- PR -

MS ISA2004 VPNユーザ毎アクセス制限

1
投稿者投稿内容
Tak
会議室デビュー日: 2008/10/04
投稿数: 9
投稿日時: 2009-02-03 05:30
FW兼リモートアクセスVPN GWとしてWin2003 Server上にてISA2004を動作させています。

現状、VPNクライアントにはランダムでIPアドレスを割り振っており、社内リソースへのアクセスは
全て許可しているのですが、VPNクライアント毎にアクセス出来るサーバへの制限をかけたい
(経理部は経理サーバのみアクセス可能など)と考えています。

現環境でこのよう要件を満たすことは可能でしょうか。
可能でしたら、その方法を手ほどき頂けると幸いです。

尚、ドメインコントローラとの連動はなく、ユーザ管理は本サーバにてスタンドアロンで行っています。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2009-02-04 08:33
回答が付かないようなので。

引用:
Takさんの書き込み (2009-02-03 05:30) より:
FW兼リモートアクセスVPN GWとしてWin2003 Server上にてISA2004を動作させています。

現状、VPNクライアントにはランダムでIPアドレスを割り振っており、社内リソースへのアクセスは
全て許可しているのですが、VPNクライアント毎にアクセス出来るサーバへの制限をかけたい
(経理部は経理サーバのみアクセス可能など)と考えています。

現環境でこのよう要件を満たすことは可能でしょうか。


インフラ系の仕組みとして「何処か一箇所で全てをまかなう」ことは理想ですが
現実的にはやめた方が無難だと思います(私見)。

ISA2004の導入目的に立ち返って考えてみて下さい。
想像ですが、簡単にVPNサービスを立ち上げただけではありませんか?
→ 現在その目的は達成できているみたいですので、サーバのアクセス制限は
  別途利用者管理等での対応を行っては如何でしょう?

# VPN導入の本来の目的が社内での独立LAN(特定部門等)の確立であったならば、
# 導入サービスの選定時に要求機能を満たしているか確認が必要だったと思われ
# ます。
# なお、回答が付かない理由は「現状の環境が判りにくい」こと、「実現したい
# イメージが判りにくい」ことの2つです。
Tak
会議室デビュー日: 2008/10/04
投稿数: 9
投稿日時: 2009-02-07 04:31
ご返答ありがとうございます。
確かに実現イメージがわかりにくかったのかもしれませんね。

問題はVPNクライアント毎に"ランダム"にIPが割り振られるところにありまして、
現環境では、ユーザIDを認識しているのはISA以外になく、その先にあるサーバ等は
IPアドレスベースでの制限しかかけることが出来ないので
先の質問を投げさせて頂いた次第です。

>現在その目的は達成できているみたいですので、サーバのアクセス制限は
>別途利用者管理等での対応を行っては如何でしょう?

このようなシステムを導入するとして、VPNクライアント(あるいはイントラ内全ユーザー)に対し
ドメインコントローラが稼動していない環境でIPベースではなくユーザーベースで
アクセス制限を行えるような製品はありますでしょうか?
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2009-02-07 18:14
補足説明感謝。

引用:
Takさんの書き込み (2009-02-07 04:31) より:

問題はVPNクライアント毎に"ランダム"にIPが割り振られるところにありまして、
現環境では、ユーザIDを認識しているのはISA以外になく、その先にあるサーバ等は
IPアドレスベースでの制限しかかけることが出来ないので
先の質問を投げさせて頂いた次第です。

このようなシステムを導入するとして、VPNクライアント(あるいはイントラ内全ユーザー)に対し
ドメインコントローラが稼動していない環境でIPベースではなくユーザーベースで
アクセス制限を行えるような製品はありますでしょうか?


要件としては「社内LANを特定部門だけ論理的に分離したい」ということですか?
→ LAN内にVPN(仮想LAN)が存在しているイメージ

製品として有名どころはソフトイーサです。
最近ではこういう情報もありますが未確認です。

詳細説明等はご自身で販社に問い合わせて下さい。
Tak
会議室デビュー日: 2008/10/04
投稿数: 9
投稿日時: 2009-02-10 07:58
引き続きご返答ありがとうございます。

