マスタ タイトルの書式設定 Juniper Networks Secure Access シリーズ 紹介資料 SA6500 ※注意 実物はポートの位置が異なります。 2008年 Oct. Macnica Networks Corp. (IVE OS ver. 6.2) SSL-VPNの最新トレンド 2 SSL-VPNとは? ◆ SSL ⇒ Secure Socket Layer の略で情報を暗号化して送受信することができるプロトコル。 HTTPやFTPなどで多く利用されています。 ◆ VPN ⇒ Virtual Private Networkの略でインターネットなどの公共網上で、暗号化された 通信を利用することであたかも専用回線のように利用できる仕組みのこと。 企業の拠点間通信などに利用され、専用回線よりも費用を抑えることが可能です。 ◆ SSL-VPN ⇒ 暗号化の仕組みにブラウザなどが標準で持つSSLを利用したVPN方式。 外出先の社員が社内のリソースにアクセスするようなリモートアクセス用途に 適したVPN技術です。 最近では、SSL-VPN装置特有の豊富なアクセスコントロール手法を利用し、 取引際との情報共有や外部のユーザによるリモートメンテナンスなどの エキストラネット的な使い方でも利用されるケースが増えています。 3 SSL-VPNの主な用途 リモートアクセスに おもに外出中の社員の方や各拠点にいる社員が、会社支給のノート PC などから、ADSL、公衆無線 LANやPHS 、携帯電話によるダイアル アップ接続などの各種接続方法を利用し、社外からメールや社内ポー タルなどの社内リソースを利用する一般的なケース。 エキストラネットに SSL-VPNを利用しパートナー企業や取引先に社内のサーバを一部公開 し、情報共有や受発注などの業務処理を行うケース。 公開サイトに 例えばサポートサイトを公開したい場合には、購入頂いたユーザ毎に アカウントを発行したり、各種情報を展開する必要があります。そのサ イトをJuniperSAでセキュリティを保ちながら公開するケース。 4 SSL-VPNがリモートアクセスに適している理由 利用環境に影響されない • OS、Firewall、NAT、Proxyなど様々な環境からのアクセスに対応が可能 です。 多種多様なアクセス制御 • セキュリティチェックの結果などユーザの状況に応じたアクセス コントロールも可能。 豊富な認証方式 • ローカルDB, Radius, LDAP, Active Directory, 証明書など多彩な認証方式に 対応しています。 運用コストを大幅に低減 • ブラウザからの自動インストールやクライアント側の設定が不要なため、 運用工数を大幅に減らせます。 5 最近のSSL-VPNのトレンド 2要素認証やワンタイムパスワード ◆ Secure MatrixやRSA SecurID などのワンタイムパスワードの利用が増加 ◆ ID, Password だけではなく、加えて端末認証(Mac-Addressのチェック)などの利用 ◆ セカンダリ認証の利用( JuniperSAの独自機能 ) 端末のセキュリティチェック ◆ 会社支給のPCかどうかのチェック ◆ アンチウイルスソフトウェアのパターンファイルのチェック ◆個体認証 モバイル端末の利用 ◆ i-modeなどの携帯コンテンツだけでなく、PDA (Windows Mobileやi-Phone)などへの対応も求められています。 JuniperSAではこれらのトレンドに対応しています。 6 JuniperSAの各種接続機能 7 JuniperSA - 3種類のアクセス方式 接続機能名 Network Connect (NC) 特徴 ご提供 形態 ほぼ全てのアプリケーションが利用可能 主に従業員のリモートアクセス用途に利用 標準機能 Secure Application Manager クライアント/サーバアプリケーションに対応 (SAM) 標準機能 Core Access 標準機能 Webアプリケーション、ファイル共有、 Telnet/SSH、Email ・・・ ネットワークレベルで社内との接続 (IP-secとほぼ同等) アプリケーションサーバ側に残るログ上のIPはクライアントに割与えられたIPアドレス ・・・ JuniperSA がリバースプロキシとして動作 アプリケーションサーバ側に残るログ上のIPはJunperSAのIPアドレス ※ Secure Meeting機能というWeb会議機能もありますが、ここでは割愛してます。 