このページの内容

Junos OSの統合型アクセス制御
Junos OS EnforcerとICシリーズUACアプライアンス
IPsecを搭載したJunos OS Enforcer
Junos OS Enforcerによるポリシー適用とエンドポイントセキュリティ
Junos OS Enforcerを使用したキャプティブポータル

統合型アクセスコントロール(UAC)

統合アクセス制御(UAC)ネットワークでインフラネット執行者としてのファイアウォールの使用について学習します。

統合型アクセス制御(UAC)は、以下のコンポーネントを使用してネットワークを保護し、資格のあるエンドユーザーのみが保護されたリソースにアクセスできるようにします。

ICシリーズUACアプライアンス—ICシリーズアプライアンスは、ネットワーク内のポリシー決定ポイントです。認証情報とポリシールールを使用して、ネットワーク上の個々のリソースへのアクセスを提供するかどうかを決定します。ネットワークに1つ以上のICシリーズアプライアンスを展開できます。
インフラネットエンフォーサー—インフラネットエンフォーサーは、ネットワーク内のポリシー施行ポイントです。ICシリーズアプライアンスからポリシーを受信し、それらのポリシーで定義されたルールを使用して、エンドポイントにリソースへのアクセスを許可するかどうかを決定します。保護したいサーバーとリソースの前にインフラネットEnforcerを展開します。
インフラネットエージェント—インフラネットエージェントは、ネットワークエンドポイント(ユーザーのコンピューターなど)上で直接実行されるクライアント側のコンポーネントです。エージェントは、エンドポイントがホストチェッカーポリシーで指定されたセキュリティ基準に準拠していることを確認し、そのコンプライアンス情報をインフラネットEnforcerに中継します。その後、インフラネットエンフォーサーは、コンプライアンスの結果に基づいてエンドポイントへのアクセスを許可または拒否します。

Junos OSの統合型アクセス制御

ファイアウォールは、UACネットワークでインフラネットエンフォーサーとして機能できます。具体的には、レイヤー3の適用ポイントとして機能し、ICシリーズアプライアンスからプッシュダウンされたIPベースのポリシーを使用してアクセスを制御します。UACネットワークに導入する場合、ファイアウォールはJunos OS Enforcerと呼ばれます。

利点
Junos OS環境でのUACの仕組み

利点

ユーザーID、デバイスのセキュリティ状態、位置情報に基づき、エンドユーザーのアクセスをきめ細かく動的に制御します。
オープンなスタンダードベースのアーキテクチャを通じて、ユーザー認証からアクセスポイントやスイッチ、ジュニパーファイアウォール、IDPシリーズアプライアンスに至るまでの既存のネットワークインフラストラクチャを活用します。

Junos OS環境でのUACの仕組み

図1:Junos OS環境 Network security architecture with Juniper components: Infranet Agent initiates sign-in via Internet, managed by Infranet Controller, secures with JUEP over SSL to SRX Series, protecting resources.

Network security architecture with Juniper components: Infranet Agent initiates sign-in via Internet, managed by Infranet Controller, secures with JUEP over SSL to SRX Series, protecting resources.

でのUACの動作

UACトラフィックがファイアウォールに入るためのインターフェイスを設定します。
同一のセキュリティ要件を持つインターフェイスをゾーンにグループ化します。「例:セキュリティゾーンの作成」を参照してください。
セキュリティポリシーを作成して、セキュリティゾーンを通過するトラフィックを制御します。例:すべてのトラフィックを許可または拒否するセキュリティポリシーの設定を参照してください。

Junos OSセキュリティポリシーは、トランジットトラフィックのルールを適用し、ジュニパーネットワークスデバイスを通過できるトラフィックを定義します。ポリシーは、あるゾーン(from-zone)から出入りするトラフィック(to-zone)を制御します。UACの導入でファイアウォールをJunos OS Enforcerとして有効にするには、以下のことが必要です:

UAC トラフィックが通過する送信元ゾーンと宛先ゾーンを特定します。また、インターフェイスのリストも必要です。これには、インターフェイスがどのゾーンにいるかも含まれます。ICシリーズUACアプライアンスは、宛先ゾーンを使用して、ICシリーズアプライアンスに設定された独自のIPsecルーティングポリシーに一致させます。
これらのゾーンを含むJunos OSセキュリティポリシーを特定し、それらのポリシーに対してUACを有効にします。

Junos OSセキュリティポリシーを持つUACは、従来のセキュリティポリシーのみをサポートし、動的アプリケーション設定はサポートしません。Junos OSセキュリティポリシーを介してUACを設定するには、以下の設定ステートメントを入力します。

Junos OS EnforcerとICシリーズUACアプライアンス

ICシリーズUACアプライアンスを搭載したJunos OS Enforcerとは何ですか?
ICシリーズUACアプライアンスを搭載したJunos OS Enforcerはどのように機能しますか?
ICシリーズUACアプライアンスのクラスターを備えたJunos OS Enforcerとは何ですか?

