HOME > 学問・資格 > 【情報処理安全確保支援士】検疫ネットワーク対策編

【情報処理安全確保支援士】検疫ネットワーク対策編


情報処理安全確保支援士試験対策用に検疫ネットワークに関する知識をまとめました。
DHCP方式、認証スイッチ方式などがありますが、それぞれの特徴を抑えれば非常に簡単です。
試験にもよく出題されるので、念のために確認しておいたほうが良いでしょう。




検疫ネットワーク全般


  • 検疫ネットワークとはPCがセキュリティ対策を施しているかどうかを検査し、検査結果に応じてネットワークへのアクセス制限(隔離)をし、隔離された空間でセキュリティパッチの更新やマルウェアの駆除(治療)を行うシステムのことである。
  • 検疫ネットワークがセキュリティ対策として検査している項目は、OS、アプリケーション、ウイルス対策ソフトの起動、パターンファイルの更新状況、不適切なアプリケーションの有無、ウイルスの感染状況、正規に登録されたPCかどうか等がある。

DHCP方式


  • 検疫システムのDHCP方式とは、ネットワークに接続してきたPCにDHCPはまず検疫ネットワーク宛のIPアドレスを付与する。そして検疫処理終了後にネットワークにアクセスするためのIPアドレスを付与する。
  • 検疫システムと連携してIPアドレスを割り当てる機能を持つDHCPサーバのことを認証DHCPサーバという
  • DHCP方式の欠点は、手動でIPアドレスを設定されると正常に検疫処理ができないことである。


認証スイッチ方式



  • 検疫システムの認証スイッチ方式とはIEEE802.1Xによる認証機能と動的VLAN機能を持った認証スイッチを利用する方式である。PCと認証スイッチの間でやりとりされる認証情報はEAPが使用される。
  • 動的VLANとはポートに割り当てられているVLANの設定を動的に変更できる機能である。この動的VLANにより、PCを認証スイッチのポート単位で隔離できるので高いセキュリティを確保することができる。(ただしPCに接続する全てのスイッチを認証スイッチに変更しなければならないのでコストがかかる)
  • 認証スイッチ方式では、PCを起動(認証SWに接続)すると、PC内のエージェントが起動して認証手続きを開始する。
  • 認証スイッチ方式において、PCの電源が切れたり、スイッチとの接続が途絶えたりすると、認証済み状態を解除する必要がある。この解除を怠ると、正常なセキュリティ状態を維持していないPCが接続し続けることが出来てしまう。
  • 認証スイッチ方式において、IEEE802.1Xに非対応のIP電話端末やプリンタなどは、認証を受けることが出来ないので、ネットワークに接続することが出来ない。
  • IEEE802.1Xに非対応の機器はMACアドレスによる認証を行うことで、ネットワークに接続することができる。ただし、MACアドレスはARPスプーフィングなどの詐称に弱いので、非対応の機器のみを集めたVLANを別に作るなどの対策が必要になる。
  • 認証を行うスイッチをL3SWにすると、L2SWを経由したPC同士の接続が出来てしまうので、マルウェアの感染のおそれがある。そのため認証を行うスイッチはL2SWにする必要がある。


その他の検疫ネットワークと問題点


  • DHCP方式ではL3SWのフィルタリング機能を有効にする。検疫ネットワークに割り当てられているアドレス(検疫ネットワークへアクセスする用のアドレス)からは、検疫ネットワーク内のサーバへのアクセスのみ許可するようにする。他のサーバにアクセスして感染を広げないようにする。
  • DHCP方式では、ユーザが手動でIPアドレスを割り当てると認証をすり抜けてしまう。そこで、固定IPアドレスのPCからのARP要求を検出すると、偽りのARP応答を返して他のPCとの通信を妨害する必要がある。
  • 検疫システムのゲートウェイ方式ではゲートウェイ装置(ルータ、FW、L3SW、VPNゲートウェイなど)が、パケットの通過を検知するたびに、アクセス制御リスト(ACL)の切り替えによって接続先を振り分ける方法である。
  • ゲートウェイ方式は、既存のネットワークを活かしながらセキュリティを強化できる反面、ゲートウェイを経由しない通信(L2SWを経由したPC同士の通信など)には効果が無い。
  • 検疫システムのパーソナルファイアウォール方式ではPCにパーソナルファイアウォール(PFW)をインストールするだけで導入可能である(エージェントのインストールは不要)。ただし、利用者が勝手にPFWの設定を変更できてしまうため正常に検疫できない事がある。
  • 利用者のPFWの設定変更には、PFWにパスワードを設定するなどで対策できる。


関連記事

シェアボタン

スポンサーリンク


関連記事