iutm 構 想 を 実 現 する 次 世 代 ネットワーク 認 証 AccessDefenderのご 紹 介 日 立 電 線 株 式 会 社 情 報 システム 事 業 本 部 ネットワークエンジニアリングセンタ 2010/1
Agenda 日 立 電 線 が 提 唱 するiUTM 構 想 AccessDefender 機 能 紹 介 AccessDefender 適 用 例 2
日 立 電 線 が 提 唱 するiUTM 構 想
Internal Securityの 現 状 Untrust Zone Trust Zone フロア スイッチ Untrust Zone Firewall VPN IPS Internet UTM URL Filter Anti Virus Anti Spam コアスイッチ フロア スイッチ フロア スイッチ 島 ハブ 島 ハブ 島 ハブ 島 ハブ 島 ハブ External Security Internetが 活 用 される に 従 い 増 え 続 ける 脅 威 に 対 応 するため 様 々な 機 器 が 開 発 導 入 されたが 機 能 毎 の 機 器 にかかるコスト 増 加 や 使 いこなしを 含 めた 運 用 が 問 題 に 機 能 統 合 で 機 能 性 運 用 性 を 向 上 しつつ コストを 低 減 した UTMが 主 流 に UTM Internal Security 情 報 漏 洩 でクローズ 単 なる 認 証 ではなく アップされ 認 証 スイッ Internal Security チなどの 導 入 が 進 み に 特 化 した 新 たな つつあるが 外 部 に 対 対 策 が 不 可 欠 に するセキュリティに 比 べ 対 策 が 遅 れており? 更 なる 脅 威 に 対 応 する 準 備 が 必 要 4
日 立 電 線 が 提 唱 するiUTM 構 想 Internal Securityに 必 要 な セキュリティ 要 件 攻 撃 を 受 ける 場 所 が 一 定 ではなく 柔 軟 な 制 御 が 求 められるセキュリティ 機 能 ネットワーク 認 証 の 高 度 化 正 規 ユーザの 不 正 利 用 排 除 柔 軟 な 個 別 通 信 制 御 Internal Securityに 求 められる その 他 の 要 件 いわゆるLANに 適 用 するために 必 要 となる コスト/ 物 理 的 な 要 件 多 くの 台 数 を 管 理 できる 運 用 性 スイッチと 同 程 度 のスループット 十 分 な 低 コスト 統 合 による 機 能 強 化 運 用 性 向 上 を 実 現 するUTMの 思 想 を 適 用 Internal Securityに 必 要 な 機 能 を 統 合 し コストや 運 用 性 を 犠 牲 にせず 高 いセキュリティを 実 現 する 新 たな 次 世 代 Internal Securityとは? iutm internal UTM 日 立 電 線 が 提 唱 する 次 世 代 Internal Security 構 想 5
AccessDefenderによるiUTM 構 想 の 実 現 PC 持 込 防 止 ユーザ 認 証 したい 認 証 ゲートウェイ? WEB 認 証? ユーザのスキルが 低 い 島 ハブ 使 いたい 検 疫 ネットワーク フィルタリング? 802.1X? ソフトのインストールは 面 倒 MAC OS X 対 応 DHCPセキュリティ? Dynamic VLAN? PKIが 使 いたい AccessDefender =iutm 今 までは ネットワークセキュリティ=ネットワーク 認 証 様 々なセキュリティ 要 求 に 対 して 個 別 の 機 能 実 装 設 定 がわかりにくい 併 用 できないなど 使 い 勝 手 がイマイチ これからは iutm 構 想 を 実 現 する AccessDefender ネットワーク 認 証 を 中 心 に 様 々なセキュ リティ 機 能 を 融 合 強 固 なセキュリティと 柔 軟 性 に 富 んだネッ トワークを 実 現 6
APRESIA セキュリティ 機 能 の 進 化 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 ネットワーク 認 証 ネットワーク 認 証 以 外 の セキュリティ 機 能 +αの 新 機 能 Dynamic VLAN (MAC 認 証 ) Access List/Packet Filter Network Authentication (WEB 認 証 / MAC 認 証 ) IEEE802.1X DHCP Snooping Port Security AccessDefender ネットワーク 認 証 の 黎 明 期 に 他 社 に 先 駆 けてDynamic VLANによる 取 り 組 みを 開 始 続 くNetwork Authenticationの 提 供 によって 得 られた 豊 富 な 実 績 とユーザー 意 見 を 集 約 ゼロベースで 再 構 築 した 新 たなネットワーク 認 証 機 能 それが AccessDefenderです 7
