認証による不正アクセス制限と悪意ある攻撃防御

認証による不正アクセス制限と悪意ある攻撃防御 <セキュリティソリューション>

BYOD時代のネットワークアクセスセキュリティ

クラウドとスマートフォンが推進する企業におけるマルチデバイス環境の浸透に伴い、個人の私物のスマートフォンを、社内業務でも利用しようとする動き、所謂 『Bring Your Own Device(BYOD)』 に対するニーズが高まっています。
こうした動きは、社員の利便性、効率性が高まる反面、セキュリティリスクが高まることから、導入に躊躇する企業もまだまだ多いかと思います。

スマートフォン/タブレットPC利用におけるセキュリィリスクは、「盗難紛失」、「マルウェア」、「不正端末のネットワークアクセス」の3つが主だった
リスクですが、その中でD-Linkがお客様にご提案できるセキュリティリスクへの対策は「不正端末のネットワークアクセス防御」対策です。

不正なアクセスや悪意ある攻撃からネットワークを守る為、D-Linkのセキュアスイッチでは大きくは以下の機能を使ったネットワーク防御を
ご提案させて頂いています。

① 不正ユーザのアクセスを制御する認証機能
② なりすましによるデータ盗聴や改ざんへの対策
③ 認証サーバの障害時も業務継続が可能

以下、順にご説明させて頂きます。

不正ユーザのアクセスを制御する認証機能

D-Linkのいくつかのセキュアスイッチは、以下の認証機能を備えています。

①802.1x認証、MACアドレス認証、WEB認証が使用可能
②同一ポート配下(間に島HUBがあるような場合)でも、3つの認証を同時に利用可能(or認証)
③1台のクライアントに対して、認証とIP-MAC-Portバインディング機能を併用した、強固なアクセス制限が可能
④WEB認証の各種メッセージを日本語でカスタマイズすることが可能
⑤認証サーバが故障、若しくはWAN回線故障による認証サーバとの疎通不可の場合に、スイッチローカルDBに認証先を振り向けるか、
一時的に認証解除にする(バイパス機能)か、事前に設定が可能
⑥認証がSuccessした後、業務に必要な情報のみにアクセスが可能なように、ダイナミック認証VLAN機能を搭載

【 認証機能の概要図 】

D-linkセキュアスイッチの認証機能

なりすましによる盗聴やデータ改ざんのリスクへの対処

代表的なところで、ARPスプーフィングと不正DHCPサーバを使った、2つのなりすまし対策機能を実装しています。

①ARPスプーフィング防止機能

ARPスプーフィングとは、 アドレス解決のために利用されているARPに仕組みを悪用し、攻撃者が自らを他のネットワーク利用者や、デフォルトゲートウェイのルータと宣言(アドレスの詐称)をすることで、本来ネットワーク利用者とルータの間でやり取りされる通信を、強制的に攻撃者(アドレス詐称者)経由とし、通信の傍受や改ざんを行う攻撃です。

ARPスプーフィングによる中間者攻撃

IP-MACポートバインディング/ARPスプーフィング防止機能は、スイッチ内部のデータベースに、クライアントのIPアドレス、MACアドレス、
収容ポート番号のデータベースを保持することで、IPアドレスを詐称するARPスプーフィングなどの攻撃を効果的に防御することができます。
● ARPスプーフィングを防御することで、サービスの信頼性が向上します。
● 悪意のあるユーザのデータ盗難(Man-in-the-Middleアタック)を防止します。

D-Link セキュアスイッチによるAPPスプーフィング防止機能

②不正DHCPサーバ防止機能

不正なDHCPサーバからIPアドレス配布されることで、IPアドレスの重複など障害発生の要因になるケースはよく耳にします。
また、Man-in-the-Middle Attack(中間者攻撃)の攻撃方法の一つとして、不正DHCPサーバを利用して不正な端末をGWとして認識させることで、盗聴や改ざんを行う手法もよく知られています。

不正DHCPサーバによるLAN障害

D-Linkのセキュアスイッチの多くには、『DHCPサーバスクリーニング機能』 が搭載されています。この 『DHCPサーバスクリーニング機能』 によって、不正なDHCPサーバのなりすましを防止したり、不正なDHCPサーバ要求を排除したりすることで、ネットワークを守ることが可能です。

一般的なスイッチの認証フロー

D-Linkでは、こうした不測の事態による業務中断のリスクを軽減するために、3つの 『Radiusフェイルオーバー機能』 をご用意しています。この機能により、ネットワーク障害があった場合でも、可能な限り業務への影響を軽減可能なネットワーク設計を行う事が可能です。

(1) Radius冗長
最大3台のRadiusが登録可能なことで、Radius障害に備えることが可能です。
Radiusサーバの冗長化が可能

(2) スイッチローカルDB振り替えと認証処理無効化の選択が可能
Radius障害時には、スイッチローカルDBに一時的に切り替えるか、
一時的に認証処理そのものを無効化するか、選択することが可能です。
Radius故障時はローカルDBに認証先変更