ダウンロード

Cisco NAC アプライアンス（Clean Access）インバンド導入およびアウトオブバンド導入のオプションと考慮事項

ホワイトペーパー

Cisco NAC アプライアンス（Clean Access）インバンド導入およびアウトオブバンド導入のオプションと考慮事項

Cisco NAC アプライアンス（Clean Access）は、ネットワーク管理者がユーザにネットワークへの接続を許可する前に、有線および無線経由のユーザ、リモートのユーザおよびそのマシンを認証、承認、評価、感染修復することができるネットワークアドミッションコントロール（NAC）ソリューションの導入を支援します。このソリューションでは、マシンがセキュリティポリシーに準拠しているかどうかを識別し、ネットワークへのアクセスを許可する前に、これらの脆弱性を修正します。Cisco NAC アプライアンスの導入には、インバンドモードとアウトオブバンドモードがあります。このホワイトペーパーでは、各ネットワークの特徴やお客様の状況に応じて、それぞれのモードがどのような場合に、どのように適しているかを説明します。

Cisco NAC アプライアンスの概要

2003 年、シスコは、ネットワークアクセスに前提条件を強制することで、ネットワークをセキュリティポリシーに確実に準拠させるための方法として、NAC のコンセプトを発表しました。現在、NAC の導入には、2 つの方法があります。1 つは業界で共同作業を進めているフレームワークにより、他のベンダーによるソリューションを活用する方法です。もう 1 つは、認証、ポスチャ評価、検疫、感染修復の機能が統合された包括的な製品である Cisco NAC アプライアンス製品を利用した導入です。

Cisco NAC アプライアンスは、次の 3 つのコンポーネントから構成されています。

Cisco Clean Access Server：ネットワークへのアクセスを試みるすべてのエンドユーザを最初にチェックするインバンドまたはアウトオブバンドのデバイスです。Cisco Clean Access Server は、ネットワークへのアクセスを許可する前に、ログインページでエンドユーザをチェックするか、Cisco Clean Access Agent のダウンロードを要求します。
Cisco Clean Access Manager：このサーバは、Cisco Clean Access Server をリモートからグローバルに、または個別に管理します。管理者は、これを使用してユーザロール、デバイスのチェック、および感染修復の要件を確立することができます。また、バックエンドに置かれた認証サーバの認証プロキシとしても機能します。
Cisco Clean Access Agent：Cisco NAC アプライアンスシステムのクライアント側コンポーネントで、オプションです。読み取り専用のクライアントであり、管理されていない環境でデバイスベースのレジストリスキャンを実行できます。インターネットを通じてダウンロードし、インストールできます。Cisco Clean Access Agent をお使いのお客様の一部は、このソフトウェアのダウンロードを、ネットワークへのアクセスを許可するための必要条件としています。

Cisco NAC アプライアンスは、次の基本方針に基づいて作成されています。

柔軟性 －ネットワークは、それぞれが異なります。Cisco NAC アプライアンスは、インバンドでもアウトオブバンドでも、仮想ゲートウェイとして、または物理 IP ゲートウェイとしてなど、さまざまな方法で導入することができます。また、エージェントの有無は多くの場合、ネットワークでサポートされるユーザのタイプによって決定されますが、Cisco NAC アプライアンスはエージェントあり（接続しようとしているマシンでエージェントが動作中）とエージェントなしのどちらでも動作します。ネットワーク環境に関しては、インバンドの Cisco NAC アプライアンスは、すべてのベンダーのスイッチングおよびルーティングのインフラストラクチャに対応できます。

インストールと使用の容易性 －Cisco NAC アプライアンスの導入は、ほとんどの場合 1 日もかかりません。Web ベースの Cisco Clean Access Manager を使用することにより、管理者がユーザロール、ルール、チェック、要件を設定できます。Microsoft の最新の修正プログラムに対応したセキュリティアップデートおよびアンチウイルスソフトウェアのウイルス定義ファイルが自動的に Cisco NAC アプライアンスにダウンロードされます。

スケーラビリティ －1 台の Cisco Clean Access Server で、同時に 1,500 ユーザに約 1 Gbps のスループットを問題なく提供できます。Cisco NAC アプライアンスは、100 ユーザ程度の小さい構成にも数万ユーザを超える大規模な構成にも対応できます。

