1
NetNet’’AttestAttest EPS EPS 製品機能のご紹介製品機能のご紹介
2
第一章第一章 NetNet’’AttestAttest EPSEPS概要概要
11--11 NetNet’’AttestAttest EPSEPSとはとは
IIndexndex
3
11--1 1 NetNet’’AttestAttest EPSEPSとはとは
NetNet’’AttestAttest EPSEPSとは?とは?
Net’Attest EPSの特徴と導入環境は下記の通りです。
(Net’Attest EPSは) 昨今、無線/有線LANで採用されているポートベース認証(IEEE 802.1X EAP認証)に対応した認証サーバです。
①① IEEE802.1X EAPIEEE802.1X EAP認証サーバ認証サーバ
(Net’Attest EPSは) 前述のポートベース認証や、WebやVPN環境
のセキュリティ強化に利用されるデジタル証明書の発行や失効などを容易に行うプライベートCAサーバです。
②②デジタル証明書の発行デジタル証明書の発行//管理管理
(Net’Attest EPSは) 認証に必要な機能、システム管理に有用な
ツールを最適化したオール・イン・ワンのアプライアンス型の製品です。
③多彩な製品ラインナップ③多彩な製品ラインナップ
4
11--11--1 IEEE802.1X EAP1 IEEE802.1X EAP認証サーバ認証サーバ(1)(1)
●●IEEE802.1X EAPIEEE802.1X EAP認証とは認証とはIEEE802.1X EAP認証環境では、ポートベースでのネットワーク・アクセス制御やその後の動的VLAN割当てなど、
非常に高度なセキュリティ環境を実現します。(特にエンタープライズで無線ネットワーク環境では必須な仕組みです。)
デジタル証明書発行局
認証サーバ(RADIUS)
サーバ証明書証明機関の証明書 発行
Server AUser AUser B
クライアント証明書証明機関の証明書 発行
失効リスト取得
User AUser B
RADIUSサーバ
認証用ユーザデータベースその他
証明書発行/失効
リポジトリ(発行用データベース)
その他
IEEE802.1Xの認証環境は、非常に高
度なセキュリティ環境を実現する一方、システムが複雑になりがちで構築・運用の負荷が大きくなってしまいます。
同様の機能を提供Net’Attest EPSは、本来煩
雑で難解なシステムを容易する事の出来る製品です。
5
11--11--1 IEEE802.1X EAP1 IEEE802.1X EAP認証サーバ認証サーバ(2)(2)
社内各種サーバ
エッジ・スイッチ
エッジ・AP
ネットワーク・リソース(WWW,ファイル共有,Mail etc)の利用不可
ネットワークプリンタ
インターネット
接続不可
接続不可
接続不可
接続不可 認証サーバに到達不能=全てのポートで接続拒否
障害
資料の印刷不可
インターネット/WAN 不可
●●IEEE802.1X EAPIEEE802.1X EAP認証サーバに求められる機能認証サーバに求められる機能802.1X環境では、システムに障害が発生した場合には末端ネットワーク機器が全てのポートを開放しなくなってしまう
ため、業務に深刻な影響がでてしまいます。
IEEE802.1Xの認証サーバには、高い冗長性と万一のシステ
ムトラブルに備えて、障害時の迅速な復旧が要求されます。
Net’Attest EPSは、システムの冗長化構成や
システムの復旧が容易に実施できる製品です。
6
11--11--2 2 デジタル証明書の発行・管理デジタル証明書の発行・管理
CA局
サーバ証明書発行
失効リスト確認
クライアント証明書発行
サーバ証明書
クライアント証明書
クライアント証明書
WEBサーバVPN ゲートウェイ
証明書による認証
認証+暗号化 サーバ証明書
●●CA(Certificate Authority)CA(Certificate Authority)機能機能CA機能とは近年、利用用途が急速に拡大しているデジタル証明書を管理する機能です。デジタル証明書は、従来のID・パスワードと比較して高度なユーザ認証を必要とするシステムや、通信の暗号化などに利用されています。
Net’Attest EPSのCA機能は主に「IEEE802.1X EAP認証」の証明書認証(EAP-TLS)での利
用を想定しています。しかしながら外部サーバに対してサーバ証明書を発行する機能も実装しており、また操作が容易であることから簡易プライベートCAとしても利用されています。
7
11--11--3 3 多彩な製品ラインナップ多彩な製品ラインナップ(1)(1)
