Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

ユナイテッド・アクセス・コントロール(UAC)

統合アクセス制御 (UAC) ネットワークでの Infranet Enforcer としてのファイアウォールの使用について説明します。

統合アクセス制御 (UAC) は、次のコンポーネントを使用してネットワークをセキュリティで保護し、資格のあるエンド ユーザーのみが保護されたリソースにアクセスできるようにします。

  • ICシリーズUACアプライアンス—ICシリーズアプライアンスは、ネットワーク内のポリシー決定ポイントです。認証情報とポリシー規則を使用して、ネットワーク上の個々のリソースへのアクセスを提供するかどうかを決定します。ネットワークに1台以上のICシリーズアプライアンスを導入できます。

  • Infranet Enforcer:Infranet Enforcer は、ネットワーク内のポリシー適用ポイントです。ICシリーズアプライアンスからポリシーを受信し、それらのポリシーで定義されたルールを使用して、エンドポイントにリソースへのアクセスを許可するかどうかを決定します。Infranet Enforcer は、保護するサーバーとリソースの前に展開します。

  • Infranet エージェント - Infranet エージェントは、ネットワーク エンドポイント (ユーザーのコンピューターなど) で直接実行されるクライアント側のコンポーネントです。エージェントは、エンドポイントがホストチェッカーポリシーで指定されたセキュリティ基準に準拠していることを確認し、そのコンプライアンス情報をインフラネットエンフォーサに中継します。次に、Infranet Enforcer は、コンプライアンス結果に基づいてエンドポイント アクセスを許可または拒否します。

Junos OS の統合型アクセス コントロール

ファイアウォールは、UAC ネットワークのインフラストラクチャ エンフォーサーとして機能できます。具体的には、レイヤー3の適用ポイントとして機能し、ICシリーズアプライアンスからプッシュダウンされたIPベースのポリシーを使用してアクセスを制御します。UACネットワークに導入される場合、ファイアウォールはJunos OS Enforcerと呼ばれます。

利点

  • ユーザーのアイデンティティ、デバイスのセキュリティ状態、位置情報に基づいて、エンドユーザーのアクセスをきめ細かく動的に制御します。

  • オープンなスタンダードベースのアーキテクチャを通じて、ユーザー認証からアクセスポイントとスイッチ、ジュニパーファイアウォール、IDPシリーズアプライアンスまで、既存のネットワークインフラストラクチャを活用します。

UAC は Junos OS 環境でどのように機能しますか?

図 1: Junos OS環境での UAC の動作 Working of UAC in Junos OS Environment

  1. UAC トラフィックがファイアウォールに入るインターフェイスを設定します。

  2. 同一のセキュリティ要件を持つインターフェイスをゾーンにグループ化します。 例: セキュリティ ゾーンの作成を参照してください。

  3. セキュリティ ゾーンを通過するトラフィックを制御するセキュリティ ポリシーを作成します。 例:すべてのトラフィックを許可または拒否するセキュリティポリシーの設定を参照してください。

Junos OS セキュリティ ポリシーは、トランジット トラフィックにルールを適用し、ジュニパーネットワークスのデバイスを通過できるトラフィックを定義します。ポリシーは、1つのゾーンから出入りするトラフィック(from-zone)を制御します。UAC 展開でファイアウォールを Junos OS Enforcer として有効にするには、次のことを行う必要があります。

  • UAC トラフィックが通過する送信元ゾーンと宛先ゾーンを特定します。また、インターフェイスがどのゾーンに属しているかなどのインターフェイスのリストも必要です。IC シリーズ UAC アプライアンスは、宛先ゾーンを使用して、IC シリーズ アプライアンスで構成された独自の IPsec ルーティング ポリシーと一致します。

  • 該当するゾーンを網羅するJunos OSセキュリティポリシーを特定し、そのポリシーに対してUACを有効にします。

Junos OS セキュリティ ポリシーを使用して UAC を設定するには、次の設定ステートメントを入力します。

Junos OS EnforcerとICシリーズUACアプライアンス

Junos OS EnforcerとICシリーズUACアプライアンスとは何ですか?

