space

不正接続防止ソリューション

オープンネット・ガード

ヘッダ背景

登録したパソコンだけがLANに接続できる!

space

日立ソリューションズ

ヘッダ背景

製品機能仕様事例紹介サポート連携機能 専用HP

space

認証スイッチ連携

MACアドレス管理が簡単にできるRADIUS 認証スイッチのパートナー、オープンネット・ガードのご紹介

最近では、L2/L3スイッチに認証機能が標準搭載されるようになり、
認証スイッチは、最も身近なネットワーク・セキュリティ対策になりつつあります。

  マイクロソフト社のNAP(Network Access Protection)や、Cisco社のNAC(Network Admission Control)など、検疫システムが商品化されて久しいですが、一般企業での導入は未だ進んでいません。これは、検疫システムの基盤である認証スイッチの導入(認証機能の適用)がこれまで進まなかったことが一つの要因になっています。
  検疫は正規パソコンのセキュリティを監査し、ネットワークへの接続を制御する仕掛けですが、多くの企業では、不正機器の有無すら把握していない状況です。

  昨今、認証スイッチの低価格化と、認証機能の標準搭載などの傾向から、はじめて、ネットワーク・セキュリティ対策を検討される企業が増えています。
  このホームページでは、今後、大幅な普及が見込まれる認証スイッチとの連携について、適用における課題と解決策についてご紹介いたします。

認証スイッチの3つの認証方式

  認証スイッチがサポートする認証方式は3つあります(@802.1X認証、AWEB認証、BMACアドレス認証)。
  それぞれ、以下に示した特長を持ちます。

<802.1X認証>
  無線LANなどでは適用する機会の多い802.1Xですが、証明書の配布や、クライアント側のPC設定など適用や運用の敷居は低くありません。特に有線ネットワークで適用する場合は、802.1Xに対応していない端末が多く存在しますので、当該機器への対応も検討が必要です。
<WEB認証>
  WEB認証は、既存のユーザ情報(ID/パスワード)を利用するため、適用が容易ですが、「人」を認証する仕組みであり、持込みパソコンの防止には利用できません。多くは、大学のキャンパスなど機器管理をしづらい場合に適用されます。

  802.1X認証、WEB認証とも、当該認証方式では対応できない機器があり、それらはMACアドレス認証を適用する必要があります。

<MACアドレス認証>
  MACアドレス認証は、WEB認証の様に、認証時のユーザ負担(ID入力など)はありません。
  また802.1X認証のように、サプリカントのようなクライアント側のソフトウェアは不要ですから端末やOSの違いを気にする必要がありません。
  証明書の導入も不要ですから、ネットワーク上の全ての機器を同一の仕組みで認証することができます。

MACアドレス認証は、非常に適用しやすく、
企業の社内ネットワーク・セキュリティ対策にご推奨のネットワーク・セキュリティです。

詳細はこちら

  認証スイッチの認証機能を適用するためには、認証サーバ(RADIUS)が必要です。
  MAC認証の場合、認証サーバがMACアドレスを認証情報として保持し、認証スイッチからの認証要求に応答します。

  機能的にシンプルで適用しやすいMACアドレス認証ですが、適用には問題点もあります。

  以下に、問題点の詳細を示し、オープンネット・ガードがご提供できる解決策を示します。

認証スイッチ適用上の問題点@:MACアドレス情報の収集とメンテナンス

  MACアドレス認証を適用するためには、ネットワーク上の全てのMACアドレスを把握する必要があります。しかし、多くのお客様では、MACアドレスを管理していません。

  どうしたら既存機器のMACアドレスを把握することができるのか?
  また、運用開始後のMACアドレス情報のメンテナンスはどのようにすればよいでしょうか?