Net’Attest EPS-SX Net’Attest EPS-ST2(小規模版:Small eXcellenceの意) (中規模版:STandardの意) (大規模版:DeluXの意)
Net’Attest EPS-DX
親子構成時の“子機“。小規模な1X環境の認証
中規模1X環境の認証
簡易認証局
親子構成時の親機大規模1X環境の認証
簡易認証局
EPS-SXEPS-SX EPS-ST02EPS-ST02 EPS-DXEPS-DX
CPUCPU IntelIntel Celeron 566MHzCeleron 566MHz Intel Celeron 1.2GHzIntel Celeron 1.2GHz Intel Xeon 2.80GHzIntel Xeon 2.80GHz
主記憶メモリ主記憶メモリ 256256MBMB 256256MBMB 512MB512MB
補助記憶メモリ補助記憶メモリ 128MB(Compact Flash)128MB(Compact Flash) 128MB(Compact Flash)128MB(Compact Flash) 36GB(Hard Disk)36GB(Hard Disk)
筐体サイズ筐体サイズ 幅:幅:250mm250mm、、高さ:高さ:39mm39mm、、奥行き:奥行き:177mm177mm
幅:幅:426mm426mm、、高さ:高さ:44.4mm44.4mm、、奥行き:奥行き:280mm280mm
幅:幅:430mm430mm、、高さ:高さ:43mm43mm、、奥行き:奥行き:609mm609mm
●●NetNet’’AttestAttest EPSEPSシリーズシリーズ 33モデルモデルNet’Attest EPSでは、利用用途や利用環境の規模により大きく分けて3モデルをリリースしています。3モデルのハードウェア性能の差異は以下の通りです。
8
11--11--3 3 多彩な製品ラインナップ多彩な製品ラインナップ(2) (2)
EPS-SX EPS-ST2 EPS-DX
RADIUSRADIUS認証機能認証機能 ○ ○ ○ ○ ○
グループ化対応グループ化対応 × × × ○ ○
サーバ管理機能サーバ管理機能 ○ ○ ○ ○ ○
クライアント証明書発行クライアント証明書発行 ○ ○ ○ ○ ○
標準 ドメインOP 200ユーザ 2000ユーザ 標準
MAXMAX登録ユーザ登録ユーザ((内部内部DB)DB) 200 200 200 2000 100,000
MAXMAX登録登録RadiusRadiusクライアントクライアント 20 20 500 500 1000
外部サーバ証明書発行外部サーバ証明書発行 × × ○ ○ ○
二重化構成二重化構成 × × ○ ○ ○
RadiusRadiusプロキシプロキシ × × ○ ○ ○
ドメイン認証連携ドメイン認証連携 × ○ × ○ ○
詳細アカウンティングログ詳細アカウンティングログ × × × × ○
ライセンス機能
EPS-SX(標準)⇒EPS-SX(ドメイン連携OP)、EPS-ST2(200ユーザ版)⇒EPS-ST2(2000ユーザ版)は、ライセンスコードの
更新によりアップグレードします。筐体の変更は必要ありません。
●●33モデルのソフトウェア的な機能差異モデルのソフトウェア的な機能差異Net’Attest EPSでは、前述の3モデルのハードウェア上で動作するファームウェアの機能により、5製品に分かれます。
9
第二章第二章 NetNet’’AttestAttest EPSEPS機能詳細機能詳細
22--11 認証サーバの機能詳細認証サーバの機能詳細
22--22 内部認証局の機能詳細内部認証局の機能詳細
22--33 外部リソースの利用機能外部リソースの利用機能
22--44 システムの冗長性の強化機能システムの冗長性の強化機能
22--55 その他のシステム管理その他のシステム管理
IIndexndex
10
22--1 1 認証サーバの機能詳細認証サーバの機能詳細
NetNet’’AttestAttest EPSEPSのの認証サーバ認証サーバ(RADIUS)(RADIUS)機能機能
Net’Attest EPSが搭載するRADIUSサーバ機能は下記のとおりです。
①① 対応する認証方式対応する認証方式Net’Attest EPSでは、プライベート認証局の機能を標準で搭載し、EAP-TLS認証を初め様々な用途で利用されます。
②② ユーザデータベースユーザデータベース(Local)(Local)の管理の管理Net’Attest EPSでは、クライアント側で利用するクライアント証明書の発行機能を実装しています。