AccessDefenderの 機 能 実 装 独 自 実 装 (L2 制 御 ) WEB 認 証 MAC 認 証 LAN 盗 聴 防 止 DHCP Snooping ネットワーク 認 証 Access Defender 独 自 実 装 (L3 制 御 ) ゲートウェイ 認 証 すべてのコアとなるネットワーク 認 証 機 能 業 界 標 準 のIEEE802.1Xに 独 自 認 証 をプラスし 計 4 種 類 の 認 証 機 能 をサ ポート 複 数 方 式 を 組 み 合 わせることにより 様 々なデバイスに 適 切 なセキュリティ を 提 供 認 証 Bypass 業 界 標 準 IEEE802.1X 接 続 端 末 数 制 御 認 証 をより 活 用 するための 付 加 機 能 付 加 機 能 ネットワーク 認 証 を 運 用 するために 必 要 となる 付 加 機 能 を 統 合 実 装 わかりやすく 簡 単 に 設 定 でき 実 際 に 活 用 できるネットワーク 認 証 を 実 現 8
AccessDefenderがサポートする 認 証 方 式 4つの 認 証 方 式 をサポートし 環 境 に 合 わせた 最 適 なセキュリティを 実 現 一 般 的 に 高 価 なセキュリティゲートウェイでしか 実 現 できない レイヤー3 制 御 も 実 現 L2 制 御 (MACアドレスベース) L3 制 御 (IPアドレスベース) IEEE802.1X WEB 認 証 MAC 認 証 ゲートウェイ 認 証 認 証 要 素 ユーザ 認 証 ユーザ 認 証 端 末 認 証 ユーザ 認 証 PKI 利 用 認 証 サーバ RADIUS (EAP 対 応 ) RADIUS RADIUS RADIUS 認 証 用 クライアントソフト IEEE802.1X 対 応 サプリカント 汎 用 WEBブラウザ なし 汎 用 WEBブラウザ 適 用 クライアントOS サプリカント 利 用 可 能 OS 汎 用 WEBブラウザ 利 用 可 能 OS 制 限 無 し 汎 用 WEBブラウザ 利 用 可 能 OS Dynamic VLAN 島 ハブ/ 無 線 AP カスケード (EAP 透 過 可 能 デバイスのみ) ルーター/L3スイッチ /WAN 経 由 の 認 証 対 応 機 種 Apresia3400シリーズ Apresia4300シリーズ Apresia5400シリーズ Apresia13000シリーズ Apresia3400シリーズ Apresia4300シリーズ Apresia5400シリーズ Apresia13000シリーズ Apresia3400シリーズ Apresia4300シリーズ Apresia5400シリーズ Apresia13000シリーズ Apresia13000シリーズ 9
AccessDefender 適 用 例
ネットワーク 認 証 選 択 のポイント ネットワーク 認 証 に 関 する 誤 解 ネットワーク 認 証 はIEEE802.1Xがあれば 十 分 IEEE802.1Xは 標 準 化 されているから どの 製 品 でも 安 心 WEB 認 証 やMAC 認 証 も 最 近 どの 製 品 もサポートしているし 同 じ 機 能 が 実 現 されている ネットワーク 認 証 は 複 数 の 方 式 を 自 由 に 組 み 合 わせて 使 える 認 証 ログも 他 の 機 能 のログと 同 じ 方 法 で 管 理 できる ネットワーク 認 証 はどれでも 検 疫 ネットワークに 拡 張 できる ネットワーク 認 証 選 択 に 必 要 な 3つのチェックポイント 1 運 2用 性 3 柔 軟 性 拡 張 性 11
AccessDefender 適 用 例 (1) キャンパス ネットワーク 持 込 端 末 前 提 のネットワーク OSやハードウェアに 統 一 性 なし 島 ハブや 無 線 LANの 活 用 島 ハブ 対 応 各 研 究 室 に1つの 情 報 コンセン トで 複 数 端 末 の 認 証 が 可 能 教 室 A 研 究 室 B 研 究 室 先 生 学 生 学 生 先 生 WEB 認 証 WEBブラウザでユー ザー 認 証 ソフトのインストール 不 要 で 持 込 端 末 で 利 用 可 能 ローミング 無 線 ローミングに 合 わ せて 認 証 状 態 もロー ミング 可 能 ローミング 対 応 1ポートに 複 数 端 末 を Dynamic VLANで 収 容 可 能 複 数 Dynamic VLAN 12
