ジュニパーネットワークスの提供する統合型アクセスコントロールソリューション [はじめに] 現在、社員の P2P ソフトの利用による個人情報漏洩の対策や日本版 SOX 法への対策に企業の システム管理者は頭を悩ませていますが、現実的なシステムの構築となると、どのシステム管 理者も具体的な解を見出せないまま悩みを抱えているのが現状ではないでしょうか。各社員に P2P ソフトの利用禁止を促したり、アンチウイルスソフトのアップデートを呼びかけても、 個々人の判断に任せているだけでは統制を取ることは不可能に近く、企業のネットワークにア クセスする全ての PC のセキュリティチェックを自動的に行うシステムが必須になってくる でしょう。 そこでジュニパーの提供するユニファイド・アクセス・コントロール(UAC)ソリューショ ンを導入すれば既存のシステムの変更を最小限に抑えながら検疫ネットワークを構築するこ とが可能になります。 [UAC1.0 の構成] UAC ソリューションは L3 レベルでの認証及び検疫を行う“UAC1.0”と、L2 レベルでの認 証及び検疫を行う“UAC2.0”の二つのソリューションに分かれます。まず始めに UAC1.0 の 方から説明します。 UAC1.0 を実現するために必要なコンポーネントは以下の3つとなります(図1)。 ① インフラネット・コントローラ (IC) セキュリティポリシーを格納するアプライアンスサーバです。各ユーザやグループ毎にセキュ リティポリシーを設定します。またアクセスできなかった際の警告メッセージの設定や、エン フォーサへポリシーを送り込んでユーザのアクセス制御を行います。またユーザを認証します ので、外部の認証サーバと連携してユーザのアクセスの可否を判断します。 ②インフラネット・エージェント(IA) ユーザ PC へ送られるソフトウェアで、IC で決められたポリシーに基づいてユーザ PC のセ キュリティチェックを行います。その後セキュリティチェックの結果によって IC へ接続の可 否を要求します。 ② インフラネット・エンフォーサ(IE) IE はユーザのアクセス制御を行います。ユーザ PC のセキュリティ状態によって IC は IE に 対してアクセスリストの変更を行いますので、そのリストを IE 内に一時的に追加することに より、ユーザのアクセスの可否、アクセスされるリソースの制限が行われます。 Netscreen シリーズ、SSG シリーズを IE として使用します。 図1. UAC1.0 の概念図 インフラネット・コントローラ (IC) • • • 認証サーバ群 認証 ユーザを認証 (using existing AAA infrastructure) ユーザがアクセスできるネットワーク・リソースを決定 エンドポイント用のポリシーをIEへ設定 エンドポイントポリシー エンドポイント検疫 ポリシー決定 ユーザ認証 特定リソースへのユーザ・アクセス インフラネット・エージェント (IA) • 端末のセキュリティ・レベルに見合ったポリシ ーを受信 • • ICへ認証を要求 インフラネット・エンフォーサ(IE) • ICで定義されたポリシーに従いIAのア クセスを許可 IE経由でポリシーに従ったリソースへアクセ ス [UAC で何が実現できるのか] ジュニパーの UAC ソリューションで以下のことが実現できます。 ① ユーザの PC のセキュリティチェック 社内ネットワークへアクセスする PC のセキュリティチェックを行います。アンチウイルスソ フトの有無はもちろんのこと、ソフトウェアのバージョン、アップデートの間隔等もチェック します。アンチウイルスソフトだけではなくパーソナルファイアウォールもバージョン等をチ ェックすることができます。また社内で禁止しているソフトウェア(P2P ソフト等)の起動 のチェックを行うことも可能です。このセキュリティチェックはアクセス時だけではなく、ア クセス後も定期的に行われます。 ② ユーザへの警告画面の表示 もしユーザがアクセスできなかった場合には、何故ユーザがアクセスできなかったのかという メッセージを表示させることが可能です(図2は UAC1.0 の例) 図2. 警告画面設定の例 そのポリシーが失敗した場合に表示する メッセージを設定可能 あなたのパソコンは<specific policy>のセキュリティチェックを クリアしませんでした。以下をご確認の上、再度トライして下さい。 1.アンチウィルスソフトはインストールされていますか? もしされていない場合は http://www.example.com/AV/ ③ ユーザのアクセス制御 一旦セキュリティチェックと認証が行われたら、ユーザ毎にアクセスできるリソースを制限さ せることができます。前述のように IC から IE にコマンドが送られますので、そのポリシー に基づいてユーザのアクセスの可否やアクセスさせるリソースをい制限させることができま す。 [ユーザのアクセス手順(UAC1.0)] UAC1.0 のアクセス手順は以下の通りです。 ① まずブラウザを立ち上げて SSL で IC にアクセス ② クライアント側に自動的に IA がダウンロード ③ ユーザ認証及び IA によるホストチェックを実施 ④ これをパスすると IA が自動的に IE に VPN 接続を確立(VPN を利用しないことも可能) ⑤ ユーザはアクセスしたいリソースに対して通信を開始 [UAC1.0 のアドバンテージ] ジュニパーの UAC1.0 を導入するメリットは数多くありますが、一番のポイントは導入の容 易さが挙げられます。すでにジュニパーのファイアウォール/VPN 製品を導入しているお客様 は、新たに IC を購入するだけで社内全体に検疫ネットワークを構築することができます(図 3)。またシステムを拡張する際にも単純なゲートウェイの追加だけで柔軟なネットワーク変 更が可能です。さらに様々なアンチウイルスベンダーやパーソナルファイアウォールベンダー のソフトウェアバージョンが一覧で設定画面に入っているので、ポリシーの設定も用意に行え ます。これらによりコストを抑えて検疫ネットワークを構築することが可能になります。 図3. 