ファイアウォール 基礎教育 (4日目) 1 Agenda(4日目) • Netscreenの設定(リモートユーザー接続) • Windowsの設定(リモートユーザー接続) • 設定練習 2 例) RemotePC⇔192.168.1.0/24間を VPNトンネルを張った場合 172.16.0.0/24 RemotePC 172.16.0.100 10.0.0.0/24 172.16.0.1 192.168.1.0/24 10.0.0.1 10.0.0.2 192.168.1.1 ※通常は専用のクライアントソフトを利用するが、 今回はMicrosoftのネイティブなIPsec Clientの設定を利用 3 Netscreenの設定 トンネルインターフェースの作成① ① Network>Interfaces を選択 ② 「New」ボタンをクリック 4 Netscreenの設定 トンネルインターフェースの作成② ① 「Unnumbered」を選択 ② 「OK」ボタンをクリック 5 Netscreenの設定 トンネルインターフェースの作成③ Tunnelインターフェースが作成されているのを確認 6 Netscreenの設定 オブジェクトの作成① ① Objects>Addresses>List を選択 ② 「New」ボタンをクリック 7 Netscreenの設定 オブジェクトの作成② ① 接続先のホスト名を入力 ② IP/Netmaskを選択 ③ 接続先のIPアドレスを入力 ④ 「OK」ボタンをクリック 8 Netscreenの設定 オブジェクトの作成③ ① Trust を選択 ② 「New」ボタンをクリック 9 Netscreenの設定 オブジェクトの作成④ ① 接続元のアドレス名を入力 ② IP/Netmaskを選択 ③ 接続元のIPアドレスを入力 ④ 「OK」ボタンをクリック 10 Netscreenの設定 VPNゲートウェイの作成① ① VPNs>AutoKey Advanced>Gateway を選択 ② 「New」ボタンをクリック 11 Netscreenの設定 VPNゲートウェイの作成② ① 接続先(ゲートウェイ)の名前を入力 ③ 「Static IP Address」を選択 ⑤ 事前共有キーを入力 ここでは「test123」と入力 ※RemotePC側も同じ事前共有キーを入力 ② 「Custom」を選択 ④ 接続先(ゲートウェイ)の IPアドレスを入力 ⑥ 「Advanced」ボタンを クリック 12 Netscreenの設定 VPNゲートウェイの作成③ ① Custom を選択 ② pre-g2-3des-sha を選択 ③ Mainを選択 (対向が固定IPアドレスの為) ④ 「Return」ボタンをクリック 13 Netscreenの設定 VPNゲートウェイの作成④ VPNゲートウェイが作成されているのを確認 14 Netscreenの設定 Autokey IKEの作成① ① VPNs> Autokey IKE を選択 ② 「New」ボタンをクリック 15 Netscreenの設定 Autokey IKEの作成② ① VPN名を入力 ② Compatible を選択 ここでは「Netscreen RemotePC」と入力 ③ Predefined を選択 先程作成したVPNゲートウェイであることを確認 ④ 「OK」ボタンをクリック 16 Netscreenの設定 Autokey IKEの作成③ AutoKey IKE が作成されているのを確認 17 Netscreenの設定 ポリシーの作成① ① Policies を選択 ②Trustゾーンを選択 ④ 「New」ボタンをクリック ③ Untrustゾーンを選択 18 Netscreenの設定 ポリシーの作成② ① Address Book Entry を選択 ② Local segment を選択 ③ RemotePC を選択 ⑤ 先程作成したVPN名 を選択 ⑥ ここにチェックを入れて両方 向にポリシーを適用する ④ Tunnel を選択 ⑦ ログを取得する場合はチェック ⑧ Position at Topボタンをクリック ⑨ 「OK」ボタンをクリック 19 Netscreenの設定 ポリシーの作成③ 両方向にVPNに関するポリシーが作成され ているのが確認できる 20 Windowsの設定 流れ① 1.IPセキュリティポリシーの作成 IPセキュリティポリシー: IPsec VPN (任意の名前) 2.IPフィルタの作成(送信側): OUTBOUND (任意の名前) 5.