SSL-VPN - マクニカネットワークス

マスタ タイトルの書式設定
Juniper Networks
Secure Access シリーズ
紹介資料
SA6500
※注意 実物はポートの位置が異なります。
2008年 Oct.
Macnica Networks Corp.
(IVE OS ver. 6.2)
SSL-VPNの最新トレンド
2
SSL-VPNとは?
◆ SSL
⇒ Secure Socket Layer の略で情報を暗号化して送受信することができるプロトコル。
HTTPやFTPなどで多く利用されています。
◆ VPN
⇒ Virtual Private Networkの略でインターネットなどの公共網上で、暗号化された
通信を利用することであたかも専用回線のように利用できる仕組みのこと。
企業の拠点間通信などに利用され、専用回線よりも費用を抑えることが可能です。
◆ SSL-VPN
⇒
暗号化の仕組みにブラウザなどが標準で持つSSLを利用したVPN方式。
外出先の社員が社内のリソースにアクセスするようなリモートアクセス用途に
適したVPN技術です。
最近では、SSL-VPN装置特有の豊富なアクセスコントロール手法を利用し、
取引際との情報共有や外部のユーザによるリモートメンテナンスなどの
エキストラネット的な使い方でも利用されるケースが増えています。
3
SSL-VPNの主な用途
リモートアクセスに
おもに外出中の社員の方や各拠点にいる社員が、会社支給のノート
PC などから、ADSL、公衆無線 LANやPHS 、携帯電話によるダイアル
アップ接続などの各種接続方法を利用し、社外からメールや社内ポー
タルなどの社内リソースを利用する一般的なケース。
エキストラネットに
SSL-VPNを利用しパートナー企業や取引先に社内のサーバを一部公開
し、情報共有や受発注などの業務処理を行うケース。
公開サイトに
例えばサポートサイトを公開したい場合には、購入頂いたユーザ毎に
アカウントを発行したり、各種情報を展開する必要があります。そのサ
イトをJuniperSAでセキュリティを保ちながら公開するケース。
4
SSL-VPNがリモートアクセスに適している理由
利用環境に影響されない
• OS、Firewall、NAT、Proxyなど様々な環境からのアクセスに対応が可能
です。
多種多様なアクセス制御
• セキュリティチェックの結果などユーザの状況に応じたアクセス
コントロールも可能。
豊富な認証方式
• ローカルDB, Radius, LDAP, Active Directory, 証明書など多彩な認証方式に
対応しています。
運用コストを大幅に低減
• ブラウザからの自動インストールやクライアント側の設定が不要なため、
運用工数を大幅に減らせます。
5
最近のSSL-VPNのトレンド
2要素認証やワンタイムパスワード
◆ Secure MatrixやRSA SecurID などのワンタイムパスワードの利用が増加
◆ ID, Password だけではなく、加えて端末認証(Mac-Addressのチェック)などの利用
◆ セカンダリ認証の利用( JuniperSAの独自機能 )
端末のセキュリティチェック
◆ 会社支給のPCかどうかのチェック
◆ アンチウイルスソフトウェアのパターンファイルのチェック
◆個体認証
モバイル端末の利用
◆ i-modeなどの携帯コンテンツだけでなく、PDA
(Windows Mobileやi-Phone)などへの対応も求められています。
JuniperSAではこれらのトレンドに対応しています。
6
JuniperSAの各種接続機能
7
JuniperSA - 3種類のアクセス方式
接続機能名
Network Connect
(NC)
特徴
ご提供
形態
ほぼ全てのアプリケーションが利用可能
主に従業員のリモートアクセス用途に利用
標準機能
Secure Application Manager クライアント/サーバアプリケーションに対応
(SAM)
標準機能
Core Access
標準機能
Webアプリケーション、ファイル共有、
Telnet/SSH、Email
・・・ ネットワークレベルで社内との接続 (IP-secとほぼ同等)
アプリケーションサーバ側に残るログ上のIPはクライアントに割与えられたIPアドレス
・・・ JuniperSA がリバースプロキシとして動作
アプリケーションサーバ側に残るログ上のIPはJunperSAのIPアドレス