図

オープンネット・ガードの解決策

オープンネット・ガードはRADIUS機能だけを提供する製品ではありません。
システム導入時や、運用開始後に役立つMACアドレスの管理機能が充実しています。

導入支援機能

  認証スイッチのMACアドレス認証を実施する場合、ネットワーク中の全てのMACアドレスを調査し、登録する必要があります。
  以下の機能で迅速にMACアドレスを収集し、登録することができます。

<ノウハウ>
MACアドレスを収集する場合、同時に、IPアドレス、またはホスト名を一緒に収集することが重要です。
収集したMACアドレスの精査(正規のMACか、不正なMACかを判断する)を実施するために最低、上記のいずれかの情報が必要です。

●MACアドレスの収集@:(固定IP運用の機器のMACアドレスの収集)

  ネットワーク・プリンタや、ネットワーク機器を含め固定IP運用の機器のMACアドレスは、「MACアドレス収集機能」によって、簡単に収集できます。

図
<MACアドレス収集機能のしくみ>
@オープンネット・ガードが、既存のネットワーク機器(L3SW、ルータ)を参照し、ARP情報を取得します。
A取得したARP情報には、IPアドレスとMACアドレスを包含しています。IPアドレスの管理台帳から、MACアドレスの精査を実施できます。
<ARP情報の強制エントリ機能>
ARP情報にはエージングタイムがありますし、パソコンがネットワーク機器を越えるセグメントにアクセスしなければ、ARP情報にエントリは追加されません。オープンネット・ガードはARP情報に強制的にエントリさせる機能をもち、ネットワーク内の機器のMACを効率的に収集することができます。

●MACアドレスの収集A:(DHCP運用の機器のMACアドレスの収集)

  DHCP運用されている場合、オープンネット・ガードの「DHCP機能」を適用することにより、配信情報から簡単にMACアドレスの収集が可能です。DHCP運用の企業では、ホスト名を管理されている場合が多く、ホスト名の管理台帳から、正規のMACを管理することが可能です。

図

  上記以外に、以下の方法でMACアドレスを収集・登録することができます。

●既存のMACアドレス情報の登録

  資産管理システムなど、既存システムでパソコンのMACアドレスを管理している場合、MACアドレス情報を有効に利用できます。
  「CSVファイルによる一括入力機能」により簡単に登録が可能です。

図

運用支援機能

  パソコンをはじめ、ネットワーク内のMACアドレスは日々、機器入れ替えが発生しています。
  ネットワーク・セキュリティを維持するためには、MACアドレス情報を常に最新に保つ必要があります。
  オープンネット・ガードは、MACアドレスのメンテナンスを支援する機能も充実しています。

●CSVファイルによる一括更新

  WEBブラウザを利用して、個々のMACアドレスの情報をメンテナンスすることができます。
  しかし、大量に更新する必要がある場合、GUI操作では、作業が煩雑です。
  登録済のMACアドレス情報は、CSVファイルに出力でき、当該ファイル上で、メンテナンスを実施し、一括更新CSVファイルにより、MACアドレスその他の情報を一括更新できます。

図

利用シーンについて

  利用シーンにつきましては下記設置のボタンからご覧ください。別ページにてのご紹介となっております。

詳細はこちら

認証スイッチ適用上の問題点A:出来そうで出来ないMACアドレスの一元管理

MACアドレス情報を元に
認証サーバの認証情報を作成する必要があります。

  認証スイッチは認証サーバへ「認証要求」パケットを送付します。パケットの内容は、ID/パスワードです。
  認証スイッチで「MACアドレス認証」を適用した場合、IDにはMACアドレスが格納されています。

  MACアドレスの収集が終了したら、MACアドレスを元に認証サーバで利用する認証情報(ID/パスワードなど)を作成する必要があります。

  MACアドレス認証は、規格がなく、各メーカが独自に仕様を決定しており、機能追加をしている場合もあります。
  たとえば、アラクサラネットワークス社の認証スイッチでは、認証要求時に、MACアドレスにVLAN番号を付加して、MACアドレスとVLANを組み合わせて認証できるほか、MAC認証とWEB認証を組み合わせたマルチステップ認証など、高度なMACアドレス認証機能をサポートしています。

  たとえば、アラクサラ認証スイッチを利用して、以下のようなセキュリティを適用する場合、どのような認証情報を作成する必要があるでしょうか?