8 JuniperSA - アクセス方式別ログとアクセスコントロール ◆ アクセス方式別のログ ⇒ 各機能ごとに利用できるアプリケーションに違いがありますが、取得できるログのレベルに も違いがあります。 機能 アクセスログの内容 アクセスコントロールレベル NC NCの接続開始時間 停止時間 払い出しされたIPアドレス やり取りしたデータ量 L4レベルのアクセスコントロール ・ICMP,TCP,UDPポートレベル ・IPアドレス、ネットワークアドレス SAM L4レベルのアクセスログが取得可能 接続先サーバ名 ポート番号 通信データ量 L4レベルのアクセスコントロール ・TCPポートレベル ・IPアドレス、ネットワークアドレス ・FQDN, host名 Core L7レベルのログが取得可能 接続先サーバ名 メソッド リクエスト レスポンス をディレクトリレベルで取得可能 L7レベルのアクセスコントロール ・ディレクトリレベルのアクセス制御 ・TCPポート番号 ・IPアドレス、ネットワークアドレス ・File共有の場合、書き込みなどの制御も可 9 Network Connect 10 Network Connect ◆ Network Connectの特徴 ⇒ Network ConnectはJuniperSAと接続後、社内用のIPアドレスがクライアントの仮想インタ フェースに割与えられ、そのIPアドレスを利用して社内と接続する機能です。 IPsec のような接続が可能になりますので、ほとんどのアプリケーションに対応可能です。 IP-sec同様 全てのアプリケーションが利用可能 全てのアプリケーションが利用可能 IP-sec同様 接続順序 ①JuniperSAにアクセス ②ActiveX or Java を利用してNetwork Connectモジュールをダウンロード/インストール(初回時のみ) ③端末に社内用アドレスの割り当て→アクセス可能になります。 クライアントPC (before) ① ② JuniperSA ③ 内部IPアドレスが割り当てされて仮想的にLANに 11 直接接続 全てのアプリケーションが利用可能 11 クライアントPC (after) Network Connect スプリットトンネル機能 ◆ Network Connect Split tunnel ⇒ Network Connectでは、どの通信をVPNトンネル上に流すか管理者が決定することが可能 です。トンネルを分けるという意味合いから本機能をスプリットトンネルと呼んでいます。 Split Tunnel Disable (無効) ⇒ トンネルを分けない形になります。つまり、クライアントから発生する通信全てが、 VPN トンネル上に流れます。そのため、ローカル環境へのアクセスや今まで利用していた 通信がトンネルを張っている間、利用できなくなりますが、余計な通信をさせない分よりセ キュアなリモートアクセスを実現します。通常のWebなども社内を経由してのアクセスに。 VPNトンネル Network Connect interface Internetも社内経由に 直接アクセスが不可に 12 Network Connect スプリットトンネル機能 Split Tunnel Enable (有効) ⇒ 管理者指定したネットワーク、ホスト宛ての通信のみトンネルを通します。 そのため、VPNトンネル上に余計なトラフィックが流れず、リソースを最大限に利用できま す。また、クライアントからみた場合、今までの通信+VPNの通信となり、利便性が向上し ます。DNSサーバの指定もできます。 Network Connect interface VPNトンネル 利便性の向上 アクセスはそのまま可能 トンネル状に余計なトラフィックが 流れない 13 Network Connect プロキシ割り当て機能 Proxy 割り当て機能 ⇒ Network Connec接続後にユーザに使わせるProxyサーバを管理者が指定できる機能です。 VPN接続後のインターネットアクセスに社内ポリシーを適用することで、よりセキュアな VPNアクセスを実現させます。Proxyはマニュアルで指定することもできますし、既存の Pacファイルを参照させることも可能です。 VPNトンネル Network Connect interface Webのアクセスが 社内のProxy経由に Internet アクセスのセキュリティ保護 Webのトラフィックコントロール 14 Network Connect IPアドレス割り当て方法 ◆ 複数のIPアドレス割り当て方法 ⇒ JuniperSAでは、通常のpool IP Addressから順に割り当てる方法に加え、社内のDHCP サーバからIP情報を取得する方法や、Radius や LDAP サーバと連携して、ユーザ毎に 個々のIP Addressを払いださせることが可能です。 