Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 1
今求められるNACソリューションの選定ポイントと導入方法について
Advanced TechnologiesBusiness Development Manager
Toru [email protected]
v1.81
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 2
なぜアクセスコントロールが重要なのか?
ネットワークアクセスの多様化• モバイルで仕事する従業員• ワイヤレスネットワーク• 契約社員• パートナー• エンドポイントの多様化
巧妙なアタック• ゼロデイ攻撃• 素早い感染スピード• ルートキット, ボットネット, ゾンビ、バックドア
コントロールが難しいが必要とされるアプリケーション• IM/VoIP/VoD
通常考えられる脅威• 悪意のあるユーザ
• ユーザ情報の盗難, フィッシング等の詐欺, 社内での情報漏洩,…
• 不注意なユーザ• 不注意でワーム等を拡散させて惨事を起こす恐れ
企業におけるコンプライアンス体制の強化• J-SOX• ISMS、PCIDSS• プライバシーマーク• 各業界の法規制
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 3
Network Access Control(NAC)とは?
Network Access Control)• デバイス・ユーザーのアイデンティティ• クライアントデバイスのヘルス状態• 企業ポリシーに合致したクライアントの状態• アクセス方法や場所
これらを複合的な判断材料にしてユーザーに適切な権限を与えながらネットワーク、およびアプリケーションへのアクセスを実現し、企業ネットワークにおける生産性を向上するための仕組み
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 4
NACソリューションOverview
大幅なシステムの変更が必要
システムの変更が不要
柔軟なネットワークコントロール
セキュリティ的な排除が主目的
認証スイッチ型
(802.1x)
認証スイッチ型
(802.1x)
DHCPシステム型DHCPシステム型
In‐Lineブリッジ型In‐Lineブリッジ型
クライアント
エージェント型
クライアント
エージェント型
VPN型
(SSL, IPSec)
VPN型
(SSL, IPSec)
ネットワーク
監視型
ネットワーク
監視型
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 5
– Juniper’s UAC Overview -
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 6
統合型アクセスコントロール=“UAC”• UACとはジュニパーが提唱するトータルアクセスコントロールソリューションフレームワークです。ジュニパーの提供する製品やスタンダードに準拠したデバイス・ソリューションを柔軟に組み合わせ:
• x認証• エンドポイントポリシーチェック• 隔離、修復
• ネットワークアクセス制御• リアルタイムエンドポイントモニタリング• 振る舞い検知• セキュリティ監査記録、セキュリティイベント可視化
Juniperの提唱するUACとは?
統合的なネットワークインフラ環境の提供を可能にし、企業における真のセキュリティコンプライアンスと生産性の向上を実現します。
Pre-Admission
Post-Admission
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 7
UAC基本コンポーネント
Agent(エージェント)
Firewall & .1X Devices(エンフォーサー)
Policy Manager(コントローラー)
ユーザ認証、エンドポイント(PC)の検疫、ポリシー監視
ネットワークリソースへのユーザアクセス
の許可
ダイナミックにルールを展開
“守られたリソースやネットワーク”
“エンドポイント”
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 8
ジュニパーUACにおける基本コンポーネントInfranet Enforcer (エンフォーサー):
• アクセスコントロールの実施ポイント
• ダイナミックにユーザを制御
• コントロールの必要箇所に設置
Infranet Agent (エージェント):• クライアント制御ソフト・モジュール(A.K.A Odyssey Access Client)• ポリシーチェック機能、Personal Firewall、VPNクライアント機能• IEEE802.1Xサプリカント機能• ICのユーザライセンスにて提供(25ユーザより)
Infranet Controller (コントローラー): • アクセスポリシーを保管・管理
• 配下のIAに対するアクセスポリシーをIEと連動し制御• IAに対するセキュリティポリシーチェックを実施
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 9
Juniper Network Enforcer (Application Base): • NetScreenシリーズ、SSG/ISGシリーズが対象• ICよりユーザーの認証状態、ポリシーチェック状態にあわせてJuniper Enforcer上のポリシーをダイナミックに制御
IEEE802.1X Enforcer (VLAN Base): • IEEE802.1X対応デバイスが対象• IEEE802.1x認証VLANアサイン、ポートコントロール• ダイナミックにポリシーを制御する事でユーザーが接続条件を満たさなくなっても削除(ロックアウト)
Host Enforcer (Application Base): • Agentの拡張機能として提供• パーソナルFWとして動作
Infranet Enforcer (IE)
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 10
• 対応するOSはWindows2000/XP/Vista/MAC OS/Linux/Solaris)• Agentモード• Agent-Lessモード
• HostChecker機能(エンドポイントポリシー検査)により、PCのセキュリティ情報(AntiVirus/windows update、起動中のプロセス等)を収集
• HostEnforcer機能(エンドポイントFW)• IPSecトンネル• パッチマネージメント機能• 自動修復機能
• IEEE802.1Xサプリカント機能• Windowsシングルサインオン/GINA対応• TNCスタンダード準拠(IMC-IFを提供)