※ Secure Meeting機能というWeb会議機能もありますが、ここでは割愛してます。
8
JuniperSA - アクセス方式別ログとアクセスコントロール
◆ アクセス方式別のログ
⇒ 各機能ごとに利用できるアプリケーションに違いがありますが、取得できるログのレベルに
も違いがあります。
機能
アクセスログの内容
アクセスコントロールレベル
NC
NCの接続開始時間
停止時間
払い出しされたIPアドレス
やり取りしたデータ量
L4レベルのアクセスコントロール
・ICMP,TCP,UDPポートレベル
・IPアドレス、ネットワークアドレス
SAM
L4レベルのアクセスログが取得可能
接続先サーバ名
ポート番号
通信データ量
L4レベルのアクセスコントロール
・TCPポートレベル
・IPアドレス、ネットワークアドレス
・FQDN, host名
Core
L7レベルのログが取得可能
接続先サーバ名
メソッド
リクエスト
レスポンス
をディレクトリレベルで取得可能
L7レベルのアクセスコントロール
・ディレクトリレベルのアクセス制御
・TCPポート番号
・IPアドレス、ネットワークアドレス
・File共有の場合、書き込みなどの制御も可
9
Network Connect
10
Network Connect
◆ Network Connectの特徴
⇒ Network ConnectはJuniperSAと接続後、社内用のIPアドレスがクライアントの仮想インタ
フェースに割与えられ、そのIPアドレスを利用して社内と接続する機能です。
IPsec のような接続が可能になりますので、ほとんどのアプリケーションに対応可能です。
IP-sec同様 全てのアプリケーションが利用可能
全てのアプリケーションが利用可能
IP-sec同様
接続順序
①JuniperSAにアクセス
②ActiveX or Java を利用してNetwork Connectモジュールをダウンロード/インストール(初回時のみ)
③端末に社内用アドレスの割り当て→アクセス可能になります。
クライアントPC (before)
①
②
JuniperSA
③ 内部IPアドレスが割り当てされて仮想的にLANに
11
直接接続 全てのアプリケーションが利用可能
11
クライアントPC
(after)
Network Connect スプリットトンネル機能
◆ Network Connect Split tunnel
⇒ Network Connectでは、どの通信をVPNトンネル上に流すか管理者が決定することが可能
です。トンネルを分けるという意味合いから本機能をスプリットトンネルと呼んでいます。
Split Tunnel Disable (無効)
⇒
トンネルを分けない形になります。つまり、クライアントから発生する通信全てが、
VPN トンネル上に流れます。そのため、ローカル環境へのアクセスや今まで利用していた
通信がトンネルを張っている間、利用できなくなりますが、余計な通信をさせない分よりセ
キュアなリモートアクセスを実現します。通常のWebなども社内を経由してのアクセスに。
VPNトンネル
Network
Connect
interface
Internetも社内経由に
直接アクセスが不可に
12
Network Connect スプリットトンネル機能
Split Tunnel Enable (有効)
⇒
管理者指定したネットワーク、ホスト宛ての通信のみトンネルを通します。
そのため、VPNトンネル上に余計なトラフィックが流れず、リソースを最大限に利用できま
す。また、クライアントからみた場合、今までの通信+VPNの通信となり、利便性が向上し
ます。DNSサーバの指定もできます。
Network
Connect
interface
VPNトンネル
利便性の向上
アクセスはそのまま可能
トンネル状に余計なトラフィックが
流れない
13
Network Connect プロキシ割り当て機能
Proxy 割り当て機能
⇒
Network Connec接続後にユーザに使わせるProxyサーバを管理者が指定できる機能です。
VPN接続後のインターネットアクセスに社内ポリシーを適用することで、よりセキュアな
VPNアクセスを実現させます。Proxyはマニュアルで指定することもできますし、既存の
Pacファイルを参照させることも可能です。
VPNトンネル
Network
Connect
interface