ICシリーズUACアプライアンスを搭載したJunos OS Enforcerとは何ですか?

統合アクセス制御(UAC)ネットワークでは、ファイアウォールがUAC環境に展開されると、ファイアウォールはJunos OS Enforcerと呼ばれます。ファイアウォールは、ICシリーズUACアプライアンスが送信する証明書を検証します。ファイアウォールとICシリーズUACアプライアンスは、相互認証を行います。認証後、ICシリーズUACアプライアンスは、ユーザーとリソースのアクセスポリシー情報をファイアウォールに送信し、Junos OS Enforcerとして機能します。

ICシリーズUACアプライアンスを搭載したJunos OS Enforcerはどのように機能しますか?

ICシリーズUACアプライアンスに接続するようにファイアウォールを設定すると、ファイアウォールとICシリーズUACアプライアンスは、次のように安全な通信を確立します。

ファイアウォール上で複数のICシリーズデバイスがインフラネットコントローラとして設定されている場合、ラウンドロビンアルゴリズムによって、設定されたICシリーズデバイスのうちどれがアクティブなインフラネットコントローラであるかが判別されます。その他はフェイルオーバーデバイスです。アクティブなインフラネットコントローラが動作しなくなった場合、新しいアクティブなインフラネットコントローラを確立するように設定された残りのICシリーズデバイスにアルゴリズムが再適用されます。
アクティブなICシリーズアプライアンスは、サーバー証明書をファイアウォールに提示します。そのように設定されている場合、ファイアウォールは証明書を検証します。(サーバー証明書の検証は必須ではありません。ただし、追加のセキュリティ対策として、証明書を検証して、追加の信頼層を実装できます)。
ファイアウォールとICシリーズアプライアンスは、独自のチャレンジ-レスポンス認証を使用して相互認証を実行します。セキュリティ上の理由から、パスワードはICシリーズアプライアンスに送信されるメッセージに含まれていません。
ファイアウォールでの認証に成功すると、ICシリーズアプライアンスはユーザー認証とリソースアクセスポリシー情報を送信します。ファイアウォールは、この情報を使用して、UACネットワークでJunos OS Enforcerとして機能します。
その後、ICシリーズアプライアンスとJunos OS Enforcerは、SSL接続を介して相互に自由に通信できるようになります。通信は、 Junos UAC Enforcer Protocol(JUEP)と呼ばれる独自のプロトコルによって制御されます。

ICシリーズUACアプライアンスのクラスターを備えたJunos OS Enforcerとは何ですか?

ICシリーズアプライアンスクラスターと呼ばれる高可用性設定で、複数のICシリーズUACアプライアンスと連携するようにJunos OS Enforcerを設定できます。Junos OS Enforcerは、一度に1台のICシリーズアプライアンスとのみ通信します。他のICシリーズアプライアンスはフェイルオーバーに使用されます。Junos OS Enforcerは、クラスターに追加した最初のICシリーズアプライアンスに接続できない場合、障害が発生したICシリーズアプライアンスへの接続を再試行します。その後、クラスター内の他のICシリーズアプライアンスにフェイルオーバーします。接続が発生するまで、クラスター内のICシリーズアプライアンスへの接続を試み続けます。

Junos OS Enforcer がインフラネット Enforcer への接続を確立できない場合、既存の認証テーブルエントリーと UAC(統合アクセス制御)ポリシーをすべて保持し、指定したタイムアウトアクションを実行します。タイムアウトアクションには以下が含まれます。

close—既存のセッションを閉じ、それ以上のトラフィックをブロックします。これはデフォルトのオプションです。
no-change—既存のセッションを保持し、新しいセッションには認証が必要です。
open—既存のセッションを保持し、新しいセッションへのアクセスを許可します。

