- ベストアンサー
アクティブディレクトリとアクセスリスト設定
- アクティブディレクトリとCisco L3スイッチを使用したセキュリティに関する質問です。
- ACLをL3スイッチのVLANインターフェースに設定し、必要最低限のトラフィックのみ通過させる方法は有効でしょうか?
- Vlan間のDoSアタックやsmurfなどの攻撃を防ぐ有効な方法はありますか?
- momochangeni
- お礼率36% (11/30)
- ネットワーク
- 回答数3
- ありがとう数4
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
>IPSecという事ですが、具体的にどのような形での利用が考えられますでしょうか? Active Directoryドメインは簡単にIPSecの環境が構築できます。 (Windows Server 2003 R2 SP2 の場合) 管理ツール/ドメイン セキュリティ ポリシー Windows の設定/セキュリティの設定/IP セキュリティ ポリシー Server (Request Security) 右クリック - 割り当て ドメイン コントローラは、gpupdate を実行したあと再起動。 クライアントPCは2回再起動で有効になります。 この間、Request Security で動作しているので通信不能になることはありません。 VLAN2、VLAN3 間は以下のプロトコルをあけるだけで完了です。 ESP (IPSecで利用) ICMP (グループポリシーが当たるようにする。これが通らないと低速回線と誤認し、一部のポリシーが適用されない) UDP source port 500、destination port 500 (IPSecの鍵交換に使用) UDP, TCP port 53 (ドメインコントローラのアドレスを取得) ただし、このアクセス規制をかけると、VLAN2でしかドメインの参加ができなくなります。 なお、VLAN3で使用する場合は、いったんVLAN2で初回ログオンまで済ませた方がトラブルが少ないでしょう。
その他の回答 (2)
- junkUser
- ベストアンサー率56% (218/384)
>個人所有のノートブック等を持ち込んでそこからアクセスをして仕事をしなければならないという事があった場合 VLAN2 に接続すれば、従来通りつながりますよ。 VLAN3 からはつながりません。 --- 補足 IPSecのプロトコルでESPと書きましたが、Ciscoのスイッチでは二つ設定する必要があるかもしれません。 IPSec セキュリティ ペイロード カプセル化 (ESP) IP プロトコル 50 IPSec 認証済みヘッダー (AH) IP プロトコル 51
お礼
junkUserさま いろいろと大変勉強になりました。 ありがとうございます。
- junkUser
- ベストアンサー率56% (218/384)
VLAN3にもドメインメンバーがいて、ADの認証をしたいということですかね。 ドメイン コントローラが使用するポートは多岐にわたります。 http://www.atmarkit.co.jp/fwin2k/special/2003sp1_04/2003sp1_04_01.html RPCは動的にポートを割り当てられるため、ポートを固定する必要がありますね。 http://www.microsoft.com/japan/technet/archive/ittasks/tasks/adrepfir.mspx ・・・正直ここまで頑張る意味があるのかと疑問に思います。 検疫ネットワークやIPSecの利用を検討してみてはいかがでしょうか。
補足
junkUser さま ありがとうございます。教えて頂いたリンクをみてAD関連のポート数の多さに驚いています。根本的にアプローチが違っている見たいです。 Vlan3にも僅かですがメンバーがいてドメインにログインする必要があります。しかし現在のところVlan3からはドメインメンバー以外のユーザーとメンバー以外のシステムが多数派を占めていて、Vlan2に存在するサーバやデータに対するセキュリティーはADのログインと、個々のサーバのログインのみに頼っている状態です。 アクセススイッチを設定しなおしてVlan3にいるドメインメンバーを全てVlan2に移してしまおうかと思っていますが、そうするとそのポートがVlan2になってしまうため、他のドメインメンバー以外のユーザがVlan2のサーバやデータに不正にアクセスする窓口になってしまう可能性も多少あります。 この状況で、どうやってVlan2のサーバ類をVlan3のユーザから守るか思案中です。 ADの知識が殆ど無く、ネットワークの知識も十分とは言えないのでもがいております。 IPSecという事ですが、具体的にどのような形での利用が考えられますでしょうか? 宜しくお願いします。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_1_thumbnail_img_sm.png)
補足
junkUser さま 早速ありがとうございます。大変勉強になります。 再度初歩的な質問で申し訳ないのですが、この方法は当然ドメイン コントローラに登録されているクライアントPCからのみ可能という事だと理解していますが、万一、アクセスを許可されている職員が、なんらかの理由で個人所有のノートブック等を持ち込んでそこからアクセスをして仕事をしなければならないという事があった場合、何か有効な手段がありますでしょうか?