14.2.4 接続制御リストを管理する

認証サーバと連携した検疫システムでは,JP1/NETM/CSC - Agentの接続制御リストに基づいて,クライアントのネットワーク接続を制御します。

ここでは,接続制御リストについて次の内容を説明します。

<この項の構成>
(1) 接続制御リストに登録される内容
(2) 接続制御リストが更新されるタイミング
(3) 接続制御リストによるネットワーク接続の制御についての注意事項
(4) 接続制御リストの管理用のコマンド
(5) 接続制御リストの編集

(1) 接続制御リストに登録される内容

接続制御リストは,ネットワーク接続の制御のアクションによって更新・登録されます。クライアントを認証するときに,接続制御リストの登録内容によって,クライアントの接続先が決定されます。

接続制御リストには,アクションの実行によってクライアントの次の情報が登録されます。

また,アクションによって登録・更新される接続制御リストの内容を次の表に示します。

表14-4 アクションによって登録・更新される接続制御リストの内容

項番アクション接続制御リストの内容
許可として
登録済みの場合
拒否として
登録済みの場合
緊急拒否として登録済みの場合未登録の場合
1ネットワーク接続の許可接続情報は変更しない。
IPアドレスに変更があれば更新する。
接続情報を拒否から許可に変更する。
IPアドレスに変更があれば更新する。
接続情報を緊急拒否から許可に変更する。
IPアドレスに変更があれば更新する。
MACアドレス,IPアドレスを新規に追加し,接続情報を許可にして登録する。
2ネットワーク接続の拒否接続情報を許可から拒否に変更する。
IPアドレスに変更があれば更新する。
接続情報は変更しない。
IPアドレスに変更があれば更新する。
接続情報は変更しない。
IPアドレスに変更があれば更新する。
MACアドレス,IPアドレスを新規に追加し,接続情報を拒否にして登録する。
3ネットワーク接続の緊急拒否接続情報を許可から緊急拒否に変更する。
IPアドレスに変更があれば更新する。
接続情報は変更しない。
IPアドレスに変更があれば更新する。
接続情報は変更しない。
IPアドレスに変更があれば更新する。
MACアドレス,IPアドレスを新規に追加し,接続情報を緊急拒否にして登録する。

(2) 接続制御リストが更新されるタイミング

接続制御リストを更新するには,クライアントの危険レベルを判定して,アクションを実行する必要があります。しかし,認証サーバがクライアントの認証を完了するまでは,クライアントがネットワークに接続できないため,管理サーバに最新のインベントリ情報を通知することができません。

接続制御リストが更新されるタイミングを次の図に示します。

図14-26 接続制御リストが更新されるタイミング

[図データ]

上記の図のとおり,クライアントがネットワークに接続したあと,最新のインベントリ情報によって接続制御リストが更新されます。

注意
クライアントの最新のインベントリ情報に基づいて,クライアントのネットワーク接続の制御が行われるのは,次回の認証以降になります。

(3) 接続制御リストによるネットワーク接続の制御についての注意事項

接続制御リストによってクライアントのネットワーク接続の制御が行われるのは,IEEE802.1X認証方式またはMAC認証方式でクライアントの認証が完了したときです。

クライアントの使用者は認証を完了したあと,自動的にネットワークへの接続を制御されるため,クライアントの使用者への通知として次の二つを設定しておくことをお勧めします。

アクションポリシーのクライアント使用者へのメッセージ通知を設定する。
クライアントのネットワーク接続を拒否するよりも低い危険レベルで,クライアントにセキュリティ対策の実施を警告するメッセージを設定します。例えば,危険レベルが「注意」のときにメッセージ通知をする場合,アクションポリシーには次の二つを設定します。
  • 「PC使用者への通知」の「使用者にメッセージを通知する」を有効にする。
  • 「PCのネットワーク接続の制御」の「接続を許可する」を有効にする。
    アクションポリシーは接続制御リストの更新のため,ネットワーク接続の許可を設定することを忘れないでください。
詳細は「6.10 危険レベルごとのアクションを設定する」および「6.12 クライアント使用者に通知するメッセージを編集する」を参照してください。
JP1/NETM/CSC - Agentのセットアップのメッセージ通知情報を設定する。
メッセージ通知情報のメッセージ通知を「通知する」に設定して,クライアントの接続先が変更されたこと,およびクライアントの対処を明示するメッセージを設定します。
詳細は「13.2.2(4)(b) 「IAS」タブでの操作」を参照してください。
なお,JP1/NETM/CSC - AgentのOSがWindows Server 2008の場合,メッセージ通知機能は使用できません。

 

注意
JP1/NETM/CSC - Agentのセットアップのメッセージ通知情報は,DHCPサーバを利用した環境では設定しないでください。
デフォルトのメッセージ通知はクライアントのIPアドレスを使って行われるため,DHCPサーバを利用している環境だと,誤ったクライアントにメッセージが通知されるおそれがあります。

(4) 接続制御リストの管理用のコマンド

接続制御リストを管理するために使用するコマンドを次の表に示します。

表14-5 接続制御リストの管理用コマンド一覧

項番コマンド名説明
1cscrexport接続制御リストをCSV形式のファイルにエクスポートします。
エクスポートしたあとのファイルを使用して,接続制御リストに登録されている内容を確認したり,クライアントの情報を編集したりできます。
2cscrimport管理者が作成したエクスポートファイルや,cscrexportコマンドでエクスポートした接続制御リストをJP1/NETM/CSC - Agentにインポートします。
接続制御リストをCSV形式のテキストファイルで編集した場合や,エクスポートしたときの状態に戻したい場合に使用します。
3cscrdelete接続制御リストに登録済みのクライアントの情報を削除します。
クライアントをネットワークから撤去する場合に使用します。

なお,コマンドの形式などの詳細は「15. コマンド」を参照してください。

(5) 接続制御リストの編集

接続制御リストは通常,認証サーバのJP1/NETM/CSC - Agentによって更新されますが,管理者が任意にCSV形式のテキストデータで作成および編集できます。

作成したあとは,データをcscrimportコマンドでインポートしてください。なお,接続制御リストの形式などの詳細については,「16.16 インポートファイル」を参照してください。