Webのアクセスが
社内のProxy経由に
Internet アクセスのセキュリティ保護
Webのトラフィックコントロール
14
Network Connect IPアドレス割り当て方法
◆ 複数のIPアドレス割り当て方法
⇒ JuniperSAでは、通常のpool IP Addressから順に割り当てる方法に加え、社内のDHCP
サーバからIP情報を取得する方法や、Radius や LDAP サーバと連携して、ユーザ毎に
個々のIP Addressを払いださせることが可能です。
Pool IP Addressから
⇒
管理者指定したアドレス範囲から順番に割り当てて
いく方式です。
192.168.0.100
Radius / LDAPの属性情報から
User ID Framed-IP-Address
Directory Server 上のユーザ属性情報にIP Address を
登録しておき、この値を参照して、割り当てる方式。
ユーザ毎に固定IP Addressの割り当てを実現します。
Jun
172.16.81.100
Junpei
172.16.81.101
社内のDHCPから
⇒
~
⇒
Pool IP Address
192.168.0.1
DHCPサーバから社内のIP Address情報を取得し、
割与える方式です。
15
・・・
・・・
Windows Secure Application Manager (W-SAM)
◆ WSAMの特徴
⇒ WSAMはクライアント上にダウンロード、インストールされたあと、管理者の指定した通信
(プロセス指定や宛先のサーバ)をフックし、SSLトンネル上に流します。
メールやWebなど様々なC/S通信に対応しています。
特定のクライアント・サーバ型通信が利用可能
IP-sec同様
全てのアプリケーションが利用可能
接続順序
①JuniperSAにアクセス
②ActiveX or Java を利用してWSAMモジュールをダウンロード/インストール(初回時のみ)
③ポートフォワードによるSSL-VPNがアクセス可能になります。
クライアントPC
SSL暗号
C/S通信
16
Windows Secure Application Manager (W-SAM)
W-SAM(Windows version)
ポート固定TCPアプリケーション
○
ポート変動型TCPアプリケーション
○
UDP(ユニキャスト)
○
接続先のネットワーク指定
○
プラットフォームサポート
Windows , Windows Mobile 6
主な動作確認済みアプリケーション
SMTP,POP,IMAP,Telnet,SSH,Windows Terminal
Service, Citrix Metaframe,VNC,Lotus Notes,MS
Exchange,FTP(Passive mode),
AS/400,SAP/R3,PCAnywhere,WRQ 等
Windows Mobileからメール送受信なども可能!!!
※ Java appletでSSLVPN接続するJ-SAM機能もございます。
17
Core Web機能
◆ Core Webの特徴
⇒ Core Web機能は一般的なリバースプロキシと同じ動作を行います。
クライアント側にブラウザさえあれば、社内のWebアプリケーションと接続することが可
能になります。リバースプロキシの動作を行うことによって、例えば、
Webアプリケーションへのシングルサインオン
などの機能が利用可能になります。(導入前に必ず検証をお願いします。)
社内のWebリソースの中身を書き換えてユーザに表示
IP-sec同様 全てのアプリケーションが利用可能
接続順序
①JuniperSAにアクセス
②ポータル画面上のリンクをクリックするだけで、社内のWebアプリケーションが表示されます。
JuniperSA ポータル画面
18
Core File機能
◆ Core Fileの特徴
⇒ Core File機能はFile共有の機能をブラウザ上で実現させるものです。
実際に社内のファイルサーバとのやり取りをブラウザを通じて実行することが可能となり、
ファイルのダウンロード、アップロード等が実現可能となります。
社内のファイルサーバ上のファイル名がブラウザ上に表示
IP-sec同様 全てのアプリケーションが利用可能
接続順序
①JuniperSAにアクセス
②ポータル画面上のリンクをクリックするだけで、ファイルサーバ上のフォルダやファイルが表示されます。