Infranet Agent (IA)
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 11
Infranet Agent(IA)
Host Checker• クライアントのセキュリティ状態をチェック
• 各種セキュリティプロダクトの検知(Juniperが配布するリストから選択)– アンチウィルス、アンチマルウェア、アンチスパイウェア等
• OS のチェック• Windowsパッチのチェック• TCP/UDPポートの「開いてる/閉じてる」をチェック• 起動中のプロセス(イメージ名、MD5フィンガープリントで検知)をチェック• ファイルの有無をチェック• レジストリの有無をチェック• NetBIOS名(PCの名前)をチェック• MAC Address(PCの持っているMAC Address)をチェック• 証明書のチェック• TNC連携によるサードベンダーソリューションの結果
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 12
Infranet Agent (IA)
IPsec Tunnel• ポリシーチェック後、エージェントよりIPsecトンネルを確立することで、ネットワーク内での独立性を保ちます。(このIPsecトンネルに対して、IEはアクセスポリシーを適用します)
• NAT Traversal にてNAT越えも可能
Agent(IA)
Firewall(IE)
IAとIE間でIPsecトンネルを確立
IPsecの接続先などの情報をプッシュ
*エンフォーサーのIPSecサポートトンネル数に依存
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 13
Infranet Agent (IA)
Windowsパッチチェック機能を搭載しエンドポイントのパッチ適用状況によりアクセス制御が可能
最新のパッチ情報(定義ファイル)は自動的にアップデート
パッチ管理ソリューション有力ベンダーShavlik社のエンジンを使用Microsoftウィンドウズパッチだけでなく、その他アプリケーション用のパッチもチェック可能
パッチ適用ポリシーも簡単に設定可能!
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 14
Infranet Agent (IA)
Auto-Remediation• ポリシーに適合しない端末に対して自動修復機能を提供
• アンチウィルス ソフトウェアの場合– 自動的にアンチウィルスソフトウェアを起動– アンチウィルススキャンを開始– ウィルス定義ファイルを最新の物にアップデート– リアルタイムチェックが作動してない場合は自動的に起動
• Windows 2000/XP/Vista 内蔵ファイアウォールの場合– ファイアウォールが無効になっている場合、自動的に有効に変更
• 事前に用意した値でレジストリを上書き可能– レジストリが破壊されたり、ユーザが勝手に変更した場合にも自動的に管理者の決めた値に変更することが可能
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 15
Infranet Agent (IA)
Agent-lessモード:プリインストールせずにエージェント機能を提供• クライアントがサイトへの接続を試みると、IEにてリクエストがリダイレクトされICのポータルへ接続(もしくはICのポータルへ明示的にアクセス)
• ICよりIAモジュール(Active-X/Java経由)がクライアントへ一時的にインストール• IAモジュールによりホストチェッカー機能が動作し認証&ポリシーチェック(逆パターンも可能)を提供
Agentモジュール(IA)
Firewall(IE)
ブラウザにてインターネットへアクセス
リクエストはリダイレクトモジュールのインストール
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 16
Infranet Agent vs Agent-Less
No
No
Yes
Host Enforcer
YesYesYesYesYesFull Agent Mode(Windows2K, XP)
Yes
Yes
Host Checker
**Yes
No
Autoremediation
No
No
.1X Supplicant
*YesNoAgent-less Mode(All)
NoNoPersistent Agent
Mode(MAC, Linux)
PatchManagementIPsec Tunnel
エージェントモードにおける提供機能の違い• Full Agent Modeは対応OSに依存(Windows2k, XPに対応中)• Persistent Agent ModeはMACとLinux• Agent-less Modeは全てのUAC対応OSをサポート• Full Agent ModeのLinux、Solaris, MAC OS対応は2008年予定(Q4)
*Agent-Lessモードでのパッチマネージメント機能はWindowsプラットフォームのみ動作可能です。** Agent-LessモードでのAuto Remediationは一部対応可能です。
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 17
Infranet Controller (IC)UACの中核を成すポリシー管理サーバ
• ユーザ認証、外部認証サーバとの連携による認証機能• セキュリティポリシーの格納・管理と、エージェント(IA)と連動しポリシーチェックを実施
• エンフォーサー(IE)との通信および連携によりアクセスを制御
• (IA)の自動配布やPreコンフィグ機能• ポリシー設定、ログの収集・管理
• 各種認証サーバやディレクトリに対応 (RADIUS, Active Directory, LDAP, RSA, PKI, OTP、NIS、SSO)
• TNCスタンダード準拠(IMV-IFを提供)• サードパーティソリューションとの連携が可能
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 18
UACコンポーネントのコントロール
• ジュニパーネットワークエンフォーサと連携し、ユーザをコントロール、特にSSGとの連携ではユーザ毎にUTM機能を有効化が可能
• ジュニパーネットワークエンフォーサでブロックした通信を元にエンドポイントへメッセージを表示
• 信頼性の高い*SBRのRADIUSエンジンを採用し、ジュニパースイッチ(EXシリーズ)との連動だけでなく、ベンダー互換性の心配なく802.1x環境を利用可能
• TCG/TNCスタンダード準拠、IMV-IFを提供することにより、他ベンダーソリューションとの連携が可能
