このページの目次

Junos OSの統合型アクセス制御
Junos OS Enforcer と IC シリーズ UAC アプライアンス
IPsecを使用するJunos OS Enforcer
Junos OS Enforcerによるポリシー適用とエンドポイントセキュリティ
Junos OS Enforcerを使用したキャプティブポータル

ユナイテッドアクセスコントロール(UAC)

概要統合アクセス制御(UAC)ネットワークにおけるインフラネットエンフォーサーとしてのSRXシリーズファイアウォールの使用方法について説明します。

統合アクセス制御 (UAC) は、次のコンポーネントを使用してネットワークをセキュリティで保護し、資格のあるエンドユーザーのみが保護されたリソースにアクセスできるようにします。

ICシリーズUACアプライアンス:ICシリーズアプライアンスは、ネットワーク内のポリシー決定ポイントです。認証情報とポリシー規則を使用して、ネットワーク上の個々のリソースへのアクセスを提供するかどうかを決定します。ネットワークに1つ以上のICシリーズアプライアンスを導入できます。
インフラネットエンフォーサー:インフラネットエンフォーサーは、ネットワーク内のポリシーエンフォースメントポイントです。IC シリーズアプライアンスからポリシーを受け取り、それらのポリシーで定義されたルールを使用して、エンドポイントにリソースへのアクセスを許可するかどうかを決定します。インフラネットエンフォーサーは、保護するサーバーとリソースの前に展開します。
インフラネットエージェント:インフラネットエージェントは、ネットワークエンドポイント(ユーザのコンピュータなど)で直接実行されるクライアント側のコンポーネントです。エージェントは、エンドポイントがホストチェッカーポリシーで指定されたセキュリティ基準に準拠していることを確認し、そのコンプライアンス情報をInfranet Enforcerに中継します。次に、Infranet Enforcerは、コンプライアンスの結果に基づいてエンドポイントアクセスを許可または拒否します。

Junos OSの統合型アクセス制御

SRXシリーズファイアウォールは、UACネットワークでインフラネットエンフォーサーとして機能できます。具体的には、レイヤー3の適用ポイントとして機能し、ICシリーズアプライアンスからプッシュダウンされたIPベースのポリシーを使用してアクセスを制御します。UACネットワークに導入される場合、SRXシリーズファイアウォールはJunos OS Enforcerと呼ばれます。

利点
UAC は Junos OS 環境でどのように機能しますか?

利点

ユーザーID、デバイスのセキュリティ状態、位置情報に基づいて、エンドユーザーのアクセスをきめ細かく動的に制御します。
オープンなスタンダードベースのアーキテクチャを通じて、ユーザー認証からアクセスポイントやスイッチ、ジュニパーファイアウォール、IDPシリーズアプライアンスに至るまで、既存のネットワークインフラストラクチャを活用します。

UAC は Junos OS 環境でどのように機能しますか?

図1: Junos OS環境におけるUACの動作 Working of UAC in Junos OS Environment

UACトラフィックがSRXシリーズファイアウォールに入るインターフェイスを設定します。
同一のセキュリティ要件を持つインターフェイスをゾーンにグループ化します。例:セキュリティ・ゾーンの作成を参照してください。
セキュリティ・ポリシーを作成して、セキュリティ・ゾーンを通過するトラフィックを制御します。例:すべてのトラフィックを許可または拒否するセキュリティポリシーの設定を参照してください。

Junos OSのセキュリティポリシーは、トランジットトラフィックにルールを適用し、どのトラフィックがジュニパーネットワークスのデバイスを通過できるかを定義します。ポリシーは、あるゾーン(fromゾーン)から出入りするトラフィック(to-zone)を制御します。UAC環境でSRXシリーズファイアウォールをJunos OS Enforcerとして有効にするには、以下を実行する必要があります。

UAC トラフィックが通過する送信元ゾーンと宛先ゾーンを特定します。また、どのゾーンに属しているかなど、インターフェイスのリストも必要です。ICシリーズUACアプライアンスは、宛先ゾーンを使用して、ICシリーズアプライアンスで構成された独自のIPsecルーティングポリシーを照合します。
これらのゾーンを含むJunos OSセキュリティポリシーを特定し、それらのポリシーでUACを有効にします。

Junos OSのセキュリティポリシーを使用してUACを設定するには、次の設定ステートメントを入力します。

Junos OS Enforcer と IC シリーズ UAC アプライアンス

ICシリーズUACアプライアンスを搭載したJunos OS Enforcerとは何ですか?
ICシリーズUACアプライアンスを搭載したJunos OS Enforcerの仕組みは?
ICシリーズUACアプライアンスのクラスターを搭載したJunos OS Enforcerとは何ですか?