JuniperSA ポータル画面
19
端末セキュリティチェック機能 (Host Checker)
20
Host Checker機能
クライアント端末のセキュリティチェック機能
IP-sec同様
全てのアプリケーションが利用可能
クライアント端末はSSL-VPNにアクセス時にHost Checkerをダウンロードします。
Host Checkerは端末に対して管理者の指定したチェックを行い、パスしている端末のみにSSL-VPNへの
ログインを許可します。
ルールはAND条件やOR条件など式で設定することも可能なため、端末のセキュリティ状況によって
検疫用のグループにマッピングさせたり、複雑なグルーピングにも応用が可能です。
Intranet
端末上でHost Checkerが動作
STOP
HC=NG
HC=OK
SSL-VPNへログイン
21
Host Checkerチェック可能リスト
チェック方法
概要
事前定義ルール
(アンチウィルスソフトウェア)
100種類以上のアンチウィルス製品の稼動と定義ファイルの更新状
況をチェック
事前定義ルール
(パーソナルファイアウォール)
31種類のパーソナルファイアウォールの稼動をチェック
事前定義ルール
(アンチスパイウェア)
26種類アンチスパイウェアの稼動をチェック
事前定義ルール
(OS、サービスパック)
クライアントPCのOSやサービスパックをチェック可能
カスタムルール (ポート)
クライアントPCで空いているポートのチェック
カスタムルール (ファイル)
クライアントPCに存在するファイルのチェック
カスタムルール (プロセス)
クライアントPCで稼動するプロセスのチェック
カスタムルール (レジストリ)
クライアントPCのレジストリ情報をチェック
MAC Address チェック
端末のMACアドレスをチェックします。
NetBIOS名チェック
端末のNetBIOS名をチェックします。
コンピュータ証明書チェック
コンピュータ証明書のチェックを行います。
セキュリティパッチチェック機能
Windowsのセキュリティパッチのチェックを行います。
※セキュリティパッチ機能は現在、利用に制限がございます。
22
アンチウイルスソフトウェアのチェック
◆ プロダクト単位やメーカ単位のチェックも選択可能!
⇒
管理者はチェックしたいソフトウェアのプロダクト名を選ぶだけでチェックが可能になります。
また、メーカレベルでのチェックや対応ソフト全てを一括でチェックするなどの選択が可能。
◆ メーカ提供のXMLファイルと比較し、最新かどうかチェック
⇒
Juniperサイトから自動ダウンロードされる定義ファイルと比べることにより、クライアント上
のアンチウイルスソフトウェアのパターンファイルが何個前のものかをチェックすることが可
能。何個以上古い場合にはアクセスを許可しない運用などが可能に。
◆ 最新のアンチウイルスソフトウェアにも即座に対応
⇒
新しい製品がリリースされてもJuniperSAのESAPファイルをアップデートすることでチェック
が可能になります。SSL-VPNのOSをわざわざバージョンアップする必要はありません。
プロダクト選択画面
23
セキュリティ会社
OPSWAT, Incの技術を利用。
MAC Addressのチェック
◆ 端末のハードウェア認証、特定端末のチェック方法
⇒従来は、特定のファイル有無、レジストリの有無をチェックすることで、端末認証としていまし
たが、JuniperSAではバージョン6.0からハードウェア認証の代名詞でもある、MAC-Addressの
チェックが可能になっています。これらを組み合わせることでより強固な端末認証を実現
させることが可能です。
MACアドレスチェック
ファイルチェック
より強固な端末認証を実現!!
24
レジストリチェック
パッチアセスメント機能 (新機能:制限付)
◆ パッチアセスメント機能は“Shavlik Technologies”と提携し、SDKの提供を受け
パッチチェックをサポートしています。
◆ 管理者は必要とするソフトウェア製品の最新パッチを適用するようなポリシーで
運用することが可能になります。
-------サポートされている主なプロダクトは下記の通りです。
Microsoft Windows Patches, Microsoft Product Patches , Adobe, Firefox など.