適用 トンネルエンドポイント: 10.0.0.1( NetscreenのUntrust側のIPアドレス) 事前認証キー: test123(Netscreen側と共通なキー) 送信元: 172.16.0.100(RemotePCのIPアドレス) 宛先: 192.168.1.0/24(VPNで接続したいネットワーク) 3.フィルタ操作の作成: IPsec Proposal(任意の名前) 4.適用 整合性アルゴリズム: SHA-1 暗号化アルゴリズム: 3DES 21 Windowsの設定 流れ② IPセキュリティポリシー: IPsec VPN(任意の名前) 6.IPフィルタの作成(受信側): INBOUND (任意の名前) 9.適用 トンネルエンドポイント: 172.16.0.100( RemotePCのIPアドレス) 事前認証キー: test123(Netscreen側と共通なキー) 送信元: 192.168.1.0/24(VPNで接続したいネットワーク) 宛先: 172.16.0.100(RemotePCのIPアドレス) 7.フィルタ操作の選択: IPsec Proposal(任意の名前) 8.適用 整合性アルゴリズム: SHA-1 暗号化アルゴリズム: 3DES 10.ポリシーの割り当て: IPセキュリティポリシー ( IPsec VPN )をRemotePCへ割り当て 22 Windowsの設定 IPセキュリティポリシーの作成① ① 「コントロールパネル」から「管理ツール」を開き、 「ローカルセキュリティポリシー」を起動 ② 「ローカルコンピュータのIPセキュリティポリシー」を右クリックして、 「IPセキュリティポリシーの作成」を選択 23 Windowsの設定 IPセキュリティポリシーの作成② ② 「IPセキュリティポリシー名」 : 任意の名前を入力します。 ここでは「IPsecVPN」と入力 ① 「次へ(N)>」ボタンをクリック ③ 「次へ(N)>」ボタンをクリック 24 Windowsの設定 IPセキュリティポリシーの作成③ ① チェックを外す ② 「次へ(N)>」ボタンをクリック ③ 完了ボタンをクリック 25 Windowsの設定 IPセキュリティポリシーの作成④ ① 全般を選択 ③ 「60」を入力 ④ 「OK」ボタンをクリック ② 「詳細設定(V)」ボタンをクリック ⑤ 「OK」ボタンをクリック 26 Windowsの設定 IPフィルタの作成(送信側)① ①IPセキュリティポリシーの「IPsec VPN」をダブルクリック後、 「追加(D)>」ボタンをクリック ② 「次へ(N)>」ボタンをクリック 27 Windowsの設定 IPフィルタの作成(送信側)② ① NetscreenのUntrust側のIPアドレスを指定 ③ 「すべてのネットワーク接続」を選択 ② 「次へ(N)>」ボタンをクリック ④ 「次へ(N)>」ボタンをクリック 28 Windowsの設定 IPフィルタの作成(送信側)③ ① 認証方法として「次の文字列をキー交換(事前共有キー)の保護に使う」 を選択し 、キーをテキストボックスへ入力。ここでは「test123」と入力 。 ※Netscreen側も同じ事前共有キーを入力 ② 「次へ(N)>」ボタンをクリック ③ 「追加(A)>」ボタンをクリック 29 Windowsの設定 IPフィルタの作成(送信側)④ ① フィルタの名前を入力。ここでは「OUTBOUND」と入力 ② 「追加(A)>」ボタンをクリック ③ 「次へ(N)>」ボタンをクリック 30 Windowsの設定 IPフィルタの作成(送信側)⑤ ① 発信元アドレスに「このコンピュータのIPアドレス」を選択 ③ 宛先アドレスに「特定のIPサブネット」を選択 ⑤ 「次へ(N)>」ボタンをクリック ② 「次へ(N)>」ボタンをクリック ④ VPNの宛先ネットワークを入力 31 Windowsの設定 IPフィルタの作成(送信側)⑥ ① IPプロトコルの種類:「任意」を選択 ② 「次へ(N)>」ボタンをクリック ③ 「完了」ボタンをクリック 32 Windowsの設定 IPフィルタの作成(送信側)⑦ ① 「OK」 ボタンをクリック ② フィルタ「OUTBOUND」を選択 ③ 「次へ(N)>」ボタンをクリック 33 Windowsの設定 フィルタ操作の作成① ① 「フィルタ操作」で 「追加(A)」 ボタンをクリック ② 「次へ(N)>」ボタンをクリック 34 Windowsの設定 フィルタ操作の作成② ① 名前と説明に適当な文章を入れて「次へ」をクリック ここでは、名前を IPsec Proposal にしています。 ③ 「セキュリティのネゴシエート」 を選択 ② 「次へ(N)>」ボタンをクリック ④ 「次へ(N)>」ボタンをクリック 35 Windowsの設定 フィルタ操作の作成③ ① 「IPsecをサポートしないコンピュータと通信しない(D)」 を選択 ③ 「暗号化と整合性(E)」 を選択 ② 「次へ(N)>」ボタンをクリック ④ 「次へ(N)>」ボタンをクリック 36 Windowsの設定 フィルタ操作の作成④ ② フィルタ「IPsec Proposal 」を選択 ① 「完了」ボタンをクリック ③ 「次へ(N)>」ボタンをクリック 37 Windowsの設定 フィルタ操作の作成⑤ ① 「完了」ボタンをクリック ② 「閉じる」ボタンをクリック 38 Windowsの設定 IPフィルタの作成(受信側)① IPセキュリティポリシーの「IPsec VPN」をダブルクリック後、 「追加」ボタンをクリック 39 Windowsの設定 IPフィルタの作成(受信側)② ② 「次のIPアドレスでトンネルエンドポイントを指定する」を選択 RemotePCのIPアドレス(172.16.0.100)を入力 ① 「次へ(N)>」ボタンをクリック ③ 「次へ(N)>」ボタンをクリック 40 Windowsの設定 IPフィルタの作成(受信側)③ ③ 認証方法として「次の文字列をキー交換(事前共有キー)の保護に使う」 を選択し 、キーをテキストボックスへ入力。ここでは「test123」と入力 。 ※Netscreen側も同じ事前共有キーを入力 ① 「すべてのネットワーク接続」を選択 ② 「次へ(N)>」ボタンをクリック ④ 「次へ(N)>」ボタンをクリック 41 Windowsの設定 IPフィルタの作成(受信側)④ ① 「追加(A)>」ボタンをクリック ② フィルタの名前を入力。ここでは「INBOUND」と入力 ③ 「追加(A)>」ボタンをクリック 42 Windowsの設定 IPフィルタの作成(受信側)⑤ ② 発信元アドレスに「特定のIPサブネット」を選択 ④ 「次へ(N)>」ボタンをクリック ① 「次へ(N)>」ボタンをクリック ③ VPNの送信元ネットワークを入力 43 Windowsの設定 IPフィルタの作成(受信側)⑥ ① 発信元アドレスに「このコンピュータのIPアドレス」を選択 ③ IPプロトコルの種類:「任意」を選択 ② 「次へ(N)>」ボタンをクリック ④ 「次へ(N)>」ボタンをクリック 44 Windowsの設定 フィルタ操作の選択① ① 「完了」ボタンをクリック ② 「追加(A)>」ボタンをクリック 45 Windowsの設定 フィルタ操作の選択② ① フィルタ「INBOUND」を選択 ② 「次へ(N)>」ボタンをクリック 46 Windowsの設定 フィルタ操作の選択③ ① フィルタ「IPsec Proposal 」を選択 ② 「次へ(N)>」ボタンをクリック ③ 「完了」ボタンをクリック 47 Windowsの設定 フィルタ操作の選択④ ① 「OK」ボタンをクリック 48 Windowsの設定 ポリシーの割り当て ①「ローカルコンピュータのIPセキュリティポリシー」に、先ほど作成した 「IPsec VPN」が表示されているので、この「IPsec VPN」を右クリックして 「割り当て」を選択 ② ポリシーの割り当てが「はい」になっているのを確認 49 VPNの接続確認 ① RemotePCよりVPNのセグメントへpingを実施 ② IKEによりSAを生成していることが分かる 50 設定練習 下記の環境を構築せよ! 172.16.0.0/24 RemotePC 172.16.0.100 10.0.0.0/24 172.16.0.1 192.168.1.0/24 10.0.0.1 10.0.0.2 192.168.1.1 51
© Copyright 2024 ExpyDoc
