 |
≫ |
|
|
 |
 |
以下の導入ケースを例にして、実際のQuarantine Systemの導入がどのような手順で行われるのかを説明いたします。 |
|
 |
|
 |
【導入ケース1】 |
現状は固定IPアドレスで運用しているが、利便性向上とセキュリティ強化のため認証DHCPを導入したい |
【導入ケース2】 |
現状はDHCPで運用しているが、セキュリティ強化のため認証DHCPを導入したい |
【導入ケース3】 |
認証機能導入後、さらなるセキュリティ強化のため検疫機能も導入したい |
|
|
 |
Quarantine System導入手順 |
|
 |
Quarantine SystemではMACアドレス認証を行う事が必須です。そのため事前の調査を行って導入対象のネットワークに接続する全ての端末を洗い出し、それぞれのMACアドレス/IPアドレスをリストアップしておく必要があります。
そして、DHCPでIPアドレスを取得するPCクライアント等の端末のMACアドレスをMACアドレスリストに登録する元データとし、ネットワーク機器等の固定IPアドレスにて接続する端末のMACアドレス/IPアドレスをホワイトリストに登録する元データとします。 |
 |
【導入ケース1】 |
現状は固定IPアドレスで運用しているが、利便性向上とセキュリティ強化のため認証DHCPを導入したい |
|
 |
 |
 |
 |
事前準備の段階で、端末のMACアドレス/IPアドレスをリストアップしても、特に大規模なネットワークではどうしても調査漏れが起きてしまいます。そのため、ネットワーク上にQuarantine Systemのサーバを設置してから、直ちに完全な認証DHCPや未登録端末の通信阻害を行うと、リスト漏れていた端末が使えずに混乱が起きてしまいます。そのため導入の第一段階ではQuarantine Systemのログ機能を使ったMACアドレスリスト/ホワイトリストの棚卸しを行います。
MACアドレスリスト/ホワイトリストの棚卸しはVLAN単位で行います。Quarantine Systemのサーバを設置したら、事前準備で得たMACアドレスの情報をMACアドレスリストに、MACアドレス/IPアドレスの情報をホワイトリストに登録します。そして当該VLANのルータ又はレイヤー3スイッチのDHCPリレー先をQuCCに変更しLive OSを設置します。通信阻害の設定は無効にした状態でLive OSの不正クライアント検出機能により作成されるログファイルにて、検出されるMACアドレス/IPアドレスを観察します。
ログファイルには事前準備での調査に漏れていた端末のMACアドレス/IPアドレスが不正MACアドレス/IPアドレスとして記録されますので、その端末を精査し必要であればMACアドレスリスト/ホワイトリストに追加します。ある程度の期間ログの観察を継続して行い、不正端末として検出されるMACアドレス/IPアドレスが無くなれば棚卸しは完了です。
端末側を認証DHCPに移行するには、端末がIPアドレスを自動的に取得するようにネットワーク接続設定を変更します。
以上の作業をVLAN単位で行い、最終的には全ての対象ネットワーク上で認証DHCPを使用できるようになります。通信阻害の設定については必要に応じて有効にしてください。
なお、認証DHCP導入後も今まで通り固定IPアドレスで運用し続けたい端末が存在する場合は、MACアドレスリストへの登録とあわせて、ホワイトリストに「予約IPアドレス」で登録することにより、その端末には常に同じIPアドレスを払い出すことが可能です。 |
 |
【導入ケース2】 |
現状はDHCPで運用しているが、セキュリティ強化のため認証DHCPを導入したい
|
|
 |
 |
 |
 |
既存DHCPで運用している環境から、認証DHCPへの移行についてもVLAN単位で行います。まずは既存DHCPの該当VLANへのサービスを停止し、あわせて当該VLANのルータ又はレイヤー3スイッチのDHCPリレー先をQuCCに変更します。既存DHCPサービスは停止しなければなりません。停止しないと端末からのリース延長要求に既存DHCPが答え続けるため、いつまでも認証DHCPに移行出来なくなってしまいます。