◆ 適用されていないパッチ情報は、リミディエーション情報としてエンドユーザに表
示することができます。
◆ 特定のパッチを例外指定し、プロダクト単位でパッチのチェックが可能です。
個々のパッチを指定し、チェックすることも可能です。
25
セキュリティチェック失敗時 ユーザへの理由通知機能
◆ リミディエイション機能
⇒
HCにてはじかれたユーザになぜはじかれたのか、その理由を明示できる機能です。(下図)
簡単なHTMLタグも利用できるため、管理者のメッセージをうまくユーザに伝えることが
可能です。例えばメッセージ中にリンクを張ったり、文字の色を変更したり、
大きくしたりなどが可能です。
メッセージ変更可能部分
26
多様な認証システム、グルーピングへの対応
27
連携可能認証システム一覧
認証サーバ
(Authentication)
Local DB
Radius
LDAP
NIS
Netegrity SiteMinder
Active Directory/NT Domain(NTLM, Kerberos)
x.509電子証明書(CRL対応)
RSA ACE/Server (One Time Password)
Secure Matrix (One Time Password)
Wise Point (One Time Password)
Anonymous (匿名でサインイン)
Secure Call(携帯電話認証)
Registgate(端末認証)
PUPPY(指紋認証)
Directory/Attributeサーバ
(Authorization)
x.509電子証明書
Radius
LDAP
Active Directory/NT
Domain
28
Accounting
サーバ
Radius
CSE社 SecureMatrix
◆ セキュアマトリクスは、人が頭の中に想い描くイメージとワンタイムパスワードを融合した、
まったく新しい認証方式を採用した本人認証システムです。
操作が簡単
何も配布する必要がありません
ユーザIDを入力
運用管理がしやすい
ログイン完了
ユーザ毎に位置情報を鍵
としてパスワードを入力
29
セカンダリ認証機能
◆ JuniperSAにはセカンダリ認証として、ユーザに対して2回認証をさせることが可能です。
純粋な認証強化のためや、2回目の認証情報をWebサーバへのシングルサインオン情報
として利用したりすることが可能です。
2要素認証をお求めのお客様はよくご利用になられる機能です。
例:SecureMatrixの後に固定ID,Paswordを入力させる
30
グルーピング機能 1
◆ 認証サーバの属性値 を利用したグルーピング
⇒ JuniperSAでは、認証サーバの属性情報(ActiveDirectoryのGroup情報やLDAPの
Attrribute値)を利用したグルーピングが可能です。認証サーバ上でユーザのSA上の
グループ情報も一元管理することが可能です。図のように認証サーバのグループ情報に
応じてアクセスできるリソースを制御することが可能です。
Mail
Web1
Web2
Jun
User ID
Junpei
認証サーバ
31
Framed-IP-Address Class
Jun
172.16.81.100
engineer
Junpei
172.16.81.101
sales
・・・
・・・
・・・
グルーピング機能 2
◆ クライアントの状況に応じたグルーピング
⇒ 同じユーザIDでも認証サーバの属性情報だけでなく、HostCheckerの結果やアクセスしてき
た時間帯、ソースIPアドレスの情報によって動的に利用できるリソースを制御することが可
能です。
Jun
例:Pattern A
HC 失敗
アクセス時間OK
例:Pattern B
HC成功
アクセス時間NG
HostChecker
CacheCleaner
Mail
SourceIP
時間
証明書
32
Web1
Web2
管理機能について
33
JuniperSA管理者画面
◆ JuniperSAはそのほとんどの設定をWeb の GUI 上から実行することが可能です。
管理者画面自体は全て英語になっていますが、メーカ発行の日本語のマニュアル、
弊社サービスの運用管理ガイドマニュアルなどでフォローすることが可能です。
画面サンプル
34
ログの管理について
イベントログ
このログ ファイルには、NICのアップダウン、デフォルトゲートウェイへの
疎通状況、システム エラーおよび警告、サーバーの接続状態チェックの要求、およ
び IVE サービス再起動通知が含まれます。
ユーザアクセスログ
このログ ファイルには、1 時間ごとの同時ユーザー数(正時に記録)、
ユーザーのサインインおよびサインアウト、ユーザーのファイル要求、Web 要求な
ど、ユーザーがアプライアンスにアクセスしたときのさまざまな情報が記録されます。
管理者アクセスログ
このログ ファイルには、セッションのタイムアウト、URLブラウジングやユーザー作
成ブックマークの有効化/ 無効化オプション、コンピュータ情報およびサーバー情報
など、管理者によるユーザー、システム、ネットワーク設定の変更が記録されます。
また、管理者によるサインイン、サインアウト、アプライアンスのライセンス変更など
も記録されます。
Syslog対応
FTPサーバへのスケジュール転送可能
各ログファイルを最大1GBまで内部保持
W3C、WELFログフォーマットサポート
Syslog Srv. FTP Srv.
