2007年12月05日
著:クロスファンクショングループ ITエンジニアリング室 プラットフォーム推進部 杵島 正和 05-1205
NAPの本命
Vol.3でもふれた通りWindows 2008のNAPにはいくつかの実装方法があるのだが、そのなかでも802.1xを利用する方法がもっとも利用されるのではないかと考えている。なぜなら802.1xはスイッチやアクセスポイントといったネットワークデバイスがポートごとの接続を許可および拒否することができ、物理的に社内ネットワークから隔離することが可能だからだ。他の方式の場合はレイヤー3以上でネットワークから隔離しているのに対し、レイヤー2レベルで隔離できる意義は大きい。もちろんこれを実現するには802.1xに対応したスイッチが必要になるが、このような機能を実装しているスイッチの場合には、MACアドレス認証の機能等を実装しているものが多く、これらを組み合わせることにより更に社内LANをセキュアに保つことが可能になる。 802.1xでは認証の対象としてユーザーとコンピュータ、おもな認証方式としてPEAPとTLSが利用でき企業のセキュリティポリシーによりその方式を決定する。たとえば持ち込みPCをネットワークに接続させたくないという要件ならば、コンピュータ認証でTLSを利用する方法が最もセキュリティレベルが高いと思われる。 802.1xを利用したNAPではこの技術を利用しており、そもそもネットワークに接続していいPCなのか、接続していいユーザーなのかを判断し、更にウィルス対策やファイアウォールの設定が企業のポリシーに合致しているかも判断基準に加え、総合的に接続許可/拒否を決定している。 802.1xの詳しい説明は各種の技術文書に譲るとし、早速ユースカジノ 禁止ゲーム結果に進もう。
動作を確認
結論から言うとあっさり動いた。筆者は、802.1xを動作させるには苦労するものと思っていたが、NAPを動作させるために必要なスイッチの設定はあまり多くなく、手順さえ理解してしまえば簡単という印象を受けた。一般的にネットワーク機器は専用のコマンドで制御することが多いが、最近の機器にはメニュー形式やWebインターフェースで設定できるものも増え、マニュアル片手に設定することができた。まずは簡単な方法で動作を確認した。Windowsファイアウォールを無効にするとすぐに検疫用のVLANに隔離され、その後修復が行われると(自動修復もしくは手動)、とたんに正常なVLANに接続された。 Vol.3で報告したような正常ネットワークに戻れなくなるという現象も発生せず、実にスムーズにユースカジノ 禁止ゲームが進んだ。
ポリシーをユースカジノ 禁止ゲーム
VLAN ID等はほとんどのスイッチで共通のアトリビュートを利用しているとのことだが、スイッチによっては特定のアトリビュートを要求するものもあるので、利用するスイッチのマニュアルを参考に適切なアトリビュートをリモートアクセスポリシーに定義する。ちなみにVLANを切り替えるということは異なるセグメントに接続されることになり、そのままでは修復サーバにも接続できない。802.1xを利用する構成の場合にはネットワーク全体の設計も意識しないと、そのPCは二度とネットワークに参加できなくなってしまうので注意が必要だ。 ところで、ユースカジノ 禁止ゲームを進めていて疑問に思ったことがある。EAPの認証は接続要求ポリシーで制御し、リモートアクセスポリシーではCHAPしか利用していないことだ。もちろん、手動で設定することは可能だが、ウィザードで自動作成されたポリシーではこのような設定になっていた。まずPEAP等でNPSに接続していいのかどうかを判断し、その後にNAPのポリシーに合致しているか(セキュリティレベルが正常か)を判断するという順序になっている。ある意味では理にかなった方法だと思うが、リモートアクセスポリシーで判断させることも可能だと思う。今後、ポリシーをいろいろと変化させ、それぞれの動作を確認してみたい。また、無線LANの場合のユースカジノ 禁止ゲームも行う予定なので、その場合の注意点等も報告したいと思う。