802.1Xネットワークアクセスコントロール(NAC)とは
802.1Xネットワークアクセスコントロール(NAC)とは
802.1Xネットワークアクセスコントロール(NAC)により、管理者は有線/無線ネットワーク全体で統一されたアクセスコントロールが得られます。キャンパスおよび支店のエンタープライズネットワークに幅広く導入されており、以下の2つの主要な要素から構成されています。
- 802.1Xプロトコル:有線/無線アクセスポイントでのポートベースのネットワークアクセスコントロール(PNAC)のためのIEEE規格。802.1Xは、LANまたはWLANへのアクセスを試みるユーザーやデバイスに対する認証コントロールを規定しています。
- NAC:ネットワークへのアクセスを制御することでユーザーとデバイスを特定する、定評あるネットワーク概念。NACでは、認証とポリシー適用を使用して、エンタープライズリソースへのアクセスを制御します。
802.1Xネットワークアクセスコントロールが対処する問題
エンタープライズネットワークリソースに無線ネットワークアクセス、モビリティ、個人所有デバイスの持ち込み(BYOD)、ソーシャルメディア、クラウドコンピューティングが与える影響は多大です。以下の図が示すように、このようなモビリティの拡張によって、ネットワーク脅威やデジタル侵害にさらされている範囲が広がっています。802.1xを使用することで、TCO(総保有コスト)を抑えながら、このような環境でingressセキュリティを強化できます。
802.1Xネットワークアクセスコントロールでできること
NACはさまざまな方法で導入できますが、基本は以下のとおりです。
- 事前のアドミッションコントロール:非認証メッセージをブロックします。
- デバイスおよびユーザーの検知:事前定義した認証情報またはマシンIDでユーザーとデバイスを特定します。
- 認証と許可:アクセスを検証し、提供します。
- オンボーディング:デバイスにセキュリティ、管理、ホストチェック用ソフトウェアをプロビジョニングします。
- プロファイリング:エンドポイントデバイスをスキャンします。
- ポリシー適用:役割および権限ベースのアクセスを適用します。
- 事後のアドミッションコントロール:セッションの終了とクリーンアップを実施します。
802.1Xは、物理ポートへのアクセスを試みるユーザーまたはデバイスを検証することにより、L2アクセスコントロールを提供します。
802.1Xネットワークアクセスコントロールの仕組み
802.1X NACは次のような順序で動作します。
1.初期化:オーセンティケータ(通常はスイッチ)またはサプリカント(クライアントデバイス)がセッション初期化要求を送信します。サプリカントがEAP応答メッセージをオーセンティケータに送信し、オーセンティケータがメッセージをカプセル化して認証サーバーに転送します。
2.認証:認証サーバーとサプリカントの間でオーセンティケータを介してメッセージが受け渡され、複数の情報が検証されます。
3.承認:認証情報が有効であれば、認証サーバーからオーセンティケータに、ポートへのアクセス権をサプリカントに提供するよう通知します。
4.アカウンティング:RADIUSアカウンティングによって、ユーザーとデバイスの詳細、セッションタイプ、サービスの詳細などのセッションレコードが保持されます。
5.終了:エンドポイントデバイスを切断するか、管理ソフトウェアを使用して、セッションが終了します。
ジュニパーネットワークスの実装
EXシリーズイーサネットスイッチシリーズは、キャンパスおよび支店のエンタープライズネットワークに対応するジュニパーネットワークスのゲートウェイです。EXシリーズは802.1XやRADIUS、複数の802.1x拡張を幅広くサポートしています。受信アクセスの要求に対処する方法を拡張し、ネットワークアクセスコントロールの大規模導入を簡素化します。さらに、ジュニパーの厳選されたベンダーであるAruba Networks社のClearPass Policy Management PlatformやPulse Secure社が提供するソリューションにより、ネットワークアクセスコントロール全体を管理することができます。