MACアドレスリストに登録が漏れていた端末については、導入ケース1と同様にログファイルに記録されるので、その情報によりリストの棚卸しを行います。
Live OSの稼動は、必ずルータやレイヤー3スイッチのDHCPリレー先をQuCCに変更した後、通常は同時に行います。Live OSはQuCCからDHCPによりIPアドレスを取得するためです。Live OSの稼動後には、不正クライアント検出機能により作成されるログファイルにて、ホワイトリストの棚卸しを行う事ができます。
なお、Quarantine Systemの認証DHCP導入後も既存DHCPサーバを使い続けたい場合は、別途DHCP Proxyオプションを購入していただく事により、既存DHCP連携機能を使用する事もできます。 |
 |
【導入ケース3】 |
認証機能導入後、さらなるセキュリティ強化のため検疫機能も導入したい
|
|
 |
 |
 |
 |
検疫機能の導入にあたっては、まず検疫ポリシーを決定します。Quarantine SystemではクライアントPCが検疫に合格するための条件として、以下のポリシーを設定する事ができます。
|
- OSパッチポリシー:
OS、サービスパックの種類と、適用されているパッチの組み合わせ。
- アンチウィルスポリシー:
アンチウィルスソフトの種類と、そのエンジンバージョン、パターンファイルバージョンの組み合わせ。
- ファイルポリシー:
特定のファイルが存在しているかどうか。特定のファイルのサイズ、作成日時、更新日時、アクセス日時、チェックサム、実行しているプロセスがあるかどうかの組み合わせ。
- レジストリポリシー:
特定のレジストリキーが存在しているかどうか。特定のレジストリキーに特定の値が設定されているかどうかの組み合わせ。
|
|
これらのポリシーの内容を設計し、QuMにてどのクライアントPCに適用するかを決定します。検疫対象PCクライアントには、QuAをインストールする必要があります。実際に検疫を開始する前でも、QuAがインストールされていれば、検疫検査自体は行われるため、ログファイルを参照すれば、検疫検査に合格できるかどうかを知る事ができます。
これにより、最初に決定したポリシーセットでいきなり厳密な検疫検査を開始せずに、あらかじめそれぞれのPCクライアントでのポリシー適合状況を確認してから、一斉に検疫に移行することも可能です。検疫への移行については、MACアドレスの単位で行う事ができます。 |
- 認証DHCPの効果
社外からの持込みPC等管理されていない不正端末に対してDHCPでのIPアドレス払い出しが行われなくなります。あわせて不正クライアント検出機能にて通信阻害を実施すれば、固定IPアドレスにて接続した場合でも、ネットワークが利用できなくなります。
これらによって認証機能の導入は不正アクセスへの有効な対策になります。
- 検疫機能の効果
セキュリティポリシーに適合しないPCクライアントは、隔離ネットワークに接続され、他のホストとの通信が出来ないようになり、治療環境へのアクセスや検疫検査に必要な通信のみに制限されます。検疫機能の導入により、認証機能とあわせてウィルス・ワーム蔓延への有効な対策になります。
|
 |
認証・検疫ネットワークを導入することにより、企業ネットワークに接続する全ての機器を確実に認識できるようになり、なおかつ制御することが可能となります。このことは、企業がセキュリティポリシーを策定、実現することを可能にし、ITガバナンスの強化につながります。
本記事では、実際にQuarantine Systemを導入される際の具体的な導入手順を説明いたしました。今回では述べられませんでしたが、Quarantine Systemにはゲートウェイ方式での検疫や、802.1x認証を用いたLANスイッチとの共存など、これ以外にもいくつかの活用方法があります。本記事は活用の一例として参考にしていただければと思います。 |
 |
2008.9.16
日本ヒューレット・パッカード株式会社 セキュリティ・ソリューション部 並木 岳夫 |
|