ソリューション
- 認証による不正アクセス制限と悪意ある攻撃防御 <セキュリティソリューション>
クラウドとスマートフォンが推進する企業におけるマルチデバイス環境の浸透に伴い、個人の私物のスマートフォンを、社内業務でも利用しよう
とする動き、所謂 『Bring Your Own Device(BYOD)』 に対するニーズが高まっています。こうした動きは、社員の利便性、効率性が高まる反面、セキュリティリスクが高まることから、導入に躊躇する企業もまだまだ多いかと思います。
スマートフォン/タブレットPC利用におけるセキュリィリスクは、「盗難紛失」、「マルウェア」、「不正端末のネットワークアクセス」の3つが主だった
リスクですが、その中でD-Linkがお客様にご提案できるセキュリティリスクへの対策は「不正端末のネットワークアクセス防御」対策です。
不正なアクセスや悪意ある攻撃からネットワークを守る為、D-Linkのセキュアスイッチでは大きくは以下の機能を使ったネットワーク防御を
ご提案させて頂いています。
① 不正ユーザのアクセスを制御する認証機能
② なりすましによるデータ盗聴や改ざんへの対策
③ 認証サーバの障害時も業務継続が可能
以下、順にご説明させて頂きます。
D-Linkのいくつかのセキュアスイッチは、以下の認証機能を備えています。
①802.1x認証、MACアドレス認証、WEB認証が使用可能
②同一ポート配下(間に島HUBがあるような場合)でも、3つの認証を同時に利用可能(or認証)
③1台のクライアントに対して、認証とIP-MAC-Portバインディング機能を併用した、強固なアクセス制限が可能
④WEB認証の各種メッセージを日本語でカスタマイズすることが可能
⑤認証サーバが故障、若しくはWAN回線故障による認証サーバとの疎通不可の場合に、スイッチローカルDBに認証先を振り向けるか、
一時的に認証解除にする(バイパス機能)か、事前に設定が可能
⑥認証がSuccessした後、業務に必要な情報のみにアクセスが可能なように、ダイナミック認証VLAN機能を搭載
【 認証機能の概要図 】
代表的なところで、ARPスプーフィングと不正DHCPサーバを使った、2つのなりすまし対策機能を実装しています。
①ARPスプーフィング防止機能
ARPスプーフィングとは、 アドレス解決のために利用されているARPに仕組みを悪用し、攻撃者が自らを他のネットワーク利用者や、
デフォルトゲートウェイのルータと宣言(アドレスの詐称)をすることで、本来ネットワーク利用者とルータの間でやり取りされる通信を、
強制的に攻撃者(アドレス詐称者)経由とし、通信の傍受や改ざんを行う攻撃です。
IP-MACポートバインディング/ARPスプーフィング防止機能は、スイッチ内部のデータベースに、クライアントのIPアドレス、MACアドレス、
収容ポート番号のデータベースを保持することで、IPアドレスを詐称するARPスプーフィングなどの攻撃を効果的に防御することができます。● ARPスプーフィングを防御することで、サービスの信頼性が向上します。● 悪意のあるユーザのデータ盗難(Man-in-the-Middleアタック)を防止します。
②不正DHCPサーバ防止機能
不正なDHCPサーバからIPアドレス配布されることで、IPアドレスの重複など障害発生の要因になるケースはよく耳にします。また、Man-in-the-Middle Attack(中間者攻撃)の攻撃方法の一つとして、不正DHCPサーバを利用して不正な端末をGWとして認識させることで、盗聴や改ざんを行う手法もよく知られています。※印 : 次期Firmwareにて対応予定
D-Linkのセキュアスイッチの多くには、『DHCPサーバスクリーニング機能』 が搭載されています。
この 『DHCPサーバスクリーニング機能』 によって、不正なDHCPサーバのなりすましを防止したり、不正なDHCPサーバ要求を排除したり
することで、ネットワークを守ることが可能です。
Radiusサーバなどの認証サーバでID/PASSを一括管理して、認証スイッチと連携させることは多くのスイッチで可能です。
ただし、Radiusサーバの故障や、WAN越しにRadiusサーバがある場合はWAN障害など、Radiusサーバとの疎通が出来ない場合、
一般的には認証が出来ない限りはLANへのアクセスが出来なくなり、業務が中断してしまうケースが多く見られます。
以下は、一般的な認証フロー(左図)と、Radius障害時にどこが止まってしまうのかを表した概要図(右図)です。
D-Linkでは、こうした不測の事態による業務中断のリスクを軽減するために、3つの 『Radiusフェイルオーバー機能』 をご用意しています。
この機能により、ネットワーク障害があった場合でも、可能な限り業務への影響を軽減可能なネットワーク設計を行う事が可能です。
(1) Radius冗長
最大3台のRadiusが登録可能なことで、Radius障害に備えることが可能です。
(2) スイッチローカルDB振り替えと認証処理無効化の選択が可能
Radius障害時には、スイッチローカルDBに一時的に切り替えるか、一時的に認証処理そのものを無効化するか、選択することが可能です。
セキュリティ機能に関するD-Linkの各スイッチシリーズの対応一覧表です。
詳細は、各シリース製品ページにてご確認下さい。
802.1x
認証MAC
認証WEB
認証Compound
認証
ダイナミックVLAN Radius
冗長ローカルDB
認証切替認証
バイパスDHCP
スヌーピングARRスプーフィング防御 DHCPサーバ
スクリーニングBPDU
アタック防御DoS
アタック防御ギガ DGS-3620 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ※ DGS-3600 ○ ○ ○ ○ ○ ○ ○ - ○ ○ ○ ○ - DGS-3400 ○ ○ ○ ○ ○ ○ ○ - ○ ○ ○ ※ - DGS-3120 ○ ○ ○ ○(EIのみ) ○ ○ ○ ○ ○ ○ ○ ○ - DGS-3200 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ※ - DGS-1210 ポート
ベース- - - - - - - - ○ ○ - - DGS-1100 - - - - - - - - - - - - - 10/100 DES-3810 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ - DES-3528/52 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ - DES-3200 ○ ○ ※ - ○ ○ ○ - ○ ○ ○ ○ ○ DES-1210 ポート
ベース- - - - - - - - ○ ○ - - DES-1100 - - - - - - - - - - - - -
※Compound認証: スイッチポート配下に島HUBがあり、複数端末がそれぞれ802.1x認証/MAC認証/WEB認証など異なる認証方式を同時に実施可能な機能です。