はじめに
ご存知のように、VPNテクノロジーは、パブリックインターネットチャネルを介したクライアント(エンドユーザーと本社)または2つのローカルネットワーク間の直接セキュア接続を整理するために使用されます。 VPNを使用して、リモートユーザーは企業のサーバーにアクセスし、会社のさまざまなオフィスと通信できます。
VPNは専用回線を必要としないため、インターネットにアクセスできる人なら誰でも使用できます。 接続が確立されると、従業員はオフィスにいるかのようにすべてのネットワークリソースを操作できます。 しかし、おそらくこのテクノロジーの最も重要な利点は、パブリックインフラストラクチャにもかかわらず、直接VPN接続(いわゆるVPNトンネル)が非常に安全であるため、データを盗んだり、地理的に分散したネットワークへの不正アクセスを取得したりすることがほぼ不可能であることです。
この記事では、
Traffic Inspectorを使用して、企業ネットワーク上のVPNを介したコラボレーション
を制御し、ネットワークアクティビティを監視する方法について説明します。
構成
モスクワに本社を置き、サンクトペテルブルクに支社を開設します。 サンクトペテルブルクオフィスとモスクワオフィスをVPNを介して単一の企業ネットワークに結合し、モスクワオフィスを介したインターネットアクセスを整理し、両方のオフィスのネットワークアクティビティを監視する必要があるとします。 また、VPNがプログラムで作成され、各クライアントマシンが個別に接続すると仮定します。
一般原則
最も一般的な形式では、チューニングアルゴリズムは次のようになります。
- 本社でVPNサーバーを作成および構成します。
- ブランチから本社へのVPN接続を作成および構成します。
- VPNの動作を確認してください。
- 本社のゲートウェイにトラフィックインスペクターをインストールしてアクティブにします。
- VPNの外部ファイアウォールのトラフィックインスペクターでアクセス許可を作成します。
- ブランチからトラフィックインスペクターにユーザーを追加します。
- 個々のユーザーとそのグループにルールを割り当てます(たとえば、特定のリソースへのアクセスを拒否し、毎日のトラフィックのアカウンティングと請求を構成します)。
- ルールの動作と設定の正確さを確認してください。
VPNサーバーのセットアップ
これで、一般的なセットアップ手順がわかったので、特定のアクションの説明に進むことができます。 例としてWindows Server 2012を取り上げましたが、以前のバージョン(Windows 2003および2008)にも同じことが当てはまります。
ルーティングとリモートアクセスサービスで、サーバーを右クリックし、[
ルーティングとリモートアクセスの構成と有効化]を選択し
ます。
- 開かれたルーティングとリモートアクセスサーバーのセットアップウィザードで、[ 次へ ]をクリックし、[ カスタム構成 ]オプションを選択します。
- 次のウィンドウで、 仮想プライベートネットワーク(VPN)アクセス、ネットワークアドレス変換(NAT)、LANルーティングを選択し 、[ 次へ ]をクリックします。
- 最後のウィザードウィンドウで、[ 完了 ]をクリックしてサービスを開始します。
- サーバープロパティに移動します。
[
全般 ]タブ
で 、次のオプションを設定します。
[
IPv4 ]タブに移動して、静的アドレスプールを選択します。4
[
追加 ]ボタンをクリックし、アドレスプールを割り当てます(この場合、サブネット
192.168.200.1—192.168.200.10が選択され、10個のアドレスで構成され、サーバーはアドレス192.168.200.1を受け取ります)。
[
ログ ]タブをクリックし、
[エラーと警告のログを記録する]ボックスを選択します
。[
ポート ]を右クリックし、[
プロパティ ]を選択し
ます。
サーバーを安定して動作させるために、不要なポート(SSTP、PPOE、L2TP、IKEv2)を削除し、必要な数のPPTPポートを作成することをお勧めします(この場合、10個のポートが必要です)。
ネットワークアドレス変換(NAT)に移動して、新しいインターフェイスを追加します。
