アクティブディレクトリとアクセスリスト設定

前へ 次へ
このQ&Aのポイント
  • アクティブディレクトリとCisco L3スイッチを使用したセキュリティに関する質問です。
  • ACLをL3スイッチのVLANインターフェースに設定し、必要最低限のトラフィックのみ通過させる方法は有効でしょうか?
  • Vlan間のDoSアタックやsmurfなどの攻撃を防ぐ有効な方法はありますか?
回答を見る
  • ベストアンサー

アクティブディレクトリとアクセスリスト設定

アクティブディレクトリとCisco L3スイッチの関連でセキュリティに関する質問をさせて頂きます。 例えば、以下のようなネットワーク構成の場合、ACLをL3スイッチのVLANインターフェースに設定して、例えばDHCPパケットなど必要最低限のトラフィックのみ通過可能という設定するのは有効な方法といえるでしょうか? それとも、他にセキュリティを高める方法はありますでしょうか? また、Vlan間のDoSアタックやsmurfなどの攻撃を防ぐ有効な方法はあるのでしょうか?やらないよりましというレベルでもかまいません。 構成: Vlan2 と Vlan3がありL3スイッチにそれぞれのインターフェースが設定されています。それぞれのVlanには別々のグループのユーザーが存在しておりVlan2にはユーザー以外にもドメインコントローラやファイルサーバ、プリントサーバなども存在しています。ドメインコントローラーはADとDHCPの役割も果たしています。 防御したいものは主に、Vlan2に存在する全てのサーバの機能とその中にある全てのファイル類やプリンターサーバです。不正アクセスや各種の攻撃はVlan3からが主なものと想定しています。 全てのネットワークユーザにログインすることが求められますが、ノートブックなど自分のPCを勝手に接続すればインターネットには接続できます。 この状況でまずはVlan間にACLを設定しようかと考えていますが、ADの認証サービスのポート番号は445でいいのでしょうか? いろいろとアドバイス頂けると有難いです。 宜しくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • junkUser
  • ベストアンサー率56% (218/384)
回答No.2

>IPSecという事ですが、具体的にどのような形での利用が考えられますでしょうか? Active Directoryドメインは簡単にIPSecの環境が構築できます。 (Windows Server 2003 R2 SP2 の場合) 管理ツール/ドメイン セキュリティ ポリシー Windows の設定/セキュリティの設定/IP セキュリティ ポリシー Server (Request Security) 右クリック - 割り当て ドメイン コントローラは、gpupdate を実行したあと再起動。 クライアントPCは2回再起動で有効になります。 この間、Request Security で動作しているので通信不能になることはありません。 VLAN2、VLAN3 間は以下のプロトコルをあけるだけで完了です。 ESP (IPSecで利用) ICMP (グループポリシーが当たるようにする。これが通らないと低速回線と誤認し、一部のポリシーが適用されない) UDP source port 500、destination port 500 (IPSecの鍵交換に使用) UDP, TCP port 53 (ドメインコントローラのアドレスを取得) ただし、このアクセス規制をかけると、VLAN2でしかドメインの参加ができなくなります。 なお、VLAN3で使用する場合は、いったんVLAN2で初回ログオンまで済ませた方がトラブルが少ないでしょう。

momochangeni
質問者

補足

junkUser さま 早速ありがとうございます。大変勉強になります。 再度初歩的な質問で申し訳ないのですが、この方法は当然ドメイン コントローラに登録されているクライアントPCからのみ可能という事だと理解していますが、万一、アクセスを許可されている職員が、なんらかの理由で個人所有のノートブック等を持ち込んでそこからアクセスをして仕事をしなければならないという事があった場合、何か有効な手段がありますでしょうか?

その他の回答 (2)

  • junkUser
  • ベストアンサー率56% (218/384)
回答No.3

>個人所有のノートブック等を持ち込んでそこからアクセスをして仕事をしなければならないという事があった場合 VLAN2 に接続すれば、従来通りつながりますよ。 VLAN3 からはつながりません。 --- 補足 IPSecのプロトコルでESPと書きましたが、Ciscoのスイッチでは二つ設定する必要があるかもしれません。 IPSec セキュリティ ペイロード カプセル化 (ESP) IP プロトコル 50 IPSec 認証済みヘッダー (AH) IP プロトコル 51