Pool IP Addressから ⇒ 管理者指定したアドレス範囲から順番に割り当てて いく方式です。 192.168.0.100 Radius / LDAPの属性情報から User ID Framed-IP-Address Directory Server 上のユーザ属性情報にIP Address を 登録しておき、この値を参照して、割り当てる方式。 ユーザ毎に固定IP Addressの割り当てを実現します。 Jun 172.16.81.100 Junpei 172.16.81.101 社内のDHCPから ⇒ ~ ⇒ Pool IP Address 192.168.0.1 DHCPサーバから社内のIP Address情報を取得し、 割与える方式です。 15 ・・・ ・・・ Windows Secure Application Manager (W-SAM) ◆ WSAMの特徴 ⇒ WSAMはクライアント上にダウンロード、インストールされたあと、管理者の指定した通信 (プロセス指定や宛先のサーバ)をフックし、SSLトンネル上に流します。 メールやWebなど様々なC/S通信に対応しています。 特定のクライアント・サーバ型通信が利用可能 IP-sec同様 全てのアプリケーションが利用可能 接続順序 ①JuniperSAにアクセス ②ActiveX or Java を利用してWSAMモジュールをダウンロード/インストール(初回時のみ) ③ポートフォワードによるSSL-VPNがアクセス可能になります。 クライアントPC SSL暗号 C/S通信 16 Windows Secure Application Manager (W-SAM) W-SAM(Windows version) ポート固定TCPアプリケーション ○ ポート変動型TCPアプリケーション ○ UDP(ユニキャスト) ○ 接続先のネットワーク指定 ○ プラットフォームサポート Windows , Windows Mobile 6 主な動作確認済みアプリケーション SMTP,POP,IMAP,Telnet,SSH,Windows Terminal Service, Citrix Metaframe,VNC,Lotus Notes,MS Exchange,FTP(Passive mode), AS/400,SAP/R3,PCAnywhere,WRQ 等 Windows Mobileからメール送受信なども可能!!! ※ Java appletでSSLVPN接続するJ-SAM機能もございます。 17 Core Web機能 ◆ Core Webの特徴 ⇒ Core Web機能は一般的なリバースプロキシと同じ動作を行います。 クライアント側にブラウザさえあれば、社内のWebアプリケーションと接続することが可 能になります。リバースプロキシの動作を行うことによって、例えば、 Webアプリケーションへのシングルサインオン などの機能が利用可能になります。(導入前に必ず検証をお願いします。) 社内のWebリソースの中身を書き換えてユーザに表示 IP-sec同様 全てのアプリケーションが利用可能 接続順序 ①JuniperSAにアクセス ②ポータル画面上のリンクをクリックするだけで、社内のWebアプリケーションが表示されます。 JuniperSA ポータル画面 18 Core File機能 ◆ Core Fileの特徴 ⇒ Core File機能はFile共有の機能をブラウザ上で実現させるものです。 実際に社内のファイルサーバとのやり取りをブラウザを通じて実行することが可能となり、 ファイルのダウンロード、アップロード等が実現可能となります。 社内のファイルサーバ上のファイル名がブラウザ上に表示 IP-sec同様 全てのアプリケーションが利用可能 接続順序 ①JuniperSAにアクセス ②ポータル画面上のリンクをクリックするだけで、ファイルサーバ上のフォルダやファイルが表示されます。 JuniperSA ポータル画面 19 端末セキュリティチェック機能 (Host Checker) 20 Host Checker機能 クライアント端末のセキュリティチェック機能 IP-sec同様 全てのアプリケーションが利用可能 クライアント端末はSSL-VPNにアクセス時にHost Checkerをダウンロードします。 Host Checkerは端末に対して管理者の指定したチェックを行い、パスしている端末のみにSSL-VPNへの ログインを許可します。 