2014年6月
日本電気株式会社
InfoCage 不正接続防止
ご紹介資料(詳細版)
不正接続防止領域 2012年実績 シェアNo.1
※出典:㈱富士キメラ総研 2013 ネットワークセキュリティビジネス調査総覧
Page 2 © NEC Corporation 2014
はじめに
▐
セキュリティ対策は、企業の規模を問わず、今やあらゆる企業に欠かせません。
▐
多くの企業がメディアの持ち出しを禁じたり、ウイルス対策ソフトを導入したりといった対
策を実施しています。
▐
しかしながら、勝手に社内に持ち込まれた私有PCを、ネットワークに接続させない対策を
実施し、管理しきれていますか?
Page 3 © NEC Corporation 2014
ネットワーク管理における問題点と課題
持ち込みPCからウイルス感染
無許可で接続された持ち込みPCがウイルス
に感染していると、そこから社内ネットワーク
経由でウイルス感染が拡大
ウイルス感染したPCから情報漏えい
ウイルス感染したPCからWinny経由で社内
情報が漏えいし、漏えい情報の悪用による犯
罪の誘発や、漏えい事故に対する損害賠償
が発生。社会的な信用も失墜
持ち込みPCをネットワークに接続させた
くないが、高価なシステムの導入やネット
ワークの設定変更といった作業はできれ
ば行いたくない。
不正PCによる情報漏えいを防止したい
が、社内システムに接続されたPCの情報
をリアルタイムで監視するには多大な工
数が必要。
上記の不安を解消し、ネットワーク管理者の負担を軽減する
InfoCage 不正接続防止をご紹介いたします
ネットワーク管理者の声
▐
セキュリティ対策を施していないPCや持ち込みPCに対する対策が不十分だと…
問題点
Page 4 © NEC Corporation 2014
InfoCage 不正接続防止とは
私有スマートフォン
持ち込みPC
OK!
NG!
NG!
正規の端末のみ
接続を許可
セキュリティ対策が不十分な
PCによるウイルス感染を防止
管理外のPCによる
不正アクセスを防止
ネットワークのセキュリティを守り、
情報漏えいなどのリスクから
企業を守ります。
正規PC
ネットワークに接続された端末をセンサーが自動的に検知し、不正に接続
された端末の通信を遮断します
。
センサー
Page 5 © NEC Corporation 2014 InterSec/NQ30 (アプライアンス) 管理サーバ SiteManager
▐
ネットワーク接続機器の固有情報の収集機能と、その情報の管理機能で構成されます。
▐
また、管理機能はシステムの規模によって、集中管理と分散管理機能の選択ができます。
通報
管理者 SwitchManager ※オプション 端末情報収集 端末情報収集InfoCage 不正接続防止とは <構成>
集中管理サーバ DomainManager 許可済機器 (無許可)機器 持ち込み 許可済機器 インテリジェントスイッチ 持ち込み (無許可)機器接続を防止
接続を防止
持ち込み (無許可)機器接続を防止
許可済機器 持ち込み (無許可)機器 許可済機器Page 6 © NEC Corporation 2014
各モジュールの説明
モジュール名
機能概要
SiteManager
本製品の管理ソフトウェアです。InterSec/NQ30およびSwitchManagerが収集したホスト情報
を集計し、台帳の作成、接続可否の設定、管理者への通知を行います。
DomainManager
SiteManager の上位の管理ソフトウェアです。SiteManagerを複数台まとめて管理します。承認
申請機能、接続ポート検知機能などWebコンソールを使った集中管理機能を提供します。
InterSec/NQ30
(アプライアンス)
各ネットワーク(IPサブネット)に設置します。ネットワーク上のパケットを 収集し管理サーバ
(SiteManager)に転送します。また、管理サーバのホスト接続可否設定に従って、不正接続の
監視、未承認マシンの不正接続防止を行ないます。
SwitchManager
インテリジェントスイッチから接続端末の情報を収集し、管理サーバ
(SiteManager)に転送します。また、管理サーバのホスト接続可否設定に従って、スイッチと連
携し不正接続の監視、未承認マシンの不正接続防止を行ないます。
Page 7 © NEC Corporation 2014
InfoCage 不正接続防止の特徴
1. 簡単導入
ネットワーク構成の変更が不
要で、既存環境にそのまま
導入することができます。
管理対象の機器に、新たにソフ
トウェアをインストールする必要
はありません。
2. スマートデバイス対応
スマートフォンやタブレット
などのスマートデバイスも、
PCと同様に管理可能です。
3. IPv6対応
IPv4と同様にIPv6が有効に
なっている端末も管理ができ、
IPv6で行われる不正な通信の
遮断が可能です。
4. 大規模対応
10万件のMACアドレスを1台の
サーバで管理できます。サーバ
台数を1台に抑えることで、導
入・運用コストを削減します。
Page 8 © NEC Corporation 2014
PC台帳情報の自動収集機能
不正接続監視機能
不正接続防止機能
機種別許可設定機能
IPv6対応
スマートデバイス対応
接続ポート検知機能
資産管理製品との連携
承認申請機能
スイッチ連携機能
タグVLAN対応
InterSec/NQ30の冗長化機能
主な機能紹介
Page 9 © NEC Corporation 2014
PC台帳情報の自動収集機能
InterSec/NQ30・ネットワーク上のパケットを監視して情報収集します。
(ホストへのソフトウェアの導入は必要ありません)
・新規ホストを見つけると、そのホストにパケットを
数個送信して情報収集します。
SiteManagerCSVファイルのインポート、エクスポートが
可能です。
▐
ネットワークに接続されている機器の情報(アドレス情報、OS情報など)を自動収集し、PC台
帳を作成します。
管理用にSiteManagerを1台、各セグメントに
InterSec/NQ30 を設置するだけでネットワーク
上のPC台帳情報を自動収集&作成します。
サイトコンソール取得できたホストの情報を
一覧表形式に表示します。
端末情報収集 エージェントの一覧から ホスト一覧を参照 ホスト一覧Page 10 © NEC Corporation 2014 SiteManager
