14.2.1 動的VLAN環境で認証サーバと連携した検疫システムの運用例(IEEE802.1X認証方式の場合)
動的VLAN環境でIEEE802.1X認証方式の認証サーバと連携した検疫システムの運用例について,検疫プロセスに沿って説明します。
なお,この例では次の前提条件があります。
- 認証サーバ
認証サーバのOSは,Windows Server 2003とする。
なお,認証サーバのOSがWindows Server 2008の場合は,管理対象クライアントに接続先ネットワークを知らせるメッセージを通知できません。
- 管理対象クライアント
- 管理対象のクライアントAおよびBのうち,クライアントBだけ未適用のパッチがある。
- クライアントCを新規にネットワークに追加する。
- セキュリティポリシー(判定ポリシー)の設定
未適用のパッチがあるクライアントの危険レベルは「危険」と判定する。
- セキュリティポリシー(アクションポリシー)の設定
- 危険レベルが「危険」のクライアントのネットワーク接続を拒否する。
- 危険レベルが「危険」以外のクライアントのネットワーク接続を許可する。
- JP1/NETM/CSC - Agentのセットアップ
- 未登録資産の接続情報のネットワーク種別は「検疫」に設定されている。
- 拒否資産の接続情報のネットワーク種別は「検疫」に設定されている。
- メッセージ通知情報のメッセージ通知は「通知する」に設定されている。
- <この項の構成>
- (1) 認証・検査プロセス
- (2) 隔離プロセス
- (3) 治療プロセス
- (4) 回復プロセス
(1) 認証・検査プロセス
認証・検査プロセスでは,危険レベルが高いクライアントを検出したり,クライアントの認証をしたりします。
認証・検査プロセス(クライアントの判定)を次の図に示します。
図14-12 認証・検査プロセス(クライアントの判定)
![[図データ]](figure/zu141100.gif)
- クライアントのインベントリ情報が,治療サーバのJP1/NETM/DM Client(中継システム)※経由で管理サーバのJP1/NETM/DM Managerに通知される。
クライアントAおよびBのインベントリ情報が,治療サーバのJP1/NETM/DM Client(中継システム)※を経由して,管理サーバのJP1/NETM/DM Managerに通知されます。
- 注※
- バージョンが07-50以降のJP1/NETM/DM SubManagerも使用できます。
- 管理サーバのJP1/NETM/CSC - ManagerがクライアントBを危険と判定する。
管理サーバのJP1/NETM/CSC - Managerが,インベントリ情報と判定ポリシーを照合した結果,クライアントBの危険レベルを「危険」と判定します。
- 管理サーバのJP1/NETM/CSC - Managerが,認証サーバのJP1/NETM/CSC - Agentにネットワーク接続の許可(クライアントA)および拒否(クライアントB)を指示する。
アクションポリシーに基づき,管理サーバのJP1/NETM/CSC - ManagerがクライアントAに対してはネットワーク接続の許可,クライアントBに対してはネットワーク接続の拒否を,認証サーバのJP1/NETM/CSC - Agentに指示します。
- 認証サーバのJP1/NETM/CSC - Agentが,接続制御リストを更新する。
認証サーバのJP1/NETM/CSC - Agentが,ネットワーク接続の許可および拒否のアクションに従って,接続制御リストを更新します。クライアントAを「許可」,クライアントBを「拒否」として更新します。
認証・検査プロセス(クライアントの認証)を次の図に示します。
図14-13 認証・検査プロセス(クライアントの認証)
![[図データ]](figure/zu141200.gif)
- クライアントの認証を開始する。
クライアントの再起動,Windows標準サプリカントのサービスの再起動,またはクライアントのネットワーク接続を無効から有効にすることで,スイッチ経由で認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverに認証の要求が送られます。
EAPOL-STARTパケットの送出※を設定していない場合は,スイッチの認証間隔の設定に基づいて,スイッチがクライアントに認証を要求します。
なお,クライアントCを新規にネットワークに追加しています。
- 注※
- EAPOL-STARTパケットの送出の設定については,「13.2.6(2) Windows標準サプリカントのセットアップ」の表下の説明を参照してください。
- スイッチが認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverにクライアントの認証を要求する。
スイッチが認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy ServerにクライアントA,BおよびCの認証を要求します。
クライアントA,BおよびCに対して,ユーザIDおよびパスワードによるIEEE802.1X認証方式のユーザ認証が行われます。
(2) 隔離プロセス
隔離プロセスでは,セキュリティポリシーの設定に基づいてクライアントのネットワーク接続を制御します。
隔離プロセスを次の図に示します。
図14-14 隔離プロセス
![[図データ]](figure/zu141300.gif)