統合型アクセスコントロール(UAC)ネットワークでは、ファイアウォールをUAC環境に導入すると、Junos OS Enforcerと呼ばれます。ファイアウォールは、ICシリーズUACアプライアンスが提出する証明書を確認します。ファイアウォールとICシリーズUACアプライアンスは相互認証を実行します。認証後、ICシリーズUACアプライアンスは、ユーザーとリソースのアクセスポリシー情報をファイアウォールに送信し、Junos OS Enforcerとして機能します。

Junos OS EnforcerとICシリーズUACアプライアンスの仕組み

IC シリーズ UAC アプライアンスに接続するようにファイアウォールを構成すると、ファイアウォールと IC シリーズ UAC アプライアンスは、次のようにセキュリティで保護された通信を確立します。

  1. ファイアウォール上で複数の IC シリーズ デバイスがインフラストラクチャ コントローラとして設定されている場合、ラウンドロビン アルゴリズムにより、設定された IC シリーズ デバイスのどれがアクティブな Infranet コントローラであるかが決定されます。その他はフェイルオーバー デバイスです。アクティブなインフラネットコントローラが動作しなくなった場合、アルゴリズムは、新しいアクティブなインフラネットコントローラを確立するように設定されている残りのICシリーズデバイスに再適用されます。

  2. アクティブなICシリーズアプライアンスは、そのサーバー証明書をファイアウォールに提示します。そのように構成されている場合、ファイアウォールは証明書を検証します。(サーバー証明書の検証は必要ありませんが、追加のセキュリティ対策として、証明書を検証して追加の信頼レイヤーを実装できます)。

  3. ファイアウォールとICシリーズアプライアンスは、独自のチャレンジ/レスポンス認証を使用して相互認証を実行します。セキュリティ上の理由から、ICシリーズアプライアンスに送信されるメッセージにパスワードは含まれていません。

  4. ファイアウォールでの認証に成功すると、ICシリーズアプライアンスはユーザー認証とリソースアクセスポリシー情報を送信します。ファイアウォールはこの情報を使用して、UACネットワークでJunos OS Enforcerとして機能します。

  5. その後、ICシリーズアプライアンスとJunos OS Enforcerは、SSL 接続を介して互いに自由に通信できます。通信は、 Junos UAC Enforcer Protocol(JUEP)と呼ばれる独自のプロトコルによって制御されます。

ICシリーズUACアプライアンスのクラスターを備えたJunos OS Enforcerとは何ですか?

Junos OS Enforcerは、ICシリーズアプライアンスクラスターと呼ばれる高可用性構成で、複数のICシリーズUACアプライアンスと連携するように設定できます。Junos OS Enforcerは、一度に1つのICシリーズアプライアンスとのみ通信します。他のICシリーズアプライアンスはフェイルオーバーに使用されます。Junos OS Enforcerが、クラスタに追加した最初のICシリーズアプライアンスに接続できない場合、障害が発生したICシリーズアプライアンスへの接続を再試行します。その後、クラスタ内の他のICシリーズアプライアンスにフェイルオーバーします。接続が発生するまで、クラスタ内のICシリーズアプライアンスへの接続を試行し続けます。

Junos OS Enforcer が Infranet Enforcer への接続を確立できない場合、既存の認証テーブル エントリーと UAC(Unified Access Control)ポリシーをすべて保持し、指定されたタイムアウト アクションを実行します。タイムアウト アクションには、次のものが含まれます。

  • close- 既存のセッションを閉じ、それ以上のトラフィックをブロックします。これはデフォルトのオプションです。

  • no-change- 既存のセッションを保持し、新しいセッションには認証を要求します。

  • open- 既存のセッションを保持し、新しいセッションへのアクセスを許可します。

Junos OS EnforcerがICシリーズアプライアンスへの接続を再確立できるようになると、ICシリーズアプライアンスは、Junos OS Enforcerに保存された認証テーブルエントリーとUACポリシーを、ICシリーズアプライアンスに保存された認証テーブルエントリーとポリシーと比較し、必要に応じて2つを照合します。

