セキュリティ

Cisco Secure Access Control Server Version 3.2 for Windows

Hierarchical Navigation
注意: 本製品は既に生産/販売を終了しております。

Cisco Secure Access Control Server
Version 3.2 for Windows

Cisco® Secure Access Control Server(ACS)は、Cisco のインテリジェント情報ネットワークに、包括的な認証ネットワーク ソリューションとセキュアなユーザ サービスを提供します。これは、すべての企業ユーザ、管理者、およびネットワークインフラストラクチャのリソース間を統合、管理するレイヤです。

はじめに

今日、ネットワークにアクセスする方法はますます増加し、セキュリティ侵害と不正なユーザアクセスは、最も懸念される問題になりつつあります。インターネットの利用が増大しているため、ネットワーク管理者は、セキュアなトランザクションを保証し、ウィルスやdenial-of-service(DoS; サービス拒否)攻撃の拡散を防止するために、ユーザとデバイスを認証するという問題が課せられています。このような問題はネットワークの境界だけでなく、ネットワークの内部にも存在します。802.11 ワイヤレス LAN や常時接続タイプの高速インターネット接続が広く使用されるようになったため、組織のネットワーク内部に限っても、これらの問題はより深刻になりつつあります。あらゆるところに存在するセキュリティの脆弱性を緩和できる認証ネットワークテクノロジーへの投資は、運用と投資収益の両方の観点からも、検討に値します。

変化の激しいネットワークの成長と、増大するセキュリティ上の脅威は、アクセス コントロール管理ソリューションにおける新しいビジネスチャンスの原動力となっています。IDC の最新のレポートによると、セキュリティの認証、許可、アカウンティング(AAA)ソリューションは、セキュリティ ソフトウェア市場で最も急成長している分野で、2006年までの年平均成長率(CAGR)は 22 % と推計されています。AAA がネットワーク全体でより広く利用できるようになり、ユーザ アクセスをコントロールする必要性がダイヤルアップからさらに範囲が拡大するにつれて、新しいトレンド(拡張認証、追跡、および監査管理など)が出現しつつあります。このようなトレンドでは、認証ネットワークソリューションがネットワーク全体に浸透し、ネットワーク全体でスケーラビリティを実現し、相互に連携する必要があります。音声、ビデオ、VPN、ファイアウォール、コンテンツ、ストレージ、ワイヤレス、DSL、およびケーブルなど、拡大するネットワークアクセス ポイントからのユーザ アクセスに対しては、特に認証ネットワークソリューションに対応する必要があります。

現在、パブリック ネットワークや VPN から企業のリソースにアクセスするユーザをコントロールするために、public key infrastructure(PKI; 公開鍵インフラストラクチャ)や二因子認証などの、より強力な形式の認証が使用されるようになっています。ネットワーク管理者は、エンドポイント上のユーザだけでなく、ユーザがアクセスするサービスの種類にも関連付けられた、柔軟性の高い認証ポリシーを提供するソリューションを求めています。また、ユーザが接続に使用するアクセス手段からは独立した方法で、ネットワークユーザの動作を追跡、監視する機能は、貴重なネットワーク リソースの不必要な使用や過度な使用を特定する作業において、非常に重要です。

認証ネットワークと、ユーザやデバイスに固有なサービスにネットワークを割り当てる機能は、Cisco Secure ACS で実現することができます。Cisco Secure ACS は、中央集中型の RADIUS サーバまたは TACACS サーバで動作する、拡張性の高いハイパフォーマンスなアクセスコントロール サーバです。Cisco Secure ACS は、認証、ユーザや管理者のアクセス、および中央集中型認証ネットワーク ソリューションからのポリシーコントロールを組み合わせることで、アクセス セキュリティを拡張します。これにより、柔軟性と移動性が高くなり、セキュリティが向上し、ユーザの生産性を高めることができます。Cisco Secure ACS は、ネットワークへのユーザ アクセスおよび管理アクセスの増大に伴う管理者の負担を大幅に軽減します。Cisco Secure ACS は、すべてのユーザ アカウントを 1 つの中央データベースで管理、使用することにより、すべてのユーザのアクセス権を一元的に管理し、ネットワーク経由で数百あるいは数千のアクセスポイントに配布します。アカウンティング サービスとしての Cisco Secure ACS は、ネットワーク ユーザの行動を詳細までレポートおよび監視する機能を提供し、ネットワーク全体におけるすべてのアクセス接続とデバイスコンフィギュレーションの変更を記録することにより、IT 運用コストを削減します。

Cisco Secure ACS は、すべてのシスコ製デバイスとセキュリティ管理アプリケーションに対して、中央集中型認証ネットワーク ソリューションと、シンプルなユーザ管理を提供します。Cisco Secure ACS では、割り当てられたポリシーが確実に施行されるようにするため、ネットワーク管理者は以下の項目を制御することが可能です。

  • ネットワークにログイン可能なユーザ
  • ネットワーク内における各ユーザのアクセス権
  • セキュリティ監査または課金などのために記録されるアカウンティング情報
  • 各コンフィギュレーション管理者に許可されるアクセスおよびコマンド制御

Cisco Secure ACS は、有線およびワイヤレス LAN、ダイヤルアップ、ブロードバンド、コンテンツ、ストレージ、VoIP、ファイアウォールおよびVPN をはじめとする広範なアクセス接続タイプをサポートします。

Cisco Secure ACS は、Identity-Based Networking Services(IBNS)アーキテクチャの主要コンポーネントです。Cisco IBNS は、802.1X(ポートベースのネットワーク アクセス コントロールを行うためのIEEE 標準)や Extensible Authentication Protocol(EAP)などのポート セキュリティ標準に基づき、従来はネットワーク上でアクセスコントロールにより管理されていた場面で、LAN 内部の AAA セキュリティを拡張します。この新しいアーキテクチャではユーザごとの割り当てや VLAN などの新しいポリシー コントロールが使用できるようになります。このとき、スイッチやワイヤレス アクセス ポイントなどの認証システムが、これらのコントロールに関してAAAサーバに照会を行う機能を備えた RADIUS クライアントになります。Cisco IBNS は、アクセス コントロールとユーザ プロファイルを結び付けることによって、階層化されたユーザに、より高度な柔軟性と移動性を提供します。この組み合わせにより、セキュアなネットワーク接続、サービス、およびアプリケーションが拡張されるため、企業ではユーザの生産性を高め、運用コストを削減することができます。Cisco IBNS を Cisco Secure ACS と連携して使用することで、ネットワーク管理者は、ユーザとポートのレベルにおける、真の認証ベースのネットワークアクセス コントロールとポリシーの施行を実現することができます。Cisco IBNS は、(ワンタイムトークンやスマートカードによる認証方式などの)信頼性の高い強力な認証テクノロジーを使用しながら、Cisco Secure ACS により中央集中的に作成および管理されるポリシーを使用して、ユーザとデバイスの識別を実現します。

Cisco IBNS アーキテクチャは、認証に基づくネットワークアクセスのセキュリティを確保するためのダイナミックなポートベースの認証を提供するだけでなく、Cisco Secure ACS とともに使用することによって、次のようなユーザごとやデバイスごとの追加ポリシー割り当てを行うことができます。

  • 時間帯と曜日による制限
  • ネットワーク アクセス サーバの IP アドレスに基づいてユーザとスイッチのアクセスを制限する、ネットワーク アクセス サーバ IP フィルタ
  • MAC アドレスに基づいてデバイスの認証を制限する、MAC アドレス フィルタリング
  • ユーザごとの VLAN
  • ユーザごとの ACL

Cisco Secure ACS は、バージョン 3.1 まで、Windows環境にインストールするソフトウェアとして提供してきましたが、 バージョン 3.2 では、新しいセキュアなハードウェア ベースの製品が追加されました。Cisco Secure ACS Solution Engine は、Cisco Secure ACS のライセンスがプリインストールされた、1 ラック ユニット(1-RU)のセキュリティ強化アプライアンスで、基本的にCisco Secure ACS for Windows と同じ機能を提供します。

Cisco Secure ACS Solution Engine は、インストール作業の省略と信頼性の高い AAA ソリューションを実現し、高いアベイラビリティと、Cisco Secure ACS サービスの毎日の運用の簡素化により、TCO(総保有コスト)の削減効果が向上しました。Cisco Secure ACS Solution Engine には、その運用と管理に固有の追加機能が含まれています。詳細については、Cisco Secure ACS Solution Engine のデータ シートを参照してください。

Cisco Secure ACS 3.2 では、Microsoft Windows クライアント用の Protected EAP(PEAP)をサポートするため、Extensible Authentication Protocol(EAP)の拡張機能が新しく追加されています。PEAP は、Cisco EAP Wireless(LEAP)のセキュリティ上の利点を維持しながら、より高度な拡張性と、ワンタイムトークン認証のサポートを提供しています。PEAPは、IETF(Internet Engineering Task Force; インターネット技術特別調査委員会)のインターネット標準を策定するグループのドラフト版です。Cisco Secure ACS Version 3.2 では、セキュアな 802.1X ポートを対象とする、EAP-Transport Layer Security(TLS)や PEAP を使用したマシン認証をサポートし、Cisco IBNS のスコープをさらに拡張しています。この機能は、802.1X のセキュアな環境での、デバイス コントロール アクセスにとって重要です。この環境では、802.1X が装備されたポートの背後でユーザが正しく識別されるまで、ポート アクセスがブロックされます。また、Cisco Secure ACS 3.2 の新機能には、ODBC で拡張 PKI 認証を実現する EAP-TLS の機能拡張と、EAP-TLS ドメイン検索機能の改善があります。

