IPSecでの暗号化について

WindowsXP Proを使用しています。
そこで、wwwサーバをたててインターネット上にHPを公開しながら特定の人にしか見れないようなシステムを構築したいと考えています。
そこで、方法についての相談です。
WWWサーバのみの公開で、さらに閲覧するユーザは数名であるため、VPNを構築するほどの必要性は感じません。
認証に関しては、最悪HP上でのID、パスワード認証のみでよいとして、インターネット上で生のデータをやり取りするのはさすがに問題があります。
そこで、暗号化を行いたいと考えています。
実験的なものであり、コストはあまりかけれません。
WindowsXPなので、IPSecで通信を暗号化する方法を調べているのですがよくわからず困っています。
どなたか詳しい方、教えていただきたいのですが。
また、IPSecをこのように使用するというのは正しいのでしょうか？

No.3 回答者： suzui 回答日時： 2005/06/17 17:51

＞wwwサーバで、同時に暗号化したメールを送信することも考えており、

中略
＞この場合、メールの暗号化も一つのサーバ証明書で暗号化できるのでしょうか？

送信経路の部分的な暗号化、つまりSMTP over SSLをお考えの場合ならサーバ証明書を使える可能性もありますが、End-to-endの暗号化、つまりS/MIMEをお考えなら、普通は個人証明書を使うと思われます。

＞サーバの証明という目的ではないため、自己署名でかまわないかなぁと思うのでわりと簡単にできそうですね。

自己署名(オレオレ証明書)のリスクについては十分考慮されてください。過去の質問にもたくさん出ています。

No.2 回答者： suzui 回答日時： 2005/06/15 13:40

エンド ツー エンドのセキュリティ IPSec (Internet Protocol Security) の概要

という文書がマイクロソフトのウェブサイトにあります。(参考URL)

手順としては、サーバ側・クライアント側の双方でIPsecポリシーを作成することになります。

詳しく手順を解説するには、この場所は向いていないですし、設定内容は導入する環境に依存するので、ドキュメントを読みながらいろいろ実験してみてください。

こういう利用法が正しいか、という質問については、「要件や制約が満たされるなら正しい」と答えておきたいと思います。
ただ、サーバ・クライアント双方にポリシー設定、という手間があるので、ポリシーを一貫して設定・配布しやすい、企業などの組織内で使われることが一般的だと思います。
また、基本的に上位層を選ばないので、httpだけでなく、ファイル共有や業務アプリケーションも暗号化することができます。

組織内のネットワークではあまり問題にはなりませんが、インターネットを通る場合、経路の途中にNATがあって、エンド ツー エンドIPsecのトラフィックが通過できない場合があります。そのへんはNATを行っているデバイスやプロバイダの仕様なので、なんとも言えませんが、あきらめるしかない場合もあります。

実験的なものであれば、SoftEther VPNあたりでお茶を濁すのもありでしょう。(要件次第)
この場合、サーバ・クライアントの双方にVPN softwareをインストールする必要がありますが、無償版を使えばライセンス費用はかからないと思います。
くわしくは、
http://www.softether.com/jp/
で知ることが出来ます。

もちろんWebサーバに証明書をインストールして、SSLで暗号化するのもありだと思います。
証明書の取得・維持費用はかかりますが、クライアント側のインストールや設定がいらない(普通のブラウザでかまわない)こと、サーバ側の設定もそんなに難しくないこと、経路の途中にNATがあっても超えられる可能性が高いこと、などというメリットもあります。

参考URL：http://www.microsoft.com/japan/windows2000/techi …

この回答へのお礼

ご返答ありがとうございます。
お礼が遅れて申し訳ありません。

やはりインターネット上を通るとなるとIPsecは難しいようですね。
wwwサーバで、同時に暗号化したメールを送信することも考えており、IPsecで暗号化すればすべて暗号化されるため丁度よいと安易に考えていましたが、
IPsecでSMTPサーバ、POPサーバを通過するのは非常に難しいようですね。

VPNというのは一番良い回答だとは思うのですが、
業務目的で使用するためフリーソフトというのにどうも抵抗があります。
となるとやはりSSL通信が妥当でしょうか。
サーバの証明という目的ではないため、自己署名でかまわないかなぁと思うのでわりと簡単にできそうですね。

この場合、メールの暗号化も一つのサーバ証明書で暗号化できるのでしょうか？
それともまた別の対応がいるのですか？
よろしくお願いします！！

お礼日時：2005/06/16 10:40

No.1 回答者： nick2038 回答日時： 2005/06/14 20:29

　暗号化は簡単で、ローカルエリア接続のプロパティからTCP/IPを選んでプロパティ、そこから詳細設定のオプションを選び、IPsecのプロパティで必要な機能をONにする……といった手順です。

　今、Windows2000でしか確認できないのですが、記憶によればXPでも大差はなかったかと。

　ところで、使用法としては、なんというか一般的じゃないです。　IPsecは基本的にトンネリング（≒VPN）に使うものですから。　Webサーバで公開するならSSLを使うのがお約束、という気がしますがどうでしょうか。
　もちろん暗号化には違いないですから構いはしないですけどね。

　むしろ問題になるとしたら、サーバ上での認証の甘さでしょう。