 |
|
|
|
 |
|
|
Microsoft® Windows Server® 2008の標準機能 : ネットワークアクセス保護(NAP :Network Access Protection)とアライドテレシスのスイッチとの組み合わせにより、強固なセキュリティーを実現する検疫ソリューションを提供します。
NAPにより、ポリシーによる健全性の検証、ネットワークの制限、健全でないPCの修復手段の提供が可能となります。 |
|
|
 |
マイクロソフトのNAPパートナープログラムに参加し、共同検証により、アライドテレシスのスイッチと組み合わせた強固な検疫ソリューションの提供を可能としています。 |
|
|
|
|
|
|
|
|
| ※ |
Microsoft、Windows、Windows Server、Windows Vista、Active Directory は、米国 Microsoft Corporationの米国およびその他の国における登録商標です。 |
|
|
|
|
|
|
|
|
|
 |
|
|
ポリシーによる健全性の検証 |
|
|
 |
策定したセキュリティーポリシーにコンピューターが合致しているかを検証し、合致しているものは健全とみなします。 |
|
|
ネットワークの制限 |
|
|
|
健全でないと判断されたコンピューターに対してネットワークの制限を課します。
(ポート閉塞/検疫用VLANへの割り当て) |
|
|
修復手段の提供 |
|
|
|
コンピューターを健全な状態にするための必要なアップデート方法を提供します。 |
|
|
|
健全な状態となれば、ネットワークの制限(業務用VLANへの割り当て)を解除します。 |
|
|
コンプライアンス |
|
|
|
コンピューターの健康状態への変更に伴い、動的にネットワークの制限(業務用VLANへの割り当て)に反映します。 |
 |
|
 |
|
|
|
 |
|
|
|
 |
|
|
|
アライドテレシス スイッチNAP対応製品 |
|
|
|
NAPサーバー |
|
|
|
| ・ |
Windows Server 2008 (OSに標準搭載) |
|
|
|
|
NAPクライアント |
|
|
|
| ・ |
Windows 7 (OSに標準搭載) |
| ・ |
Windows Server 2008 (OSに標準搭載) |
| ・ |
Windows Vista (OSに標準搭載) |
| ・ |
Windows XP (SP3にて提供) |
|
|
|
|
Active Directory(NAPサーバー上で動作もしくは、導入済みのWindows Server 2003環境でも可能) |
|
|
|
エンタープライズ CA(NAPサーバー上で動作) |
|
|
|
修復サーバー |
|
|
|
| ・ |
更新プログラムのアップデート用(以下のいずれか) |
|
- Windows Server Update Services (WSUS) / Windows Update |
|
- System Center Configuration Manager 2007 |
|
|
|
| ・ |
その他のアップデート用(必要に応じて) |
|
- アンチウィルスの更新サーバー/サポート用Webサイト/インターネットアクセス用プロキシサーバー |
|
|
|
|
 |
|
|
端末収容方式(対応製品については、こちらをご参照ください) |
|
|
|
| 端末直結 |
| ・ |
端末(PC)を接続するポートで認証・検疫を行います。 |
| ・ |
より強固なセキュリティーが保てます。 |
|
|
|
|
| 複数端末を1ポートで集約 |
| ・ |
| 複数端末(PC)を1ポートで集約します。各端末には、Multiple Authenticationにより個別に認証が行われ、健全性チェック後、各端末個別に、OKであれば社内VLANに、NGの場合は検疫用VLANに割り当てられます※1。ポート配下に設置するスイッチはEAP透過対応製品が必要です。 |
|
| ・ |
| アンチウィルスの更新サーバー/サポート用Webサイト/インターネットアクセス用プロキシサーバー |
|
| ・ |
| 島ハブを変更せずに端末を収容できるため、導入コストを抑えてNAPに対応可能です。 |
|
| ※1MACアドレスをベースにVLANを管理するマルチプルダイナミックVLAN機能が必要です。 |
|
|
|
|
 |
|
|
|
| 無線APによる認証・検疫も可能です。 |
| ※ |
無線APが対応するためには、802.1XとタグVLAN、およびMACアドレスベースのダイナミックVLANが必要です。 |
|
|
|
|
 |
|
|
|
 |
|
|
|
802.1X対応であれば、認証が通った場合にNAPのステータスによらず、ユーザーおよびコンピュータ グループにより検疫を免除するポリシーがNAPサーバーで作成可能です。 |
|
|
|
802.1X非対応でも、MACベース認証の設定により機器の認証を行うことが可能です。 |
|
|
|
 |
|
|
|
 |
|
|
|
 |
|
|
|
 |
|
|
|
 |
|
|
|
 |
|
|
スイッチから見ると、スイッチを「Authenticator」、NAPクライアントを「Supplicant」、Windows Server 2008を「RADIUSサーバー」とした802.1Xの設定と同等になります。これらと、対応するVLAN、ポートを適切に設定します。 |
|
|
|
 |
|
|
|
|
|
|
必要なVLANを作成し、ポートに割り当てます。
フロアスイッチとの接続ポートはタグ付きに設定(この場合ポート1)します。 |
|
|
 |
create vlan=Vlan10 vid=10
add vlan=Vlan10 port=1 frame=tagged
create vlan=Vlan20 vid=20
add vlan=Vlan20 port=1 frame=tagged
create vlan=Vlan30 vid=30
add vlan=Vlan30 port=1 frame=tagged |
|
|
|
|
|
|
|
| サーバーと通信をするために、スイッチにIPアドレスを設定します。 |
|
|
|
| add ip interface=default ipaddress=192.168.1.2 mask=255.255.255.0 |
|
|
|
|
|
|
|
| Windows Serverのアドレス、優先順位、通信のパスワードを設定します。 |
|
|
|
add radiusserver server=192.168.1.200 order=1
secret=test |