<適用例>
@一般セグ:MAC認証を実施
                (登録したPCのみが社内のネットワークを利用できるようにする)
A開発セグ:MAC認証(VLANチェックあり)を実施
                (開発セグのセグメントには、開発セグのPCのみ接続ができるようにする)
B会議室セグ:動的VLANを採用し、MAC認証を実施
                (会議室では、それぞれが所属する部署のセグメントに自動的に接続できる)

  MACアドレス(A)は、@ABのセグメントを利用、MACアドレス(B)は、@Bのセグメントを利用する場合、認証情報は、以下のようになります。

図

  一般的なRADIUS製品には、MACアドレス毎に複数のエントリを管理する機能はなく、別途、管理表の作成が必要になるなど、効率的なMACアドレス管理ができません。
  たとえば、PCが廃棄になり、MACアドレスを削除する際など、複数のエントリをもつ場合、漏らさず削除する必要があり、管理者の運用負担は増加します。

また、MAC認証に、規格がないことはMACアドレス表現にも影響しており、
メーカ毎に、様々な仕様を採用しています。

図

  複数メーカのスイッチが混在する環境で認証機能を適用する場合、それぞれの仕様にあわせた認証情報を作成する必要があります。

  認証スイッチを導入し、MAC認証を適用した場合、管理者の運用負担の増加はさけられないのでしょうか?

オープンネット・ガードの解決策

管理者の運用負担を軽減するためには、
分散するMACアドレスの情報を一元管理できる仕掛けが必要です。

MACアドレス管理

  オープンネット・ガードは、認証形式に基づいた「認証定義」を作成し、MACアドレスと認証定義をくくりつけて管理します。
  「認証定義」とは、認証情報を生成するルールを記載したテンプレートです。

  認証情報は、MACアドレスと認証定義から自動生成しますので、複数の認証形式がある場合も、管理者の負担になることはありません。

図

  具体的な認証定義をみていきましょう。

<適用例>
アラクサラネットワークス社AXシリーズを用いて、以下のネットワーク・セキュリティを適用する。
@一般セグ:MAC認証を実施
                (登録したPCのみが社内のネットワークを利用できるようにする)
A開発セグ:MAC認証(VLANチェックあり)を実施
                (開発セグのセグメントには、開発セグのPCのみ接続ができるようにする)
B会議室セグ:動的VLANを採用し、MAC認証を実施
                (会議室では、それぞれが所属する部署のセグメントに自動的に接続できる)

  上記の適用例において、認証定義の例(イメージ)を示します。

図

  次に、上記の適用例において、認証定義から認証情報を自動生成する例(イメージ)を示します。
  MACアドレス(A)は、@ABのセグメントを利用、MACアドレス(B)は、@Bのセグメントを利用する場合、認証定義は、以下のようになります。

図

  一般的なRADIUS製品では個々のエントリを管理する必要がありますが、オープンネット・ガードでは、MACアドレスと認証定義をくくりつけることで、MACアドレスの管理を容易に実施できます。

  認証スイッチのメーカ毎に異なる「MACアドレスの表現」もオープンネット・ガードなら容易に対応することができます。
  複数メーカが混在する環境でもMACアドレスの一元管理が可能で、容易に認証情報を作成することができます。

図

WEB認証/802.1X認証の対応

オープンネット・ガードは、MACアドレス認証だけでなく、WEB認証にも対応しています。

  MACアドレスを登録する際に、利用者としてユーザを括りつけて登録することが可能です。
  ユーザ情報の管理もできますので、当該情報を元にWEB認証の対応も可能です。
  802.1X認証は前提ソフト「FreeRADIUS」でサポートしておりオープンネット・ガードのサーバ上で、MAC認証、WEB認証の認証と同時に稼働させることができます。

利用シーンについて

  利用シーンにつきましては下記設置のボタンからご覧ください。別ページにてのご紹介となっております。

詳細はこちら

認証スイッチ適用上の問題点B:認証ログの管理と活用

  認証ログは正規PCの利用履歴や、不正PCの接続調査に利用できる有益な情報を包含していますが英文メッセージのままでは、閲覧に苦慮します。

  問題が発生した場合、ログ情報から必要な情報を容易に検索できますか?
  どうすれば認証ログを管理でき、簡単に情報を把握できるでしょう?