AccessDefender 適 用 例 (2) IP 電 話 ネットワーク パソコンはIP 電 話 にカスケード 接 続 したい IP 電 話 はRADIUS 登 録 が 面 倒 なので 認 証 不 要 で 通 信 させたい IP 電 話 にカスケードしたパソコンは 検 疫 したい Tag 付 き/なし 混 在 1つのポートでIP 電 話 のTag 付 きフレームと カスケード 舌 パソコンの Tagなしフレームを 受 信 し 認 証 が 可 能 SIPサーバ 認 証 Bypass IP 電 話 は 認 証 無 しで 通 信 許 可 検 疫 ネットワーク パソコンはWEB 認 証 で ネットワークへ 収 容 WEB 認 証 Tagなし フレーム 認 証 Bypass Tag 付 き フレーム WEB 認 証 Tagなし フレーム 13
AccessDefender 適 用 例 (3) 持 込 端 末 対 策 会 社 至 急 のパソコンは 社 員 が 操 作 することなく 端 末 認 証 したい 協 力 会 社 や 関 連 会 社 の 常 駐 社 は ユーザーと 端 末 の 組 み 合 わせで 特 定 の 場 所 でのみ 認 証 したい 支 給 パソコンと 常 駐 社 アカウントは 別 のRADIUSで 管 理 したい User ID aaaaaaaa Password Mac-Password RADIUS ( 社 員 用 支 給 パソコン) RADIUS ( 常 駐 者 アカウント) User-X User ID Password Password-X MACアドレス xxxxxxxx bbbbbbbb Mac-Password User-Y Password-Y yyyyyyyy cccccccc Mac-Password LAN User-Z Password-Z zzzzzzzz 認 証 の 組 合 せが 自 由 ポート 毎 に 認 証 の 方 式 を 自 由 に 組 み 合 わせ て 設 定 可 能 社 員 用 パソコンはどこ でも 使 用 可 常 駐 者 は 特 定 ポートのみの 制 限 付 きもOK 社 員 用 パソコン aaaaaaaa MAC 認 証 WEB 認 証 MAC 認 証 で それぞれ 別 の RADIUSを 指 定 可 能 複 数 RADIUS WEB 認 証 常 駐 者 User-X xxxxxxxx ユーザー + 端 末 認 証 特 定 のユーザが 特 定 の 端 末 を 利 用 した 時 の み ネットワークアクセ ス 可 能 RADIUSのCalling- Station-Idを 利 用 した 汎 用 性 の 高 い 実 装 14
AccessDefender 個 別 機 能 紹 介
島 ハブ 活 用 を 前 提 のネットワーク 認 証 Check Point 低 コストでの 導 入 が 可 能 か? 2 台 目 以 降 の 端 末 も 個 別 に 認 証 が 可 能 か? PCだけでなく プリンタなども 適 切 なセキュリティを 確 保 可 能 か? 802.1X WEB WEB MAC 802.1X MAC 島 ハブのカスケードが 可 能 1ポート 複 数 端 末 に 対 応 し 島 ハブなどのカ スケードが 可 能 1ポート 複 数 VLANのDynamic VLANが 可 能 端 末 毎 に 認 証 ステータスを 管 理 クライアントのMACアドレスを 識 別 し 個 別 の 認 証 ステータスを 保 持 Apresiaのポート 間 で 未 認 証 端 末 の 通 信 を ブロックし 未 認 証 端 末 同 士 の 通 信 も 排 除 802.1X WEB WEB MAC 802.1X MAC 柔 1軟 性 ポート 毎 に 複 数 の 認 証 方 式 スイッチ 単 位 ではなく 各 ポート 毎 に 802.1X/WEB 認 証 /MAC 認 証 を 任 意 に 設 定 可 能 16
一 般 的 な 固 定 VLANでの 運 用 を 実 現 Check Point セグメント 設 計 を 変 更 せずに 認 証 の 導 入 が 可 能 か? Dynamic / 固 定 を 意 識 せずに 運 用 が 可 能 か? 一 部 の 場 所 だけDynamic VLANを 使 えるか? RADIUS Dynamic VLAN 禁 止 ポート User ID User01 User02 Pass01 Pass02 Password VLAN ID 100 VLAN 指 定 があれば Dynamic VLAN VLAN 指 定 がなければ 固 定 VLAN 固 定 VLANに 対 応 一 般 的 なDynamic VLANでの 認 証 の 他 に 固 定 VLANでの 認 証 も 可 能 障 害 時 に 構 成 を 把 握 しやすい 固 定 VLANでも 検 疫 ネットワークを 実 現 事 務 所 柔 1軟 性 移 動 User01で 認 証 しても VLAN 変 更 しない User01で 認 証 すると VLAN100へ 変 更 会 議 室 動 作 による 機 能 差 なし Dynamic / 固 定 で スイッチの 設 定 は 同 じ (モード 分 けなどは 無 し) VLANの 動 作 によらず 機 能 差 はなし 固 定 VLAN 専 用 の 設 定 も 可 能 1つのユーザーアカウントで 場 所 によって 固 定 / Dynamicを 使 い 分 けることが 可 能 17