不正接続監視機能
①新規(不正)
ホストの接続
【通知手段】
・ ポップアップ
・ 電子メール
・ SNMP Trap
・ 任意のコマンド起動
不正に接続された ホストのアドレス情 報、コンピュータ名 などの情報を自動 的に収集します。②未知のホストを発見すると、
SiteManagerに通知。
▐
MACアドレス、IPアドレス、コンピュータ名の任意の組み合わせ(MACアドレスは必須)をキーと
して、不正に接続された機器を監視し、発見時に管理者へ通知を行います。
新規ホストが発見された場合、
管理者にメール、ポップアップな
どで通知を行います。
InterSec/NQ30③メールで通知
③ポップアップで通知
Page 11 © NEC Corporation 2014
不正接続防止機能 1/2
▐
ホストの状態(色)に基づきネットワークへの接続が許可されていないホストの接続を防止します。
【通知手段】
・ ポップアップ
・ 電子メール
・ SNMP Trap
・ 任意のコマンド起動
ホスト毎に状態(色)を設定します。また、新規にホストを
発見したときの初期の状態(色)を設定します。
SiteManager通信を防止した場合、管理者に
メール、ポップアップなどで通知
可能です。
③接続防止すると
SiteManagerに通知
接続を防止②不正ホストの通信を検知し接続を防止
InterSec/NQ30①ホストの状態を
チェックし、不
正PCと判定
④メールで通知
④ポップアップで通知
青( ): ホストの接続が許可されます。
黄( ): Windowsマシンの連携PC管理製品導入有無に
従ってネットワークへの接続可否を決定します。
赤( ): ホストの接続を防止します。
不正ホストPage 12 © NEC Corporation 2014
不正接続防止機能 2/2
③不正ホストからの
ARPパケットを検知
サーバー (正規端末) サイト管理者①不正接続防止機能の
有効化/無効化
防止には偽装ARPパケットを使用します。
不正ホストかどうかは、集中管理機能利用時はMACアドレスやIPアドレスで、分散管理機能利用時は
MACアドレスのみで識別します。
InterSec/NQ30~ 防止の仕組み ~
②不正ホストからの
ARPパケットを監視
④不正接続を防止するパケットを不正ホスト
とセグメント内の端末へ送信
不正ホスト
機種別許可設定機能
Page 13 © NEC Corporation 2014
▐
判別した機器種別ごとに自動で接続許可/不許可の設定を行うことができます。
▐
自動でサポート切れOSのネットワークへの接続防止や、ルータやスイッチなどネットワーク機器の接続
許可を行うことができます。
状態
MACアドレス
IPアドレス
機器種別
NG
00:00:00:00:00:01
192.168.0.1
Windows XP
OK
00:00:00:00:00:02
192.168.0.2
Windows 7 SP1
OK
00:00:00:00:00:04
192.168.0.4
iOS
OK
00:00:00:00:00:05
192.168.0.5
ネットワーク機器
OK
00:00:00:00:00:06
192.168.0.6
Linux
端末一覧画面
サポート切れOSを
ネットワークから遮断
ネットワーク機器の接続を
自動的に許可
V4.0強化
Page 14 © NEC Corporation 2014
IPv4
IPv6
IPv4
IPv6
IPv6対応
▐
IPv6環境でも不正接続防止の機能が利用できます。
▐
IPv4と同様にIPv6が有効になっている端末も管理が可能です。
IPv6に対応していないと
IPv6に対応することで
IPv4で通信できなくても、
IPv6で通信ができる!
IPv6を使用して
不正な通信
が行われているかも
・・・
IPv6の通信も把握可能!
?
!
MACアドレス
IPアドレス
IPv6 アドレス
0A:00:01:0A:00:01 1.1.1.1 2001:1234::1
Windows Vista以降はデフォルトでIPv6
通信が有効になっています。
Page 15 © NEC Corporation 2014
スマートデバイス対応
▐
スマートフォン、タブレット端末などのスマートデバイスもPCと同様に不正接続の監視・防止を行う
ことができます。
▐
スマートデバイスの種別を判別して端末一覧に表示することができます。
InterSec/NQ30
無許可タブレット端末
ウイルス感染
スマートフォン
端末情報収集
MACアドレス IPアドレス ・・・ コンピュータ名 機器種別 0A:00:01:0A:00:01 1.1.1.1 ・・・ HOST001 0B:00:02:0B:00:02 1.1.1.2 ・・・ IPad01iPad
0C:00:03:0C:00:03 1.1.1.3 ・・・ HOST002 0D:00:04:0D:00:04 1.1.1.4 ・・・ iPhone01iPhone
0E:00:05:0E:00:05 1.1.1.5 ・・・ Android01
Android
スマートデバイスの接続
状況を見える化!
端末一覧
接続を防止
無線LAN環境における注意事項は以下をご覧ください。
http://jpn.nec.com/infocage/prevention/faq.html
→ [1.全体]-[Q13.無線LANで接続されている端末
(PC、携帯端末)を管理することはできますか?]
SiteManagerPage 16 © NEC Corporation 2014
人手による調査が必要で
不正なPCが接続された場所の特定に時間が掛かる
接続ポート検知機能
▐
検知した不正PCが接続されているスイッチのIPアドレスとポート番号を収集し、
接続している場所の特定を容易にします。
Page 16 MACアドレス IPアドレス … 接続ポート情報 スイッチアドレス … AA:AA:AA:AA:AA:AA 1.1.1.1 … Fa0/1 1.1.1.254 …?
人手による調査 現物確認 スイッチへ ログインして調査通常製品の場合
<管理画面-ホスト一覧> SNMP通信で 調査 管理画面からPCの 接続場所を確認不正PCの利用形跡を発見!
でもどのフロアで利用されたの
か調査が大変...
