14.2.2 固定VLAN環境で認証サーバと連携した検疫システムの運用例(MAC認証方式の場合)

固定VLAN環境でMAC認証方式の認証サーバと連携した検疫システムの運用例について,検疫プロセスに沿って説明します。

なお,この例では次の前提条件があります。

<この項の構成>
(1) 認証・検査プロセス
(2) 隔離プロセス
(3) 治療プロセス
(4) 回復プロセス

(1) 認証・検査プロセス

認証・検査プロセスでは,危険レベルが高いクライアントを検出したり,クライアントの認証をしたりします。

認証・検査プロセス(クライアントの判定)を次の図に示します。

図14-19 認証・検査プロセス(クライアントの判定)

[図データ]

  1. クライアントのインベントリ情報が,治療サーバのJP1/NETM/DM Client(中継システム)経由で管理サーバのJP1/NETM/DM Managerに通知される。
    クライアントAおよびBのインベントリ情報が,治療サーバのJP1/NETM/DM Client(中継システム)を経由して,管理サーバのJP1/NETM/DM Managerに通知されます。
    注※
    バージョンが07-50以降のJP1/NETM/DM SubManagerも使用できます。
  2. 管理サーバのJP1/NETM/CSC - ManagerがクライアントBを危険と判定する。
    管理サーバのJP1/NETM/CSC - Managerが,インベントリ情報と判定ポリシーを照合した結果,クライアントBの危険レベルを「危険」と判定します。
  3. 管理サーバのJP1/NETM/CSC - Managerが,認証サーバのJP1/NETM/CSC - Agentにネットワーク接続の許可(クライアントA)および拒否(クライアントB)を指示する。
    アクションポリシーに基づき,管理サーバのJP1/NETM/CSC - ManagerがクライアントAに対してはネットワーク接続の許可,クライアントBに対してはネットワーク接続の拒否を,認証サーバのJP1/NETM/CSC - Agentに指示します。
  4. 認証サーバのJP1/NETM/CSC - Agentが,接続制御リストを更新する。
    認証サーバのJP1/NETM/CSC - Agentが,ネットワーク接続の許可および拒否のアクションに従って,接続制御リストを更新します。クライアントAを「許可」,クライアントBを「拒否」として更新します。
     
    認証・検査プロセス(クライアントの認証)を次の図に示します。

    図14-20 認証・検査プロセス(クライアントの認証)

    [図データ]

  5. スイッチがクライアントの認証を開始する。
    クライアントの再起動またはクライアントのネットワーク接続を無効から有効にすることで,スイッチ経由で認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverに認証の要求が送られます。また,スイッチの最大接続時間の設定に基づいて,スイッチがクライアントに認証を要求します。
    なお,クライアントCを新規にネットワークに追加しています。
  6. スイッチが認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverにクライアントの認証を要求する。
    スイッチが認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy ServerにクライアントA,BおよびCの認証を要求します。
    クライアントA,BおよびCに対して,MACアドレスによる認証が実行されます。

(2) 隔離プロセス

隔離プロセスでは,セキュリティポリシーの設定に基づいてクライアントのネットワーク接続を制御します。

隔離プロセスを次の図に示します。

図14-21 隔離プロセス

[図データ]

  1. 認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverが,JP1/NETM/CSC - Agentに接続制御リストの確認を要求する。
    クライアントA,BおよびCの認証が完了したら,認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy ServerがJP1/NETM/CSC - Agentに接続制御リストの確認を要求します。
  2. 認証サーバのJP1/NETM/CSC - Agentが,接続制御リストを確認して,Microsoft Internet Authentication ServiceまたはNetwork Policy Serverにクライアントの認証結果を返す。Microsoft Internet Authentication ServiceまたはNetwork Policy Serverが,スイッチにクライアントの認証結果を通知する。
    認証サーバのJP1/NETM/CSC - Agentが接続制御リストのクライアントA,BおよびCの情報を確認します。このとき,クライアントAは「許可」,クライアントBは「拒否」に登録されています。クライアントCは接続制御リストに情報がないため未登録資産になります。
    JP1/NETM/CSC - Agentは,認証結果をMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverに返します。
    Microsoft Internet Authentication ServiceまたはNetwork Policy Serverは,JP1/NETM/CSC - Agentから受け取った認証結果をスイッチに通知します。
    注※
    接続制御リストの登録内容に基づいて,社内ネットワークへの接続を許可するかどうかの判定結果(許可または拒否)です。
  3. スイッチが,クライアントの接続先を制御する。
    スイッチは,認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverから受け取った認証結果に従ってクライアントの接続先を制御します。
    クライアントAは社内ネットワークへ,クライアントBおよびCは認証前ネットワークへと接続します。それぞれのクライアントに対して,接続先のネットワークを知らせるためのメッセージが通知されます。
    認証前ネットワークに接続されたクライアントBおよびCは,セキュリティ対策を実施する必要があります。

(3) 治療プロセス

治療プロセスでは,ネットワーク接続を制御されたクライアントのセキュリティ対策を実施します。なお,クライアントのセキュリティ対策については,「14.2.5 クライアントのセキュリティ対策を実施する」を参照してください。

治療プロセスを次の図に示します。

図14-22 治療プロセス

[図データ]