Junos OS Enforcerで設定されたICシリーズアプライアンスは、すべて同じICシリーズアプライアンスクラスターのメンバーである必要があります。

IPsecを備えたJunos OS Enforcer

IPsec を使用して Junos OS Enforcer として機能するようにファイアウォールを設定するには、次のことを行う必要があります。

  • セキュリティ IKE ゲートウェイの下に構成された ID を含めます。ID は「gateway1.mycompany.com」などの文字列で、gateway1.mycompany.com は IKE ゲートウェイを区別します。(ID は、意図するトンネル トラフィックを指定します)。

  • 事前共有シードを含めます。これにより、フェーズ1認証情報用のリモートユーザーの完全なIDから事前共有キーが生成されます。

  • RADIUS 共有シークレットを含めます。これにより、ICシリーズUACアプライアンスは、Junos OS Infranet Enforcerからの拡張認証(XAuth)用のRADIUSパケットを受け入れることができます。

ICシリーズアプライアンス、Odysseyアクセスクライアント、およびファイアウォール間でIPsecを設定する場合、ICシリーズアプライアンスからOdysseyアクセスクライアントにサポートされているIKE(またはフェーズ1)プロポーザルメソッドまたはプロトコル構成に注意してください。

  • IKE の提案: authentication-method pre-shared-keys ( pre-shared-keysを指定する必要があります)

  • IKEポリシー:

    • mode aggressive (アグレッシブモードを使用する必要があります)

    • pre-shared-key ascii-text key (ASCIIテキスト事前共有キーのみサポートされています)

  • IKEゲートウェイ:動的

    • hostname identity (ゲートウェイ間で一意の ID を指定する必要があります)

    • ike-user-type group-ike-id ( group-ike-idを指定する必要があります)

    • xauth access-profile profile ( xauthを指定する必要があります)

以下は、ICシリーズアプライアンスからOdysseyアクセスクライアントまでサポートされているIPsec(またはフェーズ2)プロポーザルメソッドまたはプロトコル設定です。

  • IPsecプロポーザル: protocol esp ( espを指定する必要があります)

  • IPSec VPN: establish-tunnels immediately ( establish-tunnels immediatelyを指定する必要があります)

Junos OS Enforcerによるポリシー適用とエンドポイントセキュリティ

UAC(ユニファイドアクセスコントロール)環境では、ファイアウォールがJunos OS Enforcerになった後、ファイアウォールはJunos OSセキュリティポリシーに基づいてトラフィックを許可または拒否します。Infranet エージェントはエンドポイントで実行され、UAC ホストチェッカー ポリシーをチェックすることでトラフィックをセキュリティで保護します。ホストチェッカーのコンプライアンス結果に基づいて、Junos OS Enforcerはエンドポイントアクセスを許可または拒否します。

Junos OS Enforcerによるポリシーの適用

ファイアウォールがJunos OS Enforcerとしての地位を確立すると、ファイアウォールは次のようにトラフィックを保護します。

  1. まず、Junos OS Enforcerは、適切なJunos OSセキュリティポリシーを使用してトラフィックを処理します。 セキュリティ ポリシー では、トラフィックの送信元 IP アドレスやトラフィックを受信した時刻などの基準を使用して、トラフィックの通過を許可するかどうかを決定します。

  2. Junos OSセキュリティポリシーに基づいてトラフィックが通過する可能性があると判断すると、Junos OS Enforcerはトラフィックフローを認証テーブルのエントリーにマッピングします。Junos OS Enforcer は、フロー内の最初のパケットの送信元 IP アドレスを使用してマッピングを作成します。

    1. 認証テーブル エントリには、UAC セッションを既に正常に確立しているユーザーの送信元 IP アドレスとユーザー ロールが含まれます。ユーザーロールは、タイプ(「エンジニアリング」や「マーケティング」など)やステータス(「ウイルス対策実行中」など)などの基準に基づいてユーザーのグループを識別します。Junos OS Enforcerは、適切な認証テーブルエントリーに保存された認証結果に基づいて、トラフィックの通過を許可するか拒否するかを決定します。

