やりたいこと †
- 個人およびデバイスによって適切なポリシーに従ったネットワークに接続する。
- できること、できないことが良くわかっていないので、可否を含め検証する。
具体的には? †
利用するデバイス、利用する人、利用する場所、の別で適切なネットワークへの接続を許可する。
- 有線LANのネットワーク認証
- セキュリティレベルの高い場所では、MACアドレスが登録された端末のみネットワーク接続を許可する。
- セキュリティレベルの低い場所では、MACアドレスが登録され、端末証明書をインストールした端末のみネットワーク接続を許可する。
- 無線LANのネットワーク認証
- 端末証明書をインストールした端末のみネットワーク接続を許可する。
- 端末証明書をインストールし、かつActiveDirectory?の特定セキュリティグループ所属者のみネットワーク接続を許可する。
- 端末証明書がインストールされていない端末はweb認証をクリアすることで、一定時間の特定ネットワーク(Proxy経由接続)のみ許可する。その人がどこに接続したかログをとる。
- ネットワーク認証後のセグメント
- MACアドレスもしくは端末証明書によって所属するVLANを一意に判別し、どこに接続しても、所属セグメントが同じになる。
- アプリケーション利用のための利用者認証
- Proxyの利用はActiveDirectory?の特定セキュリティグループに所属する利用者のみ利用を許可する。
- ネットワーク機器へのログイン認証
- RADIUS認証とLDAP認証を連携しActiveDirectory?の特定セキュリティグループに所属する人のみ許可する。かつ別の特定セキュリティグループ所属者のみ特権を与える。
実現する方法 †
- 802.1X認証による端末の特定
- MACアドレスバイパスによる端末の特定
- web認証による人の特定
- ネットワーク認証の組み合わせによるセキュリティの強化
- RADISUアトリビュートを利用したVLANの払い出し
- ProxyとADを連携したProxyルーティング
- RADIUSとLDAP(AD)を連携したログイン認証
Counter: 2805,
today: 1,
yesterday: 0