ルールはAND条件やOR条件など式で設定することも可能なため、端末のセキュリティ状況によって 検疫用のグループにマッピングさせたり、複雑なグルーピングにも応用が可能です。 Intranet 端末上でHost Checkerが動作 STOP HC=NG HC=OK SSL-VPNへログイン 21 Host Checkerチェック可能リスト チェック方法 概要 事前定義ルール (アンチウィルスソフトウェア) 100種類以上のアンチウィルス製品の稼動と定義ファイルの更新状 況をチェック 事前定義ルール (パーソナルファイアウォール) 31種類のパーソナルファイアウォールの稼動をチェック 事前定義ルール (アンチスパイウェア) 26種類アンチスパイウェアの稼動をチェック 事前定義ルール (OS、サービスパック) クライアントPCのOSやサービスパックをチェック可能 カスタムルール (ポート) クライアントPCで空いているポートのチェック カスタムルール (ファイル) クライアントPCに存在するファイルのチェック カスタムルール (プロセス) クライアントPCで稼動するプロセスのチェック カスタムルール (レジストリ) クライアントPCのレジストリ情報をチェック MAC Address チェック 端末のMACアドレスをチェックします。 NetBIOS名チェック 端末のNetBIOS名をチェックします。 コンピュータ証明書チェック コンピュータ証明書のチェックを行います。 セキュリティパッチチェック機能 Windowsのセキュリティパッチのチェックを行います。 ※セキュリティパッチ機能は現在、利用に制限がございます。 22 アンチウイルスソフトウェアのチェック ◆ プロダクト単位やメーカ単位のチェックも選択可能! ⇒ 管理者はチェックしたいソフトウェアのプロダクト名を選ぶだけでチェックが可能になります。 また、メーカレベルでのチェックや対応ソフト全てを一括でチェックするなどの選択が可能。 ◆ メーカ提供のXMLファイルと比較し、最新かどうかチェック ⇒ Juniperサイトから自動ダウンロードされる定義ファイルと比べることにより、クライアント上 のアンチウイルスソフトウェアのパターンファイルが何個前のものかをチェックすることが可 能。何個以上古い場合にはアクセスを許可しない運用などが可能に。 ◆ 最新のアンチウイルスソフトウェアにも即座に対応 ⇒ 新しい製品がリリースされてもJuniperSAのESAPファイルをアップデートすることでチェック が可能になります。SSL-VPNのOSをわざわざバージョンアップする必要はありません。 プロダクト選択画面 23 セキュリティ会社 OPSWAT, Incの技術を利用。 MAC Addressのチェック ◆ 端末のハードウェア認証、特定端末のチェック方法 ⇒従来は、特定のファイル有無、レジストリの有無をチェックすることで、端末認証としていまし たが、JuniperSAではバージョン6.0からハードウェア認証の代名詞でもある、MAC-Addressの チェックが可能になっています。これらを組み合わせることでより強固な端末認証を実現 させることが可能です。 MACアドレスチェック ファイルチェック より強固な端末認証を実現!! 24 レジストリチェック パッチアセスメント機能 (新機能:制限付) ◆ パッチアセスメント機能は“Shavlik Technologies”と提携し、SDKの提供を受け パッチチェックをサポートしています。 ◆ 管理者は必要とするソフトウェア製品の最新パッチを適用するようなポリシーで 運用することが可能になります。 -------サポートされている主なプロダクトは下記の通りです。 Microsoft Windows Patches, Microsoft Product Patches , Adobe, Firefox など. ◆ 適用されていないパッチ情報は、リミディエーション情報としてエンドユーザに表 示することができます。 ◆ 特定のパッチを例外指定し、プロダクト単位でパッチのチェックが可能です。 個々のパッチを指定し、チェックすることも可能です。 25 セキュリティチェック失敗時 ユーザへの理由通知機能 ◆ リミディエイション機能 ⇒ HCにてはじかれたユーザになぜはじかれたのか、その理由を明示できる機能です。(下図) 簡単なHTMLタグも利用できるため、管理者のメッセージをうまくユーザに伝えることが 可能です。例えばメッセージ中にリンクを張ったり、文字の色を変更したり、 大きくしたりなどが可能です。 