利 用 が 想 定 される 様 々な 接 続 形 態 に 対 応 Check Point コアスイッチとフロアスイッチの 間 に 挟 むだけで 利 用 できるか? コアスイッチとフロアスイッチの 間 はLAG 接 続 でも 利 用 できるか? IP 電 話 にPCをカスケードしても 適 切 な 認 証 や 検 疫 ができるか? Tag VLAN 10/20 Tag VLAN 10/20 Untag VLAN 10 柔 1軟 性 アップリンクに 挟 むだけ LAGポートで 認 証 が 可 能 Untag VLAN 20 Tag VLAN 10 Tag 付 き パケット Untagの 端 末 は Dynamic VLANも 可 能 Untag VLAN 20 Untag パケット Tagポートでの 認 証 に 対 応 コアスイッチとフロアスイッチの 間 に 挟 み 込 む だけで 認 証 の 適 用 が 可 能 IP 電 話 のTag 付 きパケットも 認 証 が 可 能 Untag 通 信 との 併 用 が 可 能 IP 電 話 にカスケード 接 続 した Untag 通 信 を 行 うPCの 認 証 も 可 能 IP 電 話 はMAC 認 証 PCはWEB 認 証 など 端 末 ごとに 適 切 な 認 証 を 適 用 可 能 カスケードPCはDynamic VLAN 可 能 IP 電 話 にカスケードしたPCは Dynamic VLANで 収 容 することも 可 能 (Untagの 場 合 ) PCはDynamic VLANの 検 疫 も 可 能 18
有 線 だけでなく 無 線 環 境 でもセキュリティと 利 便 性 を 提 供 Check Point 無 線 ローミングに 対 応 できるか? ユーザーごとにセグメント 分 け 可 能 か? 無 線 コントローラーによる 集 中 管 理 環 境 でも 活 用 可 能 か? ローミング 時 認 証 状 態 を 維 持 営 業 部 会 議 室 技 術 部 無 線 ローミング Tag VLAN 10/20 無 線 ローミング 無 線 APを 抜 かれても 不 正 通 信 不 可 能 認 証 ローミングに 対 応 同 一 APRESIAのポート 間 で 認 証 ステータスを 維 持 する 認 証 ローミングをサポート 複 数 VLANを 収 容 可 能 マルチSSIDの 無 線 APとTagポート 認 証 を 組 み 合 わせて 会 議 室 などで 自 席 と 同 一 環 境 を 構 築 可 能 1ポート 複 数 Dynamic VLANに 対 応 し フリー スペースなどの 利 用 環 境 でも ユーザーごと にセグメント 分 け 可 能 営 業 VLAN 10 柔 1軟 性 営 業 VLAN 10 技 術 VLAN 20 ユーザーは 会 議 室 に 移 動 後 も 自 席 と 同 じ 環 境 で 通 信 技 術 VLAN 20 パッシブセキュリティでも 活 用 無 線 コントローラーと 専 用 APによる 集 中 管 理 型 無 線 環 境 でも APを 抜 かれた 時 などに 通 信 をブロックするパッシブセキュリティで 活 用 19
ゲートウェイ 認 証 による 適 用 領 域 の 拡 張 Check Point 特 定 のサーバーを 防 御 するために 利 用 可 能 か? 複 数 の 小 規 模 拠 点 に 対 して 低 コストで 認 証 を 導 入 できるか? ユーザーに 統 一 したインターフェースを 提 供 可 能 か? 本 社 支 社 A 支 社 B L3スイッチ 越 えのユーザー 認 証 クライアントをIP 制 御 するゲートウェイ 認 証 で L3のコアスイッチを 経 由 した サーバーへの アクセスに 対 して ユーザー 認 証 を 適 用 可 能 サーバファーム の 手 前 に 適 用 WAN 本 社 へのアクセ ス 前 に 適 用 柔 1軟 性 支 社 C 支 社 D 複 数 拠 点 を1ヶ 所 で 認 証 多 数 の 小 規 模 拠 点 にスイッチを 配 置 すること なく センター 拠 点 にアクセスする 時 に 認 証 を 適 用 し 導 入 コストを 削 減 WAN 回 線 障 害 時 でも 拠 点 内 通 信 を 継 続 す ることが 可 能 WEB 認 証 と 同 一 インターフェース エッジスイッチでのWEB 認 証 と 同 一 インター フェースで ユーザーの 利 用 環 境 を 統 一 し 混 乱 を 防 止 ゲートウェイ 認 証 はApresia13000シリーズのみ 対 応 20
