|
|
|
|
|
|
Windows Server 2008の検疫システム「NAP」を見る【特別編】
|
|
IEEE 802.1XベースのNAPは実用に耐えうるか
|
|
|
|
以前の特集では、マイクロソフトのNetwork Access Protection(NAP)を3回に分けて紹介したが、スイッチベンダーのアラクサラネットワークス(以下、アラクサラ)から、NAP対応のスイッチをお借りすることができた。そこで、IEEE 802.1Xを強制ポイントにしたシナリオ(以下、802.1Xシナリオ)におけるNAP環境をテストしてみたので、筆者の使用感を中心にお伝えする。
■ 802.1XシナリオでのNAP設定
|
802.1X認証では証明書を利用するため、ルートCAが必要になる。Windows Server 2008では、「AD証明書サービス」において、ルートCAの機能をインストールすることができる
|
実際の紹介に入る前に、少し注意点を説明する。以前のDHCPシナリオと異なるのは、まず、ルートCAをインストールしておく必要があること。802.1X認証では、証明書を利用するため、ルートCAがないと証明書の発行が行えないためだ。Windows Server 2008では、「Active Directory(AD)証明書サービス」において、ルートCAの機能をインストールすることができる。
DHCPサーバーに関しても、取り扱いが変わってくる。スイッチでは、フィルタを作成して、条件に合ったプロトコルのパケットだけを通すことができるものが多いが、この機能を利用すれば、DHCPのパケットだけを通すことができるので、検疫ネットワークと正常ネットワークの両方に1枚のネットワークカードでIPアドレスを付与することができる。スコープに関しては取り扱い上、検疫ネットワークと正常ネットワークの2つのスコープを作る方がベストだろう。
また、NPSの設定もDHCPシナリオとは異なるが、NPSにはウィザードが用意されているため、ウィザードにしたがって必要な項目を入力していけば、NPSの設定は終了する。Active Directory(AD)、DNSの設定は、DHCPシナリオとほとんど変わらない。
802.1XシナリオでNAPを利用するにあたってクライアントPC側で行う設定も、DHCPシナリオの場合とあまり変わらないが、若干手順が増えている。
DHCPシナリオと同じく、サービスのNAPエージェントを動作させるが、802.1X認証を利用することから、802.1XシナリオではさらにWired AutoConfigサービス(Windows Vistaの場合)を動作させる。またネットワークの設定で802.1X認証関連の設定を有効にすることも必要だ。
なお、先ごろ正式にリリースされたWindows XP SP3では、Windows Vistaと操作が異なる部分がある。これについては、以前紹介したようにこちらでステップバイステップの手順を紹介するので、参考にしてほしい。
|
|
NPSの設定ウィザードの中では、802.1Xスイッチの指定などを行う
|
PEAPの設定も、DHCPシナリオではなかった項目だ
|
■ NAPにおける802.1Xシナリオは使えるか
|
実際の運用では、検疫ゾーン、境界(修復)ゾーン、正常ゾーンと、最低でも3つのVLANが必要。このほか、管理用のVLANも必要になる
|
NAPの動作に関しては、DHCPシナリオとほとんど変わらず、目新しさはない。SHA/SHVも同じものを利用するため、チェックできる項目も同一で、クライアントPCが、Windowsセキュリティ正常性検証ツールで設定された項目を満たしていなければ、検疫ネットワーク(検疫ゾーン)へ隔離されることになるという点は、DHCPシナリオと同じだ。
しかし、実際テストしてみて、802.1XシナリオのNAPはセキュリティ上からも実運用に耐えうるものだと感じた。それは、802.1Xシナリオでは、DHCPシナリオのような固定IPでクライアントPCが設定されていてもきちんと検疫を行ってくれるためだ。現状のNAPで実現できる範囲では、セキュリティ度合いの高いシステムといえるだろう。
一方で802.1Xシナリオでは、きちんとしたネットワーク設計を行わないと、かえって使いにくいシステムになり、NAPのメリットが感じられないものになってしまうのだ。このあたりは、ネットワーク管理者のスキルが必要になってくる。