ICシリーズUACアプライアンスを搭載したJunos OS Enforcerとは何ですか?

統合型アクセスコントロール(UAC)ネットワークでは、SRXシリーズファイアウォールがUAC環境に導入されると、Junos OS Enforcerと呼ばれます。SRXシリーズファイアウォールは、ICシリーズUACアプライアンスが提出する証明書を検証します。SRXシリーズファイアウォールとICシリーズUACアプライアンスは、相互認証を実行します。認証後、ICシリーズUACアプライアンスは、ユーザーとリソースアクセスポリシー情報をSRXシリーズファイアウォールに送信し、Junos OS Enforcerとして機能します。

ICシリーズUACアプライアンスを搭載したJunos OS Enforcerの仕組みは?

ICシリーズUACアプライアンスに接続するようにSRXシリーズファイアウォールを設定すると、SRXシリーズファイアウォールとICシリーズUACアプライアンスは、次のようにセキュアな通信を確立します。

SRXシリーズファイアウォールで複数のICシリーズデバイスがインフラネットコントローラとして設定されている場合、ラウンドロビンアルゴリズムにより、設定されたICシリーズデバイスのうち、アクティブなインフラネットコントローラが決定されます。その他はフェイルオーバーデバイスです。アクティブなインフラネットコントローラが動作しなくなった場合、アルゴリズムは、新しいアクティブなインフラネットコントローラを確立するように設定されている残りのICシリーズデバイスに再適用されます。
アクティブなICシリーズアプライアンスは、そのサーバー証明書をSRXシリーズファイアウォールに提示します。そのように設定されている場合、SRXシリーズファイアウォールは証明書を検証します。(サーバー証明書の検証は必須ではありませんが、追加のセキュリティ対策として、証明書を検証して追加の信頼層を実装できます)。
SRXシリーズファイアウォールとICシリーズアプライアンスは、独自のチャレンジ/レスポンス認証を使用して相互認証を実行します。セキュリティ上の理由から、パスワードはICシリーズアプライアンスに送信されるメッセージに含まれていません。
SRXシリーズファイアウォールによる認証に成功すると、ICシリーズアプライアンスはユーザー認証とリソースアクセスポリシー情報を送信します。SRXシリーズファイアウォールは、この情報を使用して、UACネットワークでJunos OS Enforcerとして機能します。
その後は、ICシリーズアプライアンスとJunos OS Enforcerは、SSL接続を介して相互に自由に通信できます。通信は、 Junos UAC Enforcer Protocol(JUEP)と呼ばれる独自のプロトコルによって制御されます。

ICシリーズUACアプライアンスのクラスターを搭載したJunos OS Enforcerとは何ですか?

Junos OS Enforcerは、ICシリーズアプライアンスクラスターと呼ばれる高可用性構成で、複数のICシリーズUACアプライアンスと連携するように設定することができます。Junos OS Enforcerは、一度に1つのICシリーズアプライアンスとのみ通信します。他のICシリーズアプライアンスは、フェイルオーバーに使用されます。Junos OS Enforcerは、クラスタに追加した最初のICシリーズアプライアンスに接続できない場合、障害が発生したICシリーズアプライアンスへの接続を再試行します。その後、クラスタ内の他のICシリーズアプライアンスにフェイルオーバーします。接続が発生するまで、クラスタ内のICシリーズアプライアンスへの接続を試行し続けます。

Junos OS Enforcerは、Infranet Enforcerへの接続を確立できない場合、既存の認証テーブルのエントリーと統合アクセス制御(UAC)ポリシーをすべて保持し、指定したタイムアウトアクションを実行します。タイムアウトアクションには次のものが含まれます。

close- 既存のセッションを閉じ、それ以上のトラフィックをブロックします。これはデフォルトのオプションです。
no-change- 既存のセッションを保持し、新しいセッションには認証を要求します。
open- 既存のセッションを保持し、新しいセッションへのアクセスを許可します。