③③ 認証後のアトリビュート認証後のアトリビュートNet’Attest EPSでは、PKIサービス(認証や暗号化)を提供するサーバに対してサーバ証明書の発行機能を実装しています。
④④ ユーザユーザ/NAS/NASグループ化機能グループ化機能Net’Attest EPSでは、既存の認証局(パブリック/プライベート)の証明書を利用したEAP-TLS認証機能を実装しています。
11
22--11--1 1 対応する認証方式対応する認証方式(1) (1)
認証タイプ認証タイプ 特徴特徴
PPP-PAP / PPP-CHAP リモートアクセス等での一般的なRADIUS認証で利用される認証方式。
デジタル証明書を必要としないため認証の実施が容易に可能。有線環境での認証に使用される場合が多い。Microsoft Windows 2000 SP3 及びXP付属のサプリカントで実施が可能。
Cisco社が提案する認証方式。認証サーバ側にデジタル証明書を必要とせず、無線環境での利用も可能。
Funk社が提案する認証方式。暗号化トンネル内で認証するため、セキュリティ的には以下の「EAP-PEAP」と同等。別途有償のサプリカントソフトウェアが必要。
Microsoft、Cisco、RSAが提案する認証方式。暗号化トンネル無内で認証する。Microsoft Windows 2000 SP3 及びXP付属のサプリカントで実施が可能。
クライアント証明書を使用して認証する。デジタル証明書を使用した相互認証で、セキュリティ的に強固。Microsoft Windows 2000 SP3 及びXP付属のサプリカントで実施が可能。
EAP-MD5
Cisco-LEAP
EAP-TTLS
EAP-PEAP(Microsoft仕様)
EAP-TLS
認証優先順位をつける事で同一RADIUSクライアントから要求される複数の認証方式に対応しています。この機能は「NAK」という仕組みで実現しており、RADIUSクライアントが当該機能に対応している必要があります。
●●一般的な一般的なEAPEAP認証方式に対応認証方式に対応Net’Attest EPSでは、以前から使用されていた「PPP-PAP/PPP-CHAP」に加え、新たに規格化された「EAP-MD5、 EAP-TLS」各ベンダが提案している「Cisco-LEAP、EAP-TTLS、EAP-PEAP」に対応しています。
12
22--11--1 1 証明書認証(証明書認証(EAPEAP--TLSTLS))に関してに関して(2)(2)
Net’Attest EPS
User1属性1:AA2属性2:BB2属性3:CC2
CN=User1
RADIUSクライアント
利用者端末
①EAP認証要求(User1)
②EAP認証要求
⑤認証結果通知
③ユーザ証明書の正当性確認
④データベース確認
上記の場合、全ユーザに同一のプロファイルが割当てられるため、ユーザ毎のVLANの割当てなどを行う
事は出来ません。
デフォルトプロファイルを設定する事で(外部証明機関の証明書を利用する場合などで)EPSのローカルに
ユーザ登録を行わない運用が可能になります。
●●証明書を利用した証明書を利用したRADIUSRADIUS認証認証EAP-TLS認証では、接続ユーザの正当性をデジタル証明書による認証で行い、認証後ユーザ毎に返答する属性値 (Session-Timeout、VlanIDなど)は、ローカルデータベースのユーザ情報を参照しています。
13
22--11--2 2 ユーザデータベースの管理ユーザデータベースの管理
ユーザ登録手法ユーザ登録手法
手作業でユーザ登録 Net’Attest EPSのWeb管理画面より個々に登録
Net’Attest EPSのWeb管理画面よりCSVファイルによる
一括登録
リモート管理ツール(Windows XPで動作)を使用した
CSVファイルによる一括登録
CSVで一括ユーザ登録
リモート管理ツールで一括ユーザ登録
CSVファイルの一括インポートで可能な処理はユーザの「新規登録」「情報変更」「削除」です。
●●ユーザデータベースの管理ユーザデータベースの管理Net’Attest EPSでは自身の内部で、ライセンス数に応じたユーザの管理が可能です。ローカルでユーザを管理する場合、下表の3通りで行います。
14
22--11--3 3 認証後のリプライアトリビュート認証後のリプライアトリビュート
①EAP認証要求(user1)
②認証結果通知-認証成功-属性1=AA1-属性2=AA2-属性3=AA3
User1属性1:AA1属性2:BB1属性3:CC1
User2属性1:AA2属性2:BB2属性3:CC2