メッセージ変更可能部分 26 多様な認証システム、グルーピングへの対応 27 連携可能認証システム一覧 認証サーバ (Authentication) Local DB Radius LDAP NIS Netegrity SiteMinder Active Directory/NT Domain(NTLM, Kerberos) x.509電子証明書(CRL対応) RSA ACE/Server (One Time Password) Secure Matrix (One Time Password) Wise Point (One Time Password) Anonymous (匿名でサインイン) Secure Call(携帯電話認証) Registgate(端末認証) PUPPY(指紋認証) Directory/Attributeサーバ (Authorization) x.509電子証明書 Radius LDAP Active Directory/NT Domain 28 Accounting サーバ Radius CSE社 SecureMatrix ◆ セキュアマトリクスは、人が頭の中に想い描くイメージとワンタイムパスワードを融合した、 まったく新しい認証方式を採用した本人認証システムです。 操作が簡単 何も配布する必要がありません ユーザIDを入力 運用管理がしやすい ログイン完了 ユーザ毎に位置情報を鍵 としてパスワードを入力 29 セカンダリ認証機能 ◆ JuniperSAにはセカンダリ認証として、ユーザに対して2回認証をさせることが可能です。 純粋な認証強化のためや、2回目の認証情報をWebサーバへのシングルサインオン情報 として利用したりすることが可能です。 2要素認証をお求めのお客様はよくご利用になられる機能です。 例:SecureMatrixの後に固定ID,Paswordを入力させる 30 グルーピング機能 1 ◆ 認証サーバの属性値 を利用したグルーピング ⇒ JuniperSAでは、認証サーバの属性情報(ActiveDirectoryのGroup情報やLDAPの Attrribute値)を利用したグルーピングが可能です。認証サーバ上でユーザのSA上の グループ情報も一元管理することが可能です。図のように認証サーバのグループ情報に 応じてアクセスできるリソースを制御することが可能です。 Mail Web1 Web2 Jun User ID Junpei 認証サーバ 31 Framed-IP-Address Class Jun 172.16.81.100 engineer Junpei 172.16.81.101 sales ・・・ ・・・ ・・・ グルーピング機能 2 ◆ クライアントの状況に応じたグルーピング ⇒ 同じユーザIDでも認証サーバの属性情報だけでなく、HostCheckerの結果やアクセスしてき た時間帯、ソースIPアドレスの情報によって動的に利用できるリソースを制御することが可 能です。 Jun 例:Pattern A HC 失敗 アクセス時間OK 例:Pattern B HC成功 アクセス時間NG HostChecker CacheCleaner Mail SourceIP 時間 証明書 32 Web1 Web2 管理機能について 33 JuniperSA管理者画面 ◆ JuniperSAはそのほとんどの設定をWeb の GUI 上から実行することが可能です。 管理者画面自体は全て英語になっていますが、メーカ発行の日本語のマニュアル、 弊社サービスの運用管理ガイドマニュアルなどでフォローすることが可能です。 画面サンプル 34 ログの管理について イベントログ このログ ファイルには、NICのアップダウン、デフォルトゲートウェイへの 疎通状況、システム エラーおよび警告、サーバーの接続状態チェックの要求、およ び IVE サービス再起動通知が含まれます。 ユーザアクセスログ このログ ファイルには、1 時間ごとの同時ユーザー数(正時に記録)、 ユーザーのサインインおよびサインアウト、ユーザーのファイル要求、Web 要求な ど、ユーザーがアプライアンスにアクセスしたときのさまざまな情報が記録されます。 管理者アクセスログ このログ ファイルには、セッションのタイムアウト、URLブラウジングやユーザー作 成ブックマークの有効化/ 無効化オプション、コンピュータ情報およびサーバー情報 など、管理者によるユーザー、システム、ネットワーク設定の変更が記録されます。 また、管理者によるサインイン、サインアウト、アプライアンスのライセンス変更など も記録されます。 