Junos OS Enforcer が IC シリーズアプライアンスへの接続を再確立できるようになると、IC シリーズアプライアンスは、Junos OS Enforcer に保存されている認証テーブルエントリーと UAC ポリシーを、IC シリーズアプライアンスに保存されている認証テーブルエントリーとポリシーと比較し、必要に応じて 2 つを調整します。

Junos OS Enforcerで設定されたICシリーズアプライアンスは、すべて同じICシリーズアプライアンスクラスターのメンバーである必要があります。

IPsecを搭載したJunos OS Enforcer

IPsecを使用してファイアウォールをJunos OS Enforcerとして機能するように設定するには、以下のことが必要です。

セキュリティIKEゲートウェイの下で設定されたIDを含めます。ID は「gateway1.mycompany.com」などの文字列で、gateway1.mycompany.com で IKE ゲートウェイを区別します。(ID は、意図するトンネルトラフィックを指定します)。
事前共有シードを含めます。これにより、フェーズ1の資格情報のリモートユーザーの完全なIDから事前共有キーが生成されます。
RADIUS共有シークレットを含めます。これにより、ICシリーズUACアプライアンスは、Junos OSインフラネットEnforcerから拡張認証(XAuth)用のRADIUSパケットを受け入れることができます。

IC シリーズアプライアンス、Odysseyアクセスクライアント、ファイアウォール間でIPsecを設定する場合、IC シリーズアプライアンスから Odysseyアクセスクライアントまでサポートされている IKE(またはフェーズ 1)プロポーザル方法またはプロトコル設定は次の点に注意してください。

IKEプロポーザル: authentication-method pre-shared-keys ( pre-shared-keysを指定する必要があります)
IKEポリシー:
- mode aggressive(アグレッシブモードを使用する必要があります)
- pre-shared-key ascii-text key(ASCIIテキスト事前共有キーのみサポート)
IKEゲートウェイ:動的
- hostname identity(ゲートウェイ間で一意のIDを指定する必要があります)
- ike-user-type group-ike-id(group-ike-idを指定する必要があります)
- xauth access-profile profile(xauthを指定する必要があります)

以下は、ICシリーズアプライアンスからOdysseyアクセスクライアントまでサポートされているIPsec(またはフェーズ2)プロポーザルメソッドまたはプロトコル構成です。

IPsecプロポーザル: protocol esp ( espを指定する必要があります)
IPsec VPN: establish-tunnels immediately ( establish-tunnels immediatelyを指定する必要があります)

Junos OS Enforcerによるポリシー適用とエンドポイントセキュリティ

統合アクセス制御(UAC)環境では、ファイアウォールがJunos OS Enforcerになった後、ファイアウォールはJunos OSセキュリティポリシーに基づいてトラフィックを許可または拒否します。インフラネットエージェントはエンドポイントで実行され、UACホストチェッカーポリシーをチェックしてトラフィックを保護します。ホストチェッカーのコンプライアンス結果に基づいて、Junos OS Enforcerはエンドポイントアクセスを許可または拒否します。

