AuthIP を使用した IPsec および Windows Vista ファイアウォール

カテゴリー: Vista セキュリティ
読了時間:6分
IPsec と Windows Vista ファイアウォール
AuthIP を使用

 

vista_security.png

記事の中で

Windows Vista ファイアウォールの構成と設定

IPsec については、すでに私が書いています。 ただし、Windows Vista ファイアウォールを理解するには、Windows Vista ファイアウォールが動作するテクノロジについても知っておく必要があります。 最も重要なものの XNUMX つは、IPsec テクノロジーです。 Vistaファイアウォール.

この記事では、IPsec テクノロジに少し近づき、IPsec 設定を構成する場所を示したいと思います。





 

IPsec と AuthIP に関する一般情報

インクルード インターネットプロトコルセキュリティ (IPsec) は 1998 年に開発され、新しい Windows Vista ファイアウォールに統合されています。 また、 IPv6IPsec 実装が指示すること。 IPv6 は、新しい Windows Vista のイノベーションでもあります。 IPsec ガイドラインを簡素化するために、これは インターネット鍵交換 (IKE) は、Windows XP に既に統合されています。 IKE は Windows XP に既に存在し、Microsoft によって開発された強化された IKE は Windows Vista に含まれます。 認証IP IPsec ポリシーの実装を簡素化するために呼び出されます。 IPsec ポリシーの構成と管理は非常に複雑であるため、Windows Vista ファイアウォールには AuthIP が用意されています。


XNUMX 台のコンピューター間の暗号化された安全な接続を構成するためのより簡単なソリューションは確かにたくさんありますが、それだけで十分です。 処方する IPsec のサポートにより、拡散の可能性が大きくなり、この分野の基本的な知識はコンピューター サイエンティストにとって非常に有益です。 Microsoft の顧客も、ますます IPsec を使用しています。


IPsec接続設定(鍵交換)

[上]
手動 (固定) と動的なキー交換があります。

  • 固定鍵交換
    手動キー (Manual Keying)     Windows Vista ファイアウォールではプリインストール キーとも呼ばれます。 もちろん、この点はお勧めできません。 このキーは、両方のコンピューターで永続的に入力されるため、簡単に推測できます。

  • 動的鍵交換
    前述の IKE は、IPsec の自動キー管理を処理します。 ここで、IPsec の最も複雑な部分に到達しました。 簡単に言うと、IPsec で暗号化された接続を行う前に、両方のコンピューターが自身を認証し、キー アルゴリズムに同意する必要があります。 ここで IKE が登場し、Pre Shared Keying (PSK) および証明書方式を使用します。 IPsec は、対称キーと非対称キーをサポートしています。 共通鍵方式は同じ鍵を、非対称鍵は固定鍵と動的鍵を用いる方式を採用しています。


IPsec で接続を確立するのは非常に複雑なので、IPsec で接続を確立する方法をできるだけ簡単に説明しようと思います。

XNUMX 台のコンピューター (ピア) が IPsec を使用して接続すると、XNUMX 種類のセキュリティ アソシエーションが作成されます。

  1. 最初のセキュリティ アソシエーションが呼び出されます Main Mode また フェーズ XNUMX 呼ばれた。 メイン モードでは、XNUMX つのピアが相互に認証します。 認証が成功すると、XNUMX 台のコンピューター間に相互信頼が確立されます。

  2. XNUMX 番目のセキュリティ アソシエーションが呼び出されます。 クイックモード また フェーズXNUMX 呼ばれた。 クイック モードは、ピア間のネットワーク トラフィックがどのように署名および暗号化されるかを決定します。 署名は、データ パケットのセキュリティにとって非常に重要です。これにより、データがネットワーク経由で転送されるときにデータが変更されないことが保証されます。 暗号化は、送信中の読み取りを防止することを目的としています。

これ以上深くは行きません。 この基本的な知識は私たちにとって十分なはずであり、Microsoft から AuthIP にたどり着きました。


マイクロソフト認証

AuthIP は、特別に強化された Internet Key Exchange (IKE) であり、IKEv2 とは互換性がありません。

AuthIP は何を提供しますか?
AuthIP の機能は次のとおりです。

  • ユーザ認証

  • 多条件認証

  • 複数の認証方法をサポート

  • 非対称認証の簡素化



ユーザ認証
Windows XP では IKE が制限されており、コンピューターベースの資格情報に対する認証のみが許可されます。 AuthIP では、ユーザー (ユーザー レベル) による認証が可能です。


多条件認証 (認証)
AuthIP を使用すると、セキュリティを自分で少し制御できます。 ユーザー認証とコンピュータ認証を要求することができます。 たとえば、ピアは、ユーザー アカウント (Kerberos) と追加のユーザー認証を使用してコンピューターを使用する必要があります。


複数の認証方法のサポート
これが失敗した場合、IKE は XNUMX つの認証方法のみをサポートします。IKE ネゴシエーションも失敗しています。 AuthIP では、選択されたすべての認証方法が試行されます。 すべての認証手順が失敗した場合にのみ、IKE ネゴシエーションが失敗します。


非対称認証の簡素化
ファイアウォールを介した通信が必要なシナリオがあります。 このような場合、別の信頼関係が必要になる場合があり、したがって非対称認証が必要になります。
Vista と AuthIP が登場する前は、このようなシナリオでは、ネットワークとコンピューターの両方に複雑な証明書を提供するのに手間がかかりました。 しかし、それは AuthIP では過去のことです。IPsec ポリシーと Kerberos 認証でのみ可能です。

 


IPsec プロパティを構成できる場所

Windows Vista の正確な表現を使用するために、IPsec 設定を調整する場所を示します。
調査中に、別の方法を見つけました」" 開始します。
開始 ► 検索 ► wf.msc と入力し、Enter で確定します

アドバイス">ビスタメニュー

左ペインで右クリック ローカル コンピューターのセキュリティが強化された Windows ファイアウォール クリックしてからクリック プロパティ.

ローカル コンピューターのセキュリティが強化された Windows ファイアウォール

次のウィンドウで登録 IPsec 設定 選択する。 ここでは、IPsec 標準設定を調整し、[いいえ] (デフォルト) または [はい] のドロップダウン ボタンで IPsec 例外を選択できます。

IPsec のカスタマイズ

 

透明性: この記事にはアフィリエイト リンクが含まれている場合があります。 これらはプロバイダーに直接つながります。 これを通じて購入が行われた場合、手数料を受け取ります。 追加費用は一切かかりません! これらのリンクは、win-tipps-tweaks.de の運営の資金調達に役立ちます。

___________________________________________________
このヒントは www.win-tipps-tweaks.de からのものです
©著作権マイケル・ヒル

警告:
レジストリ エディターまたはヒントを誤って使用すると、システム全体に影響を及ぼし、オペレーティング システムの再インストールが必要になる深刻な問題が発生する可能性があります。 レジストリ ファイルの変更およびヒントの使用は、自己責任で行ってください。