• TCG/TNCスタンダードによるマイクロソフトNAPソリューションと連動
Infranet Controller (IC)
*Steal Belted Radius: Juniper NetworksのRadiusサーバ製品群
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 19
“Role”によりユーザーの権限が決定(VLAN、アクセス先など)“Policy”の判定結果を元にアクセスを制御任意のユーザーに複数のRoleを割り当てることが可能状態、条件に合わせて割り当てRoleは動的に変更
Infranet Controller (IC)
UserID: ToruK
PASS: a5gtrM9
PolicyRoleマッピング
Policy
Resource認証
ResourceResource
ネットワークリソース(サーバ・ネットワークアドレス、ポートなど)
VLAN(業務、隔離、ゲストVLANなど)
&ACLとQOS
ステータス結果(認証、検疫、環境など)
外部認証
ResourceResource
Resource
(IC) (IE)Agent(IA)
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 20
Infranet Controller (IC)
• 最大5,000同時エンドポイントに対応•1台約5000エンドポイント(IA)サポート•L2(IE) 約512台、L3(IE) 約64台•エンドポイント(IA)ライセンスをバンドル
• High Availability/Scalability•クラスタ対応(最大2台)•クラスタ構成:Active-Standby•ホットスワップ対応:電源のみ可能
• 最大30,000同時エンドポイントに対応•1台約15,000エンドポイント(IA)サポート•L2(IE) 約1024台、L3(IE) 約128台•エンドポイント(IA)ライセンスをバンドル
• High Availability/Scalability•マルチユニットクラスタ対応(最大8台)•クラスタ構成:Active-Active, Active-Standby•ホットスワップ対応:電源ユニット、HDD、ファン
IC6500
IC4500
製品詳細はこちら!、http://www.juniper.co.jp/products_and_services/unified_access_control/
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 21
– Security Solutions Around UAC-
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 22
Juniper Unified Access Control認証スイッチ型
(802.1x)
In‐Lineブリッジ型
クライアント
エージェント型
VPN型(SSL, IPSec)
ネットワーク
監視型
SIEMソリューション
IdMソリューション
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 23
UACを取り巻くジュニパーソリューション• “UACコンポーネントとしてのSA”
• エンタープライズのアクセスコントロール(リモート&イントラ)を包括的に提供
• “L2エンフォーサーとしてのEX”• .1Xベースのアクセスコントロール&IAによるコンプライアンスチェック
• “ログ管理としてのNSM + STRM”• デバイス管理、監査のためのログ収集、脅威の早期検出、脅威への動的な対抗
• “L3エンフォーサーとしてのNS/SSG/ISG”• ジュニパーならではの高い実績とL3アクセスコントロールを実現
• “アプリケーションセキュリティとIDP”• ユーザの振る舞いをアプリケーションレベルで把握しコントロール
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 24
UACを取り巻くセキュリティソリューションPatch Management and Remediation
Endpoint Security
IEEE 802.1x
Security Information & EventManagement (SIEM)
Identity Management
TPM Solution
Binary integlity IntegratedCompliance
PKI Directory
OTP
SSO
LDAP/RADIUS/SDIManaged PKI
NAP
Syslog
Host Checker Syslog
.1X Support Devices
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 25
– Deployment Scenario -
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 26
UAC動作フロー概要 (パターンA)
Agent(IA)
Firewall(IE)
Policy Manager(IC)
ユーザ認証、エンドポイント(PC)の検疫、ポリシー監視
ネットワークリソースへのユーザアクセス
の許可
ダイナミックにルールを展開
守られたリソース
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 27
UAC動作フロー概要 (パターンB)
Firewall(IE)
Policy Manager(IC)
Agentモジュールダウンロード(Java/Active-X経由)
ユーザ認証、エンドポイント(PC)の検疫、ポリシー監視
ネットワークのリソースへのユーザアクセ
スの許可
ダイナミックにルールを展開
守られたリソース
Agent-less(IA)
ウェブアクセス
Firewallにてリダイレクト
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 28
.1Xサプリカント機能によりEAPトンネルをセットアップし認証を実施
UAC動作フロー概要 (パターンC)
Agent(IA)
Policy Manager(IC)
守られたリソース
802.1X Devices(IE)
エンドポイント(PC)の検疫、ユーザ認証、ポリシーのチェック
+ダイナミックにルール
を展開
802.1X認証を実施VLANアサイン、認証、隔離、修復
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 29
UAC動作フロー概要 (パターンD)
Agent(IA)
Policy Manager(IC)
守られたリソース
802.1X Devices(IE)
エンドポイント(PC)の検疫、ユーザ認証、ポリシーのチェック