Junos OS EnforcerがICシリーズアプライアンスへの接続を再確立できるようになると、ICシリーズアプライアンスはJunos OS Enforcerに保存されている認証テーブルのエントリーとUACポリシーを、ICシリーズアプライアンスに保存されている認証テーブルのエントリーとポリシーと比較し、必要に応じて2つを調整します。

Junos OS Enforcerで設定されたICシリーズアプライアンスは、すべて同じICシリーズアプライアンスクラスターのメンバーである必要があります。

IPsecを使用するJunos OS Enforcer

IPsecを使用してJunos OS Enforcerとして機能するようSRXシリーズファイアウォールを設定するには、以下を実行する必要があります。

セキュリティ IKE ゲートウェイの下で構成された ID を含めます。ID は "gateway1.mycompany.com" などの文字列で、gateway1.mycompany.com は IKE ゲートウェイを区別します。(ID は、どのトンネルトラフィックが意図されているかを指定します)。
事前共有シードを含めます。これにより、フェーズ1クレデンシャル用のリモートユーザーの完全なIDから事前共有キーが生成されます。
RADIUS 共有シークレットを含めます。これにより、ICシリーズUACアプライアンスは、Junos OSインフラストラクチャエンフォーサーからの拡張認証(XAuth)用のRADIUSパケットを受け入れることができます。

ICシリーズアプライアンス、Odysseyアクセスクライアント、SRXシリーズファイアウォールの間でIPsecを設定する場合、ICシリーズアプライアンスからOdysseyアクセスクライアントまでサポートされているIKE(またはフェーズ1)プロポーザル方法またはプロトコル設定は次のとおりです。

IKEプロポーザル: authentication-method pre-shared-keys ( pre-shared-keys指定する必要があります)
IKEポリシー:
- mode aggressive (アグレッシブモードを使用する必要があります)
- pre-shared-key ascii-text key (ASCIIテキストの事前共有キーのみがサポートされます)
IKEゲートウェイ:ダイナミック
- hostname identity (ゲートウェイ間で一意の ID を指定する必要があります)
- ike-user-type group-ike-id ( group-ike-idを指定する必要があります)
- xauth access-profile profile ( xauthを指定する必要があります)

以下は、ICシリーズアプライアンスからOdysseyアクセスクライアントでサポートされているIPsec(またはフェーズ2)プロポーザル方法またはプロトコル設定です。

IPsecプロポーザル: protocol esp ( esp指定する必要があります)
IPsec VPN: establish-tunnels immediately ( establish-tunnels immediately指定する必要があります)

Junos OS Enforcerによるポリシー適用とエンドポイントセキュリティ

統合型アクセスコントロール(UAC)環境では、SRXシリーズファイアウォールがJunos OS Enforcerになると、SRXシリーズファイアウォールはJunos OSセキュリティポリシーに基づいてトラフィックを許可または拒否します。インフラネットエージェントはエンドポイントで実行され、UAC ホストチェッカーポリシーを確認することでトラフィックを保護します。ホストチェッカーのコンプライアンス結果に基づいて、Junos OS Enforcerはエンドポイントアクセスを許可または拒否します。