RADIUS 障 害 時 の 対 策 Check Point RADIUSサーバーの 障 害 対 策 が 可 能 か? 多 数 の 拠 点 を 持 つネットワークで コストをかけずに 対 策 が 可 能 か? 小 規 模 ユーザーがRADIUSを 使 わずに 運 用 が 可 能 か? 本 社 標 準 構 成 通 常 時 : 支 社 のPrimary 障 害 時 : 本 社 のSecondary Primary RADIUS WAN Secondary RADIUS ローカル DB ローコスト 構 成 (1) 通 常 時 : 本 社 のPrimary 障 害 時 : ローカルDB 支 社 A 支 社 B 支 社 C Primary RADIUS [ 強 制 認 証 ] ログ 取 得 のみ RADIUS 冗 長 構 成 が 可 能 Primary/SecondaryのRADIUSを 指 定 し 冗 長 構 成 が 可 能 802.1X/WEB 認 証 /MAC 認 証 の 方 式 ごとに 個 別 の 指 定 が 可 能 コストをかけずに2パターンの 対 策 RADIUS 障 害 時 に ローカルDBを 参 照 し 認 証 することが 可 能 RADIUS 障 害 時 に すべての 端 末 に 対 して 認 証 OKとし ログ 取 得 のみをすることが 可 能 運 2用 性 ローコスト 構 成 (2) 通 常 時 : 本 社 のPrimary 障 害 時 : 強 制 認 証 RADIUS 無 しのローカルDB 運 用 小 規 模 ネットワークで WEB 認 証 /MAC 認 証 を 利 用 する 際 に RADIUSを 利 用 せず ロー カルDBのみで 認 証 が 可 能 21
WEB 認 証 時 の 利 用 環 境 制 限 (PC 場 所 など) Check Point ユーザーの 利 用 できる 端 末 を 制 限 できるか? 共 有 端 末 の 環 境 で 利 用 端 末 を 制 限 できるか? ユーザーの 利 用 場 所 を 制 限 できるか? WEB 認 証 時 の 利 用 可 能 PC 制 限 1:ひとり1 台 端 末 の 一 般 オフィス 向 け Calling-Station-Id(RADIUS Attribute)を 利 用 APRESIA [3]ログイン 運 2用 性 [1]ユーザ+MAC [2] 認 証 応 答 RADIUS RADIUS User ID User01 User02 User03 User ID User01 User02 MAC_A MAC_B Password Pass01 Pass02 Pass03 Password Pass01 Pass02 Pass_A Pass_B MACアドレス MAC_A MAC_B MAC_C 2:ユーザーとPCの 組 合 せを 特 定 できない 共 有 PC 環 境 向 け WEB/MAC 認 証 モードを 利 用 (WEB 認 証 のモード 切 替 ) APRESIA [5]ログイン [1]MAC [2] 認 証 応 答 [3]ユーザ [4] 認 証 応 答 ユーザーIDとMACアドレスを 1 度 で 認 証 し 組 合 せを 制 限 ユーザーと MACを 個 別 に 認 証 し 自 由 な 組 合 せ で 利 用 が 可 能 WEB 認 証 時 のMACアドレスチェック WEB 認 証 時 に 端 末 のMACアドレスを 自 動 的 に 問 い 合 わせ Calling-Station-Idを 使 い ユーザーとPCを 紐 づけて 利 用 可 能 なPCを 制 限 可 能 PC 教 室 でもMACアドレスチェック 誰 がどのPCを 使 うかわからない 共 有 PC 環 境 でも 持 ち 込 み 端 末 を 排 除 可 能 ユーザIDとMACアドレスを2 回 に 分 けてチェッ クし 登 録 ユーザーが 登 録 端 末 を 使 う 場 合 の み 利 用 が 可 能 利 用 場 所 も 制 限 ユーザーごとに 利 用 できる 場 所 ( 特 定 スイッ チ 特 定 ポート VLAN)を 制 限 可 能 22
認 証 ページリダイレクトによるログイン 画 面 の 自 動 表 示 Check Point ユーザー 操 作 無 しに 認 証 画 面 を 表 示 できるか? 認 証 用 の 専 用 ポータルサイトへアクセスできるか? Proxy 設 定 のある 環 境 にも 適 用 できるか? 動 作 概 念 図 運 2用 性 AccessDefenderの 動 作 概 念 図 HTTPアクセス HTTPSアクセス Proxyアクセス (HTTP) 具 体 例 ( 内 部 ページ 表 示 の 場 合 ) 1 任 意 のサイトへ アクセス ( 例 http://www.apresia.jp/) 2 指 定 のURLへ アクセス 指 示 ( 例 https://1.1.1.1/) 3 指 示 された サイトへアクセス ( 例 https://1.1.1.1/) Redirect AccessDefender 5 指 定 のURL (HTTP/HTTPS) 4 APRESIAの 内 部 WEBサーバーが 応 答 ( 例 https://1.1.1.1/) 