機能および利点

Cisco Secure ACS バージョン 3.2 の新機能

  • Microsoft Windows クライアント用の PEAP のサポート- Cisco Secure ACS 3.2 には、現在 Windows 98、NT、2000、および XP で利用できる Microsoft PEAP Supplicant のサポートが追加されました。Microsoft PEAP Supplicantは、MS-CHAPv2 によるクライアント認証のみをサポートしています。これに対して、Cisco Aironet(R) クライアントアダプタから使用できるCisco PEAP Supplicant は、ログオン パスワードまたはワンタイム パスワードによるクライアント認証をサポートしています。Microsoft PEAP Supplicant とは異なり、Cisco PEAP Supplicant は、Lightweight Directory Access Protocol(LDAP)、Novell Directory Service(NDS)、ODBC などの非 MSCHAP のエンドユーザ データベースの、ワンタイムトークン認証と強力な拡張性をサポートしています。Cisco Secure ACS 3.2 では、EAP コンフィギュレーション ページから、Microsoft PEAP と Cisco PEAP のどちらかを選択できます。
  • LDAP マルチスレッド- 3.2 以前のバージョンで採用されていた連続処理メカニズムとは異なり、Cisco Secure ACS 3.2 では、複数の LDAP 認証要求を並列処理できるようになりました。 この機能は、ワイヤレスが配備された環境など、「タスク集中型」の構成において、Cisco Secure ACS のパフォーマンスを大幅に向上させます。
  • EAP-TLS の拡張機能- Cisco Secure ACS 3.2 には、Cisco Secure ACS の PKI 機能をさらに拡張する、新しい EAP-TLS の拡張機能が追加されています。新しく追加された機能には、ODBC ユーザ データベースに対する EAP-TLS 認証と、EAP-TLS のサイレント セッション レジュームのサポートが含まれます。EAP-TLS のサイレント セッション レジュームは、PEAP のサイレント セッション レジュームと同様に、RADIUS セッションのタイムアウト中の、ユーザの再認証が防止されます。この機能は、ユーザが常に移動するワイヤレス LAN アプリケーションで、特に大きなメリットがあります。EAP-TLS のサイレント セッションのタイムアウト時間は、Cisco Secure ACS GUI から設定可能です。
  • マシン認証サポート- Cisco Secure ACS 3.2 には、MSCHAPv2 を実装した PEAP(PEAP-EAP-MSCHAPv2)と EAP-TLS のいずれかを使用する、802.1X のマシン認証オプションが追加されました。マシン認証はブート時に使用され、802.1X のセキュア ポートに接続する際に、Windows ドメイン コントローラとの認証と通信を行います。マシン認証では、後続のインタラクティブなユーザ認証セッションとは関係なく、Windows Active Directory からマシン グループのポリシーを入手することができます。
  • EAP の混在構成- Cisco Secure ACS 3.2 では、以下の EAP タイプがサポートされています。PEAP-EAP-GTC(Cisco PEAP)、PEAP-EAP-MSCHAPv2(Microsoft PEAP)、EAP-TLS、EAP Message Digest Algorithm 5(MD5)、および Cisco EAP Wireless(LEAP)などです。Cisco Secure ACS 3.2 では、柔軟性の高い EAP 設定(同時に 1 つまたは複数の EAP タイプを選択できる)が使用できるようになったため、エンドユーザにより提供される 802.1X Supplicant の性質に応じて、Cisco Secure ACS は EAP 認証をインテリジェントに処理することができます。
  • Cisco Aironet ワイヤレス アクセス ポイントのアカウンティングのサポート- Cisco Secure ACS 3.2 では、Cisco Aironet ワイヤレス アクセス ポイントが RADIUS(Cisco Aironet Access Point)AAA クライアントとして構成されている場合、Cisco Aironet ワイヤレス アクセス ポイントからのユーザベースのアカウンティングをサポートできるようになりました。
  • VPN ユーザ用のダウンロード可能なアクセス コントロール リスト- Cisco Secure ACS 3.2 では、ユーザごとのアクセス コントロール リスト(ACL)のサポートが拡張され、これまでの Cisco PIX(R) Firewall ソリューションのサポートに加えて Cisco VPN ソリューションをサポートするようになりました。 管理者は、Cisco Secure ACS GUI でこのオプションを使用して、ユーザまたはユーザ グループに関する任意の長さの ACL を定義できます。 この機能には、Cisco VPN 3000 Concentrator v4.0 が必要です。

Cisco Secure ACS の利点

Cisco Secure ACS は強力なアクセス コントロール サーバで、WAN または LAN 接続が増大する組織用の、高パフォーマンスかつ高スケーラビリティの機能を数多く備えています。