Junos OS Enforcerでポリシーを適用
Junos OS Enforcerでインフラネットエージェントを使用したエンドポイントセキュリティ

Junos OS Enforcerでポリシーを適用

ファイアウォールが Junos OS Enforcer として正常に確立されると、次のようにトラフィックを保護します。

まず、Junos OS Enforcerは、適切なJunos OSセキュリティポリシーを使用してトラフィックを処理します。 セキュリティポリシー は、トラフィックの送信元IPアドレスやトラフィックを受信した時刻などの基準を使用して、トラフィックの通過を許可するかどうかを決定します。
Junos OSセキュリティポリシーに基づいてトラフィックが通過する可能性があると判断されると、Junos OS Enforcerはトラフィックフローを認証テーブルエントリーにマッピングします。Junos OS Enforcerは、フロー内の最初のパケットの送信元IPアドレスを使用してマッピングを作成します。
1. 認証テーブルエントリには、UACセッションをすでに正常に確立したユーザーの送信元IPアドレスとユーザーロールが含まれています。ユーザーロールは、タイプ(「エンジニアリング」や「マーケティング」など)やステータス(「アンチウイルス実行中」など)などの基準に基づいてユーザーグループを識別します。Junos OS Enforcerは、適切な認証テーブルエントリに保存されている認証結果に基づいて、トラフィックの通過を許可または拒否するかどうかを決定します。
2. ICシリーズUACアプライアンスは、デバイスが初めて相互に接続したとき、および必要に応じてセッション全体を通して、認証テーブルエントリーをJunos OS Enforcerにプッシュします。例えば、ユーザーのコンピューターがエンドポイントセキュリティポリシーに準拠しなくなったとき、ユーザーの役割の設定を変更したとき、またはネットワーク上のウイルスなどのセキュリティ上の問題に対応してICシリーズアプライアンス上のすべてのユーザーアカウントを無効にした場合、ICシリーズアプライアンスは、更新された認証テーブルエントリーをJunos OS Enforcerにプッシュすることがあります。
3. Junos OS Enforcer が認証テーブルエントリーが欠落しているためにパケットをドロップした場合、デバイスは IC シリーズアプライアンスにメッセージを送信します。これにより、IC シリーズアプライアンスが新しい認証テーブルエントリーをプロビジョニングして Junos OS Enforcer に送信する場合があります。このプロセスは、動的認証テーブルプロビジョニングと呼ばれます。
認証テーブルのエントリーに基づいてトラフィックが通過する可能性があると判断されると、Junos OS Enforcerはフローをリソースにマッピングします。Junos OS Enforcerは、フローで指定された宛先IPアドレスを使用してマッピングを作成します。次に、デバイスはそのリソースと認証テーブルエントリで指定されたユーザーロールを使用して、フローをリソースアクセスポリシーにマッピングします。
1. リソースアクセスポリシーは、ユーザーロールに基づいてアクセスを制御する特定のリソースを指定します。例えば、エンジニアリングおよびアンチウィルス実行ユーザーロールのメンバーであるユーザーのみにエンジニアリング専用サーバーへのアクセスを許可するリソースアクセスポリシーを作成できます。または、アンチウィルスソフトウェアをダウンロードできる修復サーバーへの「アンチウィルス実行なし」ユーザーロールのメンバーに許可するリソースアクセスポリシーを作成することもできます。
2. ICシリーズアプライアンスは、デバイスが初めて相互に接続したとき、およびICシリーズアプライアンスでリソースアクセスポリシーの設定を変更したときに、リソースアクセスポリシーをJunos OS Enforcerにプッシュします。
3. 「拒否」ポリシーが原因でJunos OS Enforcerがパケットをドロップした場合、Junos OS EnforcerはICシリーズアプライアンスにメッセージを送信し、ICシリーズアプライアンスはエンドポイントのOdysseyアクセスクライアント(利用可能な場合)にメッセージを送信します。(ICシリーズアプライアンスは、エージェントレスクライアントに「拒否」メッセージを送信しません。)
リソースアクセスポリシーに基づいてトラフィックが通過する可能性があると判断されると、Junos OS Enforcerは、Junos OSポリシーで定義された残りのアプリケーションサービスを使用してトラフィックを処理します。Junos OS Enforcerは、侵入検出および防止(IDP)、URLフィルタリング、アプリケーション層ゲートウェイ(ALG)の順で残りのサービスを実行します。

Junos OS Enforcerでインフラネットエージェントを使用したエンドポイントセキュリティ

インフラネットエージェントは、次のように通信を開始するエンドポイントから始めるネットワーク上のトラフィックを保護するのに役立ちます。

エンドポイントで直接実行されるインフラネットエージェントは、エンドポイントが統合アクセス制御(UAC)ホストチェッカーポリシーに準拠していることを確認します。
UAC ホストチェッカーポリシー内でさまざまな基準を使用して、コンプライアンスを判断できます。例えば、ホストチェッカーポリシーを設定して、エンドポイントでウイルス対策ソフトウェアやファイアウォールを実行していること、または特定の種類のマルウェアやプロセスを実行していないことを確認するエンドポイントを確認できます。
インフラネットエージェントは、コンプライアンス情報をJunos OS Enforcerに送信します。
Junos OS Enforcerは、ホストチェッカーのコンプライアンス結果に基づいて、ネットワーク上のリソースへのエンドポイントアクセスを許可または拒否します。

