今求められるnacソリューションの選定ポイント …network access...

Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 1

今求められるNACソリューションの選定ポイントと導入方法について

Advanced TechnologiesBusiness Development Manager

Toru [email protected]

v1.81


なぜアクセスコントロールが重要なのか？

ネットワークアクセスの多様化• モバイルで仕事する従業員• ワイヤレスネットワーク• 契約社員• パートナー• エンドポイントの多様化

巧妙なアタック• ゼロデイ攻撃• 素早い感染スピード• ルートキット, ボットネット, ゾンビ、バックドア

コントロールが難しいが必要とされるアプリケーション• IM/VoIP/VoD

通常考えられる脅威• 悪意のあるユーザ

• ユーザ情報の盗難, フィッシング等の詐欺, 社内での情報漏洩,…

• 不注意なユーザ• 不注意でワーム等を拡散させて惨事を起こす恐れ

企業におけるコンプライアンス体制の強化• J-SOX• ISMS、PCIDSS• プライバシーマーク• 各業界の法規制


Network Access Control（NAC）とは？

Network Access Control)• デバイス・ユーザーのアイデンティティ• クライアントデバイスのヘルス状態• 企業ポリシーに合致したクライアントの状態• アクセス方法や場所

これらを複合的な判断材料にしてユーザーに適切な権限を与えながらネットワーク、およびアプリケーションへのアクセスを実現し、企業ネットワークにおける生産性を向上するための仕組み


NACソリューションOverview

大幅なシステムの変更が必要

システムの変更が不要

柔軟なネットワークコントロール

セキュリティ的な排除が主目的

認証スイッチ型

（802.1x）

認証スイッチ型

（802.1x）

DHCPシステム型DHCPシステム型

In‐Lineブリッジ型In‐Lineブリッジ型

クライアント

エージェント型

クライアント


VPN型

（SSL, IPSec）

VPN型

（SSL, IPSec）

ネットワーク

監視型

ネットワーク

監視型


– Juniper’s UAC Overview -


統合型アクセスコントロール＝“UAC”• UACとはジュニパーが提唱するトータルアクセスコントロールソリューションフレームワークです。ジュニパーの提供する製品やスタンダードに準拠したデバイス・ソリューションを柔軟に組み合わせ：

• x認証• エンドポイントポリシーチェック• 隔離、修復

• ネットワークアクセス制御• リアルタイムエンドポイントモニタリング• 振る舞い検知• セキュリティ監査記録、セキュリティイベント可視化

Juniperの提唱するUACとは？

統合的なネットワークインフラ環境の提供を可能にし、企業における真のセキュリティコンプライアンスと生産性の向上を実現します。

Pre-Admission

Post-Admission


UAC基本コンポーネント

Agent(エージェント)

Firewall & .1X Devices(エンフォーサー)

Policy Manager(コントローラー)

ユーザ認証、エンドポイント(PC）の検疫、ポリシー監視

ネットワークリソースへのユーザアクセス

の許可

ダイナミックにルールを展開

“守られたリソースやネットワーク”

“エンドポイント”


ジュニパーUACにおける基本コンポーネントInfranet Enforcer (エンフォーサー):

• アクセスコントロールの実施ポイント

• ダイナミックにユーザを制御

• コントロールの必要箇所に設置

Infranet Agent (エージェント):• クライアント制御ソフト・モジュール(A.K.A Odyssey Access Client)• ポリシーチェック機能、Personal Firewall、VPNクライアント機能• IEEE802.1Xサプリカント機能• ICのユーザライセンスにて提供（25ユーザより）

Infranet Controller (コントローラー): • アクセスポリシーを保管・管理

• 配下のIAに対するアクセスポリシーをIEと連動し制御• IAに対するセキュリティポリシーチェックを実施


Juniper Network Enforcer (Application Base): • NetScreenシリーズ、SSG/ISGシリーズが対象• ICよりユーザーの認証状態、ポリシーチェック状態にあわせてJuniper Enforcer上のポリシーをダイナミックに制御

IEEE802.1X Enforcer (VLAN Base): • IEEE802.1X対応デバイスが対象• IEEE802.1x認証VLANアサイン、ポートコントロール• ダイナミックにポリシーを制御する事でユーザーが接続条件を満たさなくなっても削除（ロックアウト）

Host Enforcer (Application Base): • Agentの拡張機能として提供• パーソナルFWとして動作

Infranet Enforcer (IE)