- 認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverが,JP1/NETM/CSC - Agentに接続制御リストの確認を要求する。
クライアントA,BおよびCのユーザ認証が完了したら,認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy ServerがJP1/NETM/CSC - Agentに接続制御リストの確認を要求します。
- 認証サーバのJP1/NETM/CSC - Agentが,接続制御リストを確認して,Microsoft Internet Authentication ServiceまたはNetwork Policy Serverにクライアントの接続先のVLAN-IDを返す。Microsoft Internet Authentication ServiceまたはNetwork Policy Serverが,スイッチにクライアントの接続先のVLAN-IDを通知する。
認証サーバのJP1/NETM/CSC - Agentが接続制御リストのクライアントA,BおよびCの情報を確認します。このとき,クライアントAは「許可」,クライアントBは「拒否」に登録されています。クライアントCは接続制御リストに情報がないため未登録資産になります。
JP1/NETM/CSC - Agentは,検疫ネットワークのVLAN-IDをMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverに返します。
Microsoft Internet Authentication ServiceまたはNetwork Policy Serverは,JP1/NETM/CSC - Agentから受け取った検疫ネットワークのVLAN-ID,およびMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverが管理している社内ネットワークのVLAN-IDをスイッチに通知します。
- スイッチが,クライアントの接続先を切り替える。
スイッチは,認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverから受け取ったVLAN-IDに従ってクライアントの接続先を決定します。
クライアントAは社内ネットワークへ,クライアントBおよびCは検疫ネットワークへと接続します。それぞれのクライアントに対して,接続先のネットワークを知らせるためのメッセージが通知されます。
検疫ネットワークに接続されたクライアントBおよびCは,セキュリティ対策を実施する必要があります。
(3) 治療プロセス
治療プロセスでは,ネットワーク接続を制御されたクライアントのセキュリティ対策を実施します。なお,クライアントのセキュリティ対策については,「14.2.5 クライアントのセキュリティ対策を実施する」を参照してください。
治療プロセスを次の図に示します。
図14-15 治療プロセス
![[図データ]](figure/zu141400.gif)
- パッチをパッケージングして,管理サーバのJP1/NETM/DM Managerに登録する。
インストールするパッチをパッケージングして管理サーバのJP1/NETM/DM Managerに登録します。
- 管理サーバのJP1/NETM/DM Managerからパッチの配布を実行する。
管理サーバのJP1/NETM/DM Managerで,パッチを配布するジョブを実行します。治療サーバのJP1/NETM/DM Client(中継システム)※にパッチが転送されます。
- 治療サーバのJP1/NETM/DM Client(中継システム)※からクライアントへパッチをリモートインストールする。
検疫ネットワークのクライアントと治療サーバのJP1/NETM/DM Client(中継システム)※間の通信は許可されているため,JP1/NETM/DM Client(中継システム)※からクライアントへパッチがインストールされます。配布されたパッチを適用することによって,クライアントのセキュリティ対策が実施されます。
- 注※
- バージョンが07-50以降のJP1/NETM/DM SubManagerも使用できます。
- 参考
- ネットワーク接続を制御されたクライアントのセキュリティ対策は,クライアントの使用者が管理サーバのJP1/NETM/DM Managerに登録されているパッケージを選択してインストールすることもできます。
(4) 回復プロセス
回復プロセスでは,セキュリティ対策を実施したクライアントを再判定および再認証して,安全になったクライアントをネットワークに再接続します。
回復プロセス(クライアントの再判定)を次の図に示します。
図14-16 回復プロセス(クライアントの再判定)
![[図データ]](figure/zu141500.gif)
- クライアントのインベントリ情報が,治療サーバのJP1/NETM/DM Client(中継システム)※経由で,管理サーバのJP1/NETM/DM Managerに通知される。
パッチが適用されたことによって,クライアントBおよびCの最新のインベントリ情報が治療サーバのJP1/NETM/DM Client(中継システム)※を経由して,管理サーバのJP1/NETM/DM Managerに通知されます。
- 注※
- バージョンが07-50以降のJP1/NETM/DM SubManagerも使用できます。
- 管理サーバのJP1/NETM/CSC - ManagerがクライアントBおよびCを安全と判定する。