認 証 画 面 表 示 ( 例 https://1.1.1.1/) AccessDefender - Internet Explorer https://1.1.1.1/ APRESIA AccessDefender User ID Password Login Logout Reset 自 動 的 に 認 証 画 面 を 表 示 可 能 ユーザーがブラウザで 任 意 のサイトを 閲 覧 し ようとすると APRESIAが 指 定 されたサイトへ リダイレクト セキュリティを 重 視 するユーザーには リダイ レクト 機 能 自 体 をOFFにすることも 可 能 外 部 サーバーへのリダイレクト 内 部 / 外 部 を 意 識 せずに 1つのURLにリダイ レクト 可 能 WEBベースの 検 疫 ネットワークにも 活 用 可 能 Proxy 環 境 でも 適 用 Proxy 環 境 でもリダイレクト 可 能 認 証 URLを 除 外 アドレスに 設 定 し 忘 れても 専 用 のループ 検 知 画 面 を 表 示 する 安 心 設 計 23
認 証 ページカスタマイズによるユーザービリティの 向 上 Check Point ユーザーにわかりやすい 認 証 画 面 を 提 供 できるか? ログイン 画 面 だけでなく 結 果 画 面 も 変 更 できるか? 外 部 サーバーを 使 わずに 画 面 カスタマイズ 可 能 か? ロ グ イ ン 画 面 認 証 成 功 画 面 運 2用 性 デフォルト 認 証 画 面 AccessDefender - Internet Explorer https://1.1.1.1/ APRESIA AccessDefender User ID Password Login Logout Reset AccessDefender - Internet Explorer https://1.1.1.1/ APRESIA AccessDefender Login success. Logout オリジナル 認 証 画 面 オリジナル 認 証 画 面 -Internet Explor https://1.1.1.1/ オリジナル 認 証 画 面 社 員 ID パスワード ログイン リセット 利 用 方 法 がわからない 方 は 下 記 へご 連 絡 ください 問 い 合 わせ TEL XXXX-XXXX オリジナル 成 功 画 面 -Internet Explor https://1.1.1.1/cgi-bin/adeflogin.cgi 認 証 に 成 功 しました 自 動 的 にイントラネットの ポータルサイトへ 移 動 します 移 動 しない 方 は 下 記 をクリック http://intra.example.com/ ログイン 画 面 をカスタマイズ 可 能 リダイレクトされたユーザーに ログイン 方 法 を 周 知 することで 無 用 な 問 い 合 わせを 防 止 APRESIAが 表 示 する 全 画 面 が 対 象 ログイン 画 面 だけでなく ログイン 成 功 / 失 敗 やログアウトなど 全 ての 画 面 を 自 由 にカス タマイズ 可 能 任 意 の 画 面 のみのカスタマイズも 可 能 本 体 にHTMLファイルを 保 存 スイッチ 内 部 にHTMLファイルを 保 存 すること で 外 部 サーバーを 使 わずに 運 用 可 能 外 部 サーバーの 障 害 などを 考 慮 せずに 運 用 でき コスト 削 減 が 可 能 24
認 証 Bypassによる 柔 軟 な 通 信 制 御 Check Point 一 部 の 端 末 は 認 証 無 しで 通 信 できるか? 特 定 のサーバー 宛 の 通 信 を 認 証 前 に 許 可 できるか? L2 情 報 だけでなく 柔 軟 なアクセスコントロールが 可 能 か? 全 通 信 許 可 運 2用 性 全 ての 端 末 IP 電 話 の 認 証 スルー MACやVLANで 認 証 除 外 認 証 除 外 端 末 DHCP サーバー DHCPで IP 取 得 全 一 通 部 信 許 可 検 疫 サーバー ブラウザで 検 疫 TCP/UDPやIPアドレスで 特 定 通 信 のみ 許 可 認 証 前 の 一 部 通 信 許 可 認 証 Bypassで 認 証 除 外 認 証 が 面 倒 と 思 われがちな IP 電 話 やプリン タ 特 定 業 務 用 端 末 など MACアドレスや VLANを 設 定 し 認 証 無 しで 通 信 許 可 認 証 Bypassで 一 部 通 信 許 可 認 証 前 に 必 要 なDHCPやDNSなどの 通 信 を 許 可 し 外 部 サーバーで 一 括 管 理 検 疫 サーバー 宛 の 通 信 を 許 可 して ピンポイ ントの 検 疫 セグメントを 作 り 固 定 VLANで 検 疫 ネットワークを 構 成 可 能 L1~L4 情 報 による 柔 軟 な 通 信 制 御 L2 利 用 時 にも 物 理 ポート VLAN MACアド レス IPアドレス TCP/UDPなどの 条 件 を 元 に 柔 軟 なアクセスコントロールが 可 能 25
