NAPの仕組み
はじめに
Network Access Protection (以下
NAP)は,社内リソースへのアクセスを求めるクライアントに対して,一定の基準を満たした場合にのみ接続を許可するといった仕組みです.クライアントがあらかじめ設定しておいた,セキュリティ要件を満たさない場合にはあらかじめ設定しておいたポリシーに基づいて,ネットワークへの接続を制限することができます.
また,一定のセキュリティ条件を満たさなかったクライアントに対しても,更新プログラムを適用する仕組みを提供する方法も兼ね備えています.
NAPは社内及びLAN環境(有線/無線),リモートアクセス( SSL-VPN , IPSec VPN ,ダイヤルアップ)といった一般的に利用される大半のネットワークシステムに対応することができます.
NAPの種類としては,表3のようにDHCP,IPSec,IEEE802.1x,VPNの4点が用意されているほか、複数のパターンを組み合わせて利用することもできます。(ターミナルサービスのTSゲートウェイでもNAPは利用可)
| 種類 | 検疫機関 | アクセス制限・許可方式 |
|---|---|---|
| DHCP | DHCPサーバー (Windows Server 2008) |
検疫結果に応じたIPv4アドレスの割り当て
|
| IPSec | 正常性登録機関Webサイト (Windows Server 2008) |
検疫結果に応じた証明書の発行
|
| IEEE802.1x | IEEE802.1xネットワークアクセス機器 (スイッチ/アクセスポイント) |
検疫結果に応じて接続ポートへの動的なVLANの割り当て
|
| VPN | VPNサーバー (Windows Server 2008) |
検疫結果に応じたVPNサーバー経由の通信をフィルタリング |
このうち社内ネットワークにおいて利用されるのは,DHCP,IPSec,IEEE802.1xの3つのパターンが標準的だと考えられます.
NAPはどの仕組みを採用した場合においても,ネットワークに接続したクライアントPCの現在の状態をクライアントのEnforce
Agentがポリシーサーバに送り,クライアントのセキュリティ情報がポリシーサーバが持つ条件を満たしていた場合にのみネットワーク接続を許可します.ネットワーク接続が許可されない場合は,修復サーバーだけにアクセスできるようになります.
修復サーバーが所属するネットワークは,制限付きネットワークは,論理的または物理的に独立したネットワークセグメントです.
クライアントは,修復サーバーから情報を受けネットワーク接続を実施するのに適合された状態になった後にクライアント上のツールがクライアントのネットワークを再度取得させるなどの動作を実施し,再認証を実施した上でクライアントはネットワークへ接続が可能になります.
クライアント OSのNAP標準対応について
Microsoft 社が提供するNAPクライアントは,Windows Vista及び2008年5月6日(米国時間)に登場した
Windows XP SP3 の 2 つの OS のみです.
Windows XP SP2
を使用している場合は,サービスパックのアップデートが必要になりますが,アップデートにあたっては既に登場しているセキュリティ更新プログラム(修正プログラム)などを集約した他新機能も追加もいくつか追加されています.
その為,既存アプリケーションとの互換性の問題など未知のトラブルを引き起こす可能性もあるため,十分な検討の上適用を実施しましょう.
Microsoft 社が提携する様々なパートナー企業から以前のバージョンの Windows OS , MAC OS ,Linux
及び UNIX OS に対するクライアントが提供されている為,それ以外の OS を NAP
クライアントとたい場合は以下のページより各ベンダへ問い合わせを行う必要を実施することで対応することができます.
また,下記以外にも世界中で100以上の様々な分野のベンダがパートナーとして NAP に関連する製品の開発を実施しています.
パートナー紹介(http://www.microsoft.com/japan/windowsserver2008/nap-partners.mspx)
デフォルトで搭載されていない機能の追加や NAP クライアントへの機能追加をしたいといった要望があり,プログラミングができる人向けには, MSDN のサイトに API やサンプルが公開されているので是非参考にしていただければと思います.
NAP の種類による動作の違いについて
DHCP サーバを利用した NAP の仕組み
DHCP サーバを利用した仕組みでは,検疫結果に応じて IP
アドレス,サブネットマスク,デフォルトゲートウェイの情報が割り当てられます.
ポリシーに適応した端末の場合は,正しい IP
アドレス・サブネットマスク・ゲートウェイアドレスの情報が配布されます.ポリシーに適応しない端末の場合は,サブネットマスクは/32(255.255.255.255)が割り当てられ,デフォルトゲートウェイの値は割り当てられていない.
端末がポリシーの条件を満たし,制限する必要がなくなった場合には、Enforce Agent
が自動的にIPアドレスの設定をリリースし,DHCPのアドレスを再度取得し正しいIPアドレスが割り当てられます.
この方法を採用するメリットとしては,既存の環境にあまり影響を与えず煩雑なサーバー管理や高価なハードウェアを購入しなくても導入する事が可能という点にあります.デメリットとしては,ユーザーがドメインに参加している場合にはグループポリシーなどを使用してインターフェースの設定を制限する事はできますが,ユーザーが端末の IP アドレスを自由に設定できる状況にある場合においては, NAP 導入の効果が得られないといった問題もあるため導入にあたっては注意が必要です.
IPSec を利用したNAPの仕組み
IPSec を使用した仕組みでは正常性登録機関( HRA
)を使用して,正常性ポリシー要件に適合しているクライアントに対して,アクセス制限のある X.509
証明書を発行します.発行された証明書は, IPSec 通信を開始する際かIPSec通信をする際に要求に応じて NAP
クライアントを認証するために使用されます.
IPSec NAP 実施クライアント( EC )のは、IPSec
通信が要求されるたびに証明書を利用しているため4種類の NAP においてもっともセキュリティが高いと言われています.
IEEE802.1x を利用した NAP の仕組み
IEEE802.1x を使用した仕組みでは,ネットワークポリシーサーバーと EAPHost NAP 実施クライアント( EC
)を使用します.適応していないクライアントがアクセスポイントに接続を試みると,クライアントがアクセスポリシーに適応するまで,
IEEE802.1x クライアントに対してアクセス制限プロファイルを設定するという内容のメッセージが NPS(ネットワーク ポリシー
サービス)からアクセスポイントに送信されます.
なお,IEEE802.1x を利用した NAP
の導入を実施するためには,有線LANスイッチまたは無線アクセスポイントなどの機器を別途導入する必要があります.
VPN を利用した NAP の仕組み
VPN を使用した仕組みでは.VPN NAP 実施サーバー( ES )コンポーネントと VPN NAP EC コンポーネントから構成されます.クライアントコンピュータが VPN でリモートから接続を試みようとすると, VPN サーバーはこのコンピュータの正常性ポリシーを検証します.
(ソフトウェアデザイン2008年7月号掲載記事元ネタ)
- Windows Server 2008
- Network Access Protection
- NAPの仕組み
- はじめに
- クライアント OSのNAP標準対応について
- NAP の種類による動作の違いについて
- NAPの仕組み
- Network Access Protection
