前回は、検疫ネットワークの機能を実現するための機能「NAP(Network Access Protection)」の概要を解説した。今回は、NAPを利用する際の注意点や機器構成などについて、かいつまんで解説する。そして次回から、実際に設定する際の手順に話を進めることとする。

最も簡単に導入できる「DHCP方式」で解説

本稿では、最も簡単に導入できる方法として、DHCPサーバによるNAPの実現方法を説明しよう。堅牢性という点では他の方法に見劣りするが、何よりも導入が容易であり、NAPとはどういうものなのかを実地に体験するには具合がよい。

この機能を実現するには、以下のサーバが必要になる。

  • Active Directoryのドメインコントローラ(ユーザー認証に必要)→本稿ではDNSサーバを兼用するものとする。(コンピュータ名:HELIOS、IPアドレス:192.168.0.51)
  • NPSサーバ兼DHCPサーバ→別々にしてもよいが、台数を節約して1台にまとめた(コンピュータ名:STYX、IPアドレス:192.168.0.52)。
  • 修復サーバ→最新のパターンファイルやセキュリティ修正プログラムを適用させるために必要

検疫の際に用いる条件は、クライアントPCのWindowsで自動更新機能が有効になっているかどうかを調べることとした。

DHCP方式の抜け穴に注意

DHCPを用いる方法には、TCP/IP設定を手作業で行うことで通信を可能にできてしまうという抜け穴がある。もちろん、その設定を行うにはネットワーク構成を把握している必要があるが、すでにNAPが接続を承認しているコンピュータの設定を調べれば、さほど難しい仕事ではないだろう。そのため、手軽だが堅牢性の面ではいささか問題があるのだ。

対策としては、ユーザーがTCP/IP設定を変更できないように、管理者権限を与えないようにする方法が考えられる。つまり、クライアントPCをActive Directoryに参加させる際に、そのPCを使用するユーザーのドメインアカウントを、標準ユーザー]や[管理者]ではなく、[制限ユーザーに割り当てる。設定を変更できなければ、抜け穴も作れない。

もう1つの注意点としてはIPv6がある。IPv6はDHCPサーバを用意しなくても自動的にIPv6アドレスを構成するようになっているため、IPv4が通信不可能になっていても、同居しているIPv6によって通信が成立してしまう可能性がある。対策としては、クライアントPC側でIPv6を無効にする方法が考えられる。

IPsec方式のNAPではルータとレイヤ3スイッチに注意

IPsecを使用する方法における通信の可否は、IPつまりレイヤ3で暗号化通信を行うかどうかで決まる。したがって、レイヤ2で動作するスイッチは、種類や機能に関する制約は発生しない。

ところが、ルータやレイヤ3スイッチはレイヤ3で動作する機器だから話が違う。IPsecによって暗号化通信を行う際、その途中でルータやレイヤ3スイッチを経由するネットワーク構成になっていると、そのルータやレイヤ3スイッチがIPsecによる暗号化通信に対応していなければ、そこでIPsecが成立しなくなり、通信が止まってしまう。

IEEE802.1X方式のNAPで必要な機器

NAPでIEEE802.1Xを使用する場合、Active Directory証明書サービスを導入して、エンタープライズCAを構築する必要がある。クライアント認証の際に、ここから配布するデジタル証明書を使用する。

また、IEEE802.1Xを使用する際はIEEE802.1Xに対応したスイッチングハブが必要である。実はダムハブでもIEEE802.1Xの利用が可能だが、現時点ではダムハブの新規購入は不可能といってよいだろう。しかも、IEEE802.1Xに対応しているというだけでなく、所定の条件を満たしたクライアントPCとそれ以外のクライアントPCの通信を区別するために、VLANの機能も備えていなければならない。

IEEE802.1X対応スイッチは、所定の条件を満たして検疫にパスしたクライアントPCとそうではないクライアントPCを異なるに割り当てて分離するため、VLANによる分離に加えて、異なるIPアドレス範囲を使い分ける。

さらに、クライアントPCでIEEE802.1Xを有効にするため、IEEE802.1Xのクライアント機能(サプリカント)を必要とする。これはWindows XP以降のWindowsであれば標準装備しているので問題ないだろう。

NPSサーバでは、NAPの構成を行う際に「IEEE802.1X(ワイヤード)」を選択して、それに続いてRADIUSクライアントとしてIEEE802.1Xに対応した認証スイッチと、RADIUSが使用する共有シークレットの指定を行う。このほか、「仮想LAN(VLAN)の構成」画面で、検疫をパスしたクライアントPCとパスしていないクライアントPCに、それぞれ与える属性やVLAN IDの設定を行う仕組みになっている。