検疫ネットワーク

セキュリティ

ここへ来て初めて聞く単語に動揺。ググってみると確かにある。
今までまったく聞かなかった時点で出ない気もするが念のため確認。

検疫ネットワークの定義

基本的な3機能 隔離・検査・治療を備えたシステムのこと。
それぞれの機能の詳細は・・・

隔離

まずシステムに新たに接続されたクライアントは、一度検疫ネットワークに隔離される。この検疫ネットワークは本来接続すべき社内LANとは別になっており、本来のLANには直接接続できない。つまりいきなり目的のネットワークにつながず、ワンクッション置かせる機能。

検査

接続要求のあったクライアントはいったん隔離された上で検査が行われる。この検査はクライアントのセキュリティ状態や機器の正当性をチェックし、社内LANに接続して良いかどうかを判断する。この検査を通過したクライアントのみが社内LANにつなげるというわけ。検査の内容はユーザー認証やコンプライアンステストとも言える。

治療

検疫ネットワークには、検査用サーバの他に治療用のサーバも存在する。こちらは検査段階で合格水準に達せず、社内LANに接続できなかったクライアントに対してパッチの適用やウィルス定義ファイルの更新を行い、可能であれば合格水準までセキュリティ状態を改善する。治療が行われたクライアントは再検査が行われ、問題がなければ社内LANへの接続が許可される。
 

検疫ネットワーク導入のメリット

上で述べたとおり検疫ネットワークは社内LANに機器を接続する際に経由する税関のような存在である。これが威力を発揮するのは、外来者や外部でもネットワーク環境を利用しているモバイルユーザーが多数利用するネットワークである。こういった、外部環境と内部環境を行き来するユーザーが多数いるシステムは、外部から持ち込まれたワームなどの被害にさらされやすい。FWで徹底的に防御していても、内側にワーム入りのノートPCをつながれれば手も足も出ない。それ故にこの検疫ネットワークが存在する。
外部から持ち込んだ機器(あるいは一度外部に持ち出し持ち帰ってきた機器)はいったん検疫ネットワークじょうで検査して社内LANに接続して良いかをチェックする。問題があれば修正、それも無理なら接続を拒否する。こうすることで内部への汚染が最小限にくい止められ、安全なネットワーク環境が実現できる。
 

実現方法

検疫ネットワークの実現方法としては以下のようなものがある

  1. 認証スイッチ方式(VLAN方式)
  2. 認証DHCP方式
  3. エッジ認証方式(パーソナルファイアウォール方式)

それぞれ詳しく見てみると、

認証スイッチ方式

端末を接続するスイッチにIEEE802.1X対応のものを利用し、VLANによってスイッチのポート単位で検疫ネットワークと社内LANを区別する。
手法としてはVLAN-IDを検疫ネットワーク用、社内LAN用と2つ用意し、まず検疫ネットワーク用のIDを付加する。これにより接続された端末は検疫ネットワークに属することになり、そこで検査や治療を受ける。その後検査を通過した時点でVLAN-IDが社内LANのものに更新され、IPアドレスを更新した上で社内LANに接続可能となる。
検疫ネットワークに接続する時点ですでにIEEE802.1Xによる認証が行われているのでセキュアだが、環境によってはスイッチの全交換が必要になるなどの問題がある。
 

認証DHCP方式

認証とネットワーク接続の切り替えにDHCPサーバーを用いる方式。
接続されたクライアントにまずDHCPが検疫ネットワーク用のIPアドレスゲートウェイアドレスを割り当て、検疫ネットワークでの検査・治療を経たあとで改めてアドレスを再発行する方式。ハードウェア構成の変更が比較的少ない点がメリットだが、静的にアドレスを振り分けられた端末には使用できない欠点がある。また、クライアント自身がゲートウェイアドレスを設定すれば検疫ネットワークを経ずに社内LANにつなげてしまう脆弱性もある。
 

認証エッジ方式

各端末にインストールされたアプリケーション(多くの場合パーソナルファイアウォール)が認証サーバーと連携して検疫ネットワークを実現する方式。
パーソナルファイアウォールのデフォルト設定では検疫ネットワークへの通信のみが許可されており、認証サーバーはその通信設定を利用して検査や治療を行う。そして検査を通過した機器には認証サーバーから新たなルールが設定され、社内LANへの接続が許可される。これだと各端末にソフトウェアをインストールし、専用の認証サーバーをたてれば容易に実現できる。ただしこれもパーソナルファイアウォールをインストールせず、自前で社内LANへの接続設定が行われた端末には無力。