Syslog対応 FTPサーバへのスケジュール転送可能 各ログファイルを最大1GBまで内部保持 W3C、WELFログフォーマットサポート Syslog Srv. FTP Srv. 転送、アーカイブ 35 クラスタ構成 ◆ JuniperSA単体でActive-Standbyの構成を取ることが可能です。 機器それぞれの実IPアドレスと共通のVirtual IP Addressを所有し、切り替わりに対処します。 Active-Activeの構成の場合には別途バランサを準備する必要があります。 DMZ SAのみでのフェイルオーバー構成が可能 Virtual IP 設定情報/ログの自動同期 シームレスフェイルオーバー Virtual IP 切り替え時間は約30秒 LAN 36 Appendix JuniperSAの持つその他の便利機能 37 Installer Service ◆ Installer Service (windows) Network Connect(NC)やWindows Secure Application Manager(WSAM)はクライアント端末上 にモジュールをインストールする必要があります。 制限付きユーザで端末を利用している場合に、事前にこのInstaller Serviceをインストールして 頂ければ、以降は制限付きユーザでもNCやWSAMをインストールしたり、バージョンアップ することが可能になります。これによりSSL-VPN装置自身のバージョンアップを行う際のIT管理 者の運用工数を減らすことが可能です。 制限付きユーザ Juniper Installer Service なし NC,WSAM新規インストール不可 モジュールバージョンアップ不可 制限付きユーザ Juniper Installer Service 事前インストール済み NC,WSAM新規インストール可能 モジュールバージョンアップ可能 ※ JISを利用する場合には合わせて最新のJavaVMのインストールも行ってください。 38 Adaptive Delivery ◆ Adaptive Delivery Host CheckerやNetwork Connectなどをクライアントがブラウザからダウンロードする際や、 モジュール自体の起動、停止は基本的にActiveXを利用しています。 Internet Explorer のセキュリティ設定でActiveXが禁止されていたり、Windows以外の端末 からアクセスする場合にActiveXを利用することができません。そこでJuniperSAでは、 ActiveXが利用できないと判断された場合に、その役割をJavaで実施します。 この動きを実現することによって、ActiveXが使えない環境でもJuniperSAの各種モジュールを 利用することが可能になります。 Network Connect ActiveX or JAVA ダウンロード、 インストール、起動、停止など W-SAM Host Checker Cache Cleaner Win Terminal Service 39 SA2500 SA4500 SA6000 モデル一覧 同時接続数ユーザ数 10 ~ 100 50 ~ 1000 100 ~ 10000 (シングル構成の場合) 最小追加ユーザ単位 10 50 100 寸法(高×幅×奥行) 4.4×43.8×36.8cm (1U) 4.4×43.8×36.8cm (1U) 8.8×43.8×45cm (2U) 重量 6.6kg(標準) 7.1kg(標準) 12kg(標準) HDD ○ ○ 冗長 RAID1 電源 最大消費電力 100-240VAC、50-60Hz、2.5A 200W 300W 400W(冗長電源) SSL処理 ソフトウェア ハードウェア ハードウェア 平均故障時間 75,000 時間 72,000 時間 98,000 時間 データインタフェース 2×RJ45 Ethernet-10/100/1000 4×RJ45 Ethernet-10/100/1000 マネージメントポート なし 1×RJ45 Ethernet-10/100/1000 コンソールポート 動作環境 1×シリアルコンソールポート(RJ-45) 温度:5 ~ 4040℃ 湿度:8~90%(結露しないこと) お問い合わせ先 マクニカネットワークス株式会社 JuniperSA 製品担当 TEL:045-476-2010 E-Mail: [email protected] http://www.macnica.net/juniper/sa.html 41
© Copyright 2024 Paperzz
