 |
|||||||
|
|
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
Windows Server 2008の検疫システム「NAP」を見る【特別編】 |
||||||||||||||||||||||
|
||||||||||||||||||||||
|
IEEE 802.1XベースのNAPは実用に耐えうるか
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
以前の特集では、マイクロソフトのNetwork Access Protection(NAP)を3回に分けて紹介したが、スイッチベンダーのアラクサラネットワークス(以下、アラクサラ)から、NAP対応のスイッチをお借りすることができた。そこで、IEEE 802.1Xを強制ポイントにしたシナリオ(以下、802.1Xシナリオ)におけるNAP環境をテストしてみたので、筆者の使用感を中心にお伝えする。 ■ 802.1XシナリオでのNAP設定
DHCPサーバーに関しても、取り扱いが変わってくる。スイッチでは、フィルタを作成して、条件に合ったプロトコルのパケットだけを通すことができるものが多いが、この機能を利用すれば、DHCPのパケットだけを通すことができるので、検疫ネットワークと正常ネットワークの両方に1枚のネットワークカードでIPアドレスを付与することができる。スコープに関しては取り扱い上、検疫ネットワークと正常ネットワークの2つのスコープを作る方がベストだろう。 また、NPSの設定もDHCPシナリオとは異なるが、NPSにはウィザードが用意されているため、ウィザードにしたがって必要な項目を入力していけば、NPSの設定は終了する。Active Directory(AD)、DNSの設定は、DHCPシナリオとほとんど変わらない。 802.1XシナリオでNAPを利用するにあたってクライアントPC側で行う設定も、DHCPシナリオの場合とあまり変わらないが、若干手順が増えている。 DHCPシナリオと同じく、サービスのNAPエージェントを動作させるが、802.1X認証を利用することから、802.1XシナリオではさらにWired AutoConfigサービス(Windows Vistaの場合)を動作させる。またネットワークの設定で802.1X認証関連の設定を有効にすることも必要だ。 なお、先ごろ正式にリリースされたWindows XP SP3では、Windows Vistaと操作が異なる部分がある。これについては、以前紹介したようにこちらでステップバイステップの手順を紹介するので、参考にしてほしい。
■ NAPにおける802.1Xシナリオは使えるか
しかし、実際テストしてみて、802.1XシナリオのNAPはセキュリティ上からも実運用に耐えうるものだと感じた。それは、802.1Xシナリオでは、DHCPシナリオのような固定IPでクライアントPCが設定されていてもきちんと検疫を行ってくれるためだ。現状のNAPで実現できる範囲では、セキュリティ度合いの高いシステムといえるだろう。 一方で802.1Xシナリオでは、きちんとしたネットワーク設計を行わないと、かえって使いにくいシステムになり、NAPのメリットが感じられないものになってしまうのだ。このあたりは、ネットワーク管理者のスキルが必要になってくる。 今回筆者は802.1X認証における動作を簡単にテストするため、VLANの設定も非常にシンプルにし、検疫ネットワークと正常ネットワークに分けただけでテストを行った。しかし、実運用ではこのようなネットワークはありえない。 実際に運用されるネットワークを考えれば、VLANの設定だけでも非常に複雑になる。例えば、新しいクライアントPCをADに登録するために、管理用のVLANを用意する必要がある。これは、新しいクライアントPCがドメインに登録されていないため、NAPの検疫システムが動作していないため。新規PCをそのままネットワークに接続しただけでは、ドメインに登録することもできない。 このほか、NAPに対応していないネットワークプリンタ、Webカメラなどの機器も考慮する必要があるし、検疫VLANに関しても、認証には成功したがNAPの検疫には失敗した機器が入るVLAN(このVLANは、DHCPからのIPアドレスを取得して、修復サーバーのみと通信できるようにする)、認証すらできなかった機器が入るVLAN(この場合は、DHCPからIPアドレスさえも取得できなくして、どのVLANからも切り離し、どこにも通信できなくする)、といった区別が必要になるのではないか。 ■ NAPの実運用ではネットワーク設計が重要
実用的なのは、アラクサラなどのMACアドレスによる検疫が利用可能なスイッチを上流に設置して、下流のネットワークには安価なスイッチを利用する、といったシナリオだろう。また、ソリトンシステムズとH3Cの協業で実現した、DHCPシナリオを補完できるスイッチを用いることも1つの手といえる。 通常の802.1X認証のスイッチでは、スイッチのポートごとに認証を行うが、例えばアラクサラのスイッチでは、MACアドレスごとに認証を行うため、下層にノンインテリジェント型のスイッチを置いたネットワークにでも、NAPを利用することができる。このようなハイブリッド型のアプローチも、有力な選択肢と考えていいだろう。 ただいずれにしても、NAPを現実的に運用するためには、サーバーやアプリケーション管理だけでなく、ネットワーク管理のスキルが必須になる。筆者はアプリケーションの管理には慣れているが、企業向けネットワーク機器の管理経験はあまりなかったため、VLANの設計をはじめとするネットワーク設計や管理の部分で非常に苦労した。 大企業なら、ネットワーク管理を行う専任スタッフもいるが、すべてを任せっきりにする訳にはいかないだろう。逆に言えば、アプリケーション管理者とネットワーク管理者の緊密な連携が必要になるということだ。 こうした場合は、それぞれの管理者が、双方のテクノロジーや運用をそれぞれがある程度分かっていないと、社内のネットワーク設計自体が難しくなる。ネットワーク・アプリケーションの両管理者間で連携が必要なのは、アラクサラやソリトンの補完的ソリューションを利用する場合でも同じこと。NAPをきちんと運用するには、社内の体制作りが不可欠といえるだろう。 なお、6月11日から千葉・幕張で開催されているInterop Tokyo 2008でも、NAPを含めた検疫ネットワークに関する展示がさまざま行われている。この分野に関心のある方は、そちらをのぞいてみてはいかがだろうか。 ■ URL マイクロソフト株式会社 http://www.microsoft.com/japan/ ■ 関連記事 ・ Windows Server 2008の検疫システム「NAP」を見る【第一回】(2008/02/22) ・ Windows Server 2008の検疫システム「NAP」を見る【第二回】(2008/02/29) ・ Windows Server 2008の検疫システム「NAP」を見る【最終回】(2008/03/07)
( 山本 雅史 )
|