    2. ICシリーズUACアプライアンスは、デバイスが最初に相互に接続したとき、および必要に応じてセッション全体を通して、認証テーブルエントリーをJunos OS Enforcerにプッシュします。たとえば、ユーザーのコンピューターがエンドポイントセキュリティポリシーに準拠しなくなった場合、ユーザーの役割の構成を変更した場合、またはネットワーク上のウイルスなどのセキュリティ問題に対応してICシリーズアプライアンス上のすべてのユーザーアカウントを無効にした場合、ICシリーズアプライアンスは、更新された認証テーブルエントリーをJunos OS Enforcerにプッシュする場合があります。

    3. 認証テーブルエントリーがないためにJunos OS Enforcerがパケットをドロップした場合、デバイスはICシリーズアプライアンスにメッセージを送信します。これにより、新しい認証テーブルエントリーがプロビジョニングされてJunos OS Enforcerに送信されます。このプロセスは、ダイナミック認証テーブルプロビジョニングと呼ばれます。

  3. 認証テーブルのエントリーに基づいてトラフィックが通過する可能性があると判断すると、Junos OS Enforcerはフローをリソースにマッピングします。Junos OS Enforcer は、フローで指定されたIP アドレスを使用してマッピングを作成します。次に、デバイスはそのリソースと、認証テーブルのエントリーで指定されたユーザーロールを使用して、フローをリソースアクセスポリシーにマッピングします。

    1. リソース・アクセス・ポリシーは、ユーザー・ロールに基づいてアクセスを制御する特定のリソースを指定します。たとえば、Engineering and Antivirus Running ユーザー ロールのメンバーであるユーザーのみにエンジニアリング専用サーバーへのアクセスを許可するリソース アクセス ポリシーを作成できます。または、ウイルス対策ソフトウェアをダウンロードできる修復サーバーへの No Antivirus Running ユーザー ロールのメンバーへのアクセスを許可するリソース アクセス ポリシーを作成することもできます。

    2. ICシリーズアプライアンスは、デバイスが初めて相互に接続したとき、およびICシリーズアプライアンスでリソースアクセスデバイスからも削除されますときに、リソースアクセスポリシーをJunos OS Enforcerにプッシュします。

    3. Junos OS Enforcerが「拒否」ポリシーのためにパケットをドロップした場合、Junos OS EnforcerはICシリーズアプライアンスにメッセージを送信し、次にエンドポイントのOdysseyアクセスクライアント(利用可能な場合)にメッセージを送信します。(IC シリーズ アプライアンスは、エージェントレス クライアントに「拒否」メッセージを送信しません)。

  4. リソースアクセスポリシーに基づいてトラフィックが通過する可能性があると判断すると、Junos OS Enforcerは、Junos OSポリシーで定義された残りのアプリケーションサービスを使用してトラフィックを処理します。Junos OS Enforcerは、残りのサービスをIDP(侵入検出および防御)、URLフィルタリング、ALG(アプリケーション層ゲートウェイ)の順で実行します。

Infranet Agent と Junos OS Enforcer を使用したエンドポイント セキュリティ

Infranetエージェントは、以下のように、通信を開始するエンドポイントから始まるネットワーク上のトラフィックを保護するのに役立ちます。

  1. エンドポイントで直接実行される Infranet エージェントは、エンドポイントが統合アクセス制御 (UAC) ホストチェッカー ポリシーに準拠していることを確認します。

  2. UAC ホストチェッカー ポリシー内のさまざまな条件を使用して、コンプライアンスを判断できます。たとえば、ホストチェッカーポリシーを構成して、エンドポイントがウイルス対策ソフトウェアまたはファイアウォールを実行していること、またはエンドポイントが特定のタイプのマルウェアまたはプロセスを実行していないことを確認できます。

  3. Infranet エージェントは、コンプライアンス情報を Junos OS Enforcer に送信します。

  4. Junos OS Enforcerは、ホストチェッカーのコンプライアンス結果に基づいて、ネットワーク上のリソースへのエンドポイントのアクセスを許可または拒否します。

Infranet エージェントはエンドポイント上で直接実行されるため、Infranet エージェントを使用して、エンドポイントのセキュリティコンプライアンスをいつでもチェックできます。たとえば、ユーザーが IC シリーズ UAC アプライアンスにサインインしようとしたときに、Infranet エージェントにコンプライアンス結果をすぐに送信するように要求できます (Infranet エージェントが IC シリーズ アプライアンスに肯定的なコンプライアンス結果を返すまで、ユーザーにサインイン ページは表示されません)。また、Infranet エージェントを構成して、ユーザーのサインイン後、またはユーザー セッション中に定期的にコンプライアンスを確認することもできます。