インバンドとアウトオブバンドの選択

Cisco NAC アプライアンスは、ネットワークのコンピューティングリソースにアクセスするすべてのデバイスに対して、ネットワークインフラストラクチャを使用してセキュリティポリシーを確実に適用します。Cisco NAC アプライアンスを使用することにより、ネットワーク管理者はネットワークへの接続を許可する前に、有線および無線経由のユーザ、リモートのユーザおよびそのマシンを認証、承認、評価、感染修復することができます。ノート PC、IP 電話、ゲーム機のコンソールなどのネットワークデバイスが組織のセキュリティポリシーに適合しているかどうかを識別し、脆弱性があれば、ネットワークへのアクセスを許可する前に修復します。Cisco NAC アプライアンスの管理コンソールは、Cisco Clean Access Manager です。
表 1 に、それぞれの導入モードの長所と短所の概要を示します。

表 1 インバンドモードとアウトオブバンドモードの比較

	インバンド	アウトオブバンド
長所	スイッチやルータのプラットフォームおよびバージョンに依存しない有線と無線の両方に適しているネットワークアクセスを完全に制御できる帯域管理の制御	検疫済みのトラフィックのみインライン検疫での完全なアクセス制御簡易ネットワーク管理プロトコル（SNMP）を使用したスムーズなスイッチ制御ポートベースまたはロールベースの VLAN 割り当て
短所	インライン依存スイッチポートレベルの制御がない	スイッチのプラットフォームとバージョンに依存する有線の場合に最適

インバンドの詳細

インバンドで導入された Cisco NAC アプライアンスでは、ユーザトラフィックの認証、ポスチャ評価、修復の前後および処理中、常に Clean Access Server がインラインとなっています。このサーバは、プロトコル/ポートまたはサブネットベースでのトラフィックポリシー管理のほか、帯域共有またはユーザ単位での帯域制御の実施、時間単位でのセッションやハートビートの制御によって、認証済みのユーザトラフィックと、認証されていないユーザトラフィックを安全に制御します。

インバンド導入では、Clean Access Server からサポートクライアントマシンの MAC アドレスと IP アドレスを把握できる限り、すべてのエッジアクセスデバイスがサポートされます。サーバはトラフィックに関してインバンドなので、次のような特性を持つ環境にはインバンド導入モードが適しています。

共有メディアポート
必要なロールによる帯域幅スロットリング
ワイヤレスアクセスポイント
Voice over IP（VoIP）を利用した音声通信
シスコ以外の製品で構成されたネットワークインフラストラクチャ

Cisco NAC アプライアンスのインバンドプロセスフロー：動作

図 1～4 は、インバンド導入のプロセスフローを示しています。

図 1 ノート PC による内部ネットワークへのアクセス試行
※ 画像をクリックすると、大きく表示されます。

ノート PC が最初にネットワークにアクセスすると、Cisco Clean Access Server は、このコンピュータの MAC アドレスが承認済みデバイスのリストにないと判断し、このノート PC には認証されていないロールが割り当てられます。このロールでは、UDP ポート 53（DNS）および DHCP トラフィック（DHCP および VLAN パススルー）だけが許可されます。
ノート PC は DHCP サーバから IP アドレスを取得しますが、IP フィルタとして機能する Clean Access Server に捕捉されます。
ノート PC のユーザはブラウザを起動して SSL ベースの Web ログインページに自分をリダイレクトさせ、自分のクレデンシャルを入力して、自分を「従業員」ロールにマップします。
「従業員」として、Clean Access Agent をダウンロードするように要求されます。
Clean Access Agent はポスチャ評価を行い、ネットワークへのアクセスを許可するかどうかの判断のために、結果を Clean Access Server に転送します。

図 2 ポスチャ評価を受けるノート PC
※ 画像をクリックすると、大きく表示されます。
Clean Access Server は Clean Access Manager にレポートを転送し、Clean Access Manager はノート PC がポリシーに準拠していないと判断します。Clean Access Manager は Clean Access Server に、このノート PC に「検疫」ロールを割り当てるように指示します。この検疫ロールのためのネットワークは、/30 サブネット程度の小さなネットワークでかまいません。
Clean Access Manager は、感染修復のステップを Clean Access Agent に送信します。

図 3 Clean Access Manager から感染修復の指示がノート PC 上の Clean Access Agent に送られる
※ 画像をクリックすると、大きく表示されます。
ノート PC のユーザに Clean Access Agent が感染修復のステップを 1 つずつ示している間、検疫ロールに置かれる残り時間が表示されます。内部または外部の更新サイト（http://windowsupdate.microsoft.com など）、または Clean Access Manager から直接、パッチをダウンロードできます。
感染修復プロセスが完了すると、ノート PC がポリシーに準拠したことを Clean Access Agent が Clean Access Server に伝えます。

図 4 ポリシーに準拠したノート PC の MAC アドレスが承認済みデバイスのリストに追加され、アクセスが許可される
※ 画像をクリックすると、大きく表示されます。
Clean Access Server は、ノート PC の MAC アドレスを承認済みデバイスリストに追加し、従業員ロールに割り当てます。これにより、このノート PC は内部の Web サーバにアクセスできるようになります。