PCが接続されているスイッチのIPアドレスとポート番号を
自動で収集することで迅速な場所の特定が可能
インテリジェント
スイッチ
InfoCage 不正接続防止の場合
Page 17 © NEC Corporation 2014
Page 17
接続ポート検知機能(補足)
▐
接続ポート検知機能が利用可能なスイッチの要件
機種
ソフトウェアバージョン
Cisco Catalyst 2960-24TT-L
C2960-LANBASEK9-M 12.2(46)SE
Cisco Catalyst 3560-24PS-E
C3560-IPSERVICES-M 12.2(25)SEE2
Cisco Catalyst 6503-E
s72033_rp-IPSERVICESK9-WAN-M 12.2(33)SXI4
Cisco Catalyst 6506-E
s72033_rp-IPSERVICESK9-WAN-M 12.2(33)SXI4
QX-S5124P
3.3.1
QX-S3628TP-BS
3.3.24
QX-S3528C-BS
2.3.17
種別
要件
SNMP
SNMPv1、SNMPv2c
MIB
標準MIB (※1)
▐
評価済みスイッチ
※1:利用するMIBは以下の通りです。 ■ポート情報を取得するために、以下3つのMIBが必要 ・以下のどちらかひとつ dot1dTpFdbPort(BRIDGE-MIB RFC1493) dot1qTpFdbPort(Q-BRIDGE RFC2674) ・ifName(IF-MIB RFC2233) ・dot1dBasePortIfIndex(BRIDGE-MIB RFC1493) ■スイッチ構成情報、スイッチMACアドレス情報を収集する ために(導入時)、以下3つのMIBが必要 ・sysObjectID(SNMPv2-MIB RFC3418) ・ifPhysAddress(IF-MIB RFC2233) ・以下のどちらかひとつ Cisco製(sysObjectIDが"1.3.6.1.4.1.9.~")の場合は entLogicalDescr(ENTITY-MIB RFC2737) 非Cisco製の場合は ipAdEntIfIndex(IP-MIB RFC4293)Page 18 © NEC Corporation 2014
資産管理製品との連携
▐
資産管理製品エージェントの導入済みPCのみネットワークへの接続を許可し、未導
入PCは接続させません。
▐
遮断されたPCに対してインストーラを配布することで、エージェントの導入徹底と展開
コストの削減が可能になります。
資産管理製品エージェント
未導入PC
遮断!
接続許可
資産管理製品エージェント
導入済PC
Webブラウザ
資産管理製品エージェント
導入済PC
接続許可
InfoCage
サーバ
InterSec/NQ30
遮断されたPCから、Webブラウザを起動するとインストーラダウンロード画面を
自動表示します。インストールが完了後、自動で接続許可となります。
対応製品:
LanScope Cat(MOTEX社)
SKYSEA Client View(Sky社)
InfoCage PC検疫(NEC)
資産管理製品
サーバ
Page 19 © NEC Corporation 2014
接続したい時に利用者自身で申請を行うことで
ネットワークへの接続が許可される
管理者へ事前申請をすることで
ネットワークへの接続が許可される
承認申請機能
▐
接続が防止されたPC上からネットワークへの接続許可申請を実施することができます。
ネットワークへの一時接続が管理者を介さず可能になり、承認手順が簡易化されます。
Page 19 ①接続防止 ②承認申請 ③接続許可 ネットワーク 管理者 ②承認依頼 ①接続不可 ③接続許可 InterSec/NQ30 管理画面から 状況を確認 自PCのWebブラウザを使って スムーズに申請が可能! 承認処理不要! ネットワーク 管理者 出張などの 一時利用者 承認作業で管理 工数圧迫... MACアドレスを確認 するのも面倒... 接続不可のため紙や 電話などで接続申請。 接続できるようになるまで 時間もかかる... 出張などの 一時利用者機能を有効
Page 20 © NEC Corporation 2014
承認申請機能(補足)
▐
ネットワークへの接続許可申請の実施イメージ
ユーザID/パスワードにより承認
ユーザID/パスワード OK ユーザID/パスワード NG接続許可
接続拒否
必要情報(氏名等)および、 ユーザID/パスワードを入力WEBの承認申請画面から下記の情報の入力を
受け付けると接続が許可されます。
•ユーザID/パスワード
(事前に承認申請用のユーザID/パスワードを作成)
※運用を簡易化したい場合は、利用者情報(氏名等。カスタ
マイズ可)のみの入力で接続を許可することも可能です。
接続許可
必要情報(氏名等)を入力Page 21 © NEC Corporation 2014
スイッチ連携機能
InterSec/NQ30
▐
インテリジェントスイッチを利用することで、不正接続防止・検知を行うことできます。これにより
InterSec/NQ30が不要になります。
▐
管理コンソールからスイッチとInterSec/NQ30を一元管理できます。
SiteManager
SwitchManager
InterSec/NQ30
スイッチ
端末情報収集
未許可端末の接
続を防止
NETCONF対応スイッチ、MAC認証
対応スイッチ、SNMP対応スイッチ
Page 22 © NEC Corporation 2014
タグVLAN対応
▐
タグVLAN(IEEE802.1Q)を用いて、複数のVLAN(IPブロードキャストドメイン)を構成する環境で
も、1台のInterSec/NQ30 で管理可能です。
•1台の
InterSec/NQ30c
で
最大16個
のVLANを管理可能です。
•複数のVLANを管理する場合、
“VLANの数-1”の
「InterSec/NQ30 1VLAN追加ライセンス」が必要
となります。
タグ付きの複数VLANのパ
ケットを監視
VLAN-1
VLAN-2
1台のInterSec/NQ30で複数のセグメントを管理す
る場合(タグVLAN対応環境)
L2SW
L2SW
L3SW
セグメント
1台のInterSec/NQ30で1つのセグメント
を管理する場合(非タグVLAN環境)
基本は1セグメントに1台の
InterSec/NQ30を設置する必要があります。