インターネット接続を選択し、フィールドのボックスを
オンにします。 一般的なインターフェイスはインターネットに接続され、 このインターフェイスでNATを
有効にします。次に、LANインターフェースを「
プライベートインターフェースがプライベートネットワークに接続されている 」とマークし、内部インターフェースを
プライベートインターフェースがプライベートネットワークに接続されているとマークし
ます。 次のようなものが得られます。
これで、本社のVPNサーバーの構成が完了し、ブランチのVPNクライアントの構成に進むことができます。
VPNクライアントを構成する
サーバー側で、コンピューター管理を開始します。
[
ローカルユーザーとグループ-ユーザー]セクションで、新しいユーザーを追加して資格情報を指定します。
[
着信 ]タブでユーザーのプロパティに移動し、図に示すように設定を指定します(静的IPをユーザーに割り当てることもできます)。
次に、クライアント側で、オペレーティングシステムを使用してVPN接続を作成します(Windows 8を例に挙げます)。 これを行うには、ネットワークと共有センターで[
新しい接続またはネットワークの構成 ]オプションを選択し、表示されるセットアップウィザードで[
ワークステーションへの接続]を選択し
ます。
[
インターネット接続(VPN)を
使用する]を選択し、[
次へ ]をクリックします。
次に、VPNサーバーのURLまたはIPアドレスを入力し、その場所の名前を指定して、[
作成 ]をクリックし
ます 。
VPNサーバーでトラフィックインスペクターを構成する
VPNサーバーとクライアントをセットアップしたら、Traffic Inspector自体のインストールと構成に進むことができます。 Traffic Inspectorはこの段階でのみインストールされるため、VPNは標準のWindowsツール(ping、netstat、tracertなど)を使用して事前に確認する必要があります。
サービス設定の
トラフィックインスペクターコンフィギュレー
ターで、[
RASサーバーを使用]ボックスを
オンにします 。
トラフィックインスペクターの
外部ファイアウォールの
ルールセクションで、2つのルールを作成します。1つのルールでは、外部クライアントのポート1723へのTCP接続を許可し、2番目のルールでは、GRE接続を許可します(
IPタイプタイプオプションは
47に 設定されます):
他のパラメーターは変更せずに、デフォルト値のままにすることができます。
プログラムに新しいクライアントを追加し、接続方法を指定します
Windows RASサーバーを介した接続 :
残りの設定は、プログラムクライアントの設定に似ています。 この場合、IPによる許可が使用されます。
必要に応じて、許容日数を超えた場合にクライアントの自動シャットダウンを設定したり、特定の日にサーバーへのアクセスを制限したりできます。
トラフィックインスペクターは、バナー、マルチメディア、グラフィックス、テキストのみの4レベルのトラフィックフィルタリングをユーザーに提供します。 それらのいずれかを選択するには、[
ユーザーの個々の最小フィルタリングレベルを設定する]ボックス
をオンにします
。
さらに、ユーザーに特定のトラフィッククォータ(100 MBなど)を割り当てることができます。
構成が完了すると、新しいRASサーバー(ダイヤルイン)ネットワークがトラフィックインスペクターのメインウィンドウに表示されます。
おわりに
VPNトンネルの組織化により、企業ネットワークでの高速で安全な接続、保証された帯域幅、およびネットワークインフラストラクチャのコスト削減を実現できます。 同時に、ネットワークセキュリティの問題は引き続きVPNに関連しています。 Traffic Inspectorはこのギャップを埋めて
、トラフィックのクォータの設定、特定のリソースへのアクセスの制限、ユーザーのさまざまなフィルターレベルの設定など、インターネット上のユーザーをすばやく監視して企業サーバーに接続できるようにします。 この場合、システム管理者は特別な知識を必要としません。すべての構成は、便利なステップバイステップウィザードを使用してWindows管理コンソール(MMC)で実行されます。