|
|
|
|
|
|
|
| ポート認証を有効にし、NAPによる検疫を可能とします。 |
|
|
|
|
|
|
|
|
|
ポート毎に必要な認証方式を設定します。
この場合、ポート2〜5,7は、802.1X、ポート8がMACベース認証になります。 |
|
|
|
set portauth=8021X port=2-5,7 type=authenticator
set portauth=MACBASED port=8 type=authenticator |
|
|
|
|
|
|
|
|
|
|
|
 |
|
|
スイッチから見ると、スイッチを「Authenticator」、NAPクライアントを「Supplicant」、Windows Server 2008を「RADIUSサーバー」とした802.1Xの設定と同等になります。検疫用のVLANをポリシーに合わせて定義します。 |
|
|
|
 |
|
|
|
|
|
|
| Windows Serverのアドレス、通信のパスワード、優先順位を設定します。 |
|
|
|
| add radius server=192.168.1.200 order=1 secret=test |
|
|
|
|
|
|
|
|
|
create vlan=Vlan10 vid=10 untaggedport=2
create vlan=Vlan20 vid=20 untaggedport=3
create vlan=Vlan30 vid=30 untaggedport=4 |
|
|
|
|
|
|
|
端末を収容するポートに必要な認証方式を設定します。この場合、ポート1に802.1XとMACベース認証を設定しています。
また、Vlanassignmenttype =userで、マルチプルダイナミックVLANに設定します。 |
|
|
|
set portauth=8021x port=1 type=authenticator mode=multi vlanassignmenttype=user
set portauth=macbased port=1 type=authenticator mode=multi vlanassignmenttype=user
|
|
|
|
|
|
|
|
| ポート認証を有効にし、NAPによる検疫を可能とします。 |
|
|
|
|
|
|
|
|
|
| 各VLANにIPアドレスを設定します。(この場合、VLAN1に自身のアドレスを設定しています。) |
|
|
|
add ip interface=vlan1-0 ipaddress=192.168.1.1 mask=255.255.255.0
add ip interface=vlan10-0 ipaddress=192.168.10.1 mask=255.255.255.0
add ip interface=vlan20-0 ipaddress=192.168.20.1 mask=255.255.255.0
add ip interface=vlan30-0 ipaddress=192.168.30.1 mask=255.255.255.0
|
|
|
|
|
|
|
|
|
|
|
|
 |
|
|
無線APから見ると、無線APを「Authenticator」、NAPクライアントを「Supplicant」、Windows Server 2008を「RADIUSサーバー」とした802.1Xの設定と同等になります。 |
|
|
|
 |
|
|
APのIPアドレスの設定 |
|
|
 |
|
|
セキュリティー、RADIUSサーバーの設定 |
|
|
 |
|
|
|
 |
|
|
|
ポリシーを満たさないクライアントPCはLAN上の他のクライアントに全くつながらないため、最も強力な検疫方式 |
|
|
|
|
ダイナミックVLAN機能により、検疫チェックとユーザー認証を組み合わせた結果、自在にVLANを分けることが可能(下図) |
|
|
|
ポリシーの設定・集中管理が可能 |
|
|
|
クライアントログの監視、レポート作成などの一元管理やモニタリングが可能 |
|
|
|
クライアントPCの設定/動作(ウィルスチェック等)を矯正(治療)することが可能 |
|
|
|
認証・検疫・治療の自動化が可能
|
|
|
|
既存Windows環境との親和性(NAPがWindowsの標準機能、既存Active Directoryを利用可能、クライアントは、Windows Vista, Windows XP SP3で良い。) |
|
|
|
|
接続例 |
|
営業社員 |
→ |
認証成功/検疫成功後、営業社員用のVLANへ |
|
技術社員 |
→ |
認証成功/検疫成功後、技術社員用のVLANへ |
|
営業社員 |
→ |
認証成功/検疫失敗後、ゲスト用のVLANへ |
|
技術社員 |
→ |
認証成功/検疫失敗後、ゲスト用のVLANへ |
|
各社員 |
→ |
認証失敗後、スイッチポートを閉じ、ネットワークへの接続不可
|
|
|
|
|
|
|
|
 |
|
|
株式会社 栗山米菓 |
|
|
|
せんべい「ばかうけ」で有名な栗山米菓様では、2008年8月に、新社屋への移転に伴いCentreCOM GS924M 5台を使用し、約70台のPCをNAPクライアントとするネットワークを構築されました。NAP導入により、社員が殆ど意識すること無く、低コストでセキュリティーの強化を実現しました。
|
|
|
|
 詳しくはマイクロソフト社ホームページの導入事例をご参照ください。 |
|
|
|
|
ネットワーク構成 |
|
|
|
|
![ネットワーク構成[NAP導入前]](images/3_switch_sec_img32.gif) |
|
|
 |
|
![ネットワーク構成[NAP導入後]](images/3_switch_sec_img33.gif) |
|
| NAP導入ポイント |
|
|
1. |
既存L2スイッチをNAP対応スイッチ「CentreCOM GS924M」にリプレース |
|
|
2. |
GS924Mを使用し、業務用VLANと検疫用VLANを作成、PCを直収 |
|
|
3. |
業務用VLANと検疫用VLANは、802.1Qタグを使用し上流のGS924Mで集約、振り分ける。 |
|
|
4. |
PCの接続されたGS924MのポートでIEEE 802.1X認証およびNAPによる検疫を行う。 |
|
|
5. |
ポリシーに適合するPCは、ダイナミックVLAN機能により業務用VLANに割り当てる。 |
|
|
6. |
ポリシー違反のPCは、ダイナミックVLAN機能により検疫用VLANに隔離し、修復サーバーによって修復 |
|
|
|
|
|