InterSec/NQ30b InterSec/NQ30Page 23 © NEC Corporation 2014
InterSec/NQ30の障害を検知すると自動で
予備機へ切り替え
InterSec/NQ30が故障すると、不正接続を防止でき
ない。リプレースまでの期間セキュリティが低下。
InterSec/NQ30の冗長化機能
▐
InterSec/NQ30に障害が発生した場合に、自動でフェイルオーバーを行い不正接続PCの
監視・防止を継続します。InterSec/NQ30が故障してもセキュリティを維持でき、管理者は
緊急対応が不要になります。
Page 23 DomainManager SiteManager①現用系ダウン
を検知
②設定を配布し
自動で切り替え
②ハードウェア
保守対応依頼
待機系
防止不可
接続防止
現用系
③現地で
リプレース
①障害を発見
フェイル オーバー1台の待機系で複数台の現用系をカバー可能
障害発生
障害発生
冗長化に対応していないと
冗長化に対応することで
Page 24 © NEC Corporation 2014
監視VLAN
VLAN 3
VLAN 4
監視VLAN
VLAN 1
VLAN 2
VLAN 3
VLAN 4
監視VLAN
VLAN 1
VLAN 2
InterSec/NQ30の冗長化機能(補足)
現用系①
フェイルオーバー
現用系①で
障害発生
▐
1台の待機系で複数台の現用系をカバー可能です。
タグVLAN環境では、異なるVLANを監視している複数のInterSec/NQ30に対し、
待機系のInterSec/NQ30を1台を追加するのみで冗長化構成にすることができます
。
現用系②
待機系
VLAN 1
VLAN 2
VLAN 3
VLAN 4
待機系のInterSec/NQ30にフェイル
オーバー後に監視する可能性のある
VLANを設定しておく必要があります。
また、設定したVLANで通信ができるト
ランクポートにInterSec/NQ30を接続
してください。
運用系①を引き継いで
VLAN 1、 VLAN 2を監視
•登録できるVLAN数
1台のInterSec/NQ30cで最大
32
個
•現用系のときに監視できるVLAN数
1台のInterSec/NQ30cで最大
16
個
Page 25 © NEC Corporation 2014
管理者権限の設定
ホスト情報管理
ホスト情報の自動運用
管理情報出力機能
インポート/エクスポート機能
エージェントの自動バージョンアップ機能
管理機能紹介
管理者権限の設定
© NEC Corporation 2014▐
管理単位(LANグループ or コンポーネント)ごとにホストの管理や管理権限の設定が可能です。
▐
部門の管理者に権限を委譲するなど、効率の良い運用をすることが可能です。
Page 26V4.0強化
LAN
LAN
LAN
LAN
LAN
:管理範囲
LANグループ
LANグループ
LANグループ単位
DomainManager SiteManagerLANグループ管理者/
参照者
LANグループ管理者/
参照者
サイト管理者/
参照者
コンポーネント単位
ドメイン管理者/
参照者
DomainManager SiteManager SiteManager InterSec/NQ30 InterSec/NQ30エージェント管理者/
参照者
管理者:ホスト情報の参照、編集が可能
参照者:参照のみ可能
Page 27 © NEC Corporation 2014
ホスト情報管理
▐
管理コンソールからエージェントが収集、または手動登録した接続ホスト情報の一覧の閲覧・編集
が可能です。
▐
接続可否の判定条件やその適用範囲を柔軟に設定することが可能です。
<集中管理WEBコンソール-ホスト管理画面>
※LANグループで管理単位を設定した場合は、LANグループ名となります。
分散管理では設定できません。分散管理では、ホストの接続可否判断はMACアドレスのみをキーとします。
•
状態: ホストの接続可否(ホストの状態(色))を設定します。
•
MACアドレス、IPアドレス: 収集または登録したホストのMACアドレス、IPアドレス情報です。
•
識別方式(※):
接続可否を判断する際のキーを設定します。MAC(MACアドレスをキーとする)、IP(IPアドレスをキーとする)、
DHCP(設定したDHCPスコープ内のIPアドレスであるかをキーとする)、および左記の組み合わせから選択できます。
•
サイトID、エージェント名(※):
収集または登録した、該当ホストの接続可否が適用されるサイトやエージェントです。
「*(ワイルドカード)」を指定してサイトやエージェントを横断した一括設定も可能です。
Page 28 © NEC Corporation 2014
ホスト情報の自動運用
▐
ホスト情報を削除する日付を指定することで、ホストの接続許可の停止日をあらかじめ設定すること
が可能です。
▐
最後にホストが検出された日付をもとに、接続許可を制御(ホスト情報を削除、または初期の状態
へ設定)することができます。
状態 識別方式 MACアドレス IPアドレス サイトID エージェント名 最終検出日 削除対象 削除予定日
MAC 00:00:01 1.1.1.1 001 NA1 2010/04/05 YES 2010/04/08 MAC 00:00:02 1.1.2.1 002 NA2 2010/04/01 YES
MAC 00:00:03 * * * 2010/04/01 No MAC 00:00:03 1.1.3.1 002 NA3 2010/04/07 YES
許可登録
状態 識別方式 MACアドレス IPアドレス サイトID エージェント名 最終検出日 削除対象 削除予定日
MAC 00:00:03 * * * 2010/04/07 No MAC 00:00:03 1.1.3.1 002 NA3 2010/04/07 YES
時間
削除予定日経過
一定期間ネットワークに
未接続
日次で自動処理
削除予定日を指定した ホスト 一定期間検出されてい ないホスト 一定期間検出されない場合に削除対 象とするかを選択可能です。 「*(ワイルドカード)」指定のホスト情報に も最終検出日が反映可能です。接続を防止
Page 29 © NEC Corporation 2014
管理情報出力機能
▐
DomainManagerで検知した、新規ホスト発見件数や不正ホストの接続防止件数などの情報を