標準で設定可能な属性(抜粋)標準で設定可能な属性(抜粋)
Framed-IP-Adress
Framed-Netmask
Framed-MTU
Callbak-Number
Login-Service
State
Class など
ベンダー定義属性(VSA)なども辞書
ファイルの追加により使用可能です。
●●リプライアトリビュートリプライアトリビュートNet’Attest EPSはユーザ認証情報に、そのユーザに設定されている属性値と合わせて返答します。この属性値をRADIUSクライアント側で判断しユーザ毎に様々なサービスを提供します。(VLANの割り当てなど)
15
22--11--4 4 ユーザユーザ/NAS/NASグループ化機能グループ化機能
●ユーザ情報user1:営業部user2:技術部
●場所・用途情報AP1:営業部NWSW1:技術部NW
AP1
SW1
●リプライ属性フル権限プロファイル
ゲスト権限プロファイル
+
+
●権限の設定例○営業部NW
-営業部=フル権限プロファイル-技術部=ゲスト権限プロファイル
○技術部NW-営業部=ゲスト権限プロファイル-技術部=フル権限プロファイル
user1
User2
フル権限アクセス
ゲスト権限アクセス
EPSはユーザとRADIUSクラインとが所属するグループの組み合
わせで、返答する属性値を割り当てるのみです。実際にアクセス制御を実施するためには、ネットワーク機器側に制御を行う機能が必要になります。
●人と●人と場所を意識したリプライアイテムの適用場所を意識したリプライアイテムの適用Net’Attest EPSでは、グループ化機能によりユーザの権限とネットワークへの接続場所を組合わせたアクセス制御が可能です。
16
22--2 2 内部認証局の機能詳細内部認証局の機能詳細
NetNet’’AttestAttest EPSEPSのの認証局認証局(CA)(CA)機能機能
Net’Attest EPSが搭載するCA機能は下記の通りです。
①① 認証局の構築・機能認証局の構築・機能Net’Attest EPSでは、プライベート認証局の機能を標準で搭載し、EAP-TLS認証を初め様々な用途で利用されます。
②② クライアント証明書発行クライアント証明書発行Net’Attest EPSでは、クライアント側で利用するクライアント証明書の発行機能を実装しています。
③③ サーバ証明書発行サーバ証明書発行Net’Attest EPSでは、PKIサービス(認証や暗号化)を提供するサーバに対してサーバ証明書の発行機能を実装しています。
④④ 外部証明書の利用外部証明書の利用Net’Attest EPSでは、既存の認証局(パブリック/プライベート)の証明書を利用したEAP-TLS認証機能を実装しています。
17
22--22--1 1 証明機関の構築・機能証明機関の構築・機能
工場出荷状態のNet’Attest EPSでは初回起動
時に初期設定ウィザードが実行されます。証明機関の構築はウィザードの流れの中で設定します。
証明機関の有効期限は「1年」「5年」「10年」「15年」「20年」「25年」で設定可能です。
ユーザ証明書の有効期限は、証明機関の有効な期限までの範囲で任意に設定可能です。
●●CA(Certificate Authority)CA(Certificate Authority)機能機能Net’Attest EPSでは、従来は難解であった証明機関の構築をウィザード形式実施します。証明機関の構築は10~15分で完了し、PKIの専門的な知識も必要としません。
証明書失効リスト(CRL)を管理し、HTTPで公
開します。
18
22--22--2 2 クライアント証明書発行クライアント証明書発行(1)(1)
証明書列の背景が透明:⇒証明書未発行ユーザ〃 緑色 ⇒証明書の発行済みユーザ〃 黄色 ⇒証明書の有効期限が間もなく切れるユーザ〃 赤色 ⇒証明書の有効期限が切れているユーザ
クリック
1ユーザ当たり2枚まで、有効なユーザ証明書(PKCS#12形式)の発行が可能です。
Net’Attest EPSでユーザ証明書をは行する場合、以下の手順で発行します。①EPSのWeb管理画面から「ユーザ証明書の発行と失効」を実施(ユーザ毎に発行)②EPSリモート管理ツールから一括発行(多数のユーザ証明書を一括発行)
ユーザ証明書の発行/失効作業はEPSの
管理者が一括して行います。
●●クライアント証明書の発行クライアント証明書の発行Net’Attest EPSでは、GUIでのクライアント証明書の発行をサポートします。クライアント証明書の発行準備は、ローカルデータベースへユーザ登録する事で完了します。
19