一般的な UAC1.0 のネットワーク構成について IC4000 認証サーバ SSG140 サーバ群 ユーザー [UAC2.0 について] UAC1.0 の場合、守りたいリソース(サーバ等)へのアクセスを制限させたい場合には非常に コストパフォーマンスの高いソリューションとなります。しかし、ユーザ間での通信まで制御 させたい場合には、ユーザに IP アドレスを付与する前に検疫と認証を行わなければなりませ ん。そのような場合には UAC2.0 のソリューションが必要になります。 2005 年ジュニパーネットワークスは Funk ソフトウェアと合併をしました。その後に Funk ソフトウェアの持っている L2 レベルの認証ソフトウェアである“Odyssey クライアント”と RADIUS サーバである“スティール・ベルテッド・ラディウス(SBR)”を統合して、L2 レ ベルでの認証と検疫を行う“UAC2.0”をリリースいたしました。 [UAC2.0 の構成] UAC2.0 を実現するために必要なコンポーネントは以下の4つとなります(図4)。 ① インフラネットコントローラ(IC) UAC1.0 の説明をご参照ください。 ② インフラネット・エージェント(IA) UAC1.0 の説明をご参照ください。 ③ 802.1X 対応のアクセスポイント ジュニパーの UAC2.0 は 802.1X 対応のアクセスポイント(ワイヤレスアクセスポイントや L2 スイッチ等)であればどのメーカーの製品とも連携できます。ユーザがアクセスする際に まず 802.1X 標準の EAP というプロトコルを使用して IA と IC の間でユーザの認証が行われ ます。アクセスポイントは IC と IA の間でユーザ情報の送受信を行うことによって、ユーザ が IP アドレスをもらう前段階で認証を完了させることが可能です。 ④インフラネット・エンフォーサ(IE) IE が無くてもユーザ PC の検疫、認証、さらにはアクセスポイントにおけるアクセス制御を 行うことも可能ですが、IE を導入することによって、さらに柔軟なアクセス制御を行うこと が可能です。 図4. UAC2.0 の概念図 セントラルポリシーマネージャ AAA 認証サーバ ユーザ情報 守られた SBR機能搭載 リソースへのユーザ リソース アクセスの許可 スチールベルテッド ラディウスサーバ ルールを展開 ファイアウォール エンドポイント (PC )の検疫、ユ 802.1X エンフォーサ ーザ認証、ポリ シーのチェック Odysseyアクセス リソースへのユーザ Agent クライアントソフトウェア アクセスの許可 with OAC [UAC2.0 に関連する2つの標準規格] UAC2.0 は以下の二つの標準規格に基づいて構成されます。他社の単一ベンダー製品のみのソ リューションと違い、標準規格の製品とであれば何でも連携させることが可能ですので、既存 のネットワーク環境に容易にアドオンして検疫ネットワークを構築することが可能です。 ① 802.1X 前述のアクセスポイントでも出てきましたが、L2 レベルで認証を行うための標準規格になり ます。EAP という認証拡張プロトコルを用いることにより、ユーザが IP アドレスを取得する 前に認証を完了させることが可能です。これにより不正なユーザをネットワークにアクセスさ せないようにシステムを構築することが可能です。 ② TNC TNC とは TCG (Trusted Computing Group)のサブグループでアクセスコントロールの標準 規格を制定している団体です。TNC の認定を受けているベンダー製品であればどの製品でも 連携をすることが可能です。ジュニパーの UAC ソリューションは TNC に準拠していますの で、他ベンダーの TNC 準拠製品と連携させることが可能です(図5) 。 図5. TNC の構成と準拠しているベンダー製品 アクセス リクエスター (AR) ポリシー エンフォースメント ポリシー デシジョン ポイント (PEP) ポイント (PDP) AR AAA Servers Identity Stores OAC w/Infranet Agent (IA) 例えば TNC 準拠のパッチ管理サーバと連携して、ユーザ PC の OS にセキュリティパッチが 入っているかどうかを IC とパッチ管理サーバが連携して確認して、さらに IE によって不適 切なユーザを隔離するということも可能になります。 [UAC2.0 のアドバンテージ] UAC2.0 のポイントは 802.1X と TNC という二つの業界標準の技術を使用していることです。 単一ベンダーのアクセスコントロールソリューションの場合、ネットワークを構成する際にそ のベンダーの製品に全部変更しなければなりませんが、UAC2.0 は標準規格の製品であれば何 でも連携できますので、既存のネットワークに容易に導入することが可能です。また UAC1.0 と同様のセキュリティチェックを行いますので、L2 認証を行う点を考慮すると UAC1.0 より も強固でセキュアな検疫ネットワークを構築することが可能です。 [まとめ] ジュニパーの UAC ソリューションは既存のネットワークの大幅な変更を必要としないでアク セスコントロールを実現することが可能です。IC のエンジンは業界でも定評のある SSL VPN 製品の“ジュニパーネットワークス SA シリーズ”の IVE という OS を元に開発されておりま す。すでに SA の中にあるホストチェックの機能を使用していますので、技術的には大変成熟 されています。さらに UAC を使用すればネットワークの拠点ごとに L3 レベル(UAC1.0) の構成や L2 レベル(UAC2.0)の構成が可能ですので、社員のみアクセスする拠点では L3 レベルの構成にして、ゲストユーザがアクセスする拠点では L2 レベルの構成にするというよ うな柔軟なネットワーク構成を組むことができます。 本ソリューションに関しましてご質問等ございましたら、ET本部([email protected]) までお気軽にお問い合わせください。
© Copyright 2024 Paperzz