転送、アーカイブ
35
クラスタ構成
◆ JuniperSA単体でActive-Standbyの構成を取ることが可能です。
機器それぞれの実IPアドレスと共通のVirtual IP Addressを所有し、切り替わりに対処します。
Active-Activeの構成の場合には別途バランサを準備する必要があります。
DMZ
SAのみでのフェイルオーバー構成が可能
Virtual IP
設定情報/ログの自動同期
シームレスフェイルオーバー
Virtual IP
切り替え時間は約30秒
LAN
36
Appendix JuniperSAの持つその他の便利機能
37
Installer Service
◆ Installer Service (windows)
Network Connect(NC)やWindows Secure Application Manager(WSAM)はクライアント端末上
にモジュールをインストールする必要があります。
制限付きユーザで端末を利用している場合に、事前にこのInstaller Serviceをインストールして
頂ければ、以降は制限付きユーザでもNCやWSAMをインストールしたり、バージョンアップ
することが可能になります。これによりSSL-VPN装置自身のバージョンアップを行う際のIT管理
者の運用工数を減らすことが可能です。
制限付きユーザ
Juniper Installer
Service
なし
NC,WSAM新規インストール不可
モジュールバージョンアップ不可
制限付きユーザ
Juniper Installer
Service
事前インストール済み
NC,WSAM新規インストール可能
モジュールバージョンアップ可能
※ JISを利用する場合には合わせて最新のJavaVMのインストールも行ってください。
38
Adaptive Delivery
◆ Adaptive Delivery
Host CheckerやNetwork Connectなどをクライアントがブラウザからダウンロードする際や、
モジュール自体の起動、停止は基本的にActiveXを利用しています。
Internet Explorer のセキュリティ設定でActiveXが禁止されていたり、Windows以外の端末
からアクセスする場合にActiveXを利用することができません。そこでJuniperSAでは、
ActiveXが利用できないと判断された場合に、その役割をJavaで実施します。
この動きを実現することによって、ActiveXが使えない環境でもJuniperSAの各種モジュールを
利用することが可能になります。
Network Connect
ActiveX
or
JAVA
ダウンロード、
インストール、起動、停止など
W-SAM
Host Checker
Cache Cleaner
Win Terminal Service
39
SA2500
SA4500
SA6000
モデル一覧
同時接続数ユーザ数
10 ~ 100
50 ~ 1000
100 ~ 10000
(シングル構成の場合)
最小追加ユーザ単位
10
50
100
寸法(高×幅×奥行)
4.4×43.8×36.8cm (1U)
4.4×43.8×36.8cm (1U)
8.8×43.8×45cm (2U)
重量
6.6kg(標準)
7.1kg(標準)
12kg(標準)
HDD
○
○
冗長 RAID1
電源
最大消費電力
100-240VAC、50-60Hz、2.5A
200W
300W
400W(冗長電源)
SSL処理
ソフトウェア
ハードウェア
ハードウェア
平均故障時間
75,000 時間
72,000 時間
98,000 時間
データインタフェース
2×RJ45 Ethernet-10/100/1000
4×RJ45 Ethernet-10/100/1000
マネージメントポート
なし
1×RJ45 Ethernet-10/100/1000
コンソールポート
動作環境
1×シリアルコンソールポート(RJ-45)
温度:5 ~ 4040℃ 湿度:8~90%(結露しないこと)
お問い合わせ先
マクニカネットワークス株式会社
JuniperSA 製品担当
TEL:045-476-2010
E-Mail: juniper-sa@cs.macnica.net
http://www.macnica.net/juniper/sa.html
41