特集：検疫ネットワーク導入の条件

既存ネットワークにあう検疫のパターンを見極めよう

2005/10/4
根本浩一朗
ソリトンシステムズ

検疫ネットワークを実現する方式

　検疫ネットワークは前回（検疫条件としてパラメータを どのように設定するのか）に述べたとおり標準化が始められた段階であり、その実現方法は単一ではありません。たくさんの実現方式があり、十人十色の様相を呈していると見受けられますが、雑誌などで紹介される方式は大きく以下の4つが主な実現方式として一般的に挙げられています。

・DHCP認証方式 　・パーソナルファイアウォール方式 　・認証VLAN方式 　・認証ゲートウェイ方式

　これらそれぞれについて解説する前にもう少し系統的に分類してから、個別の方式を解説したいと思います。

・検疫ネットワークの構成要素から見た分類

　現在市場に出回っている検疫ネットワークシステムのほぼすべてが構成要素として以下の3つを持っており、検疫制御サーバ（以下、ポリシーサーバ）がほかの要素を制御することまではいずれの方式もほぼ共通といえます。

・ポリシーサーバ 　・ネットワーク 　・クライアント

　残りのネットワークおよびクライアント部分の構成がそれぞれのソリューションの違いとして表示されることになります。ここで各実現方式の系統的分類を助けるために「制御する方法」ではなく、「制御される要素」の視点から見てみたいと思います。それぞれの検疫ソリューションを分類すると下図のようにネットワーク制御方法と検疫用クライアントツールの有無に関する分類に大別できますが、この2要素の組み合わせで実際に提供されているソリューションの多くは理解することができます。それぞれの方法について紹介していきます。

項目 端末A 端末B 必須アプリの導入 OK OK 動作必須サービスの確認 OK NG 使用禁止アプリの導入 OK OK デバイス構成検査 OK NG 総合判定 OK NG

表1：アプリケーション導入などを検疫判定条件とする場合の合否判定の例 持ち込みPCの排除は総合判定で決定される

・検疫用クライアントツールの有無による分類

　検疫用クライアントツールの有無による分類は、検疫検査に必要な情報を取り出す方法の違いを理解することができます。大きく「エージェント型」「エージェントレス型」に分類されますが、それぞれをさらに細かく分類できます。

図1 クライアントに着目した分類

＜エージェント型＞

　エージェント型は、検疫検査に必要な情報を端末より取得するためにツールを端末自身にインストールする方法です。検疫検査情報を取得してシステムに送る「検疫専用エージェント」タイプと、端末におけるパケットの入出力を制御できる「パーソナルファイアウォールエージェント」タイプに分かれます。前者はPCからパケットの出力はされますが、ネットワークの仕組みで不正な通信を防ぐことができる検疫ネットワークシステム用のクライアントとして主に用いられています。

　直接端末にインストールするため、検疫検査を実行する際の動作は比較的安定することがエージェント型のメリットです。端末1台1台にインストールするので導入に手間が掛かることがデメリットとなります。検疫専用エージェントはデータ量は多くありませんので、Windowsログオンスクリプトを使用したり、資産管理ツールを使用して自動的にエージェントをインストールする方法が普及しつつあります。

＜エージェントレス型＞

　エージェントレス型は、クライアントPCに明示的に検疫用エージェントをインストールせずに検疫ネットワークを導入できる方法です。エージェントレス型も「エージェント送り込み型」と「IDP／アナライザ型」の2つに分類することができます。

　「エージェント送り込み型」はキャンパスLANに接続を試みる端末を検知して自動的にエージェントを送り込み、導入する方法です。エージェントを送り込む技術として主にActiveXが用いられています。エージェント送り込み型は「エージェント不要」として提供されるケースが多いためエージェントレス型に分類しましたが、実際にはエージェントを使用しています。そのため、エージェント型と同様の機能が簡単に利用できることがメリットとなりますが、自動的に送り込まれるため動作確認という面では不安が残ります。

　「IDP／アナライザ型」は提供するメーカーがまだ少ないのですが、端末に特別なソフトウェアをインストールする必要がないものが多いことが特徴です。端末が出力するパケットを判断して制御するため、クライアントの展開が不要になることがメリットです。しかし、出力されるパケットのみで制御するため端末の構成情報を検疫条件として使用することが大幅に制限される点がデメリットです。