• 対応するOSはWindows2000/XP/Vista/MAC OS/Linux/Solaris)• Agentモード• Agent-Lessモード

• HostChecker機能（エンドポイントポリシー検査）により、PCのセキュリティ情報（AntiVirus/windows update、起動中のプロセス等）を収集

• HostEnforcer機能（エンドポイントFW)• IPSecトンネル• パッチマネージメント機能• 自動修復機能

• IEEE802.1Xサプリカント機能• Windowsシングルサインオン/GINA対応• TNCスタンダード準拠(IMC-IFを提供)

Infranet Agent (IA)


Infranet Agent（IA）

Host Checker• クライアントのセキュリティ状態をチェック

• 各種セキュリティプロダクトの検知（Juniperが配布するリストから選択）– アンチウィルス、アンチマルウェア、アンチスパイウェア等

• OS のチェック• Windowsパッチのチェック• TCP/UDPポートの「開いてる/閉じてる」をチェック• 起動中のプロセス（イメージ名、MD5フィンガープリントで検知）をチェック• ファイルの有無をチェック• レジストリの有無をチェック• NetBIOS名（PCの名前）をチェック• MAC Address（PCの持っているMAC Address）をチェック• 証明書のチェック• TNC連携によるサードベンダーソリューションの結果


Infranet Agent (IA)

IPsec Tunnel• ポリシーチェック後、エージェントよりIPsecトンネルを確立することで、ネットワーク内での独立性を保ちます。（このIPsecトンネルに対して、IEはアクセスポリシーを適用します）

• NAT Traversal にてNAT越えも可能

Agent(IA)

Firewall(IE)

IAとIE間でIPsecトンネルを確立

IPsecの接続先などの情報をプッシュ

*エンフォーサーのIPSecサポートトンネル数に依存


Infranet Agent (IA)

Windowsパッチチェック機能を搭載しエンドポイントのパッチ適用状況によりアクセス制御が可能

最新のパッチ情報（定義ファイル）は自動的にアップデート

パッチ管理ソリューション有力ベンダーShavlik社のエンジンを使用Microsoftウィンドウズパッチだけでなく、その他アプリケーション用のパッチもチェック可能

パッチ適用ポリシーも簡単に設定可能！


Infranet Agent (IA)

Auto-Remediation• ポリシーに適合しない端末に対して自動修復機能を提供

• アンチウィルスソフトウェアの場合– 自動的にアンチウィルスソフトウェアを起動– アンチウィルススキャンを開始– ウィルス定義ファイルを最新の物にアップデート– リアルタイムチェックが作動してない場合は自動的に起動

• Windows 2000/XP/Vista 内蔵ファイアウォールの場合– ファイアウォールが無効になっている場合、自動的に有効に変更

• 事前に用意した値でレジストリを上書き可能– レジストリが破壊されたり、ユーザが勝手に変更した場合にも自動的に管理者の決めた値に変更することが可能


Infranet Agent (IA)

Agent-lessモード：プリインストールせずにエージェント機能を提供• クライアントがサイトへの接続を試みると、IEにてリクエストがリダイレクトされICのポータルへ接続（もしくはICのポータルへ明示的にアクセス）

• ICよりIAモジュール（Active-X/Java経由）がクライアントへ一時的にインストール• IAモジュールによりホストチェッカー機能が動作し認証＆ポリシーチェック（逆パターンも可能）を提供

Agentモジュール(IA)

Firewall(IE)

ブラウザにてインターネットへアクセス

リクエストはリダイレクトモジュールのインストール


Infranet Agent vs Agent-Less

No

No

Yes

Host Enforcer

YesYesYesYesYesFull Agent Mode(Windows2K, XP)

Yes

Yes

Host Checker

**Yes

No

Autoremediation

No

No

.1X Supplicant

*YesNoAgent-less Mode(All)

NoNoPersistent Agent

Mode(MAC, Linux)

PatchManagementIPsec Tunnel

エージェントモードにおける提供機能の違い• Full Agent Modeは対応OSに依存（Windows2k, XPに対応中）• Persistent Agent ModeはMACとLinux• Agent-less Modeは全てのUAC対応OSをサポート• Full Agent ModeのLinux、Solaris, MAC OS対応は2008年予定（Q4)

*Agent-Lessモードでのパッチマネージメント機能はWindowsプラットフォームのみ動作可能です。** Agent-LessモードでのAuto Remediationは一部対応可能です。