Junos OS Enforcerによるポリシーの適用
Junos OS EnforcerでInfranet Agentを使用したエンドポイントセキュリティ

Junos OS Enforcerによるポリシーの適用

SRXシリーズファイアウォールがJunos OS Enforcerとしての地位を確立すると、トラフィックを次のように保護します。

まず、Junos OS Enforcerは、適切なJunos OSセキュリティポリシーを使用してトラフィックを処理します。 セキュリティポリシー は、トラフィックの送信元 IP アドレスやトラフィックを受信した時刻などの基準を使用して、トラフィックの通過を許可するかどうかを決定します。
Junos OSセキュリティポリシーに基づいてトラフィックが通過できると判断すると、Junos OS Enforcerはトラフィックフローを認証テーブルのエントリーにマッピングします。Junos OS Enforcer は、フローの最初のパケットの送信元 IP アドレスを使用してマッピングを作成します。
1. 認証テーブルのエントリには、UAC セッションを既に正常に確立しているユーザーの送信元 IP アドレスとユーザーロールが含まれています。ユーザーロールは、種類 ("エンジニアリング" や "マーケティング" など) や状態 ("ウイルス対策実行中" など) などの条件に基づいてユーザーのグループを識別します。Junos OS Enforcerは、適切な認証テーブルエントリに保存されている認証結果に基づいて、トラフィックの通過を許可するか拒否するかを決定します。
2. ICシリーズUACアプライアンスは、デバイスが最初に相互に接続されたとき、および必要に応じてセッション中に、認証テーブルエントリーをJunos OS Enforcerにプッシュします。たとえば、ネットワーク上のウイルスなどのセキュリティ問題に対応して、ユーザーのコンピューターがエンドポイントセキュリティポリシーに準拠しなくなった場合、ユーザーの役割の構成を変更した場合、またはICシリーズアプライアンス上のすべてのユーザーアカウントを無効にした場合など、ICシリーズアプライアンスは更新された認証テーブルエントリーをJunos OS Enforcerにプッシュすることがあります。
3. 認証テーブルのエントリがないためにJunos OS Enforcerがパケットをドロップした場合、デバイスはICシリーズアプライアンスにメッセージを送信し、ICシリーズアプライアンスは新しい認証テーブルエントリをプロビジョニングしてJunos OS Enforcerに送信します。このプロセスは、動的認証テーブルのプロビジョニングと呼ばれます。
認証テーブルのエントリーに基づいてトラフィックが通過すると、Junos OS Enforcerはフローをリソースにマッピングします。Junos OS Enforcer は、フローで指定された宛先 IP アドレスを使用してマッピングを作成します。次に、デバイスはそのリソースと、認証テーブルのエントリで指定されたユーザーロールを使用して、フローをリソースアクセスポリシーにマッピングします。
1. リソースアクセスポリシーは、ユーザーロールに基づいてアクセスを制御する特定のリソースを指定します。たとえば、エンジニアリングおよびウイルス対策の実行ユーザーロールのメンバーであるユーザーのみがエンジニアリング専用サーバーにアクセスできるようにするリソースアクセスポリシーを作成できます。または、ウイルス対策ソフトウェアをダウンロードできる修復サーバーへの [ウイルス対策を実行しない] ユーザーロールのメンバーにアクセスを許可するリソースアクセスポリシーを作成することもできます。
2. ICシリーズアプライアンスは、デバイスが初めて相互に接続するとき、およびICシリーズアプライアンスでリソースアクセスポリシーの設定を変更するときに、リソースアクセスポリシーをJunos OS Enforcerにプッシュします。
3. 「拒否」ポリシーが原因でJunos OSエンフォーサーがパケットをドロップした場合、Junos OS EnforcerはICシリーズアプライアンスにメッセージを送信し、ICシリーズアプライアンスはエンドポイントのOdysseyアクセスクライアント(利用可能な場合)にメッセージを送信します。(ICシリーズアプライアンスは、エージェントレスクライアントに「拒否」メッセージを送信しません。)
リソースアクセスポリシーに基づいてトラフィックが通過できると判断されたJunos OS Enforcerは、Junos OSポリシーで定義された残りのアプリケーションサービスを使用してトラフィックを処理します。Junos OS Enforcerは、残りのサービスを、侵入検出および防止(IDP)、URLフィルタリング、およびアプリケーション層ゲートウェイ(ALG)の順に実行します。

Junos OS EnforcerでInfranet Agentを使用したエンドポイントセキュリティ

Infranetエージェントは、次のように通信を開始するエンドポイントから始まるネットワーク上のトラフィックを保護するのに役立ちます。

エンドポイントで直接実行されるInfranetエージェントは、エンドポイントが統合アクセス制御(UAC)ホストチェッカーポリシーに準拠していることを確認します。
UAC ホストチェッカーポリシー内でさまざまな条件を使用して、コンプライアンスを判断できます。たとえば、Host Checker ポリシーを構成して、エンドポイントでウイルス対策ソフトウェアまたはファイアウォールが実行されていること、またはエンドポイントで特定の種類のマルウェアやプロセスが実行されていないことを確認できます。
インフラネットエージェントは、コンプライアンス情報をJunos OS Enforcerに送信します。
Junos OS Enforcerは、ホストチェッカーのコンプライアンス結果に基づいて、ネットワーク上のリソースへのエンドポイントアクセスを許可または拒否します。