、CSVファイルとして定期的に出力することが可能です。
▐
不正接続ホスト数等の増加・減少傾向の把握や管理に役立てることができます。
DomainManager
レポート管理画面
Excelなどの表計算ソフト
を用いて、データ分析
例)各ネットワークの
不正接続台数推移
CSVファイル
Page 30 © NEC Corporation 2014
インポートコマンド・置換コマンドでインポート
するCSVファイルの読み取り方法を指定する
ことができます。
他製品から出力したCSVファイルのフィールド
(項目)の数や順序等に関わらずインポートす
ることが可能です。
インポート/エクスポート機能
▐
ホスト情報をCSVファイルを利用してインポート、エクスポートすることが可能です。
▐
資産管理製品から既存資産のPC固有情報を取り込み、InfoCage 不正接続防止が使用す
る認証用のデータベースを作成することができます。
許可済みPC
(資産管理されているPC)
未許可PC
(資産管理されていないPC)
SiteManager
資産管理製品
既存資産の
PC固有情報出力
許可済みPC
リストの配布
インポート
MACアドレス, IPアドレス, 備考 ・・・, ・・・, ・・・ ○○○, △△△, □□□ ●●●, ▲▲▲, ■■■ ・・・, ・・・, ・・・InterSec/NQ30
抽出箇所指定 ファイル CSVファイル OSのスケジューリング機能などを利用して コマンドの定期実行も可能Page 31 © NEC Corporation 2014
エージェントの自動バージョンアップ機能
▐
InterSec/NQ30のバージョンアップを、運用形態に合わせて柔軟に実施できます。(自動展開
による一斉適用、手動による段階的な部分適用)
InterSec/NQ30 SiteManager①SiteManagerをバージョンアップ。
③一斉(1時間以内)
またはスケジュールし
た日時にバージョン
アップモジュールが
配布され、自動バー
ジョンアップ
InterSec/NQ30 4/10 0:30 4/12 21:30保留
バージョンアップ日時 Agent1: 2010/04/10 00:30 Agent2: 2010/04/12 21:30②バージョンアップ日時を指定したい
場合は、エージェント毎に指定
Ver. UP! Agent1 Agent3 Ver. UP! Ver. UP!
管理しているInterSec/NQ30の一斉
自動バージョンアップが可能
InterSec/NQ30をそれぞれ指定した
日時に自動バージョンアップさせるこ
とが可能
・エージェント毎にバージョンアップさせる日
時を指定して、段階的な部分適用が可能
になります。
Agent2 InterSec/NQ30・バージョンアップ手順はSiteManagerを
バージョアップするのみです。
Page 32 © NEC Corporation 2014
Page 33 © NEC Corporation 2014
スイッチ連携機能とは
▐
各セグメントに InterSec/NQ30を設置せずに、インテリジェントスイッチとの連携によって端末情報
の収集、不正接続端末の監視・防止を行うことができます。
▐
スイッチ管理用エージェント SwitchManagerをSiteManagerに登録し、管理対象スイッチの機能を
利用することで、スイッチ配下のホストを検知し、不正接続防止します。
SiteManager
スイッチで収集したMACアドレスを一元管理
SwitchManager
【NETCONF方式】
スイッチの学習MACテーブルから
MACアドレスを自動収集
【MAC認証方式】
スイッチのARPテーブルからMACアドレスを
自動収集
不正接続端末はRADIUSの認証ログで検出
L2スイッチ
L3スイッチ
Page 34 © NEC Corporation 2014
NETCONF
(※1)
方式
•
NETCONFを利用した制御機能で端末が所属するVLANを動的に切り替え、不正接続PCをネットワー
クから隔離します。MACアドレスによる認証を行います。
•
端末接続先スイッチが特定できます。(スイッチIPアドレス、接続ポート情報を取得可能)
•
対応スイッチ:IP8800/Sシリーズ
MAC認証方式
•
スイッチなどが端末を認証する方式の一つで、MACアドレスをユーザアカウントとして使用することで
、接続された端末のMACアドレスごとに認証を行います。 認証されたMACアドレスを持つ端末のみ
ネットワークを使用することができます。
•
対応スイッチ:MACアドレス認証に対応したスイッチ
(IP8800/Sシリーズ、QXシリーズ、IXシリーズ
(※2)、Catalystシリーズなど)
検知のみ
•
ネットワーク制御は行いません。ネットワーク接続機器の情報収集のみを行います
•
対応スイッチ:SNMP通信に対応したスイッチ
(IP8800/Sシリーズ、QXシリーズ、IXシリーズ
(※2)、Catalystシリーズなど)
▐
ご利用のネットワークスイッチと、連携方式の関係は以下の通りです。
※1 NETCONF(NETwork CONFiguration) :ネットワーク機器を制御するための通信プロトコル ※2 IX1000シリーズは対象外スイッチ連携機能
連携方式について
Page 35 © NEC Corporation 2014
スイッチ連携機能(NETCONF方式の隔離)
~ 隔離の仕組み ~
①不正接続防止機能の
有効化/無効化
SwitchManager
②スイッチが接続され
た端末のMACアドレ
スを学習
SiteManager
管理者
③スイッチから学習したMAC
アドレス情報を取得
④登録されていないMACアドレス
を見つけた場合、スイッチにMAC
アドレスを登録しVLAN隔離
⑤ホスト情報を管理コ
ンソールに表示
IP8800/S
ホストがスイッチのどのポートに
接続したかまで特定!
不正ホスト
Page 36 © NEC Corporation 2014
スイッチ連携機能(MAC認証方式の遮断)
~ 遮断の仕組み ~
SiteManager
管理者
④ホスト情報を管理コ
ンソールに表示
RADIUSサーバ(※)
※Windowsサーバ標準のRADIUSサーバ機能を利用します。SwitchManager
①MAC認証機能の
有効化/無効化
③承認されていないホストは
認証失敗とし、ポート遮断
MAC認証に失敗したホストの情
報も取得し、確認可能!