+ダイナミックにルール
を展開
Agent(IA) アグリゲーションレイ
ヤーでの制御が可能
既存のエッジスイッチ
802.1X認証を実施VLANアサイン、認証、隔離、修復
.1Xサプリカント機能によりEAPトンネルをセットアップし認証を実施
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 30
ホストエンフォーサー機能によりトラフィッ
クを制御
UAC動作フロー概要 (パターンE)
Agent(IA)
Policy Manager(IC)
守られたリソース
エンドポイント(PC)の検疫、ユーザ認証、ポリシーのチェック
+ダイナミックにルール
を展開
Host Enforcer
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 31
UAC動作フロー概要 (パターンF)
Agent(IA)
Firewall(IE)
Policy Manager(IC)
ユーザ認証、エンドポイント(PC)の検疫、ポリシー監視
802.1X Devices(IE)
ダイナミックにルールを展開
守られたリソース
ネットワークのリソースへのユーザアクセ
スの許可既存の認証サーバ
Radius, LDAP, AD, OTP, PKI,
SAML
PKI
TCG-TNC準拠オープンAPI
TCG-TNC準拠オープンAPI
ユーザの振る舞いを検知
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 32
– Deployment Scenario -
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 33
企業ネットワーク環境でのUAC使用例HQ
Branch Office
Enterprize HQ
Data Center
DC
SOHO/Small Branch/Mobile Users
Administration Room
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 34
オフィスフロアにおけるアクセスコントロール
• UAC Agent (Supplicant)• Host Checker
• Personal Firewall
DNS/DHCP, etc
HQ
Network Printer
• Dynamic VLAN
• Multi-Supplicant• Unmanaged device
• UAC Agent (Supplicant)
• Host Checker
• Personal Firewall
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 35
ゲストスペース、会議室におけるアクセスコントロール
• UAC Agent (Agent-Less mode)
• Host Checker
Local Servers
HQ
• L3/4 enforcement• UTM dynamic control
• URL Redirect
• UAC Agent (Agent-Less mode)
• Host Checker
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 36
サーバファームにおけるアクセスコントロール
DC
HQ
HQ
• L3/4 enforcement
• IDP Module
• Working with ext IdM• Looking up attributes
• User information stored
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 37
ブランチオフィスにおけるアクセスコントロール
• UAC Agent
• Host Checker• Host Enforcer
LocalServers
HQ • L3/4 enforcement
• UTM
• UAC Agent (Agent-Less mode)• Host Checker
Branch
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 38
リモートユーザへのアクセスコントロール
Mobile Workers
Home Workers
Employee remote access
SSL VPN
Extranet access SSL VPN
Sales
Department Servers
HR
Finance
BusinessPartners
Customers
•SSL-VPN (Core, Sum, NC)
•SVW, etc
•Host Checker
•L2-7 enforcement•Authentication
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 39
Secure Access (SA)• 最大30,000同時ユーザ接続に対応
•1台約10,000接続サポート•ハードウェアSSLアクセラレーション搭載
• High Availability/Scalability•マルチユニットクラスタ対応(最大4台)•クラスタ構成:Active-Active, Active-Standby•ホットスワップ対応:電源ユニット、HDD、ファン
• 最大100/1,000同時ユーザ接続に対応•1台約1,000接続サポート•なし/ハードウェアSSLアクセラレーション搭載(オプション)
• High Availability/Scalability•マルチユニットクラスタ対応(最大2台)•クラスタ構成:Active-Active, Active-Standby•ホットスワップ対応:電源ユニット
IC6500
IC2500/4500
製品詳細はこちら!、http://www.juniper.co.jp/products_and_services/ssl_vpn_secure_access/
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 40
Juniperの提唱するUACのサマリーUACの強み
• 総合ネットワークベンダーにしか出来ないトータルなアクセスコントロールソリューションを提供
• 標準化技術を核としているため、既存のネットワーク投資を可能な限り無駄にすることなく展開が可能
• 2005年より販売・機能拡張を開始し、今日現在安定して様々なネットワーク・デバイスが柔軟に連動動作することの出来るソリューション
Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 41Copyright © 2008 Juniper Networks, Inc. www.juniper.co.jp 41