認 証 ログの 管 理 Check Point ユーザー 毎 に 必 要 十 分 な 情 報 が 取 得 可 能 か? トラブル 時 に 的 確 な 判 断 を 行 うのに 十 分 な 情 報 が 取 得 可 能 か? 簡 単 にログ 管 理 が 可 能 か? No. 1 2 3 4 5 6 認 証 成 功 ログイン 成 功 認 証 失 敗 ログイン 失 敗 ログアウト 運 2用 性 内 容 最 大 端 末 数 超 過 メッセージ A-Def : radius authentication succeeded : uid=user01 A-Def : web : login succeeded : uid=user01 mac=12:34:56:ab:cd:ef ip=192.168.10.10 port=10 vid=10 new vid=100 A-Def : radius authentication failed : uid=123456abcdef A-Def : mac : login failed : uid=123456abcdef mac=12:34:56:ab:cd:ef ip=0.0.0.0 port=10 vid=10 A-Def : web : logout(aging) : uid=user01 mac= ip=192.168.10.10 port=10 vid=10 new vid=100 A-Def : web : the number of terminals on switch is full : uid=user01 mac=12:34:56:ab:cd:ef ip=192.168.10.10 port=10 vid=10 web : login succeeded : uid=user01 認 証 方 式 ユーザー 操 作 ユーザー 名 mac=12:34:56:ab:cd:ef ip=192.168.10.10 端 末 MACアドレス port=10 vid=10 new vid=100 物 理 ポート ポートVLAN 変 更 後 VLAN 端 末 IPアドレス 認 証 時 に 詳 細 なログを 取 得 可 能 認 証 成 功 時 だけでなく 認 証 失 敗 時 にも 詳 細 なユーザー 情 報 端 末 情 報 スイッチ 情 報 の 取 得 が 可 能 トラブル 時 に 有 用 なログを 取 得 可 能 意 図 しないログアウトに 対 処 するための 詳 細 なログアウトログ 最 大 端 末 数 超 過 やRADIUS 障 害 時 のログも 取 得 可 能 専 用 ログサーバーで 簡 単 ログ 管 理 LOG@Adapter( 日 立 電 線 ネットワークス 製 ) で 認 証 ログをWEBインターフェースで 検 索 表 示 が 可 能 認 証 ログ 以 外 のSyslog/Trapも 一 括 管 理 26
DHCP SnoopingによるLAN 盗 聴 防 止 Check Point ネットワーク 上 の 盗 聴 (LAN 盗 聴 )を 防 止 できるか? 持 込 端 末 による 不 正 を 防 げるか? ユーザー 認 証 と 併 用 できるか? --Filter - IP:A MAC:A Sender IP:A DHCP 端 末 IP:A MAC:A Sender IP:A 正 規 利 用 者 拡 3張 性 -Filter - - IP:B MAC:B Sender IP:B DHCP 端 末 IP:B MAC:B Sender IP:X ARP 詐 称 -Filter - - なし 固 定 IP IP 端 末 IP:C MAC:C Sender IP:C 不 正 持 込 端 末 DHCPでIP 取 得 しても Sender IPチェックにより 通 信 不 可 -Filter - - IP:D MAC:D Sender IP:D サーバー~クライアント 間 の DHCP ACKをチェックし 端 末 を 自 動 登 録 DHCP 端 末 IP:D MAC:D Sender IP:D 不 正 DHCP サーバー DHCPでIP 取 得 しない 固 定 IP 設 定 の 端 末 は 通 信 不 可 DHCPで 正 規 に IP 取 得 しても DHCPサーバー のIP 配 布 は 不 可 能 ARP 詐 称 によるLAN 盗 聴 を 排 除 端 末 が 送 信 するARPのSender IPをチェックし クライアントがDHCPで 取 得 したIPと 異 なる ARPを 破 棄 することで ARP 詐 称 を 防 止 固 定 IPや 不 正 DHCPサーバーも 排 除 端 末 がDHCPでIPを 取 得 したことを 確 認 する ので 固 定 IPの 持 込 端 末 を 排 除 可 能 DHCPサーバーが 不 正 に 接 続 されても IPア ドレスの 配 布 は 不 可 能 ネットワーク 認 証 と 併 用 可 能 802.1X/WEB 認 証 /MAC 認 証 と 併 用 でき ユーザー/ 端 末 認 証 と 合 わせて よりセキュ アなネットワークを 構 築 可 能 27