momochangeni
質問者

お礼

junkUserさま いろいろと大変勉強になりました。 ありがとうございます。

  • junkUser
  • ベストアンサー率56% (218/384)
回答No.1

VLAN3にもドメインメンバーがいて、ADの認証をしたいということですかね。 ドメイン コントローラが使用するポートは多岐にわたります。 http://www.atmarkit.co.jp/fwin2k/special/2003sp1_04/2003sp1_04_01.html RPCは動的にポートを割り当てられるため、ポートを固定する必要がありますね。 http://www.microsoft.com/japan/technet/archive/ittasks/tasks/adrepfir.mspx ・・・正直ここまで頑張る意味があるのかと疑問に思います。 検疫ネットワークやIPSecの利用を検討してみてはいかがでしょうか。

momochangeni
質問者

補足

junkUser さま ありがとうございます。教えて頂いたリンクをみてAD関連のポート数の多さに驚いています。根本的にアプローチが違っている見たいです。 Vlan3にも僅かですがメンバーがいてドメインにログインする必要があります。しかし現在のところVlan3からはドメインメンバー以外のユーザーとメンバー以外のシステムが多数派を占めていて、Vlan2に存在するサーバやデータに対するセキュリティーはADのログインと、個々のサーバのログインのみに頼っている状態です。 アクセススイッチを設定しなおしてVlan3にいるドメインメンバーを全てVlan2に移してしまおうかと思っていますが、そうするとそのポートがVlan2になってしまうため、他のドメインメンバー以外のユーザがVlan2のサーバやデータに不正にアクセスする窓口になってしまう可能性も多少あります。 この状況で、どうやってVlan2のサーバ類をVlan3のユーザから守るか思案中です。 ADの知識が殆ど無く、ネットワークの知識も十分とは言えないのでもがいております。 IPSecという事ですが、具体的にどのような形での利用が考えられますでしょうか? 宜しくお願いします。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • Ciscoアクセスリストについて教えて下さい

    アクセスリスト設定で悩んでますので、回答(Config)をお願いします。 (vlan100)---[L3SW]---(vlan200) 許可----> <----拒否 ■ACL要望 vlan100からvlan200に対しては全ての通信を許可 vlan200からvlan100に対しては全ての通信を拒否(但し、vlan100に対しての応答は許可) ■L3SW(Cisco3750 Version 12.2(25r)SEC)設定 vlan100(192.168.100.1/24) vlan200(192.168.200.1/24) Routingはripを使用

  • CiscoスイッチでVLANにIPアドレスを配布することは可能ですか

    CiscoのL3スイッチを使用しています。(C3750) Vlanが5個あり、その中の2つのVlanにはDHCPサーバがあるのですが、それ以外のVlanにはDHCPサーバがありません。 このような場合でもDHCPサーバのないVLANすべてにIPアドレスを配布することは可能ですか? 〔ネットワーク構成〕 Vlan 1 10.101.0.0/16 ←DHCPサーバ有り Vlan 2 10.102.0.0/16 ←DHCPサーバ有り Vlan 3 192.168.1.0/24 Vlan 4 172.16.100.0/24 Vlan 5 10.50.0.0/24 Vlan3~Vlan5までは、DHCPがありません。 VlanをInterfaceに割り当てたのはいいのですが、DHCPが無い事に気付いて、そこで止まってしまいました。 どのようにしたらいいか、ご教授いただけますと幸いです。 どうぞ宜しくお願い致します。

  • catalyst の DHCPリレーの設定について

    DHCPリレーの設定についてご教示ください。 以下の設定で、L2sw の Gi0/2 に接続されたDHCPクライアント(192.168.3.0)が、L2sw の Gi0/1 に接続されたDHCPサーバ(192.168.2.10)よりIP取得ができません。 なお、クライアントに固定IP(192.168.3.0)を与えた場合、問題なくDHCPサーバにL3swを経由し疎通できていることを確認しています。 なお、DHCPサーバの設定は、問題ないものと仮定させていただきます。 些細な情報でも構いませんので、何卒よろしくお願い致します。 ■L3sw(catalyst3750:version 12.2) ・Gi1/0/1 には、関係のないL2スイッチが接続  (FW:192.168.2.100が接続されている) ・Gi2/0/1 には、L2sw(catalyst2960G)が接続  ip routing  !  interface GigabitEthernet1/0/1   switchport trunk encapsulation dot1q   switchport mode trunk  !  interface GigabitEthernet2/0/1   switchport trunk encapsulation dot1q   switchport mode trunk  !  interface vlan1   ip address 192.168.1.1 255.255.255.0  interface vlan2   ip address 192.168.2.1 255.255.255.0  interface vlan3   ip address 192.168.3.1 255.255.255.0   ip helper-address 192.168.2.10  ip route 0.0.0.0 0.0.0.0 192.168.2.100 ■L2sw(catalyst2960G:version 12.2) ・Gi0/1 には、DHCPサーバ(192.168.2.10)が接続 ・Gi0/2 には、DHCPクライアントが接続 ・Gi0/48には、L3sw(catalyst3750)が接続  interface GigabitEthernet0/1   switchport access vlan 2   switchport mode access  !  interface GigabitEthernet0/2   switchport access vlan 3   switchport mode access  !  interface GigabitEthernet0/48   switchport mode trunk  !  interface vlan1   ip address 192.168.1.2 255.255.255.0  interface vlan2   ip address 192.168.2.2 255.255.255.0  interface vlan3   ip address 192.168.3.2 255.255.255.0  !  ip default-gateway 192.168.1.1