アウトオブバンドの詳細

アウトオブバンドで導入された Cisco NAC アプライアンスでは、Clean Access Server は、認証、ポスチャ評価、修復の処理中だけインバンドとなります。ユーザのデバイスが正常にログオンした後は、そのデバイスのトラフィックは Clean Access Server をバイパスし、スイッチポートへ直接送られます。その間、Clean Access Manager は、ポートを特定の VLAN に割り当て、その VLAN にマッピングされたロールにユーザを分類します。時間ベースでロールごとのセッションタイムアウトを設けることで、ポートレベルまたはロールレベルで制御を実施します。

Cisco NAC アプライアンスのアウトオブバンドでの導入は、キャンパス、ブランチオフィス、エクストラネットなど、高スループットでルーティングの多い環境に適しています。ハブやワイヤレスアクセスポイントなどの共有メディアデバイスには向いていません。

Cisco NAC アプライアンスのアウトオブバンドプロセスフロー：動作

図 5～8 は、アウトオブバンド導入のプロセスフローを示しています。

デバイスが最初にネットワークにアクセスすると、スイッチが SNMP ベースの通知を使用して、デバイスの MAC アドレスを Cisco Clean Access Manager に送信します。

図 5 ノート PC がネットワークへのアクセスを試み、スイッチが MAC アドレスを Clean Access Manager に送る
※ 画像をクリックすると、大きく表示されます。
Clean Access Manager は、デバイスがアウトオブバンドのオンラインリストまたは承認済みデバイスリストに含まれているかどうかを判断します。
デバイスがどちらのリストにもない場合、Clean Access Manager は、デバイスが接続されているポートを認証または検疫 VLAN に割り当てるようにスイッチに指示します。VLAN マッピングを使用して DHCP/DNS トラフィックが Clean Access Server を通過するとき、DHCP アドレスが割り当てられます。

図 6 ノート PC がアウトオブバンドのオンラインリストにも承認済みデバイスリストにも含まれていないと、スイッチはデバイスを検疫 VLAN に割り当てる
※ 画像をクリックすると、大きく表示されます。

図 7 ノート PC は検疫 VLAN にいる間にポスチャ評価を受ける
※ 画像をクリックすると、大きく表示されます。
. Clean Access Server は、デバイスと同じ認証 VLAN（110）上にあります。この VLAN 内で、ユーザのロールを判断するためにデバイスのクレデンシャルが確認されます。Clean Access Agent が使用される場合、Clean Access Agent は、そのロールの要件に基づいたポリシーへの準拠に関するチェックを Clean Access Server から受け取ります。
Clean Access Agent が感染修復プロセスのステップを 1 つずつユーザに示します。ユーザは、Clean Access Server によって指示された感染修復サイトへのアクセスを許可されます。
感染修復が完了すると、Clean Access Server は Clean Access Manager にデバイスが確認されたことを伝えます。
Clean Access Manager はスイッチに、ポートマッピングまたはロール割り当てを使用してデバイスのポートが VLAN（10）にアクセスするように指示します。これで、デバイスはネットワークへのアクセスを許可されます。

図 8 感染修復が完了すると、Clean Access Manager はスイッチに、ノート PC を「信頼された」VLAN に移すように指示する
※ 画像をクリックすると、大きく表示されます。

相違点のまとめ

Cisco NAC アプライアンスをインバンドとアウトオブバンドのどちらで導入しても、認証、ポスチャ評価、検疫、感染修復という基本的なタスクを実行できますが、どちらで導入するかの選択は主にシステムの使用法に依存します。表 2 に主な違いを示します。

表 2 インバンド導入とアウトオブバンド導入の環境

	インバンド	アウトオブバンド
環境	無線、共有メディア	高速コアスイッチングインフラストラクチャ、高いスループットが要求される
NAC 適用ポイント	インバンドの Cisco Clean Access Server	認証/検疫 VLAN を持つ Cisco Clean Access Server
検疫	Access Control List（ACL; アクセス制御リスト）に基づく	VLAN に基づく
サポートされるスイッチ	ベンダー非依存	Cisco Catalyst 2940, 2950、2955、2960、3550、3560、3750、4000、4500、6000、6500 の各スイッチおよびCisco Catalyst Express 500 シリーズ（CE500）*

*サポートされるスイッチの最新の一覧については、http://www.cisco.com/en/US/partner/products/ps6128/prod_release_notes_list.html を参照してください。

Hierarchical Navigation

Cisco NAC アプライアンス (Clean Access)