Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
【内部からの被害が増加している理由】 ・誰でも盗める環境 ⇒ IT化の加速により内部データの参照やコピーが容易化 ・不正侵入経路の存在 ⇒ 無線LAN、情報コンセント等の普及、 作業場の共同スペース化
個人情報保護法の施行や、顧客情報漏洩事件の頻発により、昨今セキュリティに対する企業の 関心は高まっており、現在、多くの企業がセキュリティ対策へ多くの投資を行っています。 しかし、現在行われているセキュリティ対策はFireWall、IDSなど外部からの不正アクセス、ウイルス 対策が主流であり、内部LANからの防御は重要視していない企業が多数を占めます。 情報漏洩等の被害の多くは内部LANからによるものであり、内部LANに対するセキュリティ強化が重要視されています。
Firewall, IDSなど
社内サーバ
外部からのアクセスは強固に防衛
社内ネットワーク
内部から情報漏洩の 危険性
インターネット
持ち込みPCで 不正アクセス
内部ネットワークは アクセスフリー
QXスイッチ導入により内部からの不正アクセスにも対応 できるLAN環境を構築しましょう。
社内外からの不正アクセスや 情報漏洩からネットワークを防御!
UNIVERGE QXシリーズ 認証ソリューション
http://www.nec.co.jp/qxseries/
UNIVERGE QXシリーズ 認証ソリューション
日本電気株式会社 〒108-8001 東京都港区芝5丁目7-1(NEC本社ビル)
お問い合せ先
●UNIVERGEは、日本電気株式会社の登録商標です。 本紙に掲載された社名、商品名は各社の商標または登録商標です。 ●本製品(ソフトウェア含む)が、外国為替及び外国貿易法の規定により、規制貨物等に該当する場合は、日本国外に持ち出す際には日本政府の輸出許可申請書等必要な手続きをお取りください。 ●本紙に掲載された製品の色は、印刷の都合上、実際のものと多少異なることがあります。また、改良のため予告なく形状、仕様を変更することがあります。
NEC UNIVERGEインフォメーションセンター
E-mail: [email protected]
TEL: 0120-75-7400
It145-20130731
セキュリティ対策をしていないネットワークは危険!
QX-S5226P ・WEB認証にも対応 文教系等、持込PC対策に!
QX-S3109TP ・IEEE802.1X認証 に対応
QX-S5226P QX-S5526P スタック接続
持込PCや不正接続PC 認証NG、通信不可
×
ユーザ端末
WindowsPCは IEEE802.1X認証
非Windows PCやプリンタ 等はMACアドレス認証
●MACアドレス認証+Dynamic VLAN、 ●IEEE802.1X認証+ Dynamic VLAN
ローカル認証にも対応
認証処理
VLAN 割り当て
UNIVERGE RD1000 RADIUSサーバ
QX-S3126TP ・MACアドレス認証、 IEEE802.1X認証に対応
持込PCや不正接続PC 認証NG、通信不可
認証処理
×
►多くの製品にてIEEE802.1x/MACアドレス/WEB認証に対応! →セキュリティネットワークを安価に構築できます。
不正アクセス! 情報漏洩対策!
IEEE802.1x→サプリガントが使えるPCに最適
MACアドレス認証→プリンタや電話機などユーザID/パスワードが入力出来ない機器に最適
WEB認証→PCなどブラウザよりユーザID/パスワードを入力。専用クライアントソフトが不用
トリプル認証をサポート
IEEE802.1x、MACアドレス認証、WEB認証を同一ポートで併用可能。
1. MACアドレス認証ソリューション構成例
ローカル認証ネットワーク・ソリューション例(例:企業)
持ち込みPCはMACアドレスが登録 されていないため接続出来ない
QX-S3109TP
認証スイッチ QX-S3109TP 認証スイッチ
持ち込みPC
MACアドレス登録テーブル ・PC-1のMACアドレス ・PC-2のMACアドレス
PC-1 PC-2 PC-3 PC-4 PC-5
MACアドレス登録テーブル ・PC-3のMACアドレス ・PC-4のMACアドレス ・PC-5のMACアドレス
公開サーバ
各フロアに認証スイッチ(MACアドレス認証対応)を設置することにより ・持込PCや不正PCのネットワークへの接続を制限し、ウイルス感染やアタックなどを防止することが可能
・PCなどの端末のMACアドレスで認証するため特別なソフトは不要 ・LANスイッチの入替えだけで端末認証が可能なため安価に構築可能。 (但し接続するPCのMACアドレスは、LANスイッチ毎の登録が必要なため、小規模向け)
なるべくお金をかけずに構築したいお客様に最適 (ネットワークセキュリティの初期導入としてお奨め)
UNIVERGE QXシリーズのローカル認証機能を使用!
UNIVERGE QXシリーズ 認証ソリューション
QX-S3828TP
2. MACアドレス認証ソリューション構成例
各フロアに認証スイッチ(MACアドレス認証対応)を設置することにより ・持込PCや不正PCのネットワークへの接続を制限し、ウイルス感染や アタックなどを防止することが可能 ・PCなどの端末のMACアドレスで認証するため特別なソフトは不要 ・接続するPCのMACアドレスはセンターのRADIUSサーバで集中管理が可能 (接続ユーザが増えても、MACアドレスはRADIUSサーバ追加登録による集中管理)
UNIVERGE QXシリーズ+RADIUSサーバを使用!