  • STPの設定方法

    L3スイッチ1台にL2スイッチ2台を下にぶら下げる形で 物理構成を行いたいと思います。 そうすることによってSTPが動作するかと思います。 ここでやってみたい事に対してどのようにSTPを設定すれば よいか教えてください。 内容は、 ・VLANを複数作成します。 ・L2スイッチにはサーバをクラスタ化したいので  同じ設定を投入します。 ・L2スイッチに上記と別にクラスタ化や冗長化しないような  端末も繋げて別のVLAN作成します。 ・ブロッキングポートをL3スイッチとL2スイッチを結ぶ物理の  片側のL3スイッチのポートもしくはL2スイッチのポートに  設定しようと思います。 これらをするために自分で調べたところ、PVSTを使えば可能なのかと 思いました。 VLANプライオリティを L3スイッチにspanning-tree vlan 10,20,30 priority 12288 L2スイッチにspanning-tree vlan 10,20,30 priority 4096       spanning-tree vlan 10,20,30 priority 8192 を設定すればL3スイッチとL2スイッチの間のインターフェースが ブロッキングポートになると考えております。 またさらに調べていたら、インターフェースにも設定が必要なのでしょうか?  (config-if)# spanning-tree port-priority 240をブロッキング  ポートにしたいインターフェースに設定すればSTPは想定する  インターフェースにブロッキングポートに出来、片側の  L2スイッチとL3スイッチ間の通信は出来ますでしょうか? このどちらかの設定が必要なのでしょうか? それとも両方設定が必要でしょうか? ちなみに使用機種はL3がcat3750,L2がcat2960です。 お手数ですがよろしくお願いいたします。

  • こんにちは。

    こんにちは。 はじめまして。 初歩的な質問になります。 L3スイッチを用いてVLANを構成し、ACLでVLAN間のルーティングを制御しているのですが、 設定を考えていくうちにだんだんわからなくなってしまったので整理させてください。 以下のようなVLANを構成しています。 vlan1 192.168.0.1/24 vlan2 192.168.1.1/24 vlan3 192.168.2.1/24 さらに、VLAN間のルーティングは以下のようにしたいと思います。 vlan1<->vlan2 ○ vlan1<->vlan3 ○ vlan2<->vlan3 × そこで、以下のようなACLを作成し、それぞれのVLANに設定しました。 192.168.0.1/24 -> 192.168.1.1/24 permit 192.168.0.1/24 -> 192.168.2.1/24 permit 192.168.1.1/24 -> 192.168.0.1/24 permit 192.168.1.1/24 -> 192.168.2.1/24 deny 192.168.2.1/24 -> 192.168.0.1/24 permit 192.168.2.1/24 -> 192.168.1.1/24 deny ここで、疑問に思ったのは、vlan1からさらに別のスイッチに接続しており、 そのスイッチでもVLANを構成しているので別のサブネットからもパケットが送信されることがあるということです。 その場合、送信される可能性があるサブネットすべてについてACLを記述しなければならないのでしょうか? それとも、現在の設定のままスイッチ内のサブネットのみでいいのでしょうか? 現段階では実機を使った設定ができないので検証できません。 初心者ですのでわからないことだらけです。 よろしくご教授お願いします。

  • L3スイッチでのDHCPサーバ機能について教えてください

    CiscoのL3スイッチにDHCPサーバの設定をしています。DHCPサーバの設定を行い、VLANを作成し、割り当てIPレンジ、DHCP除外IPアドレスを設定しました。 ttp://www.infraexpert.com/study/dhcp1.htm こちらのページを参考に設定を致しました。 (DHCPプールアドレスの設定のみで、リレーエージェントの設定は行っていません。) L3スイッチはデフォルトで全てのブロードキャストパケットを転送しないとなっていますが、VLANにL3のDHCP機能でIPを振る場合に、DHCPブロードキャストを転送するための コマンド (config-if)#no ip directed-broadcast は設定する必要があるのでしょうか? どなたかご存知の方、ご教授くださいますようお願いいたします。

