認証ネットワーク
概 要
何時でも何処からでもネットワーク接続が可能なユビキタス環境では、持込みPCによるネットワークへのウイルスやワーム感染の危険性があります。
検疫ネットワークは、接続PCのセキュリティパッチの適用状況を確認し、適合したPCのみが正規ネットワークへの接続が許可されるシステムです。
検疫ネットワークでは、「検査」、「隔離」、「治療」の3つの機能があり、一定のセキュリティポリシーを確保したPC以外のネットワーク接続を許可せず、持込みPC対策としてワームやウイルスからネットワークを保護します。
特 徴
脆弱性スキャナと認証スイッチを用いた検疫ネットワーク
・システムの脆弱性をスキャニングするツールである脆弱性スキャナと認証スイッチを連携させる検疫ネットワーク
・クライアントに対してエージェントのインストールが不要
・Windows以外のOSへの対応も可能
・PCやサーバだけでなくPDA、IP電話、プリンタといったネットワーク機器全般が検疫の対象となる
・従来の検疫における「検査」よりも細かい定義が可能となる
システム構成
ここでは、エンテラシスのTrusted End System(TES)を紹介します。
図-1
図-1がTESの構成です。認証スイッチ、脆弱性スキャナ、Sentinel Trusted Access Gateway(STAG)、Sentinel Trusted Access Manager(STAM)、治療用WEBサーバから構成され、ユーザごとに認証時にポリシーを割り当てるというエンテラシス認証スイッチの機能(Secure Networks)を利用しています。
検疫のフロー
・@-C:ユーザが接続されると認証スイッチからの認証リクエストに応じてRadiusがユーザ認証を行う。
・D: 同時にSTAGは脆弱性スキャナに対してセキュリティアセスメントを行うように命令を発行する。
この時「アクセスメント」ポリシーが割り当てられ脆弱性スキャナサーバへはアクセス可能となる。
・F-H:アセスメント(F)により得られたセキュリティパラメータはSTAGに通知される
・I-J:STAGはエンドシステムの再認証を強制的に行い問題があればRadiusサーバのFilter-IDを「Quarantine」に設定することで隔離する。
このTESでは、ブラウザにより容易に状況が把握できる。「アセスメント」、「隔離」のポリシーを各状況時にクライアントに割当て、HTTPパケットのToSフィールドの値を書き換えてポリシールーティングすることにより、修復用Webサーバにリダイレクトされ、その状況に応じたページを表示します。
アクシオでは、この他に認証スイッチとパーソナルファイアウォールや資産管理ソフト、IPSなどの組合せによる検疫ネットワークや持込PC対策の提案を行っています。
関連製品
Enterasys Switch| Alcatel-Lucent OmniSwitch| Alcatel-Lucent OmniAccess SafeGuard