特集
» 2006年10月02日 08時00分 公開

クライアントセキュリティ大作戦!:PCセキュリティの処方箋――検疫ネットワーク活用のススメ (2/2)

[富樫純一,ITmedia]
前のページへ 1|2       

検疫ネットワークを構築する3つの方法

 検疫ネットワークを構築するには、認証サーバと検疫サーバの仕組みを用意する必要があるが、物理的なLANケーブルを差し替えたり、無線LANのアクセスポイントを切り替えたりすることはない。クライアントPCの接続先ネットワークを振り分けるだけだ。それを実現するには、以下の3つの方法がある。

 最も手軽なのは、DHCPサーバを利用する方法である。一般的な企業ネットワークでは、クライアントPCに固定のIPアドレスを配布せず、DHCPサーバを利用してローカルIPアドレスが割り当てられる。この際、検査ネットワークにつながるIPアドレスを最初に割り当てるのだ。認証サーバと検疫サーバがクライアントPCを検査し、安全性が確認されたら内部ネットワークに接続できるローカルIPアドレスを再取得する。ただし、この方法は、DHCPサーバを使わずにクライアントPCのIPアドレスを固定している場合は利用できない。

 2つ目は、検疫ネットワーク機能を備えたクライアントPCのパーソナルファイアウォールと組み合わせる方法だ。クライアントPCをネットワークに接続すると、パーソナルファイアウォールは認証サーバにアクセスし、登録された正規のPCかどうか認証が行われる。そして、検疫サーバから内部ネットワークに接続するためのポリシー情報をダウンロードし、パーソナルファイアウォールが検査を行う。問題がなければ、ポリシー情報に従って内部ネットワークに接続する設定に切り替わる。この方法は、内部ネットワークに接続するクライアントPCに検疫ネットワーク対応のパーソナルファイアウォールをインストールする必要があるが、検査ネットワークと内部ネットワークを隔離するスイッチなどのハードウェアを導入する必要はなく、既設のネットワーク環境のまま導入できるというメリットがある。

 3つ目は、ユーザー認証機能を持った認証スイッチを利用する方法。これが、検疫ネットワークを構築する際に最も多く利用されている方法だ。検疫ネットワークを構築する際は、認証スイッチを制御する検疫サーバと、クライアントPCにインストールした検疫サーバのエージェントを組み合わせて利用する。検査ネットワークにあるアクセスポイントにクライアントPCを接続すると、エージェントが自動的に実行され、認証サーバに接続。認証が通ると、検疫サーバがセキュリティ監査を実施し、安全性を確認する。問題がなければ認証スイッチに対して、接続したクライアントPCのMACアドレスなど、ハードウェア固有の情報を送信し、内部ネットワークに接続できるようにする。この方法では、認証サーバと統合し、安全性、確実性が高い検疫ネットワークを構築できるが、すべてのネットワークスイッチを認証スイッチに置き換えなければならないため、導入コストは割高になるというデメリットもある。

 検疫ネットワークを構築する際は、導入コストと安全性を考慮しながら、自社に最適な方法を選択するとよいだろう。

図1 認証スイッチを利用した検疫ネットワークの例
前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