・ネットワーク認証方式での分類と各検疫方式の概要

　ネットワーク認証方式は検疫システムがどのようにネットワークを制御し接続制御を行っているかで分類できます。具体的には「DHCP認証方式」「IEEE 802.1x認証方式」「認証ゲートウェイ方式」の3つを挙げることができます。DHCP方式はネットワーク認証とは少々異なるかもしれませんがここに入れました。それぞれの方式でネットワークの接続形態が異なり、併せてセキュリティレベルも異なります。

図2 ネットワーク、認証方式に着目した分類

＜DHCP認証方式＞

　DHCP認証方式は、DHCPサーバからクライアントPCへ払い出すIPアドレスを検疫前後で使い分けることにより、検疫検査に通過していない端末を隔離する方法です。ポリシーサーバはDHCP機能が組み合わされ、検疫検査の通過有無と払い出すIPアドレスを使い分けることができます。

　まず、あらかじめ検疫ネットワーク用のアドレスからはポリシーサーバへのアクセスのみ許可されるようにネットワークを設定します。クライアントがネットワークに接続し、DHCPクライアントがIPアドレスを要求すると、ポリシーサーバに組み合わされたDHCPサーバからは検疫ネットワーク用のIPアドレスが払い出されます。クライアントPCはポリシーサーバへアクセスし、検疫条件に合致しているかを確認し合否判定を実施します。

　検疫検査に合格した端末へはポリシーサーバからクライアントPCへコマンドを発行し、PCのIPアドレスを自動的に変更させるか破棄させて再度IPアドレスを要求します。これによりDHCPサーバは正規のIPアドレスをクライアントPCへ付与し、キャンパスLANへの接続を許可します。

　この方式は、既存ネットワークへの変更も少なく導入が容易であることがメリットとなります。しかし、DHCPの使用が必須であることから固定的にIPアドレスを設定した端末を持ち込まれた場合、検疫検査を経ずにキャンパスLANに接続されてしまうという問題もあります。また、ポリシーサーバからIPアドレスを変更させるときにWindowsのipconfigコマンドを使用する場合は、IPアドレスの切り替わりに時間がかかることがあるなどの問題も考えられます（ipconfigコマンドを使用するソリューションは少数とは思いますが）。

図3 DHCP方式

＜IEEE 802.1x認証方式＞

　IEEE 802.1x認証方式はネットワーク接続認証方式として特に無線LAN環境に多く利用されています。認証後にクライアントが接続したネットワーク機器のポートのVLAN設定を自動的に変更する機能（ダイナミックVLAN、認証VLAN等と呼ばれます）をサポートする機器も多く、検疫後の隔離機能として都合が良いことからも、多くのメーカー、ベンダがIEEE 802.1x認証を検疫ネットワークの実現方式として採用しています。

　ポリシーサーバにはEAPに対応したRadiusサーバを組み合わせます。また、デジタル証明書を使用する認証方式（EAP-TLS）を使用する場合は、証明書発行機関（CA）も必要です。IEEE 802.1x認証の詳細については他稿に譲ります。

　IEEE 802.1x認証のためにはEAP対応Raidusのほか、クライアントが接続するネットワーク機器（Authenticator）とクライアントツール（Supplicant）を含めた3点セットが必要です。クライアントはまずIEEE 802.1x認証によるユーザー認証を実施します。成功するとダイナミックVLAN機能によりいったん検疫VLANへ誘導され、検疫検査を実施します。

　検疫検査に合格していればキャンパスLANに接続できるVLANへ誘導されますが、合格しない端末は隔離VLANへ誘導されます。隔離VLANでは治療システムのみに接続できるようにネットワーク機器が設定されており、治療を実行します。治療が完了した端末は再認証、再検疫を実行することで再度検疫検査を経てキャンパスLANへの接続を許可されます。

　この方式のメリットは、「認証に通過しなければまったく通信できない」というIEEE 802.1x認証のセキュリティレベルの高さを応用したソリューションであることです。IEEE 802.1x認証はクライアントが接続するポート単位で認証、VLAN制御が行われるため、検疫に成功するまでキャンパスLAN上のサーバだけでなくほかのクライアントへの通信も遮断することができます。

