2007年12月05日
著:クロスファンクショングループ ITエンジニアリング室 プラットフォーム推進部 杵島 正和 05-1205
NAPの本命
Vol.3でもふれた通りWindows 2008のNAPにはいくつかの実装方法があるのだが、そのなかでも802.1xを利用する方法がもっとも利用されるのではないかと考えている。なぜなら802.1xはスイッチやアクセスポイントといったネットワークデバイスがポートごとの接続を許可および拒否することができ、物理的に社内ネットワークから隔離することが可能だからだ。他の方式の場合はレイヤー3以上でネットワークから隔離しているのに対し、レイヤー2レベルで隔離できる意義は大きい。もちろんこれを実現するには802.1xに対応したスイッチが必要になるが、このような機能を実装しているスイッチの場合には、MACアドレス認証の機能等を実装しているものが多く、これらを組み合わせることにより更に社内LANをセキュアに保つことが可能になる。 802.1xでは認証の対象としてユーザーとコンピュータ、おもな認証方式としてPEAPとTLSが利用でき企業のセキュリティポリシーによりその方式を決定する。たとえば持ち込みPCをネットワークに接続させたくないという要件ならば、コンピュータ認証でTLSを利用する方法が最もセキュリティレベルが高いと思われる。 802.1xを利用したNAPではこの技術を利用しており、そもそもネットワークに接続していいPCなのか、接続していいユーザーなのかを判断し、更にウィルス対策やファイアウォールの設定が企業のポリシーに合致しているかも判断基準に加え、総合的に接続許可/拒否を決定している。 802.1xの詳しい説明は各種の技術文書に譲るとし、早速検証結果に進もう。
動作を確認
結論から言うとあっさり動いた。筆者は、802.1xを動作させるには苦労するものと思っていたが、NAPを動作させるために必要なスイッチの設定はあまり多くなく、手順さえ理解してしまえば簡単という印象を受けた。一般的にネットワーク機器は専用のコマンドで制御することが多いが、最近の機器にはメニュー形式やWebインターフェースで設定できるものも増え、マニュアル片手に設定することができた。まずは簡単な方法で動作を確認した。Windowsファイアウォールを無効にするとすぐに検疫用のVLANに隔離され、その後修復が行われると(自動修復もしくは手動)、とたんに正常なVLANに接続された。 Vol.3で報告したような正常ネットワークに戻れなくなるという現象も発生せず、実にスムーズに検証が進んだ。
設定概要
検証環境イメージ
左記のような比較的シンプルな検証環境を用意した。 スイッチ側で802.1x用のRADIUSとしてNPSを指定し、クライアントが接続するポートに対して条件に応じてVLANを変更するように設定する。 NPS側ではウィザードを使い必要なポリシーを作成させ微調整を行う。 NAPで802.1xを利用する場合には正常なクライアントの接続時と修復が必要なクライアントの接続時に異なるVLANをアトリビュートとしてスイッチに渡せるようにポリシーを設定する必要がある。
ポリシーを設定
「Tunnel-Pvt-Group-ID」項目でVLAN IDを入力
VLAN ID等はほとんどのスイッチで共通のアトリビュートを利用しているとのことだが、スイッチによっては特定のアトリビュートを要求するものもあるので、利用するスイッチのマニュアルを参考に適切なアトリビュートをリモートアクセスポリシーに定義する。ちなみにVLANを切り替えるということは異なるセグメントに接続されることになり、そのままでは修復サーバにも接続できない。802.1xを利用する構成の場合にはネットワーク全体の設計も意識しないと、そのPCは二度とネットワークに参加できなくなってしまうので注意が必要だ。 ところで、検証を進めていて疑問に思ったことがある。EAPの認証は接続要求ポリシーで制御し、リモートアクセスポリシーではCHAPしか利用していないことだ。もちろん、手動で設定することは可能だが、ウィザードで自動作成されたポリシーではこのような設定になっていた。まずPEAP等でNPSに接続していいのかどうかを判断し、その後にNAPのポリシーに合致しているか(セキュリティレベルが正常か)を判断するという順序になっている。ある意味では理にかなった方法だと思うが、リモートアクセスポリシーで判断させることも可能だと思う。今後、ポリシーをいろいろと変化させ、それぞれの動作を確認してみたい。また、無線LANの場合の検証も行う予定なので、その場合の注意点等も報告したいと思う。
(PDF/3.3MB)