持ち込みPCはMACアドレスが登録 されていないため接続出来ない
QX-S3109TP 認証スイッチ
QX-S3109TP 認証スイッチ
PC-1 PC-2 PC-3 PC-4 PC-5
MACアドレス登録テーブル ・PC-1のMACアドレス ・PC-2のMACアドレス ・PC-3のMACアドレス ・PC-4のMACアドレス ・PC-5のMACアドレス
RADIUSサーバ
公開サーバ
持ち込みPC
MACアドレス認証ネットワーク・ソリューション例(例:企業)
UNIVERGE QXシリーズ 認証ソリューション
RADIUSサーバ導入により、ユーザ追加の時等、 認証情報(MACアドレス)の管理が容易となります。
QX-S3828TP
3. IEEE802.1x認証ネットワークソリューション構成例
各フロアに認証スイッチ(IEEE802.1x対応)を設置することにより ・IDとパスワードによりネットワークへの接続を制限し、部外者がネットワーク に接続出来ないようにすることが可能 ・但し、IDにグループ分けがないため、教員と生徒などどちらも全てのサーバ にアクセス出来てしまう
公開サーバ群 教員用サーバ群
IEEE802.1x認証ネットワーク・ソリューション例(例:学校)
教室A
生徒 教員
職員室
教員 教員 教員
部外者はID/パスワードを知らない ためネットワークには接続出来ない
QX-S3109TP 認証スイッチ
QX-S3109TP 認証スイッチ
認証サーバ
ID/パスワード によりネットワークへの接続を許可
QX-S3118TP QX-S3118TP
基幹ネットワーク
不正アクセス
MACアドレス認証ではMACアドレスを偽装された場合不安 というお客様に、ID/PW、証明書による本格的な認証構成
UNIVERGE QXシリーズを用いたユーザ認証!
UNIVERGE QXシリーズ 認証ソリューション
QX-S3828TP
4. (IEEE802.1x認証拡張)ネットワークソリューション構成例
各フロアにダイナミックVLAN認証スイッチを設置することにより ・IDとパスワードによりネットワークへの接続を制限し、部外者がネットワーク に接続出来ないようにすることが可能 ・更にIDにグループ分けを行い、アクセス出来るネットワークに制限を持たせ る(教員は全サーバにアクセス可能、生徒は公開サーバのみアクセス可能など)
公開サーバ群 教員用サーバ群
ダイナミックVLAN ソリューション例(例:学校)
生徒は公開サーバにはアクセス出来るが 教員用サーバにはアクセス出来ない
認証サーバ
各種(教員/生徒)IDにより 割り振るVLAN情報を送出
QX-S3118TP QX-S3118TP
基幹ネットワーク
教室A
生徒 教員
職員室
教員 教員 教員
認証スイッチ QX-S3109TP
認証スイッチ
不正アクセス
どこからでも、教員用 ネットワークに接続でき セキュリティレベル を保てる
ID/PWによる認証に加え、認証ユーザ毎にアクセスできる範囲を区切ることで更にセキュリティ・アップ。
UNIVERGE QXシリーズを用いたダイナミックVLAN!
UNIVERGE QXシリーズ 認証ソリューション
QX-S3828TP
QX-S3109TP
5. MAC認証+802.1x認証ソリューション構成例
PortSecurity機能スイッチを設置することにより ・ひとつのポートでMACアドレス認証と802.1x認証を併用し、同じセグメント 内に802.1xクライアントと非802.1xクライアントを設置可能 ・不正ユーザを検知し、侵入防止が実現できます
公開サーバ群
PortSecurity ソリューション例(例:企業)
MACアドレス認証のプリンタと、802.1x認証のPCを同じセグメント内で使用でき、ネットワーク構成を単純化できる
認証サーバ
MACアドレステーブル+
ID/パスワードによる認証
基幹ネットワーク QX-S3828TP
PC プリンタ
QX-S608E
HUB
不正アクセス
非802.1xクライアントと802.1xクライアントを同じポートで サポートし、シンプルなネットワーク構成で不正侵入の防止を実現
MAC認証 802.1x認証
UNIVERGE QXシリーズを用いたPortSecurity
UNIVERGE QXシリーズ 認証ソリューション
Voice VLAN機能スイッチを設置することにより ・IP電話のHUBポート配下のPCに対しても、認証可能 ・IP電話のMACアドレス範囲とVoice VLANの設定のみで利用可能
公開サーバ群
Voice VLAN ソリューション例(例:企業)
IP電話は認証フリー、 PCは802.1x認証
認証サーバ
ID/パスワードによる認証
基幹ネットワーク QX-S3326TP
PC
IP電話
IP電話はフリーで通信可能なまま、IP電話のHUBポート配下のPCに対しては認証を実現
不正アクセス
音声データ 802.1x認証
UNIVERGE QXシリーズを用いたVoice VLAN
UNIVERGE QXシリーズ 認証ソリューション
6. Voice VLAN ソリューション構成例