検疫ネットワークとは（1）効率的な導入のカギは段階的な移行

本記事はNETWORK Guide 2005 Winterより転載したものです。執筆者の肩書きや内容などは当時のものとなります。

　ここ数年、ネットワーク管理者を悩ませてきたワームや最近大きな問題となっているbotへの対策として、パターンファイルの更新やOSパッチの適用、パーソナルファイアウォールの利用などが挙げられる。

　従来は資産管理ソフトよるパッチ管理などが用いられてきたが、その対策として注目を浴びているのが「検疫ネットワーク」である。検疫ネットワークは、ネットワークに接続したPCのポリシーチェックを行い、ポリシーが合致したPCだけを正規LANに接続し、合致しないPCは検疫LANに隔離する。ワームが猛威を振るった2003年の後半ごろから話題となり、最近では多くの製品やソリューションが登場してきている。

　実は検疫ネットワークには、はっきりとした定義がない。ソフトウェアや認証スイッチ製品などを組み合わせた形で提供されるものが主流だが、導入に関してはそれぞれの特徴や制限を十分に考慮する必要がある。また、持ち込みPCを検知するだけのものから、隔離、ポリシーチェック、さらには感染したPCの治癒を行うシステムまで、さまざまだ。


　検疫を受けるPCに対して検疫LAN ／正規LANへの振り分けは、デバイスによって次のように分類される。

・ DHCP方式： 検疫の前後でDHCPサーバからPCに付与されるIPアドレスを変更する
・ PFW方式： パーソナルファイアウォール（PFW）がポリシーチェックの結果によりアクセスコントロールを行う
・ IPS方式： IPS(注1)が不正パケットを検出すると該当PCを隔離する
・ 認証スイッチ方式：認証スイッチのダイナミックVLAN機能やアクセスコントロール機能によってPCを隔離する


　検疫ネットワークを構成するスイッチには、IEEE802.1xとダイナミックVLAN機能が必要となる。IEEE802.1xは従来、無線LANのWEP暗号の脆弱性をカバーする目的で利用されていたが、有線LANにおいても認証による通信の許可と遮断に活用することが可能だ。また、ダイナミックVLANとは、RADIUSサーバのアトリビュートに規定されたVLAN-ID（VID）によってVLANを動的に割り当てる機能であり、IEEE802.1xで利用するEAPパケットを認証とポリシーチェックに使用し検疫を行うのである。検疫のフ ローは以下のとおりだ(図1)。

図1 IEEE802.1xを利用した検疫ネットワーク
正規PCのポリシーチェックが行われ、問題ない場合は正規VLANに接続される。 問題が発見されると検疫LANに隔離されて治癒される。持ち込みPCは認証されないため、 ネットワークに接続できない

① 検疫対象のPCのサプリカントからRADIUSサーバにEAP認証を要求し、認証が成立
② 検疫サーバでPCのポリシーチェックを行う
③ ポリシーチェックの結果に応じてRADIUSサーバ上のVIDを認証スイッチに返す
④ ダイナミックVLAN機能により、PCはVIDに応じた検疫VLANまたは正規VLANに振り分けられる

---

(注1)IPS Intrusion Prevention System。不正侵入防止システム。IDSの機能を拡張し、不正パケットの自動検出とネットワーク管理者への通知機能に加え、自らの判断でアクセスを遮断する機能を持つ。