QuOLA@Adapterによる 検 疫 ネットワークへの 拡 張 Check Point 島 ハブをそのまま 使 えるか? セグメント 設 計 を 変 えずに 使 えるか? 持 込 端 末 にも 適 用 できるか? 拡 3張 性 一 般 ネットワーク Internet ActiveDirectory 連 携 で シングルサインオン サーバーファーム LAN Anti Virus 検 疫 セグメント WSUS RADIUS 検 疫 アプライアンスサーバー QuOLA@Adapter 接 続 するだけで すぐ に 運 用 設 定 に 入 れる アプライアンスタイプ 認 証 Bypassで 検 疫 & 治 療 中 は 必 要 最 低 限 の 通 信 を 許 可 する ピンポイント 検 疫 セグメント 島 ハブが 利 用 可 能 持 込 端 末 も ブラウザで 検 疫 チェック が 可 能 QuOLA 島 ハブの 流 用 が 可 能 WEB 認 証 と 連 携 し 802.1X 連 携 のようにEAP 透 過 を 気 にせず どんな 島 ハブでも 利 用 可 能 固 定 VLANで 運 用 が 可 能 WEB 認 証 連 携 と 認 証 Bypassで 検 疫 セグメ ントを 構 成 することにより 固 定 VLANでも 検 疫 ネットワークを 構 築 可 能 PCの 事 前 インストール/ 設 定 なし WEB 認 証 連 携 でサプリカントが 不 要 になり ブラウザがあれば 検 疫 が 可 能 な WEBベー スの 検 疫 ネットワークを 構 築 可 能 Active Directory 環 境 なら ログオンスクリプ トでインストールレス&シングルサインオンで ユーザー 操 作 不 要 の 検 疫 も 可 能 28
AccessDefender 仕 様 Apresia3400/4300/5400シリーズ Apresia13000シリーズ 対 応 機 種 3424GT-SS / 3424GT-PoE / 3448GT 4348GT / 4348GT-PSR 5412GT-PoE / 5428GT 13100-48X-PSR 2010/8/ 末 実 装 予 定 13000-24GX-PSR 13000-48X 備 考 IEEE802.1X 認 証 方 式 WEB 認 証 MAC 認 証 ゲートウェイ 認 証 - HTTP/HTTPS 認 証 ページ リダイレクト Proxy 利 用 環 境 外 部 WEBサーバへの リダイレクト ただし HTTPのみ 対 応 (HTTPSはリダイレクト 不 可 ) 対 応 サーバ RADIUS RADIUS 認 証 サーバ バックアップ ローカルDB Secondary RADIUS / 強 制 認 証 /ローカルDB 3,000 行 Secondary RADIUS / 強 制 認 証 /ローカルDB 3,000 行 ローカルDBはWEB 認 証 /MAC 認 証 のみの 対 応 です WEB 認 証 MAC 認 証 のみ 対 応 CSVファイルサイズで256kB 以 下 最 大 収 容 端 末 数 WEB 認 証 /MAC 認 証 /802.1X ゲートウェイ 認 証 固 定 VLAN Dynamic VLAN 1,408 端 末 256 端 末 - 5632 端 末 1,024 端 末 5632 端 末 2,816 端 末 256 端 末 2,816 端 末 1,408 端 末 256 端 末 1,408 端 末 ハードウェアリソースとしての 最 大 数 です 認 証 以 外 の 機 能 併 用 などの 利 用 環 境 により 実 際 に 収 容 可 能 な 端 末 数 が 異 なる( 減 少 する) 場 合 があります DHCP Snooping 804 端 末 3216 端 末 1608 端 末 804 端 末 IP 環 境 固 定 IP/DHCP 固 定 IP/DHCP Dynamic VLAN 環 境 では DHCP 環 境 が 必 須 となります その 他 VLAN 環 境 認 証 ページ カスタマイズ 固 定 /Dynamic 固 定 /Dynamic デフォルト:モード 区 別 なし(RADIUS 情 報 に 基 づく 設 定 ) モード 切 替 により VLAN 固 定 のみの 設 定 が 可 能 です 内 部 保 存 / 外 部 サーバ 併 用 可 能 です 認 証 Bypass 開 発 中 のため 仕 様 スケジュールは 変 更 になることがあります 29
お 問 い 合 わせ 先 日 立 電 線 株 式 会 社 情 報 システム 事 業 本 部 ネットワークエンジニアリングセンタ http://www.apresia.jp/