Infranet Controller (IC)UACの中核を成すポリシー管理サーバ

• ユーザ認証、外部認証サーバとの連携による認証機能• セキュリティポリシーの格納・管理と、エージェント（IA）と連動しポリシーチェックを実施

• エンフォーサー（IE）との通信および連携によりアクセスを制御

• （IA）の自動配布やPreコンフィグ機能• ポリシー設定、ログの収集・管理

• 各種認証サーバやディレクトリに対応 (RADIUS, Active Directory, LDAP, RSA, PKI, OTP、NIS、SSO)

• TNCスタンダード準拠(IMV-IFを提供)• サードパーティソリューションとの連携が可能


UACコンポーネントのコントロール

• ジュニパーネットワークエンフォーサと連携し、ユーザをコントロール、特にSSGとの連携ではユーザ毎にUTM機能を有効化が可能

• ジュニパーネットワークエンフォーサでブロックした通信を元にエンドポイントへメッセージを表示

• 信頼性の高い*SBRのRADIUSエンジンを採用し、ジュニパースイッチ（EXシリーズ）との連動だけでなく、ベンダー互換性の心配なく802.1x環境を利用可能

• TCG/TNCスタンダード準拠、IMV-IFを提供することにより、他ベンダーソリューションとの連携が可能

• TCG/TNCスタンダードによるマイクロソフトNAPソリューションと連動

Infranet Controller (IC)

*Steal Belted Radius: Juniper NetworksのRadiusサーバ製品群


“Role”によりユーザーの権限が決定（VLAN、アクセス先など）“Policy”の判定結果を元にアクセスを制御任意のユーザーに複数のRoleを割り当てることが可能状態、条件に合わせて割り当てRoleは動的に変更


UserID: ToruK

PASS: a5gtrM9

PolicyRoleマッピング

Policy

Resource認証

ResourceResource

ネットワークリソース（サーバ・ネットワークアドレス、ポートなど）

VLAN（業務、隔離、ゲストVLANなど）

＆ACLとQOS

ステータス結果（認証、検疫、環境など）

外部認証

ResourceResource

Resource

(IC) (IE)Agent(IA)



• 最大5,000同時エンドポイントに対応•1台約5000エンドポイント(IA)サポート•L2(IE) 約512台、L3(IE) 約64台•エンドポイント（IA）ライセンスをバンドル

• High Availability/Scalability•クラスタ対応(最大2台）•クラスタ構成：Active-Standby•ホットスワップ対応：電源のみ可能

• 最大30,000同時エンドポイントに対応•1台約15,000エンドポイント(IA)サポート•L2(IE) 約1024台、L3(IE) 約128台•エンドポイント（IA）ライセンスをバンドル

• High Availability/Scalability•マルチユニットクラスタ対応（最大8台）•クラスタ構成：Active-Active, Active-Standby•ホットスワップ対応：電源ユニット、HDD、ファン

IC6500

IC4500

製品詳細はこちら！、http://www.juniper.co.jp/products_and_services/unified_access_control/


– Security Solutions Around UAC-


Juniper Unified Access Control認証スイッチ型

（802.1x）

In‐Lineブリッジ型

クライアント


VPN型（SSL, IPSec）

ネットワーク

監視型

SIEMソリューション

IdMソリューション


UACを取り巻くジュニパーソリューション• “UACコンポーネントとしてのSA”

• エンタープライズのアクセスコントロール（リモート＆イントラ）を包括的に提供

• “L2エンフォーサーとしてのEX”• .1Xベースのアクセスコントロール＆IAによるコンプライアンスチェック

• “ログ管理としてのNSM + STRM”• デバイス管理、監査のためのログ収集、脅威の早期検出、脅威への動的な対抗

• “L3エンフォーサーとしてのNS/SSG/ISG”• ジュニパーならではの高い実績とL3アクセスコントロールを実現

• “アプリケーションセキュリティとIDP”• ユーザの振る舞いをアプリケーションレベルで把握しコントロール


UACを取り巻くセキュリティソリューションPatch Management and Remediation

Endpoint Security

IEEE 802.1x

Security Information & EventManagement (SIEM)

Identity Management

TPM Solution

Binary integlity IntegratedCompliance

PKI Directory

OTP

SSO

LDAP/RADIUS/SDIManaged PKI

NAP

Syslog

Host Checker Syslog

.1X Support Devices


– Deployment Scenario -


UAC動作フロー概要（パターンA）

Agent(IA)

Firewall(IE)

Policy Manager(IC)


ネットワークリソースへのユーザアクセス

の許可


守られたリソース


UAC動作フロー概要（パターンB）

Firewall(IE)

Policy Manager(IC)

