しいユーザーを追加したり、既存のユーザーを削除または編集したりすることができなくなります。
- no_change_groups
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB
に新しいグループを追加したり、既存のグループを削除または編集したりすることができなくなります。
- no_securenat
この項目が 1 (有効) の場合は、仮想 HUB の管理者は SecureNAT
機能を有効または無効にすることができなくなります。
- no_cascade
この項目が 1 (有効) の場合は、仮想 HUB の管理者はカスケード接続を作成・削除・編集またはオンライン化 /
オフライン化することができなくなります。
- no_online
この項目が 1 (有効) の場合は、仮想 HUB の管理者はオフライン状態の仮想 HUB
をオンライン化することができなくなります。
- no_offline
この項目が 1 (有効) の場合は、仮想 HUB の管理者はオンライン状態の仮想 HUB
をオフライン化することができなくなります。
- no_change_log_config
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB
のログファイルの保存設定を変更することができなくなります。
- no_disconnect_session
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB に接続されている VPN
セッションを指定して強制切断することができなくなります。
- no_delete_iptable
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB の IP アドレステーブルデータベースから IP
アドレスエントリを指定して削除することができなくなります。
- no_delete_mactable
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB の MAC アドレステーブルデータベースから MAC
アドレスエントリを指定して削除することができなくなります。
- no_enum_session
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB に現在接続している VPN
セッションの一覧を列挙できなくなります。
- no_query_session
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB に現在接続している VPN
セッションを指定して、そのセッションに関する詳細情報を取得することができなくなります。
- no_change_admin_password
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB の管理者パスワードを変更できなくなります。
- no_change_log_switch_type
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB
のログファイルの保存設定のうち、[ログファイルの切り替え周期] 設定項目を変更できなくなります。
- no_change_access_list
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB のアクセスリストを操作することができなくなります。
- no_change_access_control_list
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB の IP
アクセス制御リストを操作することができなくなります。
- no_change_cert_list
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB
の「信頼する証明機関の証明書一覧」リストを操作することができなくなります。
- no_change_crl_list
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB
の「無効な証明書」リストを操作することができなくなります。
- no_read_log_file
この項目が 1 (有効) の場合は、仮想 HUB の管理者は仮想 HUB
のログファイルを管理接続を通じて列挙したり、リモートから読み出したりすることができなくなります。
|