22--22--2 2 クライアント証明書発行クライアント証明書発行(2)(2)
Net’Attest EPS
●ユーザ登録情報姓:山田名:太郎Email:[email protected]詳細情報:Net’Attest営業推進部ユーザID:tyamadaパスワード:passwordSession Timeout:1800VLAN ID:vlan10Filter ID:filter10ユーザグループ:SalesPromotion
サブジェクトOU=NetAttest GroupO =Soliton SystemsL =Shinjyuku-kuS=Shinjyuku-ku ShinjyukuC=JP
[email protected]=tyamada
証明書発行
CRL配布ポイント:http://<eps_host>/certs/certs.crl拡張キー使用法:クライアント認証電子メール保護IP セキュリティ IKE 中間
●証明機関設定サブジェクトCN=NetAttest Root CAOU=NetAttest GroupO =Soliton SystemsL =Shinjyuku-kuS=Shinjyuku-ku ShinjyukuC=JP
山田 太郎さん用のクライアント証明書
●●クライアント証明書の各種属性クライアント証明書の各種属性Net’Attest EPSでは、操作を極力簡略化することで、クライアント証明書の管理に必要なPKI知識を軽減し同時にシステムの運用のコストを削減します。
20
22--22--3 3 サーバ証明書発行サーバ証明書発行
サーバ証明書の発行を行う場合、PKCS#10形式の証明書(発行)要求ファイルが必要です。
●●サーバ証明書の発行サーバ証明書の発行前項のクライアント証明書以外に『サーバ証明書』の発行をサポートしています。これにより、単なるEAP認証局としてではなく簡易証明機関としての利用も可能です。
21
22--22--4 4 外部証明書の利用外部証明書の利用
Net’Attest EPS
証明書失効リストの定期取得
サーバ証明書発行要求
サーバ証明書発行
[サーバ証明書発行要求作成画面]
サーバ証明書 CA証明書
ユーザ証明書発行要求
ユーザ証明書発行
CA証明書ユーザ証明書
●●既存の証明書を利用既存の証明書を利用既に別PKIシステムが存在する場合や、高機能な証明機関を使用する必要がある場合、Net’Attest EPSに外部から発行したサーバ証明書を取り込み、EAP-TLS認証を実施する事が可能です。
外部証明機関
22
22--3 3 外部リソースの利用機能外部リソースの利用機能
NetNet’’AttestAttest EPSEPSのの外部リソース利用機能外部リソース利用機能
Net’Attest EPSで外部データベース上のユーザ情報利用の方法は下表の通りです。
①① WindowsWindowsドメイン認証連携ドメイン認証連携Windowsドメインで管理されているアカウント情報をIEEE802.1X EAP認証に利用します。
②② 外部外部LDAPLDAPデータベース参照データベース参照外部に構築されたLDAPデータベース上のアカウント情報を参照して、IEEE802.1X認証に利用します。
③③ RADIUSRADIUSプロキシプロキシ外部に構築されたRADIUSサーバに対し、認証要求を転送します。
23
22--33--1 Windows1 Windowsドメイン認証連携ドメイン認証連携
user1 user4user2 user5user3 user6
③Windowsドメインに問合せ
①アカウント情報確認
②EAP認証要求
④認証結果通知
Net’Attest EPSWindowsドメインサーバ
Windowsドメインのアカウントは、EAP-PEAP認証時のみ参照します。
Windows 2000 ADドメインとの連携では、ドメインサーバはSP4以降の適用が必要です。 ドメインユーザをキーにして、クライアント証明書
の発行は出来ません。
ドメイン認証連携環境においてドメインのユーザと同IDのアカウントがEPSローカルに登録されている場合、
そのアカウントに割当てられた属性をRADIUSクライアントに通知します。
●●WindowsWindowsドメインログオンのアカウントを利用ドメインログオンのアカウントを利用Net’Attest EPSでは、EPS自身がWindowsドメインのメンバに参加し、EAP認証受信時にWindowsドメインに認証を依頼する事が可能です。
24
22--33--2 2 外部外部LDAPLDAPデータベース参照データベース参照
user1 user4user2 user5user3 user6