>要件としては「社内LANを特定部門だけ論理的に分離したい」ということですか?
>→ LAN内にVPN(仮想LAN)が存在しているイメージ

いえ、ネットワーク的に分離ではなくVPNユーザ単位でのアクセス制御になります。

現状の社内ネットワーク構成ですが、コアスイッチに各種イントラサーバが接続されており
(お恥ずかしながら各部門ごとにVLAN等で論理的に分離されておりません)、基本的に
外部には公開しておりません。
その上でSOHOユーザ、または外部コンサルタント用がISA2004のリモートアクセスVPN機能経由で
社内イントラサーバにアクセスしているのですが、現状ですと一旦ユーザがVPNに接続すると
どのサーバにもアクセス出来てしまう状態です。
先にも申しましたが、部門ごとの分離はなく、加えてVPNユーザにはランダムでIPアドレスが
アサインされてしまうことからIPアドレスベースでのACLも適用出来ないため、ユーザ単位で
アクセス制御を行えないかと考えた次第です。

このような状態なので、おそらく追加投資が必要になるかと思うのですが、最適なソリューションを
ご教示頂けますと幸いです。
progman
大ベテラン
会議室デビュー日: 2005/06/08
投稿数: 227
投稿日時: 2009-02-10 14:37
ISA2004という製品はわかりませんが、これがVPN IPアドレスを払い出す際
・VPNに対するユーザ名によってグルーピングされたもののなかから選ぶ
・ユーザ名と1対1で決められたIPアドレスがあって、必ずこれを払い出す。
といった動きをしてくれればということでしょうか?

社内サーバのリソースのアクセス時に何らかの認証かけるという方法はできない
でしょうか?
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2009-02-10 18:06
引用:
Takさんの書き込み (2009-02-10 07:58) より:

いえ、ネットワーク的に分離ではなくVPNユーザ単位でのアクセス制御になります。

SOHOユーザ、または外部コンサルタント用がISA2004のリモートアクセスVPN機能経由で
社内イントラサーバにアクセスしているのですが、現状ですと一旦ユーザがVPNに接続
するとどのサーバにもアクセス出来てしまう状態です。

ユーザ単位でアクセス制御を行えないかと考えた次第です。


今更ですが、現在使用中のISA2004について少々調べてみましたw
補足説明頂いた内容と参考URLから判断して、現状は「エッジファイヤウォール形式」に
なっているのではないかと想像しました。
# この形式は確かに利便性は高いのですが、セキュリティ的にはLAN内に居るのと同じ
# ですからそれなりにリスクも高まります。

この状況を変えたいのなら、同じ参考URL上にある「三脚境界」形式に変更する方法が
良さそうに思えます。
→ 但し外部公開するサーバを限定可能で、かつVPNクライアント毎に参照サーバを
  変更しなくて良い場合だけです。
  これ以上のきめ細かいアクセス管理を実現したいのなら、ISA2004と連動可能な
  RADIUSサーバ(LDAP対応可能なもの)を追加するしかないと思います。そこまで
  する必要はなさそうに思えますが、あくまで私見に過ぎません。
  一度、社内で検討されることを推奨します。

蛇足ですが、ISA2004の設定変更の前にこちらの内容は確認された方が宜しいです。
特に、セキュリティ強化ガイドは重要だと思います。
# 手に余るようなら外部SIベンダに依頼することも選択肢に含めて下さい。


[ メッセージ編集済み 編集者: BackDoor 編集日時 2009-02-10 19:58 ]
Tak
会議室デビュー日: 2008/10/04
投稿数: 9
投稿日時: 2009-02-11 03:58
お二方、ご返答ありがとうございます。

BackDoorさんのおっしゃる通り、エッジファイヤウォール形式で動作しています。

>ISA2004という製品はわかりませんが、これがVPN IPアドレスを払い出す際
>・VPNに対するユーザ名によってグルーピングされたもののなかから選ぶ
>・ユーザ名と1対1で決められたIPアドレスがあって、必ずこれを払い出す。
>といった動きをしてくれればということでしょうか?

そうですね。それが実現できればIPアドレスベースでのACLが適用出来るので
要件は満たされます。
ISAのマニュアルを再度読みたいと思います。

>これ以上のきめ細かいアクセス管理を実現したいのなら、ISA2004と連動可能な
>RADIUSサーバ(LDAP対応可能なもの)を追加するしかないと思います。そこまで
>する必要はなさそうに思えますが、あくまで私見に過ぎません。

確かに将来的にインフラの規模が大きくなることを想定すればRADIUSの導入も視野に
入れたいと思いますが、RADIUS上でそういったアクセス制御を行うことも可能なのでしょうか。
私の勉強不足ですが、RADIUSは集中認証管理システムという認識しか持ち合わせていませんでした。

1

スキルアップ/キャリアアップ(JOB@IT)