認証・検疫

ウィルスの蔓延の殆どは内部の持ち込みパソコンやデータをUSB等の媒体で持ち込んでの感染です。本項ではこれらを防ぐ認証と検疫について説明します。

認証の概要

 「企業向け無線LAN」で認証について説明しましたが、スイッチに接続されたパソコンでも認証が可能です。方式は無線LANと同じで、アクセスポイントの代わりにスイッチがRADIUSサーバーと通信して認証を行います。

認証・検疫1

 スイッチ自体にユーザーを登録出来るものもあり、この場合はRADIUSサーバーが不要になりますが、スイッチ1台1台に登録が必要なため、規模が大きくなると運用が大変になります。

 802.1x認証を用いる事で持ち込みパソコンや不正なパソコンのネットワークへの接続を防止する事が出来ます。

 又、プリンターやサーバー等認証が不要、若しくは出来ないものはMacアドレス認証と併用するか、接続されたスイッチのインターフェースで認証を使わないようにします。Macアドレス認証を使う場合、ID/パスワード入力なしでも許可されたMacアドレスであれば通信可能となります。

認証・検疫2

検疫の概要

 パソコンがWindowsアップデートされているか、ウィルス対策ソフトが導入されているか等のセキュリティポリシーと照らし合わせ、ポリシーを満たしていない場合は業務で使っているネットワークに接続出来ないようにする事が可能です。これを検疫と言います。

 全くネットワークが使えないとWindowsアップデート自体が出来ないため、検疫専用のVLANに接続してアップデート等が出来るようにする事も可能です。

認証・検疫3

 検疫向けサーバーとはWindowsアップデートのためのWSUSやウィルス対策ソフトの定義ファイルを配布するサーバー等です。WSUS等を配置する事で管理者がアップデートをするタイミングを設定したり、パソコンでアップデートが適用されているか確認したりする事が出来ます。

認証・検疫の動作

 パソコンを起動した際、ID/パスワードを入力、若しくは証明書により認証・検疫サーバーと通信を行います。

認証・検疫4

 802.1x認証ではEAPというIPとは別のプロトコルが使われています。RADIUSはIPプロトコルのため、ルーターを介した通信が可能です。

 始めに認証が行われ、認証されなかった場合はVLANが割り当てられずネットワークが使えません。

認証・検疫5

 認証された場合、次に検疫が行われます。検疫サーバーに設定されているセキュリティポリシーに従い、Windowsアップデートやウィルス対策ソフトの導入状況等がチェックされ、ポリシーを満たしていない場合は検疫専用のVLANに接続し、DHCPにより検疫専用のIPアドレスが割り当てられます。

認証・検疫6

 802.1X認証を行うためにはサプリカントというソフトウェアが必要ですが、最近のWindowsでは標準で実装されています。但し、検疫を行うためには検疫サーバーに対応したサプリカントが必要な場合があります。

 このため、新たに検疫を導入する場合、予め社内Webサーバーやメーリングリスト等で公示し、サプリカントのダウンロードや自動インストールを促すよう配慮が必要です。

 セキュリティポリシーを満たしている場合は業務用のVLANに接続し、DHCPにより業務用のIPアドレスが割り当てられます。業務用のVLANからルーティングにより社内のネットワークが使えるようになります。

認証・検疫7

 DHCPサーバーへの通信はルーターのDHCPリレーエージェントにより行います。

 尚、認証・検疫サーバー用のソフトウェアーも販売されていますが、スイッチがNAPに対応していればWindows Serverの標準機能で認証・検疫サーバーを構築する事も出来ます。

 又、認証と検疫を別々のサーバーにする事も出来ます。

検疫専用のVLAN

 検疫専用のVLANは通常、Windowsアップデート用のサーバーであるWSUS、ウィルス対策ソフトの定義ファイルをアップデートするサーバー等と通信可能です。

 検疫専用のVLANに接続されたパソコンはこれらのサーバーを利用してアップデートし、再度検疫を実行する事で業務用のVLANが使えるようになります。

認証・検疫8

 但し、アップデート専用のサーバーを導入・運用するのはコストと手間がかかります。

 中小規模のネットワークではそれ程お金も手間もかけられない場合が多いと思います。この場合、セキュリティは弱くなりますが、検疫専用のVLANはインターネットにだけ通信可能なようにします。

認証・検疫9

 インターネットと通信可能なため、検疫専用VLANに接続されたパソコンからWindowsや定義ファイル等のアップデートが可能です。

 この方法は比較的安価でWSUS管理等の手間が省けますが、セキュリティが確保されていないパソコンがインターネットと通信出来るため、検疫専用VLANはファイアウォールで通信先をアップデートサーバーに限定する等の対策が必要です。

検疫サーバー

 検疫サーバーはWindowsのパッチ情報やウィルス対策ソフトの最近定義ファイルの情報等を保存して、どのパッチや定義ファイルまで適用されていない場合は検疫専用のVLANに接続するかポリシーを決める事が出来ます。

認証・検疫a

 常に最新でなければいけない設定にすると、多くのパソコンが業務用のVLANに接続出来なくなるため、通常は猶予期間を設け、その期間内に適用されなければ検疫専用のVLANに接続するようにします。

 検疫サーバーはパッチ情報等を設定する必要があるため運用の手間がかかりますが、検疫サーバーのソフトウェアを販売している会社では推奨定義をダウンロード可能なサービスもあるため、この場合は自動化が出来ます。

認証・検疫b

認証を行うスイッチの配下にスイッチがある場合

 認証を行うスイッチに認証を行えないスイッチが接続され、そのスイッチにパソコンが接続されている場合、2つの留意点があります。

 1つ目は認証を行うスイッチの1インターフェースで複数の認証が行えるかです。複数の認証が行えない場合、1つのパソコンが認証されると他のパソコンも同じVLANを使える危険があります。

認証・検疫c

 2つ目は配下のスイッチがEAPを透過出来るかです。

 「認証・検疫の動作」で802.1xはEAPというフレームを使っていると説明しましたが、Macアドレス「01-80-c2-00-00-02」を宛先としています。これはスイッチに直接接続されたパソコンを認証する事を前提としていたため、スイッチで透過しないようになっています。

 しかし、認証出来ないスイッチがEAPを透過出来ないと認証が出来るスイッチまでEAPが届かずネットワークを使えません。

認証・検疫d

 このため、最近ではEAPが透過出来るスイッチが多くなってきました。認証スイッチの下に接続するスイッチはEAPが透過出来るか確認する事が必須です。

 又、ネットワークの規模が大きくなると認証・検疫を導入する際に配下に接続されている全てのスイッチがEAPを透過出来るか確認する、若しくは全てのスイッチをEAPが透過出来るスイッチに変更するのは手間やコストがかかります。このため、EAPフレームの宛先を変えて送信するサプリカントもあります。この場合、透過してはいけないアドレスでないため、配下のスイッチがEAPを透過する仕様になっていなくても認証可能です。

 但し、規格と違うアドレスを使っているため、サプリカントとスイッチで同一メーカーである必要があります。又、サプリカントはスイッチではなく、認証・検疫サーバーに付属している事が多いため、これらが同一メーカーである必要があります。

認証・検疫e

サイト関連1

応用編「企業向け無線LAN
  • このエントリーをはてなブックマークに追加