local1local2local3
④「③」でユーザが見つからない場合は、親EPSのデー タベースを検索。
③子EPSのローカルデー
タベースを検索
①アカウント情報確認
②EAP認証要求
⑤認証結果通知
Net’Attest EPSLDAPサーバ
EAP認証を行う場合、認証に利用するパスワー
ド文字列は「平文」である必要があります。外部LDAP上のユーザをキーにして、クライアン
ト証明書の発行は出来ません。
E内外データベースの参照順序は1.ローカル⇒外部LDAP2.外部LDAP⇒ローカル3.外部LDAP のみ のいずれかで設定します。
●●外部外部LDAPLDAPデータベース参照データベース参照Net’Attest EPSでは、既存でLDAPデータベースを運用しているような場合においてEAP認証受信時に既存LDAPサーバ上のユーザ情報を参照し、認証に利用する機能を有します。
LDAP/LDAPS
25
22--33--3 RADIUS3 RADIUSプロキシプロキシ
user1 user4user2 user5user3 user6
local1local2local3
③識別子により転送先を決定
①アカウント情報確認
②EAP認証要求
⑥認証結果通知
Net’Attest EPSRADIUS
④EAP認証要求(転送)
⑤認証結果通知
転送先RADIUSが、クライアントから要求された
認証方式に対応している必要があります。
利用者はユーザアカウントとして「username@識別子」と入力します。
●●既存既存RADIUSRADIUSサーバとの連携サーバとの連携Net’Attest EPSでは、既存でRADIUSサーバを運用しているような場合においてEAP認証受信時に既存RADIUSサーバに認証要求を転送する事が可能です。
26
22--4 4 システムの冗長性の強化機能システムの冗長性の強化機能
NetNet’’AttestAttest EPSEPSににおける冗長化機能おける冗長化機能
Net’Attest EPSが持つ冗長化の機能、及びシステムの耐障害性を高める機能は下表の通りです。
①① 二重化二重化Net’Attest EPSでは同一の設定を有する2台1組とし、冗長性を高める構成をサポートします。
②② 親子連携親子連携Net’Attest EPSでは、複数台のEPSを有するより大規模なシステムにおいて、親子関係による冗長構成をサポートします。
③③ バックアップバックアップ / / リストアリストアNet’Attest EPSでは、万一のシステムトラブルに備えて容易に設定のバックアップが可能です。
27
22--44--1 1 二重化二重化
マスターEPS スレーブEPS
①マスターEPSで設定変更
②スレーブEPSに変更項目が自動反映
LDAP/LDAPS
自動同期される項目自動同期される項目
ユーザ情報の追加/変更/削除
ユーザ証明書の発行/失効
サーバ証明書の失効
グループ情報の追加/変更/削除
NASグループ情報の追加/変更/削除
RADIUSプロファイルの追加/変更/削除
NASクライアントの追加/削除
マスター/スレーブ各1台、計2台構成のみ
サポートします。
Net’Attest EPSでの二重化はマスター/スレーブ型です。各種の設定は「マスター」側で行い変更項目は「スレーブ」側に自動反映されます。
EPSの死活確認と認証要求の問合せ先の決定はRADIUSクライアント側で行います。
●冗長化システムの構成●冗長化システムの構成IEEE802.1X環境においては、万一のサーバダウンに備えて二重化構成を強く推奨します。Net’Attest EPSでは、この二重化の設定を容易に実施できます。
28
22--44--2 2 親子連携親子連携
user1user2user3
user4user5user6
user4user5user6
親EPS-DX 子EPS
④「③」でユーザが見つから ない場合は、親EPSのデー タ
ベースを検索。
③子EPSのローカルデー
タベースを検索
①アカウント情報確認
②EAP認証要求
④認証結果通知
親になるEPSは「Net’Attest EPS-DX」です。
子になるEPSは「Net’Attest EPS-ST2またはEPS-SX」です。
前述の「外部LDAP参照」と基本的には同様です。なおV3.2よりデータベースの自動部分同期機能が
実装予定です。これにより、複数拠点への大規模展開が容易になります。
●●複数拠点にまたがる認証環境複数拠点にまたがる認証環境複数の拠点にまたがるIEEE802.1X認証環境を構築する場合、拠点間のネットワークトラブルに備えて拠点側にも認証サーバを設置する事を推奨します。