Infranetエージェントはエンドポイント上で直接実行されるため、Infranetエージェントを使用して、エンドポイントのセキュリティコンプライアンスをいつでもチェックできます。たとえば、ユーザが IC シリーズ UAC アプライアンスにサインインしようとすると、Infranet エージェントにコンプライアンス結果をすぐに送信するように要求できます。Infranet エージェントが IC シリーズアプライアンスに肯定的なコンプライアンス結果を返すまで、ユーザにはサインインページも表示されません。また、ユーザのサインイン後またはユーザセッション中に定期的にコンプライアンスをチェックするように Infranet エージェントを設定することもできます。

インフラネットエージェントを実行しているエンドポイントに適切なアクセス権がある場合、コンプライアンス結果は自動的にICシリーズアプライアンスに送信され、ICシリーズアプライアンスはそれに応じて認証テーブルのエントリを更新してJunos OS Enforcerにプッシュします。Junos OS Enforcerは、Odysseyアクセスクライアントおよび「エージェントレス」インフラネットエージェントとの接続をサポートします。

Junos OS Enforcerを使用したキャプティブポータル

統合アクセス制御(UAC)環境では、ユーザーは、Junos OS Enforcer の背後にある保護されたリソースにアクセスする前に、認証とエンドポイントセキュリティチェックのために IC シリーズ UAC アプライアンスにサインインする必要があることに気付いていない場合があります。

ユーザが IC シリーズアプライアンスにサインインしやすくするために、キャプティブポータル機能を設定できます。詳細については、例:Junos OS Enforcerでのキャプティブポータルポリシーの作成を参照してください。キャプティブポータル機能を使用すると、保護されたリソース宛てのHTTPトラフィックをICシリーズアプライアンスまたはJunos OSエンフォーサーで設定されたURLに自動的にリダイレクトするポリシーをJunos OSエンフォーサーで設定できます。

キャプティブポータルは、ソース IP 強制または IPsec 強制のいずれか、あるいは両方の実施方法の組み合わせを使用する展開用に設定できます。

図 2: Junos OS Enforcer Captive Portal with Junos OS Enforcer

を搭載したキャプティブポータル

ユーザーは、ブラウザーを使用して保護されたリソースをポイントします。
Junos OS Enforcerは、ユーザーが認証されていないと判断し、リクエストをICシリーズアプライアンスまたは別のサーバーにリダイレクトします。
ユーザは、Infranet ユーザ名とパスワードを入力してログインします。
ICシリーズアプライアンスは、ユーザーの資格情報を認証サーバーに渡します。
認証後、IC シリーズアプライアンスは、アクセスを希望する保護されたリソースにユーザーをリダイレクトします。

デフォルトでは、Junos OS Enforcerは、ユーザーが入力した保護されたリソースURLをエンコードし、ICシリーズアプライアンスに転送します。ICシリーズアプライアンスは、保護されたリソースのURLを使用して、ユーザーが保護されたリソースに移動できるようにします。ICシリーズアプライアンスが保護されたリソースURLを使用する方法は、ユーザーのエンドポイントがOdysseyアクセスクライアントまたはJunos Pulseを実行しているかどうかによって異なります。

ユーザーのエンドポイントで Odyssey Access Client または Junos Pulse が実行されていない場合 (つまり、エージェントレス構成または Java エージェント構成の場合)、IC Series アプライアンスは自動的に新しいブラウザーウィンドウを開き、ユーザーがサインインした後、HTTP を使用して保護されたリソースにアクセスします。

エンドポイントがOdysseyアクセスクライアントを使用している場合、ICシリーズアプライアンスは、ユーザーがサインインした後に自動的に開くハイパーテキストリンクをWebページに挿入します。次に、ユーザーはそのハイパーテキストリンクをクリックして、同じブラウザーウィンドウでHTTPを使用して保護されたリソースにアクセスする必要があります。

Junos OS Enforcerは、HTTPトラフィックに対してのみキャプティブポータル機能をサポートします。HTTPSまたはブラウザー以外のアプリケーション(電子メールアプリケーションなど)を使用して保護されたリソースにアクセスしようとした場合、Junos OS Enforcerはトラフィックをリダイレクトしません。HTTPSまたはブラウザー以外のアプリケーションを使用する場合、保護されたリソースにアクセスする前に、まずICシリーズアプライアンスに手動でサインインする必要があります。