②MACアドレスを認証
MAC認証対応スイッチ
不正ホスト
Page 37 © NEC Corporation 2014
まずは収集だけ行い、一定期間後未承認端末
を通信制御する運用に変更することが可能
不正PC
接続防止有効
IP8800/Sであればスイッチ毎にMACアドレ
ス管理が可能
運用管理操作は管理コンソールのみ
メリット1:運用コスト小
メリット3:スイッチ毎の権限付与可能
メリット2:段階導入可能
▐
スイッチを利用した従来運用(※1)に比べ、端末管理の運用性が向上します。
【従来】 MACアドレス情報の手動入力・手動管理
【導入後】 MACアドレス情報を自動収集し、1つの管理コンソールで一元管理
▐
NQの段階導入と同様、情報収集から始めて段階的な拡張をすることも可能です。
※1:インテリジェントスイッチとRADIUSを利用したMACアドレス認証スイッチのアイコン
スイッチ連携機能での柔軟な運用
Page 38 © NEC Corporation 2014 Page 38
スイッチ連携機能要件
※1 旧IOSでは1ポートで認証でき
る端末数に上限がある場合が
あります。IOSのバージョンが
12.2(52)SE以前である場合
は事前にお問合せ下さい。
※2 IX1000シリーズは対象外
【必須要件】
【スイッチ別 動作可能方式】
スイッチ機種
動作可能方式
IP8800/Sシリーズ
NETCONF、MAC認証、検知のみ
Catalyst
MAC認証
(※1)、検知のみ
QXシリーズ
MAC認証、検知のみ
IXシリーズ
(※2)MAC認証、検知のみ
ソフトウェア
必須(方式共通)
MAC認証
集中管理
・SiteManager
・SwitchManager
・NPS(NetworkPolicyServer)
・Active Directory
(※3、※4)・DomainManager
SNMP
SNMPv1およびRFC1213_MIB
【最大収容数】
管理スイッチ数/1SwitchManager
100台
管理ホスト数/ 1SwitchManager
10000クライアント
※3 MAC認証にはRADIUS機能の利用が必要です。
Windows Server標準のNPS(Network Policy Server)
+ADを使用して下さい。
※4 1サーバでスイッチを50台以上管理する場合、
Windows Server 2008,2008 R2を利用するには
Enterprise Editionを選択する必要があります。
Page 39 © NEC Corporation 2014
スイッチ連携機能
InterSec/NQ30との要件比較
▐
不正PCの接続防止の手段は異なりますが、不正PC接続防止機能はどちらも持っています。
▐
「セグメント毎のエージェント配置」 or 「インテリジェントスイッチ導入」 の選択が必要になります。
比較項目
スイッチ連携
NQ
NETCONF方式
MAC認証方式
構成
セグメント毎のエージェント配置
不要
要
ネットワーク環境
インテリジェントスイッチが必要
スイッチに認証設定が必要
要件無し
機能
主な収集情報
接続スイッチ、接続ポート
MACアドレス、IPアドレス
MACアドレス、IPアドレス
MACアドレス、IPアドレス
ホスト名
不正接続防止の識別キー
MACアドレス
MACアドレス、IPアドレス
不正PCの制御手段
特定VLANへ隔離
端末ごと(送信元MACアド
レスで識別)に認証
偽装ARPで通信妨害
管理権限割当て単位(※3)
スイッチ単位
SwitchManager単位
InterSec/NQ30単位
状態変更
時の動作
設定の反映(青→赤)
(赤→青)
次回ポーリング(※1)後
再認証時(※2)
即時
遮断解除時、端末側の復旧操
作
PC再起動
(もしくはIPアドレス再取得)
ネットワーク再接続
即時
(※1)ポーリング:スイッチに対して行う定期的な状態問い合わせ
(※2)スイッチによってタイミングは異なります。
(※3)SiteManagerが管理するエージェントの単位となります。
Page 40 © NEC Corporation 2014
SOHO・小規模オフィス向け提案
中規模・大規模オフィス向け提案
全国に拠点を持つ企業向け提案
Page 41 © NEC Corporation 2014
SOHO・小規模オフィス向け提案
製品名
個数
単価
価格(税別)
InfoCage 不正接続防止 V4.0 メディアキット
1
¥20,000
¥20,000
InfoCage 不正接続防止 V4.0 SiteManager 1ライセンス
1
¥290,000
¥290,000
InterSec/NQ30c
1
¥178,000
¥178,000
合計
¥488,000
オフィス全体で1セグメントを使用
端末数は数台から数百台程度
HUBに1台のInterSec/NQ30を接続
して運用
見積もり概算(1セグメント)
SiteManager intersec NQ30Page 42 © NEC Corporation 2014
中規模・大規模オフィス向け提案
端末数は数百台から数千台程度
ルータやL3スイッチを使用して部署ごと
にセグメントを設置
タグVLAN対応機能を利用し、1台の
InterSec/NQ30で複数VLANを監視
見積もり概算(10セグメント+タグVLAN×40)
製品名
個数
単価
価格(税別)
InfoCage 不正接続防止 V4.0 メディアキット
1
¥20,000
¥20,000
InfoCage 不正接続防止 V4.0 SiteManager 1ライセンス
1
¥290,000
¥290,000
InterSec/NQ30c
10
¥178,000
¥1,780,000
InfoCage 不正接続防止 V4.0 10VLAN追加ライセンス
1
¥900,000
¥900,000
InfoCage 不正接続防止 V4.0 30VLAN追加ライセンス
1
¥2,700,000
¥2,700,000
合計
¥5,690,000
SiteManagerPage 43 © NEC Corporation 2014
中規模・大規模オフィス向け提案 (スイッチ連携)
見積もり概算(50セグメント)
製品名
個数
単価
価格(税別)
InfoCage 不正接続防止 V4.0 メディアキット
1
¥20,000
¥20,000
InfoCage 不正接続防止 V4.0 SiteManager 1ライセンス
1
¥290,000
¥290,000
InfoCage 不正接続防止 V4.0 スイッチ連携オプション 10セグメントライセンス
2
¥900,000
¥1,800,000
InfoCage 不正接続防止 V4.0 スイッチ連携オプション 30セグメントライセンス
1
¥2,700,000
¥2,700,000
合計
¥4,810,000
SwitchManager スイッチ スイッチのアイコン スイッチNETCONF方式
MAC認証方式、検知のみ
端末数は数百台から数千台程度
ルータやL3スイッチを使用して50セグメントを設置
SwitchManagerの アイコン※NETCONF方式、検知のみの場合はスイッチが管理エージェント単位となります。
MAC認証方式の場合はSwitchManagerが管理エージェント単位となります。
SiteManagerPage 44 © NEC Corporation 2014
Page 45 © NEC Corporation 2014
導入実績
小規模環境の導入事例
1~10セグメント、100~7,000ホスト
大規模環境の導入事例
A社(サービス業) ・・・ 435セグメント、49,000ホスト
B社(サービス業) ・・・ 270セグメント、40,000ホスト
C社(通信) ・・・ 240セグメント、30,000ホスト
▐
官公庁、製造、流通業など業種・業態を問わず約1000社の導入実績があり、
NECグループの全セグメント(約7,000)で現在運用中です。
▐
また、数セグメントの小規模環境から数百セグメントの大規模環境までのさまざまな
環境に導入されています。
Page 46 © NEC Corporation 2014
導入事例 ~製造業 A社様~
私物PCへの
機密情報持ち出し
端末検知センサーを追加!