29
22--44--3 3 バックアップバックアップ / / リストアリストア
[Net’Attest EPS設定のバックアップメニュー]
[Net’Attest EPS設定のリストアメニュー]
バックアップ可能な範囲にはシステム設定情報/ネットワーク設定情報/ユーザ情報/証明局の情報など、EPSで行った設定が全て含まれています。
自動バックアップでは、設定変更のあった日時の定時にFTPサーバにバックアップファイルを自動的にアップロード
します。
別EPS筐体にバックアップデータをリストアする場合、
リストア筐体に付属するライセンスコードを入力する必要があります。
●●日頃の備えが大切です日頃の備えが大切ですIEEE02.1X環境ではシステムの冗長化は勿論重要ですが、万一システムが停止してしまった場合に備えて設定のバックアップも大切になります。
30
22--5 5 その他のシステム管理その他のシステム管理
NetNet’’AttestAttest EPSEPSでで実装されているその他の機能実装されているその他の機能
Net‘Attest EPSで可能な拡張設定項目は下表の通りです。
①① ロギング機能ロギング機能Net’Attest EPSでは、認証の成否を記録する「認証ログ」やサーバ全体の情報を記録する「システムログ」などが出力されます。
②② 管理インターフェースのセキュリティ管理インターフェースのセキュリティNet’Attest EPSの各種設定を行う管理画面には、不正接続を防止するための機能が実装されています。
③③ その他の諸機能その他の諸機能Net’Attest EPSでは前述以外にもシステムの構築・管理・運用の面で有用な
機能を多数実装しています。
31
22--55--1 1 ロギング機能ロギング機能
SyslogNet’Attest EPS
外部Syslogサーバ
EPS-SX/STでは内部に出力されるログの記録容量は最大8000行で、全てのログはシステム再起
動時に消去されます。
ログの出力先として「内部」と「外部Syslogサーバ」を選択可能です。
●●システムの利用状況の把握システムの利用状況の把握Net’Attest EPSでは、認証の成否を記録する「認証ログ」、システムの動作を記録する「システムログ」、RADIUSクライアントからの課金情報を記録する「アカウンティングログ」を出力します。
32
22--55--2 2 管理インタフェースのセキュリティ管理インタフェースのセキュリティ
概要概要 詳細詳細
公開インタフェース制御 Net’Attest EPSではネットワークインタフェースを2口搭載しています。初期設定ではLAN1「認証用インタフェース」、LAN2「管理用インタフェース」のうち、盗聴の危険性のある「認証用ネットワーク」からの管理画面の呼び出しを禁止しています。
「認証用ネットワーク」から管理する必要がある場合、盗聴を防ぐためにSSLによる暗号化通信を行います。
管理端末のIPアドレスやネットワークを指定し、それ以外からの管理画面の呼び出しを禁止します。
管理画面へログインするためのアカウントに関して「ユーザ名」「パスワード」の変更が可能です。
通信の暗号化
IPアドレス制限
管理アカウントの変更
●●管理インタフェースへのアクセス制御管理インタフェースへのアクセス制御Net’Attest EPSでは、全ての設定をWeb管理画面より実施します。よって管理画面への不正アクセスを防止するための設定を推奨しています。
33
22--55--3 3 その他の諸機能その他の諸機能
概要概要 詳細詳細
IPアドレスの払い出し DHCPサービス機能を搭載し、クライアント端末へのIPアドレスをサポートします、
時刻の自動同期 NTPクライアントを搭載しNTPサーバから自動的に現在の時刻を取得、更新をサポートします。
管理コマンドの実行 Web管理画面上からネットワークコマンド(ping,Tracerout,nslookupなど)の実行をサポートします。
SNMPエージェントを搭載し、SNMPマネージャからの監視をサポートします。
UPS(無停電装置)サービスを搭載し、無停電装置の使用をサポートします。
Web管理画面上からのファームウェアの更新をサポートします。
自身の死活状況
停電時の対応
ファームウェア更新
●●NetNet’’AttestAttest EPSEPSが実装するその他の機能が実装するその他の機能前項までの機能意外にも、システムの管理運用に役立つ機能を多数実装しています。これらの機能も合わせてソフトウェア製品と比較し格段に導入・管理のしやすい製品となっています。