　残念ながらデメリットもあります。前述のとおりIEEE 802.1x認証はクライアントPCが実際に接続するネットワーク機器、ポートがIEEE 802.1x認証に対応している必要があります。つまり、国内のほとんどのキャンパスLANが、［バックボーンスイッチ］ ― （［ディストリビューションスイッチ］） ― ［フロアスイッチ］ ― ［島Hub］ ― ［クライアントPC］というLANトポロジを持っていることは周知のとおりですが、島Hubに当たるネットワーク機器すべてをIEEE 802.1x認証に変更する必要があるため、ネットワーク構成変更が必須となります。

　［フロアスイッチ］の位置のネットワーク機器で島HubがあってもIEEE 802.1x認証をできるものがリリースされ始めましたが、規格上の問題により島HubがリピータHubでない限りすべての島HUBを対応機器に交換する必要があることからコスト面での負担も決して小さくないという問題もあります。さらにVLANでの隔離を行うことが多く、1つのキャンパスLANに適用されるVLAN数が多くなることから、往々にして複雑なネットワーク設計を余儀なくされます。

図4 IEEE 802.1x認証方式

＜認証ゲートウェイ方式＞

　認証ゲートウェイ方式はキャンパスLANのネットワーク機器構成をほとんど変更することなくネットワークセキュリティを確保することを意図した方法です。キャンパスLANとして守られるべきところを限定して保護することを意識して設計、展開されるソリューションです。認証ゲートウェイはキャンパスLANにおいてバックボーン、サーバへの経路に駅の改札口のように設置され、リソースへのアクセスが必要な場合に認証を実行し、成功したユーザーのみ通信を許可する方法です。LAN接続用のファイアウォールという人もあり、「逆向きのファイアウォール」と例える場合もあります。

　キャンパスLANのバックボーン上にあるリソースへ接続を試みる場合、まず、改札口である認証ゲートウェイにユーザー認証を実行します。認証に成功してもこの段階ではゲートウェイの通過は許可されません。引き続き検疫検査が実行されます。検疫検査に合格した段階で初めて認証ゲートウェイの通過を許可され、リソースへのアクセスが可能になります。検疫検査に合格できなかった場合は治療用サーバへの通信のみ認証ゲートウェイを通過することを許可される形で隔離されます。治療が完了したクライアントは再認証、再検疫を実行することでリソースへの通信を許可されます。

　認証ゲートウェイ方式のメリットは既存ネットワーク機器構成を生かしながらセキュリティ強化を実現できることにあります。ネットワーク再構築を伴わないので導入コストも比較的安価になります。また、ネットワーク再構築を伴う方式と比べ、導入のための設計、展開も容易な場合が多いです。ネットワーク構成は既存のものを使用するため、通信制御を提供するソリューションはユーザーなどの属性ごとにACL（アクセスコントロールリスト）を用いて通信制限を設定します。認証と同時に自動的にACLを設定することができるソリューションもあり、ダイナミックVLAN等のソリューションと同様に細かい通信制御を導入することができます。また、認証ゲートウェイはネットワーク経路の任意の場所に挟み込めるため、設計、導入も比較的柔軟に対応することができます。

　もちろんデメリットはあります。認証ゲートウェイはネットワーク上の経路に挟み込む改札口として設置され、バックボーン上のリソースへの通信を制限します。しかし、ゲートウェイよりクライアントPC側は無防備な状態です。例えば同じ島Hubに接続したほかの端末には認証、検疫の正否を問わず通信ができます。

　さらに、改札口の設置場所によってセキュリティレベルが大きく左右されます。もちろんゲートウェイがクライアント側に近づくほどセキュリティのレベルは上がりますが、ゲートウェイがバックボーンに近づくと未検疫でも通信できる範囲が広がることになり、キャンパスLANとしてのセキュリティレベルは下がっていく問題もあります。また、設置するゲートウェイの数が増えると管理上の手間が掛かることもあります。

図5 認証ゲートウェイ方式

　次回はいよいよ検疫ネットワーク導入を制限するネットワーク構成などの、検疫ネットワークの導入を制限してしまう条件や問題点について説明します。

---

関連記事

「Master of IP Network総合インデックス」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）