Agentモジュールダウンロード（Java/Active-X経由）


ネットワークのリソースへのユーザアクセ

スの許可



Agent-less(IA)

ウェブアクセス

Firewallにてリダイレクト


.1Xサプリカント機能によりEAPトンネルをセットアップし認証を実施

UAC動作フロー概要（パターンC）

Agent(IA)

Policy Manager(IC)


802.1X Devices（IE）

エンドポイント(PC）の検疫、ユーザ認証、ポリシーのチェック

+ダイナミックにルール

を展開

802.1X認証を実施VLANアサイン、認証、隔離、修復


UAC動作フロー概要（パターンD）

Agent(IA)

Policy Manager(IC)


802.1X Devices（IE)



を展開

Agent(IA) アグリゲーションレイ

ヤーでの制御が可能

既存のエッジスイッチ

802.1X認証を実施VLANアサイン、認証、隔離、修復

.1Xサプリカント機能によりEAPトンネルをセットアップし認証を実施


ホストエンフォーサー機能によりトラフィッ

クを制御

UAC動作フロー概要（パターンE）

Agent(IA)

Policy Manager(IC)




を展開

Host Enforcer


UAC動作フロー概要（パターンF）

Agent(IA)

Firewall(IE)

Policy Manager(IC)


802.1X Devices（IE)



ネットワークのリソースへのユーザアクセ

スの許可既存の認証サーバ

Radius, LDAP, AD, OTP, PKI,

SAML

PKI

TCG-TNC準拠オープンAPI

TCG-TNC準拠オープンAPI

ユーザの振る舞いを検知


– Deployment Scenario -


企業ネットワーク環境でのUAC使用例HQ

Branch Office

Enterprize HQ

Data Center

DC

SOHO/Small Branch/Mobile Users

Administration Room


オフィスフロアにおけるアクセスコントロール

• UAC Agent (Supplicant)• Host Checker

• Personal Firewall

DNS/DHCP, etc

HQ

Network Printer

• Dynamic VLAN

• Multi-Supplicant• Unmanaged device

• UAC Agent (Supplicant)

• Host Checker

• Personal Firewall


ゲストスペース、会議室におけるアクセスコントロール

• UAC Agent (Agent-Less mode)

• Host Checker

Local Servers

HQ

• L3/4 enforcement• UTM dynamic control

• URL Redirect

• UAC Agent (Agent-Less mode)

• Host Checker


サーバファームにおけるアクセスコントロール

DC

HQ

HQ

• L3/4 enforcement

• IDP Module

• Working with ext IdM• Looking up attributes

• User information stored


ブランチオフィスにおけるアクセスコントロール

• UAC Agent

• Host Checker• Host Enforcer

LocalServers

HQ • L3/4 enforcement

• UTM

• UAC Agent (Agent-Less mode)• Host Checker

Branch


リモートユーザへのアクセスコントロール

Mobile Workers

Home Workers

Employee remote access

SSL VPN

Extranet access SSL VPN

Sales

Department Servers

HR

Finance

BusinessPartners

Customers

•SSL-VPN (Core, Sum, NC)

•SVW, etc

•Host Checker

•L2-7 enforcement•Authentication


Secure Access (SA)• 最大30,000同時ユーザ接続に対応

•1台約10,000接続サポート•ハードウェアSSLアクセラレーション搭載

• High Availability/Scalability•マルチユニットクラスタ対応（最大4台）•クラスタ構成：Active-Active, Active-Standby•ホットスワップ対応：電源ユニット、HDD、ファン

• 最大100/1,000同時ユーザ接続に対応•1台約1,000接続サポート•なし/ハードウェアSSLアクセラレーション搭載（オプション）

• High Availability/Scalability•マルチユニットクラスタ対応（最大2台）•クラスタ構成：Active-Active, Active-Standby•ホットスワップ対応：電源ユニット

IC6500

IC2500/4500

製品詳細はこちら！、http://www.juniper.co.jp/products_and_services/ssl_vpn_secure_access/


Juniperの提唱するUACのサマリーUACの強み

• 総合ネットワークベンダーにしか出来ないトータルなアクセスコントロールソリューションを提供

• 標準化技術を核としているため、既存のネットワーク投資を可能な限り無駄にすることなく展開が可能

• 2005年より販売・機能拡張を開始し、今日現在安定して様々なネットワーク・デバイスが柔軟に連動動作することの出来るソリューション

今求められるnacソリューションの 選定ポイント …network access...

Documents

今求められるnacソリューションの選定ポイント …network access...