  • 使いやすさ- Web ベースのユーザ インターフェイスによって、ユーザ プロファイル、グループ プロファイル、および Cisco Secure ACS のコンフィギュレーションを、簡単に設定および展開できます。
  • スケーラビリティ- Cisco Secure ACS は大規模なネットワーク環境に対応するように設計されており、冗長サーバ、リモート データベース、およびユーザ データベース バックアップ サービスをサポートします。
  • 拡張性- LDAP 認証転送がサポートされており、Sun、Novell、Microsoft などの主要ディレクトリ ベンダーが提供するディレクトリに格納されたユーザ プロファイルを認証できます。
  • 管理性- Windows Active Directory および Windows NT データベースをサポートしているため、Windows のユーザ名とパスワード管理をそのまま利用できます。また、Windows Performance Monitor を使用してリアルタイムで統計情報を表示できます。
  • 運用性- 各 Cisco Secure ACS 管理者にそれぞれ異なるアクセス レベルを割り当てることができ、またネットワーク デバイスをグループ化できるため、制御が容易になり、きわめて高い柔軟性が実現できます。これにより、ネットワーク内のすべてのデバイスに対する、セキュリティ ポリシーの適用と変更が容易になります。
  • 製品の柔軟性:Cisco IOS(R) ソフトウェアには AAA サポートが組み込まれているため、Cisco Secure ACS は、シスコが提供するほぼすべてのネットワーク アクセス サーバで使用できます。(Cisco IOS のリリースが RADIUS または TACACS+ をサポートする必要があります)
  • プロトコルの柔軟性- Cisco Secure ACS は TACACS+ と RADIUS を同時にサポートしており、IPSec トンネルおよび PPTP(Point-to-Point Tunneling Protocol)トンネルの起点および終点で VPN またはダイヤル サポートを使用する柔軟なソリューションを提供します。
  • 統合性- Cisco IOS ルータおよび VPN ソリューションとの緊密な連携により、マルチシャーシ マルチリンク PPP や Cisco IOS コマンド認証などの機能を提供します。
  • サードパーティ製品のサポート- Cisco Secure ACS は、RFC 準拠の RADIUS インターフェイス(RSA、PassGo、Secure Computing、ActiveCard、Vasco、CryptoCard など)を提供するすべての One Time Password(OTP)ベンダーのトークン サーバをサポートします。
  • コントロール- 時間帯、ネットワーク使用度、セッション数、および曜日によるアクセス制限を動的に割り当てます。

システム要件

Cisco Secure ACS は、Cisco Secure ACS Windows と、Cisco Secure ACS のライセンスがプリインストールされた 1-RU のセキュリティ強化アプライアンスである Cisco Secure ACS Solution Engine の、2 種類の構成で提供されています。 (Cisco Secure ACS Windows は 日本語Windows Server OS のサポートは未対応です。)

ハードウェア要件

Cisco Secure ACS Windows を実装するためには、Windows Server が次の最小限のハードウェア要件を満たす必要があります。

  • Pentium プロセッサ 550 MHz 以上
  • 256 MB RAM
  • 250 MB 以上の空きディスク容量(データベースを同じマシン上で実行する場合はそれ以上)
  • 解像度 800 x 600 で 256 色以上

Cisco Secure ACS Solution Engine は、次の仕様を満たす Cisco 1111 プラットフォームで動作します。

  • Pentium 4 プロセッサ、2.66 GHz
  • 1 GB RAM
  • 40 GB の空きディスク容量
  • 内蔵 10/100 イーサネット コントローラ 2 基
  • フロッピーディスク ドライブ 1 基
  • CD-ROM ドライブ 1 基

デバイスおよびユーザ ディレクトリの互換性

Cisco Secure ACS 3.2 と互換性のあるデバイス、ブラウザ、ユーザ ディレクトリに関するシステムの最小構成とソフトウェア要件に関する情報は、Cisco Secure ACS v3.2 のユーザ ガイドに付属するドキュメント『Supported and Interoperable Devices and Software Tables for Cisco Secure ACS v3.2』にあります。

発注情報

Cisco Secure ACS は、シスコチャネルパートナーから購入できます。Cisco Secure ACS Windows には、Microsoft Windows ワークステーションへの個別インストールに必要な、すべてのコンポーネントが含まれています。Cisco Secure ACS Solution Engine は、Cisco Secure ACS ソフトウェア ライセンスがプリインストールされた状態で出荷されます。

お問い合せについて

Cisco Secure ACS バージョン 3.2 のユーザ ガイドおよびリリース ノートを含む詳細情報については、http://www.cisco.com/go/acs を参照してください。

製品に関するお問い合わせは弊社担当営業またはシスコチャネルパートナーまでお問い合わせください。

お問い合わせ