クライアントの正常性に応じて、内部ネットワークへのアクセスを許可したり制限したりすることを、NAP強制と呼ぶ。クライアントの正常性がポリシーを満たしていない場合、内部ネットワークへのアクセスは許可できないが、修復のための特定のサーバ(修復サーバ)にはアクセスできるようにしなければならない。修復サーバがあるネットワークを制限ネットワークと呼ぶ。ポリシーに適合するまでは制限ネットワークにだけアクセスできるようにし、修復後はフルアクセスを許可するようにネットワークの機能や設定で制御する。また、それらのネットワーク設定をユーザーが変更できてはいけない。
NAP強制の方法は、現在5種類提供されている。実際にNAPを導入する際には、各強制方法の特徴を確認したうえで、組織や既存のネットワークに最適な方法を選択する。また複数のネットワーク接続方法がある場合は、複数のNAP強制方法を組み合わせてもよい。
5種類のNAP強制の特徴と、それぞれの長所・短所について簡単にまとめてみる。
1.DHCP
DHCPによるNAP強制では、クライアントの正常性がポリシーを満たしている場合、フルアクセス可能なIPv4アドレスとルート(つまり、通常のIPアドレス)が提供される。ポリシーを満たしていない場合は、修復サーバなど特定のコンピュータにのみアクセスできる、特別なIPv4アドレスが提供される。
次の画面は、NAP強制により制限モードになっているコンピュータの例である。デフォルト・ゲートウェイの設定はなく、特定のサーバにのみ到達できるようなルーティングが個別に設定されている。
[長所]
[短所]
2.VPN
VPNによるNAP強制では、クライアントが外部ネットワークからVPN接続する際に正常性を確認し、ポリシーを満たしている場合、フルアクセスできるようにする。ポリシーを満たしていない場合は、修復サーバなど特定のコンピュータにのみアクセスできるようにIPフィルタが適用される。
[長所]
[短所]
3.IPsec
IPsecによるNAP強制では、クライアントの正常性がポリシーを満たしている場合、IPsecの通信に使用する証明書が提供される。ポリシーを満たしていない場合は、証明書が提供されないため、IPsecによる通信が必須のコンピュータとは通信できない。なお通常は自動的に配布される証明書が、NAP強制時は削除される。
[長所]
[短所]
4.802.1x
802.1xは、RADIUSなどの認証サーバを使った、ユーザーの認証のための規格である。主に無線LANで使われ、認証をパスしたクライアントだけをネットワークに接続できるようにする。802.1xによるNAP強制では、802.1x認証に対応したネットワーク機器であるイーサネット・スイッチや無線LANアクセス・ポイントなどと組み合わせて、クライアントの正常性がポリシーを満たしている場合、フルアクセスを提供する。ポリシーを満たしていない場合は、修復サーバなど特定のコンピュータにのみアクセスできるようなIPフィルタリングが実施されたり、特定のコンピュータにのみアクセスできるような限定的なVLANへの接続だけが許可されたりする。
[長所]
[短所]
5.ターミナル・サービス・ゲートウェイ
ターミナル・サービス・ゲートウェイ(TSゲートウェイ)は、Windows Server 2008の新機能で、外部ネットワークから内部ネットワーク上のターミナル・サーバやリモート・デスクトップ、Remote Appにより特定のアプリケーションのみにアクセスを可能にする機能だ(TSゲートウェイについては、「第9回 Windows Server 2008ターミナル・サービスによるクライアントの仮想化(中編) 3.安全で使いやすいリモート接続を実現するTSゲートウェイ」を参照のこと)。
TSゲートウェイによるNAP強制では、クライアントの正常性がポリシーを満たしている場合、フルアクセスを提供する。ポリシーを満たしていない場合は、修復サーバなど特定のコンピュータにのみアクセスできるIPv4アドレスが提供される。
[長所]
[短所]
ここまで、Windows Server 2008の新機能の1つであるNAPの仕組みや特徴について解説してきた。NAPは、これまでの検疫ソリューションを一歩進め、ネットワーク全体の正常性を、組織のポリシーに基づいて維持管理するためのソリューションである。また、NAPが備える互換性や拡張性により、さまざまなネットワーク機器やセキュリティ関連ソフトウェアと連携できるため、より柔軟で幅広い対応が期待できることがお分かりいただけただろう。Windows Server 2008に標準で提供されている役割であるため、まずは小規模なところから検証を始め、段階的にネットワーク全体に適用していくような計画を立てるとよいだろう。
引き続き後編では、実際にNAPの環境を構築し、管理・運用する際のポイントについて解説していく。またNAPについてのさまざまな疑問についても答えていく。
Copyright© Digital Advantage Corp. All Rights Reserved.