Windows XPでVPNといえばPPTPがもっともメジャーな存在です。
安価なブロードバンドルーターにもPPTPサーバーの機能が備わっている製品もあるため、簡単、低コストでVPNが構築できます。
PPTPの弱点は認証をユーザーアカウントとパスワードのみに頼っているため、もしもアカウントとパスワードが漏れてしまえば、すぐにVPNに侵入されてしまうことです。
実体験から言えば退職者のアカウントが放置されて、退職後もひそかにLANに侵入することができます。
PPTP自体はきちんとした暗号化も備えているため、何もしらない第3者がLANに接続することはまれです。しかし、どのクライアントに接続設定がされているか確認するのは困難ですし、アカウントとパスワードさえ分かっていれば、WindowsXP端末なら簡単に接続を作成できるため、いつ、誰がアクセスしているかをコントロールできずに安全性がきわめて低くなることが予想されます。
PPTPに代わるソリューションで、まず考えられることはFortiGateやNetScreenなどのファイヤーウォール系のソリューションです。
これらのソリューションは堅牢です。しかし、設定すらままならないこともあります。正規のアカウントやパスワードがあっても接続設定自体が不透明で困難です。また、専用のクライアントソフトを必要とすることがほとんどで、新しいOSが登場してもなかなかクライアントソフトは登場せず、端末のリプレースを困難にすることも少なくありません。
RRASはPPTPの他に標準でL2TP/IPSecも対応していますので、こちらの利用を検討します。
ちなみに、ここのところ実装している事前共有キーでのL2TP/IPSecの認証は、アカウント+パスワード+事前共有キーで、結局のところPPTPとあまり変わりません。
事前共有キーは1つしか設定できないため、もしも変更する場合はクライアントすべてを変えなくてはなりません。管理者自身ですべて変更できなければ、通知して変えてもらうしかありませんが、これでは意味がありません。
Windowsのアカウントは有効、無効が管理者で簡単に制御できますし、アカウントロックの機能もポリシーで細かく制御できるため、こちらの方が気が利いています。しかし、Windowsアカウントはパスワードが生年月日になっていたり、部署内でパスワードをお互いに知っていたりすることは普通なことです。これでは、リモートアクセスを許可されている人のアカウントで簡単にLANに侵入されます。
Windows2003ServerはCAとしての機能も備えているため証明書を利用することがベストと思われます。設定については今後確認していきますが、以前設定した際にはかなり簡単だったと記憶しています。証明書であれば、管理者でなくては発行できないため漏洩の可能性はかなり低くなります。また、リモートアクセスが許可されたユーザーであっても証明書がインストールされていなければ接続できないため、自宅のPCに勝手に設定することも防ぐことができます。この時点で管理者はリモート接続のユーザーと端末を管理できます。また、接続を不許可にしたい場合は証明書を失効させることで不許可にできます。
RRASはWindowsServer上のソフトウェアルーターのためスループットは専用ルーターに比べて見劣りするものです。ただし、モバイル端末の運用が一般的になってきた昨今では端末の接続管理のための機能が充実しているため導入の価値があります。
ゲートウェイ製品を利用したアカウント管理は概ね英語のインターフェースか元々英語だったインターフェースを日本語にしただけのものが多く遣いづらいものが少なくありません。WindowsServerはこの点でもアドバンテージがあります。
IPSecは固定IPでなくてはいけないとか、証明書は高価だという過去の知識でIPSecの導入を見送ることはもったいないといえます。
0 件のコメント:
コメントを投稿