管理サーバのJP1/NETM/CSC - Managerが,インベントリ情報と判定ポリシーを照合した結果,パッチがすべて適用されたため,クライアントBおよびCの危険レベルを「安全」と判定します。
- 管理サーバのJP1/NETM/CSC - Managerが,認証サーバのJP1/NETM/CSC - Agentにネットワーク接続の許可(クライアントBおよびC)を指示する。
アクションポリシーに基づき,管理サーバのJP1/NETM/CSC - ManagerがクライアントBおよびCに対してのネットワーク接続の許可を,認証サーバのJP1/NETM/CSC - Agentに指示します。
- 認証サーバのJP1/NETM/CSC - Agentが,接続制御リストを更新する。
認証サーバのJP1/NETM/CSC - Agentが,ネットワーク接続の許可のアクションに従って,接続制御リストを更新します。
クライアントBの情報は,すでに接続制御リストに登録されているため,接続情報を「拒否」から「許可」に変更します。
クライアントCの情報は,接続制御リストにないためインベントリ情報で取得したMACアドレスおよびIPアドレスを登録し,接続情報を「許可」として更新します。
回復プロセス(クライアントの再認証)を次の図に示します。
図14-17 回復プロセス(クライアントの再認証)
![[図データ]](figure/zu141600.gif)
- クライアントの再認証を開始する。
クライアントBおよびCを社内ネットワークに接続するため,再認証を開始します。
クライアントの再起動,Windows標準サプリカントのサービスの再起動,またはクライアントのネットワーク接続を無効から有効にすることで,スイッチ経由で認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverに認証の要求が送られます。
EAPOL-STARTパケットの送出※を設定していない場合は,スイッチの認証間隔の設定に基づいて,スイッチがクライアントに認証を要求します。
スイッチの認証間隔の設定に基づいて,クライアントの認証が開始されたときはクライアントB,Cだけでなく,クライアントAの再認証も開始されます。
- 注※
- EAPOL-STARTパケットの送出の設定については,「13.2.6(2) Windows標準サプリカントのセットアップ」の表下の説明を参照してください。
- スイッチが認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverにクライアントの認証を要求する。
スイッチが認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy ServerにクライアントBおよびCの認証を要求します。
クライアントBおよびCに対して,ユーザIDおよびパスワードによるIEEE802.1X認証方式のユーザ認証が行われます。クライアントAは一度認証に成功しているため,ユーザIDおよびパスワードの再確認は行われません。
回復プロセス(クライアントのネットワークへの再接続)を次の図に示します。
図14-18 回復プロセス(クライアントのネットワークへの再接続)
![[図データ]](figure/zu141700.gif)
- 認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverが,JP1/NETM/CSC - Agentに接続制御リストの確認を要求する。
クライアントBおよびCのユーザ認証が完了したら,認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy ServerがJP1/NETM/CSC - Agentに接続制御リストの確認を要求します。
- 認証サーバのJP1/NETM/CSC - Agentが,接続制御リストを確認して,Microsoft Internet Authentication ServiceまたはNetwork Policy Serverにクライアントの接続先のVLAN-IDを返す。Microsoft Internet Authentication ServiceまたはNetwork Policy Serverが,スイッチにクライアントの接続先のVLAN-IDを通知する。
認証サーバのJP1/NETM/CSC - Agentが接続制御リストのクライアントBおよびCの情報を確認します。このとき,クライアントBおよびCは「許可」に登録されています。
JP1/NETM/CSC - Agentは,接続先が社内ネットワークであることをMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverに通知します。Microsoft Internet Authentication ServiceまたはNetwork Policy Serverは社内ネットワークのVLAN-IDをスイッチに通知します。
- スイッチが,クライアントの接続先を切り替える。
スイッチは,認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverから受け取ったVLAN-IDに従ってクライアントの接続先を決定します。
クライアントBおよびCは社内ネットワークへと接続します。クライアントBおよびCに対して,接続先のネットワークを知らせるためのメッセージが通知されます。スイッチの認証間隔の設定に基づいて,クライアントの認証が行われている場合,クライアントAに対しても接続先のネットワークを知らせるためのメッセージが通知されます。