今回筆者は802.1X認証における動作を簡単にテストするため、VLANの設定も非常にシンプルにし、検疫ネットワークと正常ネットワークに分けただけでテストを行った。しかし、実運用ではこのようなネットワークはありえない。
実際に運用されるネットワークを考えれば、VLANの設定だけでも非常に複雑になる。例えば、新しいクライアントPCをADに登録するために、管理用のVLANを用意する必要がある。これは、新しいクライアントPCがドメインに登録されていないため、NAPの検疫システムが動作していないため。新規PCをそのままネットワークに接続しただけでは、ドメインに登録することもできない。
このほか、NAPに対応していないネットワークプリンタ、Webカメラなどの機器も考慮する必要があるし、検疫VLANに関しても、認証には成功したがNAPの検疫には失敗した機器が入るVLAN(このVLANは、DHCPからのIPアドレスを取得して、修復サーバーのみと通信できるようにする)、認証すらできなかった機器が入るVLAN(この場合は、DHCPからIPアドレスさえも取得できなくして、どのVLANからも切り離し、どこにも通信できなくする)、といった区別が必要になるのではないか。
■ NAPの実運用ではネットワーク設計が重要
|
802.1Xシナリオを使う場合の留意点
|
|
サードパーティの中には、アラクサラなど、NAPを補完するソリューションを提供しているベンダーも存在する
|
また、802.1XシナリオでNAPによる検疫を行うにあたっては、すべてのスイッチが802.1Xに対応している必要がある。すでに対応スイッチを導入している企業にとっては、802.1Xシナリオは導入の価値があるものの、そうでない場合、NAPのためだけに802.1X対応スイッチに社内のスイッチを買い換えるというのは、コスト的にも厳しい。
実用的なのは、アラクサラなどのMACアドレスによる検疫が利用可能なスイッチを上流に設置して、下流のネットワークには安価なスイッチを利用する、といったシナリオだろう。また、ソリトンシステムズとH3Cの協業で実現した、DHCPシナリオを補完できるスイッチを用いることも1つの手といえる。
通常の802.1X認証のスイッチでは、スイッチのポートごとに認証を行うが、例えばアラクサラのスイッチでは、MACアドレスごとに認証を行うため、下層にノンインテリジェント型のスイッチを置いたネットワークにでも、NAPを利用することができる。このようなハイブリッド型のアプローチも、有力な選択肢と考えていいだろう。
ただいずれにしても、NAPを現実的に運用するためには、サーバーやアプリケーション管理だけでなく、ネットワーク管理のスキルが必須になる。筆者はアプリケーションの管理には慣れているが、企業向けネットワーク機器の管理経験はあまりなかったため、VLANの設計をはじめとするネットワーク設計や管理の部分で非常に苦労した。
大企業なら、ネットワーク管理を行う専任スタッフもいるが、すべてを任せっきりにする訳にはいかないだろう。逆に言えば、アプリケーション管理者とネットワーク管理者の緊密な連携が必要になるということだ。
こうした場合は、それぞれの管理者が、双方のテクノロジーや運用をそれぞれがある程度分かっていないと、社内のネットワーク設計自体が難しくなる。ネットワーク・アプリケーションの両管理者間で連携が必要なのは、アラクサラやソリトンの補完的ソリューションを利用する場合でも同じこと。NAPをきちんと運用するには、社内の体制作りが不可欠といえるだろう。
なお、6月11日から千葉・幕張で開催されているInterop Tokyo 2008でも、NAPを含めた検疫ネットワークに関する展示がさまざま行われている。この分野に関心のある方は、そちらをのぞいてみてはいかがだろうか。
■ URL
マイクロソフト株式会社
http://www.microsoft.com/japan/
■ 関連記事
・ Windows Server 2008の検疫システム「NAP」を見る【第一回】(2008/02/22)
・ Windows Server 2008の検疫システム「NAP」を見る【第二回】(2008/02/29)
・ Windows Server 2008の検疫システム「NAP」を見る【最終回】(2008/03/07)
( 山本 雅史 )
2008/06/12 09:00
|
|
|
|
|