導入前
導入後
課題
製品選定の決め手
ウイルス感染PC(私物)
からのウイルスばらまき
ウイルス感染PC
私物PC
どんなPCが接続されて
いるか分からない
私物PCを
社内から排除できた
システム管理者
個 人 情 報 社 外 秘業務委託をしている開発部門のフロアでは私物PCを持ち込み、
無断で社内LANを利用している恐れがあった
豊富な導入実績 かつ 開発部門からスタートし全社展開していく
段階的な導入が可能だったことで安心して導入できた
システム管理者
どんなPCでも社内に接続できるため、
機密情報の持ち出しなど、セキュリティ上不安あり
許可されていないPCを遮断することで、
セキュリティレベルを向上させることができた
InterSec/NQ30Page 47 © NEC Corporation 2014
InterSec/NQ30c
InterSec/NQ30b
型番 N8100-1400Q N8100-1200Q N8100-1300Q 希望小売価格(税別) ¥178,000 ¥187,000 1台のInterSec/NQ30で管理可能なホスト数(※1) 4,000件(V3.8以上) 2,000件(V3.6~V3.7) 1,000件(~V3.4) 2,000件(V3.6~) 1,000件(~V3.4) 1台のInterSec/NQ30に登録可能な承認ポリシーの数 100,000件 60,000件 「タグVLAN対応機能」で監視可能なVLAN数 16個 8個 「NQ冗長化機能」で待機系NQに設定できるVLANイン ターフェースの数(※2) 32個 16個 電源スイッチ 有り(電源スイッチ押下でシャットダウンが可能) 電源ケーブルを挿したときは自動起動(ボタン押下 は不要) 無し(電源OFFはシャットダウンコマンドまたは電源ケー ブルの抜去) 使用可能なUSBバージョン 2.0 1.1、2.0(※3) 工場出荷時のバージョン 2.2~3.8(※4) N8100-1200Q:2.2h N8100-1300Q:3.1g NQ30の日時指定バージョンアップ機能 V3.8より利用可能(※5) V3.7より利用可能InterSec/NQ30b、NQ30c比較表
(※1)一日に検出したMACアドレス数(目安としてホスト一覧の最終検出日がその日になっているものの件数)が該当します。 (※2)NQ冗長化機能はV3.8で追加された機能です。 (※3)USB2.0のUSBメモリを接続した場合、USB1.1として動作します。 (※4)バージョン2.2から3.8に対応するモジュールがプリインストールされています。ダウングレードする初期化を実施するとバージョンはV2.2となります。 (※5)工場出荷時のNQ30cをV2.2~V3.8のSiteManagerに接続するときは、NQ30cはバージョンアップ機能は使われずに適切なバージョンが自動認識されます。 基本的な運用方法、NQのパラメータの設定方法につきましては差分はありません。Page 48 © NEC Corporation 2014
動作環境 1/2
DomainManager SiteManager
OS
・Windows Server 2003 Standard Edition(SP2) ・Windows Server 2003 R2 Standard Edition(SP2) ・Windows Server 2003 Enterprise Edition(SP2) ・Windows Server 2003 R2 Enterprise Edition(SP2) ・Windows Server 2003 R2 Standard x64 Edition (SP2) ・Windows Server 2003 R2 Enterprise x64 Edition (SP2) ・Windows Server 2008 Standard(SP1、SP2)
・Windows Server 2008 Enterprise(SP1、SP2) ・Windows Server 2008 Standard x64(SP1、SP2) ・Windows Server 2008 Enterprise x64(SP1、SP2) ・Windows Server 2008 R2 Standard(SPなし、SP1) ・Windows Server 2008 R2 Enterprise(SPなし、SP1) ・Windows Server 2012 Standard(SPなし)
・Windows Server 2012 Datacenter(SPなし) ・Windows Server 2012 R2 Standard(SP なし) ・Windows Server 2012 R2 Datacenter(SP なし)
・Windows Server 2003 Standard Edition(SP2) ・Windows Server 2003 R2 Standard Edition(SP2) ・Windows Server 2003 Enterprise Edition(SP2) ・Windows Server 2003 R2 Enterprise Edition(SP2) ・Windows Server 2003 R2 Standard x64 Edition (SP2) ・Windows Server 2003 R2 Enterprise x64 Edition (SP2) ・Windows Server 2008 Standard(SP1、SP2)
・Windows Server 2008 Enterprise(SP1、SP2) ・Windows Server 2008 Standard x64(SP1、SP2) ・Windows Server 2008 Enterprise x64(SP1、SP2) ・Windows Server 2008 R2 Standard(SPなし、SP1) ・Windows Server 2008 R2 Enterprise(SPなし、SP1) ・Windows 7 Professional(SPなし、SP1) ・Windows 7 Professional x64(SPなし、SP1) ・Windows 7 Ultimate(SPなし、SP1) ・Windows 7 Ultimate x64(SPなし、SP1) ・Windows 7 Enterprise (SPなし、SP1) ・Windows 7 Enterprise x64(SPなし、SP1) ・Windows Server 2012 Standard(SPなし) ・Windows Server 2012 Datacenter(SPなし) ・Windows Server 2012 R2 Standard(SP なし) ・Windows Server 2012 R2 Datacenter(SP なし) CPU Pentium 4 2.4GHz相当以上 Pentium 4 3GHz相当以上