  • ADのドメイン参加の認証について

    教えてください。 ADサーバへのドメイン参加の認証にはIPアドレスを使わないのでしょうか? 関係のない端末についてはADサーバの前に設置されているL3スイッチのアクセスリストで 制御をおこないたいため、必要のないIPについてはdenyにしたのですがドメイン参加ができて しまいました。 このことから認証にはIPアドレスは関係ないのかなと思ったのですが、これという回答を 見つけることができず悩んでいます。 <作っている環境> ADサーバ | | L3スイッチ |   | |   | A端末  B端末 ADサーバ 192.168.10.1 A端末 192.168.20.1 B端末 192.168.30.1 L3スイッチ SVIでVLAN間ルーティングしている Fa0/1 VLAN10 192.168.10.254 Fa0/2 VLAN20 192.168.20.254 Fa0/3 VLAN30 192.168.30.254 アクセスリスト access-list 110 permit ip host 192.168.10.1 host 192.168.20.1 access-list 120 permit ip host 192.168.20.1 host 192.168.10.1 Fa0/1 ip access-group 110 in Fa0/2 ip access-group 120 in で設定しています。 この設定で A端末はログオン成功 B端末はログオン失敗 にしたいのです。

  • 無線APにおけるNative Vlanについて

    はじめまして。nsuzuki5555と申します。 このたび無線LANにおけるNative Vlanについて質問させて頂きます。 構成は下記の通りです。わかりにくくすいません。 DHCPサーバ--<L3 Switch>--<L2Switch>--Trunk接続--<AP>~~~PC  L2Swtich側のNative Vlanを13に設定しAP側のFastEthernetもNative Vlan13に設定します。 ここで疑問なのですが、APからのRadioの設定にもNative Vlan13の設定を入れる必要性があるかです。私的にはAP側の設定でFastethernet側のサブインターフェースのみNative Vlan13の設定でOKだとおもっております。APにはPCが所属するVlanの設定Fastethernet側、Radio側にも設定をされています。仮にVlan12とします。 Native Vlanとはタグ付をされていないフレームだと認識しております。仮にPCをAP経由で接続する際Vlan12にひもづけされているSSIDで認証を行いDHCPへの要求をブロードキャストで要求したとして(DHCPサーバとPCのセグメントは別セグメント。DHCPサーバのセグメントはVlan13です。)も L3SwitchでIp-helper-addressでDHCPサーバのIPアドレスを設定しております。 私の単純な理解ですが、Vlan12のSSIDでRadius認証で成功したあとVlan13(Native Vlan)に対してブロードキャストパケットでIPの要求をだしVlan12で使用されているIPアドレスが割り当てられるという仕組みなのでしょうか?PCからVlan13(AP)に対してパケットを送った場合APとL2Switch間ではNativeVlan13で設定されているためタグ付されていなくても双方でVlan13で認識できると考えております。 レベルの低い質問ではございますがご回答のほどよろしくお願い致します。

  • レイヤ3スイッチでVLAN構築

    教えてください。。。 L3SWでVLANを構築しようと考えています。それで下記の内容で構築できますか? ◆VLAN1のNW・・・172.25.26.0/25 ◆VLAN2のNW・・・172.25.26.128/25 ◆VLAN3のNW・・・172.25.27.0/24 VLAN1にはDHCPサーバ(172.25.26.1)各VLANへのIPスコープは設定済み。 とルータ(172.25.26.126)。 それで各VLANの端末はVLAN1のDHCPサーバからIPをもらい、ルータを通じてインターネットへ接続できる環境は作れるのでしょうか? 「使用機器」エクストリーム社L3スイッチ 内容不足かもしれませんがご教授よろしくお願いいたします。

  • Cisco ルータのインターネット設定について

    知り合いに頼まれて、設定をしています。Catalystのスイッチはよく触ってましたが、よくわかりません。 下記のページのサンプルコンフィグのように設定したいですが、この中の下記のvlanはどうやって設定するんでしょうか? interface Vlan1 ip address 192.168.32.254 255.255.255.0 http://www.cisco.com/JP/support/public/loc/tac/102/1020017/dhcp.shtml

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する