802.1Xネットワークアクセスコントロール(NAC)とは

802.1Xネットワークアクセスコントロール(NAC)とは

802.1Xネットワークアクセスコントロール(NAC)により、管理者は有線/無線ネットワーク全体で統一されたアクセスコントロールが得られます。キャンパスおよび支店のエンタープライズネットワークに幅広く導入されており、以下の2つの主要な要素から構成されています。

  • 802.1Xプロトコル:有線/無線アクセスポイントでのポートベースのネットワークアクセスコントロール(PNAC)のためのIEEE規格。802.1Xは、LANまたはWLANへのアクセスを試みるユーザーやデバイスに対する認証コントロールを規定しています。
  • NAC:ネットワークへのアクセスを制御することでユーザーとデバイスを特定する、定評あるネットワーク概念。NACでは、認証とポリシー適用を使用して、エンタープライズリソースへのアクセスを制御します。

 

802.1Xネットワークアクセスコントロールが対処する問題

エンタープライズネットワークリソースに無線ネットワークアクセス、モビリティ、個人所有デバイスの持ち込み(BYOD)、ソーシャルメディア、クラウドコンピューティングが与える影響は多大です。以下の図が示すように、このようなモビリティの拡張によって、ネットワーク脅威やデジタル侵害にさらされている範囲が広がっています。802.1xを使用することで、TCO(総保有コスト)を抑えながら、このような環境でingressセキュリティを強化できます。

802.1Xネットワークアクセスコントロールが対処する問題

802.1Xネットワークアクセスコントロールでできること

NACはさまざまな方法で導入できますが、基本は以下のとおりです。

  • 事前のアドミッションコントロール:非認証メッセージをブロックします。
  • デバイスおよびユーザーの検知:事前定義した認証情報またはマシンIDでユーザーとデバイスを特定します。
  • 認証と許可:アクセスを検証し、提供します。
  • オンボーディング:デバイスにセキュリティ、管理、ホストチェック用ソフトウェアをプロビジョニングします。
  • プロファイリング:エンドポイントデバイスをスキャンします。
  • ポリシー適用:役割および権限ベースのアクセスを適用します。
  • 事後のアドミッションコントロール:セッションの終了とクリーンアップを実施します。

802.1Xは、物理ポートへのアクセスを試みるユーザーまたはデバイスを検証することにより、L2アクセスコントロールを提供します。

 

802.1Xネットワークアクセスコントロールの仕組み

802.1X NACは次のような順序で動作します。

1.初期化:オーセンティケータ(通常はスイッチ)またはサプリカント(クライアントデバイス)がセッション初期化要求を送信します。サプリカントがEAP応答メッセージをオーセンティケータに送信し、オーセンティケータがメッセージをカプセル化して認証サーバーに転送します。

2.認証:認証サーバーとサプリカントの間でオーセンティケータを介してメッセージが受け渡され、複数の情報が検証されます。

3.承認:認証情報が有効であれば、認証サーバーからオーセンティケータに、ポートへのアクセス権をサプリカントに提供するよう通知します。

4.アカウンティング:RADIUSアカウンティングによって、ユーザーとデバイスの詳細、セッションタイプ、サービスの詳細などのセッションレコードが保持されます。

5.終了:エンドポイントデバイスを切断するか、管理ソフトウェアを使用して、セッションが終了します。

 

ジュニパーネットワークスの実装

EXシリーズイーサネットスイッチシリーズは、キャンパスおよび支店のエンタープライズネットワークに対応するジュニパーネットワークスのゲートウェイです。EXシリーズは802.1XやRADIUS、複数の802.1x拡張を幅広くサポートしています。受信アクセスの要求に対処する方法を拡張し、ネットワークアクセスコントロールの大規模導入を簡素化します。さらに、ジュニパーの厳選されたベンダーであるAruba Networks社のClearPass Policy Management PlatformやPulse Secure社が提供するソリューションにより、ネットワークアクセスコントロール全体を管理することができます。