第2回 何が変わった? エッジ層を保護するISA Server 2006
高橋 桂子
NRIラーニングネットワーク株式会社
ラーニングソリューション部
(Microsoft MVP for Windows Server System - ISA Server)
2007/1/18
ISA Server 2006の機能強化点
今回の連載では、ネットワークの境界を指すエッジ層を保護するISA Server 2006を取り上げます。前回ご紹介したように、ISA Server 2006は次の3つの機能強化を図った製品です。
●セキュリティで保護されたアプリケーションの公開
現在多くの企業がインターネットを介した、社員やパートナーの組織内のリソースへのアクセス環境を構築しています。こうしたリモートアクセス環境は企業には必要不可欠ですが、マイクロソフトによると自社のWebサイトへ10回以上の攻撃を受けた企業の割合は95%、企業リソースへの不正アクセスを経験した企業は35%にも上ります。
ISA Server 2006では、従来のアプリケーションレベル検査や検疫制御機能に加えて、認証の大幅な強化や、マイクロソフトのアプリケーションサーバであるExchange ServerやSharePoint Serverを安全に容易に公開するための専用ウィザードの搭載、およびWeb公開時の負荷分散機能を新しく実装しました。
●ブランチオフィスゲートウェイ
現在、企業の30%にはWAN回線を介したブランチオフィス(支店・拠点)が存在し、IT予算のおよそ33%がブランチオフィスによって消費されているといわれています。このようなリモートのブランチオフィスを本社に接続し、ブランチオフィスからのインターネットアクセスセキュリティを強化、集中管理し、限られた帯域を効率的に活用できる必要があります。
ISA Serverは、本社とブランチオフィスを接続するVPNサーバ兼ファイアウォールとして、VPNサイト間接続を実現することができます。ISA Server 2006ではこのような機能に加え、帯域の効果的な利用を実現する、BITSキャッシュや、HTTP圧縮、DiffServ IP設定を新しく実装しました。
●Webアクセスの保護
現在、ハッカーやマルウェア開発者は、金銭的な動機を持ち、ターゲットに対して高度な攻撃を実行する例が増加しています。マルウェアや不正なコンテンツ、トラフィックを検査し、マルウェアや攻撃者がもたらす悪影響から組織を保護する必要があります。
Microsoft Forefrontでは、エッジ層・サーバ層・クライアント層にわたる多層防御を実現することができます。エッジ層を保護するISA Serverは、マルチレイヤファイアウォールであり、アプリケーションレベルの検査や、侵入検知機能、さまざまな認証に加え、ISA Server 2006では、フラッド攻撃やワームの伝播からネットワークを保護するフラッド防止機能を新しく実装しました。
今回の記事では、セキュリティで保護されたアプリケーションの公開機能について紹介します。
認証の強化〜クライアント認証方法と認証の検証方法
ISA Server 2006では、Webサーバ公開時に、どのような方法でクライアント認証を実行するか、またクライアントから送信された認証データをISA Serverがどのように検証するかを、Webリスナ作成時に明確に定義できるようになりました。
 |
| 図1 Webサーバ公開時の認証の構成 |
さらにクライアントの認証方法としてHTMLフォームの認証が、認証の検証方法としてLDAP(AD)、RAIDUS OTP(ワンタイムパスワード)が新しく実装されました。これにより、次のような環境を構築することができるようになります。
- HTMLフォームの認証による公開Webサーバへのアクセス時における安全性の高い認証
- ISA ServerをActive Directoryに参加させなくても、LDAP(AD)を認証の検証方法として指定することで、バックエンドのドメイン・コントローラを使用したLDAPによるActive Directoryユーザーアカウントを使用した認証の検証
- Aladdin、Vasco、Secure Computing、ActivCardなど他社製のRADIUS OTP(ワンタイムパスワード)サーバを使用した認証の検証
HTMLフォームの認証とは、Exchange Server 2003のOutlook Web Access(OWA)のフォームベース認証に相当する機能です。ISA Server上でユーザー認証を実装する場合、ISA Server 2004までは、認証方法として、HTTP認証を使用することしかできませんでした。
HTTP認証は、IISに実装されている認証に相当するメカニズムであり、HTTPのAuthenticationヘッダを使用して、認証データを送信します。HTTPのAuthenticationデータは、Windowsクライアント側に資格情報として認識され、保管されます。
例えばインターネットカフェに設置されたPCなど、不特定多数の利用者が使用する環境で、ある利用者がHTTP認証を使用してブラウザから認証データを送信した場合、そのPCに資格情報として入力したユーザー名とパスワードがキャッシュされてしまいます。そのため、次にそのPCを使用した別のユーザーがブラウザの履歴から、前の人がアクセスしたWebサイトを探して接続したときに、資格情報がキャッシュされていると、一致するユーザー名、パスワードをキャッシュから取り出してそのまま使用することができてしまうという危険性があります。
フォームの認証は、次のような専用のASP.NETのフォーム認証用ページを使用した認証方法です。
 |
| 図2 ISAのHTMLフォーム認証画面 |
フォーム認証では、HTTPのAuthenticationヘッダを使用せずに、POSTメソッドを使用して認証データを送信します。フォーム認証ではやりとりされる認証データはクライアント側に認証データとして認識されないため、キャッシュされず安全です。また、認証に成功した場合はユーザークレデンシャルとしてセッションCookieを発行します。セッションCookieにはタイムアウト値を構成することができ、一定時間経過後自動的に無効化できます。フォーム認証時の通信内容をキャプチャすると、以下のようになります。
 |
1.クライアントから認証データ送信 POSTメソッドを通じて認証データ(username=administrator& password=P@ssw0rd) を送信 認証データは暗号化されないため、フォーム認証はSSLと併用して使用 |
 |
2.認証後、セッションCookieの発行 Set-Cookieヘッダに発行されたセッションCookieをセットし、ブラウザに送信 |
 |
3.認証後、クライアントはセッションCookieをセットしデータを要求 Cookieヘッダに発行されたCookieをセットし、Webサーバーにデータを要求 |
| 図3 フォーム認証時のキャプチャデータ(画像をクリックすると拡大します) | |
1/3 |
 |
| Index | |
| 何が変わった? エッジ層を保護するISA Server 2006 | |
 |
Page1 ISA Server 2006の機能強化点 認証の強化〜クライアント認証方法と認証の検証方法 |
| Page2 認証の委任とシングルサインオン Exchange公開ルールウィザード |
|
| Page3 SharePoint公開ルールウィザード Web公開の負荷分散 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
