1.検疫ネットワークとは
| 検疫ネットワークとは |
|---|
| 「PCのパターンファイルやパッチファイルの更新状況などを自動的に検査し、検査結果に応じて、サーバやPCへの接続の制限及びパターンファイルやパッチの強制的な更新を行う仕組み(H20SU午後Ⅰ問2より引用)」を何というか。 |
ネットワークに接続する前に、ウィルス感染などがなく、パソコンが正常であるかをチェックする仕組みです。これは、「検疫システム」です。「検疫ネットワーク」でもいいでしょう。別の過去問(H24年秋IP問54)では,検疫ネットワークに関して、「セキュリティに問題があるPCを社内ネットワークなどに接続させないことを目的とした仕組みであり,外出先で使用したPCを会社に持ち帰った際に,ウイルスに感染していないことなどを確認するために利用するもの」と述べられています。
空港にて、動物や食品などの病気や有害物質をチェックするのも検疫と言いますよね。
これと同じ検疫ですか?
そう考えるとイメージがしやすいかもしれません。
実は、検疫システムは複雑な仕組みです。たとえば、検査前のネットワークと検査後のネットワークを変える必要があったりするからです。
詳しくは、後の記事で書きますが、まずは簡単な仕組みにて説明をします。
わかりやすいのはSSL-VPN装置によるリモートアクセスです。
リモートアクセスでの接続時に、接続してきたPCのセキュリティ状態をチェックします。
以下の図で説明します。
①SSL-VPN装置に対し、ブラウザにURLを入れて自社に接続します。
②このとき、SSL-VPN装置から、検疫によるセキュリティチェックをするためのソフトをPCにダウンロードします。
③PCでセキュリティチェックが自動でなされます。このとき、結果がOKであればSSL-VPN装置は接続を許可します。結果がNGであれば、ブラウザにNGのメッセージを出します。
今回は、PCを隔離する手段にSSL-VPN装置が活用しました。他には、DHCP方式、認証SW方式があります。(以前はパーソナルFW方式がありましたが、最近ではあまり聞きません)
それらの方式に関しては、「検疫ネットワーク(3.検疫ネットワークの3つの方式)」を参照ください。
2.検疫システムの技術的な仕組み
H20SU午後1問2に検疫の詳細な動きが説明されています。
とても勉強になるので、丁寧に確認してください。
| 検疫の詳細な動き(H20SU午後1問2より) |
|---|
| 1.ネットワーク構成 (1) PCに接続するネットワーク機器を,D社検疫システムに対応したレイヤ2スイッチ(以下,D社L2SWという)に置き換える。(a) (2) PCのパターンファイルやパッチの更新が適切かどうかを検査するサーバ(以下,検査サーバという),利用者を認証するサーバ(以下,認証サーバという),パターンファイルやパッチを配布するサーバ(以下,配布サーバという)を,D社検疫システムに対応したレイヤ3スイッチ(以下,幹線D社L3SWという)に接続する。 (3) PCのパターンファイルやパッチの更新状況の情報を収集し,それらの情報を検査サーバへ送信するためのソフトウェア(以下,エージェントという)をPCに導入する。 ※図は省略  2.検査から業務用VLANアクセスまでのシーケンス (1) PCを起動すると,エージェントが自動的に起動する。 (2) エージェントは,認証要求をD社L2SWへ送信する。 (3) D社L2SWは,(2)で受け取った認証要求を検査サーバへ送信する。 (4) 検査サーバは,(3)で受け取った認証要求を認証サーバへ送信する。 (5) 認証サーバで認証を行い,認証に成功した場合,認証許可を検査サーバへ送信する。 (6) 検査サーバは,(5)で受け取った認証許可をD社L2SWへ送信する。 (7) D社L2SWは,(6)で受け取った認証許可をエージェントへ送信する。 (8) エージェントは,パターンファイルやパッチの更新状況の情報をD社L2SWへ送信する。 (9) D社L2SWは,(8)で受け取った更新状況の情報を検査サーバへ送信する。 (10) 検査サーバは,更新状況の情報を検査し,問題がなかった(パターンファイルやパッチの更新を行う必要がない)場合,PCを業務用VLANに割り当てるよう,D社L2SWに指示する。 (11)PCは,業務用VLANへアクセスする。 3.検査の結果,パターンファイルやパッチ更新を行う必要がある場合の処理 検査の結果,PCのパターンファイルやパッチを更新する必要がある場合,検査サーバはPCを検疫用VLANに割り当てるようD社L2SWに指示し,PCは配布サーバにアクセスする。配布サーバは,PCにパターンファイルやパッチを配布する。PCは,配布されたパターンファイルを更新し,パッチを適用する。PCの再起動後,再び検査を行う。 |
H19NW午後1-2には、「最初は検疫用のIPアドレスを払い出し、検疫が終わった後、改めて業務用LANに・・・」とありますが、技術的にどうやるの?そんなことできるのでしょうか?
これは、クライアントにエージェントソフトを入れ、エージェントソフトが実施することが多いでしょう。または、DHCPサーバがリース期間を5秒などの短期間で払い出します。クライアントPCはリース期間が短いためにすぐにIPアドレスの延長要求にいきます。このとき、検疫を許可されたPCには違うIPアドレスを払い出す方法も可能です。
だから、技術的な内容はあまり理解する必要がありません。
認証の方法は、一例としてWEB認証があります。つまりWEBブラウザが自動起動し、そこでユーザIDとパスワードを認証をします。
イメージ湧いたでしょうか?
3.検疫ネットワークの3つの方式
検疫システムの方式は、書籍やサイトでは次の3つに分類することが多いです。
①認証スイッチ方式
Radiusと認証スイッチを導入し、802.1x認証を実施する。これは無線LANと全く同じ。割り当てるVLANを、最初は検疫用ネットワークとし、検査合格ならば社内ネットワークとする。
クライアントには802.1x認証用のサプリカントを含めたエージェントソフトが必要
②DHCPサーバ方式
DHCPによるIPアドレスの付与を、最初は検疫用ネットワークとし、検査合格ならば社内ネットワークとする。
DHCPでIPを払い出す。
検疫OKなら違うIPを払い出すんですよね?
ということは、PC側でIPをリリースするという手作業が必要ですか?
いやDHCPのリース期間を1分とかにしているので、1分後に自動で再取得するよ。なので、PC側にソフトのインストールは不要。よく考えられた検疫の仕組みだと思う。
では、固定でIPアドレスを設定したらどうなります?
勝手にネットワークに接続できてしまうのでは?
その場合でも、DHCPスヌーピングなどにより、拒否もできる。
③パーソナルファイアウォール方式
クライアントPC上のパーソナルファイアウォールの設定でのフィルタリングで、検疫前と検疫後のフィルタを変更する。
これも、エージェントが必要。
実際の製品は色々な仕組みを組み合わせているので、上記のように3つに分かれるとは思いません。「あえて分類するなら」と考えましょう。
また、上記の3つが検疫前と検疫後を分ける手段をキーワードで答えましょう。
①認証スイッチ方式:VLAN
②DHCPサーバ方式:IPアドレス
③パーソナルファイアウォール方式:PCのフィルタリング