インフラネットエージェントはエンドポイントで直接実行されるため、インフラネットエージェントを使用して、いつでもエンドポイントのセキュリティコンプライアンスを確認できます。例えば、ユーザーがICシリーズUACアプライアンスにサインインしようとすると、インフラネットエージェントにコンプライアンス結果を直ちに送信するよう要求することができます。インフラネットエージェントが肯定的なコンプライアンス結果をICシリーズアプライアンスに返すまで、ユーザーにはサインインページすら表示されません。また、ユーザーがサインインした後、またはユーザーセッション中に定期的にコンプライアンスを確認するようにインフラネットエージェントを設定することもできます。

インフラネットエージェントを実行しているエンドポイントが適切なアクセス権を持っている場合、コンプライアンス結果が自動的にICシリーズアプライアンスに送信され、ICシリーズアプライアンスはそれに応じて認証テーブルエントリーを更新してJunos OS Enforcerにプッシュします。Junos OS Enforcerは、Odysseyアクセスクライアントおよび「エージェントレス」インフラネットエージェントとの接続をサポートします。

Junos OS Enforcerを使用したキャプティブポータル

統合型アクセス制御(UAC)の導入環境では、ユーザーは、Junos OS Enforcerの背後にある保護されたリソースへのアクセスを許可する前に、まずICシリーズUACアプライアンスにサインインして認証とエンドポイントのセキュリティチェックを行う必要があることに気付かないかもしれません。

ユーザーがICシリーズアプライアンスにサインインしやすくするために、キャプティブポータル機能を設定できます。詳細については、「例:Junos OS Enforcerでのキャプティブポータルポリシーの作成」を参照してください。キャプティブポータル機能では、保護されたリソース宛てのHTTPトラフィックをICシリーズアプライアンスまたはJunos OS Enforcerで設定されたURLに自動的にリダイレクトするポリシーをJunos OS Enforcerで設定できます。

ソースIPの適用とIPsecの適用、または両方の適用方法の組み合わせを使用する展開に対して、キャプティブポータルを設定できます。

図2:Junos OS Enforcerを使用したキャプティブポータル Network diagram showing data flow: Client computer sends requests via top switch to application servers and bottom switch to storage servers.

Network diagram showing data flow: Client computer sends requests via top switch to application servers and bottom switch to storage servers.

ユーザーはブラウザーを使用して保護されたリソースを指差します。
Junos OS Enforcer は、ユーザーが認証されていないと判断し、リクエストを IC シリーズアプライアンスまたは別のサーバーにリダイレクトします。
ユーザーは、インフラネットのユーザー名とパスワードを入力してログインします。
ICシリーズアプライアンスは、ユーザーの資格情報を認証サーバーに渡します。
認証後、ICシリーズアプライアンスは、アクセスしたい保護リソースにユーザーをリダイレクトします。

デフォルトでは、Junos OS Enforcerは、ユーザーが入力した保護されたリソースURLをエンコードし、ICシリーズアプライアンスに転送します。ICシリーズアプライアンスは、保護されたリソースURLを使用して、ユーザーが保護されたリソースに移動できるようにします。ICシリーズアプライアンスが保護されたリソースURLを使用する方法は、ユーザーのエンドポイントがOdysseyアクセスクライアントとPulse Secureのどちらを実行しているかによって異なります。

ユーザーのエンドポイントがOdysseyアクセスクライアントまたはPulse Secureを実行していない場合(つまり、エージェントレスまたはJavaエージェント設定の場合)、ユーザーがサインインした後、ICシリーズアプライアンスは自動的に新しいブラウザウィンドウを開き、HTTPを使用して保護されたリソースにアクセスします。

エンドポイントがOdysseyアクセスクライアントを使用している場合、ICシリーズアプライアンスはWebページにハイパーテキストリンクを挿入し、ユーザーがサインインすると自動的に開きます。ユーザーは、そのハイパーテキストリンクをクリックして、同じブラウザーウィンドウでHTTPを使用して保護されたリソースにアクセスする必要があります。

Junos OS Enforcerは、HTTPトラフィックに対してのみキャプティブポータル機能をサポートします。HTTPSまたはブラウザ以外のアプリケーション(電子メールアプリケーションなど)を使用して保護されたリソースにアクセスしようとした場合、Junos OS Enforcerはトラフィックをリダイレクトしません。HTTPSまたはブラウザ以外のアプリケーションを使用している場合は、保護されたリソースへのアクセスを試みる前に、まずICシリーズアプライアンスに手動でサインインする必要があります。