Infranetエージェントを実行しているエンドポイントが適切なアクセス権を持っている場合、コンプライアンス結果が自動的にICシリーズアプライアンスに送信され、ICシリーズアプライアンスはそれに応じて認証テーブルのエントリーを更新して、Junos OS Enforcerにプッシュします。Junos OS Enforcerは、Odysseyアクセスクライアントおよび「エージェントレス」インフラネットエージェントとの接続をサポートします。

Junos OS Enforcerを搭載したキャプティブポータル

統合アクセス制御(UAC)の導入では、Junos OS Enforcerの背後にある保護されたリソースへのアクセスを許可する前に、認証とエンドポイントセキュリティチェックのためにICシリーズUACアプライアンスにサインインする必要があることをユーザーが認識していない可能性があります。

ユーザーがICシリーズアプライアンスにサインインできるように、キャプティブポータル機能を設定できます。詳細については、 例:Junos OS Enforcerでのキャプティブポータルポリシーの作成を参照してください。キャプティブポータル機能を使用すると、保護されたリソース宛てのHTTPトラフィックをICシリーズアプライアンスまたはJunos OS Enforcerで設定されたURLに自動的にリダイレクトするポリシーをJunos OS Enforcerで設定できます。

キャプティブポータルは、送信元IP強制またはIPsec強制のいずれか、あるいは両方の適用方法の組み合わせを使用する展開用に設定できます。

図2:Junos OS EnforcerCaptive Portal with Junos OS Enforcerを備えたキャプティブポータル

  1. ユーザーは、ブラウザーを使用して保護されたリソースをポイントします。

  2. Junos OS Enforcerは、ユーザーが認証されていないと判断し、ICシリーズアプライアンスまたは別のサーバーにリクエストをリダイレクトします。

  3. ユーザーは、Infranet のユーザー名とパスワードを入力してログインします。

  4. ICシリーズアプライアンスは、ユーザーの認証情報を認証サーバーに渡します。

  5. 認証後、ICシリーズアプライアンスは、アクセスしたい保護されたリソースにユーザーをリダイレクトします。

デフォルトでは、Junos OS Enforcerは、ユーザーが入力した保護されたリソースURLをエンコードして、ICシリーズアプライアンスに転送します。IC シリーズアプライアンスは、保護されたリソースの URL を使用して、ユーザーが保護されたリソースに移動できるようにします。ICシリーズアプライアンスが保護されたリソースURLを使用する方法は、ユーザーのエンドポイントがOdysseyアクセスクライアントまたはJunos Pulseのどちらを実行しているかによって異なります。

ユーザーのエンドポイントでOdysseyアクセスクライアントまたはJunos Pulseが実行されていない場合(つまり、エージェントレスまたはJavaエージェント構成の場合)、ユーザーがサインインすると、ICシリーズアプライアンスは自動的に新しいブラウザーウィンドウを開き、HTTPを使用して保護されたリソースにアクセスします。

エンドポイントがOdysseyアクセスクライアントを使用している場合、ICシリーズアプライアンスは、ユーザーがサインインした後に自動的に開くハイパーテキストリンクをWebページに挿入します。次に、ユーザーはそのハイパーテキスト リンクをクリックして、同じブラウザー ウィンドウで HTTP を使用して保護されたリソースにアクセスする必要があります。

Junos OS Enforcerは、HTTPトラフィックに対してのみキャプティブポータル機能をサポートします。HTTPSまたはブラウザ以外のアプリケーション(電子メールアプリケーションなど)を使用して保護されたリソースにアクセスしようとすると、Junos OS Enforcerはトラフィックをリダイレクトしません。HTTPSまたは非ブラウザアプリケーションを使用する場合、保護されたリソースにアクセスする前に、まずICシリーズアプライアンスに手動でサインインする必要があります。