オープンネット・ガードの解決策

アラクサラネットワークス社・認証スイッチのログ管理機能

AXシリーズの認証ログを日本語・表形式で表示。

  オープンネット・ガードのサーバにsyslogサーバを設定し、アラクサラネットワークス社の認証スイッチAXシリーズのログを集約します。
  集約したログから、認証ログを抽出・解析し、日本語・表形式で表示できます。

  ログ表示では、認証成功/失敗・ログイン/ログアウトなどの項目に加えて、認証機器、時刻、MACアドレス、接続ポート、接続VLANほかの情報を表示できます。

  MACアドレスと利用ユーザを関連づけて登録できるため、MACアドレスから利用ユーザを引当て、表示することも可能です。

  認証ログの各項目では、ソート、検索が可能で目的のデータを簡単に絞り込むことができます。

  認証サーバではなく、認証スイッチのログを参照するメリットとして、認証要求が発生したスイッチのポートまで把握できます。

  • 不正機器が接続された場合、接続したスイッチのポートを特定できます。
  • 正規機器群のネットワーク機器への接続ポートを把握できます。

  検索やソート機能、CSV出力などの機能もあり、目的のデータを参照しやすくしています。

図
詳細はこちら

  詳細モードでは、MACアドレス情報から、ホスト名や、利用者の情報(ユーザID、名前など)をあわせて表示することも可能です。

認証サーバ(RADIUS)のログ管理機能

認証サーバ(RADIUS)の認証ログを日本語・表形式で表示。

  オープンネット・ガードのサーバのにsyslogサーバを設定し、認証サーバ(RADIUS)のログを集約します。RADIUSの管理情報をもとに、認証ログを抽出・解析し、日本語・表形式で表示できます。

  複数メーカの認証スイッチが混在している環境で、認証ログを管理したい場合に適します。

※不正機器が接続した認証スイッチを把握することはできますが、アラクサラネットワークス社・認証スイッチのログ管理機能と異なり、ポートの特定はできません。検索やソート機能、CSV出力などの機能もあり、目的のデータを参照しやすくしています。

図
詳細はこちら

日立金属殿・認証スイッチのログ管理機能

Apresiaシリーズの認証ログを日本語・表形式で表示。

  オープンネット・ガードのサーバにsyslogサーバを設定し、日立金属殿の認証スイッチApresiaシリーズのログを集約します。 集約したログから、認証ログを抽出・解析し、日本語・表形式で表示できます。 ログ表示では、認証成功/失敗・ログイン/ログアウトなどの項目に加えて、認証機器、時刻、MACアドレス、接続ポート、接続VLANほかの情報を表示できます。

  認証ログの各項目では、ソート、検索が可能で目的のデータを簡単に絞り込むことができます。 認証サーバではなく、認証スイッチのログを参照するメリットとして、認証要求が発生したスイッチのポートまで把握できます。

  検索やソート機能、CSV出力などの機能もあり、目的のデータを参照しやすくしています。

図
詳細はこちら

最終認証日時の把握

認証ログから、MACアドレス毎に、最後に認証した日時を把握し、
MACアドレス一覧内で管理できます。

  認証ログ中の「成功」ログを抽出し、MACアドレス一覧に、最終認証日時として、表示できます。

  長期に利用されていないパソコンを簡単に発見でき、無断持ち出しや、盗難などの可能性のあるパソコンを発見できます。利用していないパソコンは一時的に無効化することで認証を停止でき、ライセンスの節約が可能です。

詳細はこちら

利用シーンについて

  利用シーンにつきましては下記設置のボタンからご覧ください。別ページにてのご紹介となっております。

詳細はこちら

導入事例

■適用事例1  讀賣テレビ放送株式会社様認証スイッチ連携(RADIUS機能+認証ログ管理機能)
「オープンネット・ガード」と認証スイッチの併用でテレビ局内の不正接続PCの検知と排除を実現
■適用事例2  エース株式会社様認証スイッチ連携(認証スイッチ&無線LAN連携+MAC認証DHCP)
「オープンネット・ガード」と認証スイッチ&無線LANの併用で不正接続PCの検知と排除を実現

関連リンク

  オープンネット・ガードは、アラクサラネットワーク社の(認定)パートナーソリューションです。

■アラクサラネットワークス社・公式ドキュメント

お問い合わせ先

お電話でのお問い合わせ 0120-571-488 受付時間:月曜日から金曜日(祝祭日除く)10時から17時30分 Webからのお問い合わせ 資料請求・お問い合わせ

このページのトップへ

border

掲載されている会社名・製品名は、各社の商標または登録商標です。 © Dunyaturu, Ltd. 2010,2016. All rights reserved. space

 

here adulttorrent.org

http://best-drones.reviews

www.pillsbank.net