メモリ 1GB以上 1GB以上
ディスク 40GB以上 150MB以上
備考
・.NET Framework 3.5 SP1 必須
・Windows Installer 4.5 以降必須(Windows Server 2008 以降は標準 でインストール済)
Page 49 © NEC Corporation 2014
動作環境(スイッチ連携オプション)
SwitchManager
OS
Windows Server 2003 Standard Edition SP2 Windows Server 2003 Enterprise Edition SP2 Windows Server 2003 R2 Standard Edition SP2 Windows Server 2003 R2 Enterprise Edition SP2 Windows Server 2008 Standard SP2
Windows Server 2008 Enterprise SP2 Windows Server 2008 Standard x64 SP2 Windows Server 2008 Enterprise x64 SP2 Windows Server 2008 R2 Standard SP1 Windows Server 2008 R2 Enterprise SP1 Windows Server 2012 Standard(SP なし) Windows Server 2012 Datacenter(SP なし) Windows Server 2012 R2 Standard(SP なし) Windows Server 2012 R2 Datacenter(SP なし) ※日本語版OSのみ対応 CPU Pentium 4 2.8GHz相当以上 メモリ 2GB 以上 ディスク 1.1GB以上の空き 備考 ・下記のいずれかがインストールされていること Java Runtime Environment Version 6 Java Runtime Environment Version 7
Page 50 © NEC Corporation 2014
価格 1/2
製品名 希望小売価格(税別) 概要 InfoCage 不正接続防止 V4.0 メディアキット ¥20,000 DomainManager、SiteManager、SwitchManagerの 媒体を含む。【ライセンス製品】
製品名 希望小売価格(税別) 月間保守料(税別) InfoCage 不正接続防止 V4.0 DomainManager 1ライセンス ¥500,000 ¥18,800 InfoCage 不正接続防止 V4.0 SiteManager 1ライセンス ¥290,000 ¥3,700• InterSec/NQ30cが30台を超える環境で、DomainManagerライセンスが必要となります。
• 1台のSiteManagerで、InterSec/NQ30cを400台まで管理可能です。
【補足説明】
製品名 希望小売価格(税別) 月額保守料 InterSec/NQ30c ¥ 178,000 ハードウェア保守 ¥800 ソフトウェア保守 ¥1,700Page 51 © NEC Corporation 2014
価格 2/2
【VLAN追加ライセンス】
製品 希望小売価格(税別) 月間保守料(税別) InfoCage 不正接続防止 V4.0 1VLAN追加ライセンス ¥90,000 ¥1,700 InfoCage 不正接続防止 V4.0 3VLAN追加ライセンス ¥270,000 ¥5,100 InfoCage 不正接続防止 V4.0 10VLAN追加ライセンス ¥900,000 ¥17,000 InfoCage 不正接続防止 V4.0 30VLAN追加ライセンス ¥2,700,000 ¥51,000 InfoCage 不正接続防止 V4.0 100VLAN追加ライセンス ¥9,000,000 ¥170,000• タグVLAN環境では1台のInterSec/NQ30で複数のVLANを監視することができます。その場合、”監視
するVLAN数-1”の 「VLAN追加ライセンス」 が必要です。
• InterSec/NQ30cは1台で16VLANまで管理可能です。
【補足説明】
(例)1台のNQで7つのタグVLAN環境を監視する場合、以下の製品が必要です。
・ InterSec/NQ30 :1台
・ InterSec/NQ30 3VLAN追加ライセンス : 2つ
Page 52 © NEC Corporation 2014
価格(スイッチ連携オプション)
【スイッチ連携オプションライセンス】
製品 希望小売価格(税別) 月間保守料(税別) InfoCage 不正接続防止 V4.0 スイッチ連携オプション 1セグメントライセンス ¥90,000 ¥1,200 InfoCage 不正接続防止 V4.0 スイッチ連携オプション 3セグメントライセンス ¥270,000 ¥3,400 InfoCage 不正接続防止 V4.0 スイッチ連携オプション 10セグメントライセンス ¥900,000 ¥11,300 InfoCage 不正接続防止 V4.0 スイッチ連携オプション 30セグメントライセンス ¥2,700,000 ¥33,800 InfoCage 不正接続防止 V4.0 スイッチ連携オプション 100セグメントライセンス ¥9,000,000 ¥112,500•スイッチ連携機能で管理するセグメント数分のスイッチ連携オプションライセンスが必要です。
監視するクライアント台数分の購入が必要なクライアントライセンスもございます。
•スイッチ連携を利用する際のSwitchManagerの構成については、ご利用になる環境の情報を添えて
ご相談ください。
•1台のSwitchManagerに、100台までのスイッチを登録できます。
•目安として、1台のSwitchManagerで10,000件程度のホストを管理可能です。
【補足説明】
Page 53 © NEC Corporation 2014
