やりたいこと

  • 個人およびデバイスによって適切なポリシーに従ったネットワークに接続する。
  • できること、できないことが良くわかっていないので、可否を含め検証する。

具体的には?

利用するデバイス、利用する人、利用する場所、の別で適切なネットワークへの接続を許可する。

  • 有線LANのネットワーク認証
    • セキュリティレベルの高い場所では、MACアドレスが登録された端末のみネットワーク接続を許可する。
    • セキュリティレベルの低い場所では、MACアドレスが登録され、端末証明書をインストールした端末のみネットワーク接続を許可する。
  • 無線LANのネットワーク認証
    • 端末証明書をインストールした端末のみネットワーク接続を許可する。
    • 端末証明書をインストールし、かつActiveDirectory?の特定セキュリティグループ所属者のみネットワーク接続を許可する。
    • 端末証明書がインストールされていない端末はweb認証をクリアすることで、一定時間の特定ネットワーク(Proxy経由接続)のみ許可する。その人がどこに接続したかログをとる。
  • ネットワーク認証後のセグメント
    • MACアドレスもしくは端末証明書によって所属するVLANを一意に判別し、どこに接続しても、所属セグメントが同じになる。
  • アプリケーション利用のための利用者認証
    • Proxyの利用はActiveDirectory?の特定セキュリティグループに所属する利用者のみ利用を許可する。
  • ネットワーク機器へのログイン認証
    • RADIUS認証とLDAP認証を連携しActiveDirectory?の特定セキュリティグループに所属する人のみ許可する。かつ別の特定セキュリティグループ所属者のみ特権を与える。

実現する方法

  • 802.1X認証による端末の特定
  • MACアドレスバイパスによる端末の特定
  • web認証による人の特定
  • ネットワーク認証の組み合わせによるセキュリティの強化
  • RADISUアトリビュートを利用したVLANの払い出し
  • ProxyとADを連携したProxyルーティング
  • RADIUSとLDAP(AD)を連携したログイン認証



Counter: 2896, today: 1, yesterday: 0
トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2014-11-30 (日) 23:26:22 (3436d)