  1. 管理者がパッチをパッケージングして,管理サーバのJP1/NETM/DM Managerに登録する。
    インストールするパッチをパッケージングして管理サーバのJP1/NETM/DM Managerに登録します。
  2. 管理サーバのJP1/NETM/DM Managerがパッチの配布を実行する。
    管理サーバのJP1/NETM/DM Managerで,パッチを配布するジョブを実行します。治療サーバのJP1/NETM/DM Client(中継システム)にパッチが転送されます。
  3. 治療サーバのJP1/NETM/DM Client(中継システム)からクライアントへパッチがリモートインストールされる。
    認証前ネットワークのクライアントと治療サーバのJP1/NETM/DM Client(中継システム)間の通信は許可されているため,JP1/NETM/DM Client(中継システム)からクライアントへパッチがインストールされます。配布されたパッチを適用することによって,クライアントのセキュリティ対策が実施されます。
    注※
    バージョンが07-50以降のJP1/NETM/DM SubManagerも使用できます。

 

参考
ネットワーク接続を制御されたクライアントのセキュリティ対策として,クライアントの使用者が管理サーバのJP1/NETM/DM Managerに登録されているパッケージを選択してインストールすることもできます。

(4) 回復プロセス

回復プロセスでは,セキュリティ対策を実施したクライアントを再判定および再認証して,安全になったクライアントをネットワークに再接続します。

回復プロセス(クライアントの再判定)を次の図に示します。

図14-23 回復プロセス(クライアントの再判定)

[図データ]

  1. クライアントのインベントリ情報が,治療サーバのJP1/NETM/DM Client(中継システム)経由で,管理サーバのJP1/NETM/DM Managerに通知される。
    パッチが適用されたことによって,クライアントBおよびCの最新のインベントリ情報が治療サーバのJP1/NETM/DM Client(中継システム)を経由して,管理サーバのJP1/NETM/DM Managerに通知されます。
    注※
    バージョンが07-50以降のJP1/NETM/DM SubManagerも使用できます。
  2. 管理サーバのJP1/NETM/CSC - ManagerがクライアントBおよびCを安全と判定する。
    管理サーバのJP1/NETM/CSC - Managerが,インベントリ情報と判定ポリシーを照合した結果,パッチがすべて適用されたため,クライアントBおよびCの危険レベルを「安全」と判定します。
  3. 管理サーバのJP1/NETM/CSC - Managerが,認証サーバのJP1/NETM/CSC - Agentにネットワーク接続の許可(クライアントBおよびC)を指示する。
    アクションポリシーに基づき,管理サーバのJP1/NETM/CSC - ManagerがクライアントBおよびCに対してのネットワーク接続の許可を,認証サーバのJP1/NETM/CSC - Agentに指示します。
  4. 認証サーバのJP1/NETM/CSC - Agentが,接続制御リストを更新する。
    認証サーバのJP1/NETM/CSC - Agentが,ネットワーク接続の許可のアクションに従って,接続制御リストを更新します。
    クライアントBの情報は,すでに接続制御リストに登録されているため,接続情報を「拒否」から「許可」に変更します。
    クライアントCの情報は,接続制御リストにないためインベントリ情報で取得したMACアドレスおよびIPアドレスを登録し,接続情報を「許可」として更新します。
     
    回復プロセス(クライアントの再認証)を次の図に示します。

    図14-24 回復プロセス(クライアントの再認証)

    [図データ]

  5. クライアントの再認証を開始する。
    クライアントBおよびCを社内ネットワークに接続するため,再認証を開始します。
    クライアントの再起動またはクライアントのネットワーク接続を無効から有効にすることで,スイッチ経由で認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverに認証の要求が送られます。また,スイッチの最大接続時間の設定に基づいて,スイッチがクライアントに認証を要求します。
    スイッチの最大接続時間の設定に基づいて,クライアントの認証が開始されたときはクライアントB,Cだけでなく,クライアントAの再認証も開始されます。
  6. スイッチが認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverにクライアントの認証を要求する。
    スイッチが認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy ServerにクライアントBおよびCの認証を要求します。
    クライアントBおよびCに対して,MACアドレスによる認証が実行されます。クライアントAは一度認証に成功しているため,MACアドレスの再確認はされません。
     
    回復プロセス(クライアントのネットワークへの再接続)を次の図に示します。

    図14-25 回復プロセス(クライアントのネットワークへの再接続)

    [図データ]

  7. 認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverが,JP1/NETM/CSC - Agentに接続制御リストの確認を要求する。
    クライアントBおよびCの認証が完了したら,認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy ServerがJP1/NETM/CSC - Agentに接続制御リストの確認を要求します。
  8. 認証サーバのJP1/NETM/CSC - Agentが,接続制御リストを確認して,Microsoft Internet Authentication ServiceまたはNetwork Policy Serverにクライアントの認証結果を返す。Microsoft Internet Authentication ServiceまたはNetwork Policy Serverが,スイッチに認証結果を通知する。
    認証サーバのJP1/NETM/CSC - Agentが接続制御リストのクライアントBおよびCの情報を確認します。このとき,クライアントBおよびCは「許可」に登録されています。
    JP1/NETM/CSC - Agentは,認証結果をMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverに通知します。Microsoft Internet Authentication ServiceまたはNetwork Policy Serverは認証結果をスイッチに通知します。
  9. スイッチが,クライアントの接続先を切り替える。
    スイッチは,認証サーバのMicrosoft Internet Authentication ServiceまたはNetwork Policy Serverから受け取った認証結果に従ってクライアントの接続先を決定します。
    クライアントBおよびCは社内ネットワークへと接続します。クライアントBおよびCに対して,接続先のネットワークを知らせるためのメッセージが通知されます。スイッチの最大接続時間の設定に基づいて,クライアントの認証が実行されている場合,クライアントAに対しても接続先のネットワークを知らせるためのメッセージが通知されます。