* やりたいこと [#he3b2789]
-個人およびデバイスによって適切なポリシーに従ったネットワークに接続する。~
-できること、できないことが良くわかっていないので、可否を含め検証する。~

* 具体的には? [#p1d48b7a]
利用するデバイス、利用する人、利用する場所、の別で適切なネットワークへの接続を許可する。
-有線LANのネットワーク認証
--セキュリティレベルの高い場所では、MACアドレスが登録された端末のみネットワーク接続を許可する。
--セキュリティレベルの低い場所では、MACアドレスが登録され、端末証明書をインストールした端末のみネットワーク接続を許可する。
-無線LANのネットワーク認証
--端末証明書をインストールした端末のみネットワーク接続を許可する。
--端末証明書をインストールし、かつActiveDirectoryの特定セキュリティグループ所属者のみネットワーク接続を許可する。
--端末証明書がインストールされていない端末はweb認証をクリアすることで、一定時間の特定ネットワーク(Proxy経由接続)のみ許可する。その人がどこに接続したかログをとる。
-ネットワーク認証後のセグメント
--MACアドレスもしくは端末証明書によって所属するVLANを一意に判別し、どこに接続しても、所属セグメントが同じになる。
-アプリケーション利用のための利用者認証
--Proxyの利用はActiveDirectoryの特定セキュリティグループに所属する利用者のみ利用を許可する。
-ネットワーク機器へのログイン認証
--RADIUS認証とLDAP認証を連携しActiveDirectoryの特定セキュリティグループに所属する人のみ許可する。かつ別の特定セキュリティグループ所属者のみ特権を与える。

* 実現する方法 [#l777fe48]
-802.1X認証による端末の特定
-MACアドレスバイパスによる端末の特定
-web認証による人の特定
-ネットワーク認証の組み合わせによるセキュリティの強化
-RADISUアトリビュートを利用したVLANの払い出し
-ProxyとADを連携したProxyルーティング
-RADIUSとLDAP(AD)を連携したログイン認証


~
~
#counter


トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS