第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する
最終更新日: 2005年5月24日
トピック
はじめに
IAS を使用してネットワーク アクセス管理を行う
ソリューションの前提条件を確認する
RADIUS インフラストラクチャを設計する
管理計画を立てる
要約
はじめに
この章では、このワイヤレス ローカル エリア ネットワーク (WLAN) ソリューションで使用するリモート認証ダイヤルイン ユーザー サービス (RADIUS) インフラストラクチャのアーキテクチャと設計について説明します。 RADIUS インフラストラクチャでは、マイクロソフトの RADIUS 実装である Microsoft インターネット認証サービス (IAS) を使用します。
この章の第一の目標は、このソリューション向けの IAS インフラストラクチャに関係する設計上の決定およびその理由について説明することです。
この章で、"このソリューションで使用するオプションは..." または "この設計で使用するのは..." といったフレーズが出てきた場合は、ソリューションの設計のための決定事項を意味し、これらは後述の構築ガイドと操作ガイドの章で実装されます。
この章の 2 つめの目標は、設計が組織にどの程度適しているかを判断するためのガイドラインを提供することです。 したがって、この章で "...を決定する必要があります" といったフレーズが出てきた場合は、各自が独自の要件に基づいて選択する必要がある意思決定ポイントであることを意味します。 こうした意思決定ポイントは通常、自社のより広範なセキュリティのニーズに対応するために、ソリューションの拡張方法を検討している場合に発生します。 そのため、必要となる手順の意味をより良く理解し、他のリソースを参照しなくても済むよう、一部のトピックについてはさらに詳しく説明します。
章の前提条件
この章を読む前に、RADIUS の概念および IAS 展開オプションについて詳しく知っている必要があります。 これらの内容に関する有用なリソースについては、この章の最後にある「関連情報」を参照してください。 「Microsoft Windows Server™ 2003 リソース キット」と「Microsoft Windows Server™ 2003 Deployment Kit」の IAS に関する章にも有用な情報が記載されています。
章の概要
この章は、RADIUS インフラストラクチャの設計について説明するいくつかのトピックに分かれています。 この章の目的は次のとおりです。
広範なネットワーク アクセス管理ソリューションを提供するための IAS の使用方法、および特に WLAN への適用方法を示す。
このソリューションに必要な IT 環境の前提条件を特定し、既存のインフラストラクチャを検討する。
IAS ベースの RADIUS インフラストラクチャのアーキテクチャを構築する際の設計上の決定事項、特に 802.1X ベースのワイヤレス ネットワークに関連する決定事項を詳述する。
IAS サーバー インフラストラクチャを保守するための管理戦略について調査する。
概念、詳細な製品情報、および展開計画に関する参照情報を提供する。
次のフロー チャートに、この章の構造を示します。
.gif)
図 5.1: IAS インフラストラクチャの計画
IAS を使用してネットワーク アクセス管理を行う
Microsoft Windows Server™ 2003 のインターネット認証サービスは、RADIUS サーバーおよびプロキシ サーバーのマイクロソフトの実装です。 RADIUS サーバーとして、IAS はさまざまな種類のネットワーク接続についての集中化認証、承認、およびアカウンティング (AAA) を実行します。 RADIUS プロキシ サーバーとして、IAS は AAA の別の RADIUS サーバーに RADIUS 要求を転送できます。 IAS は、Microsoft Windows ベースのルーティングとリモート アクセス サービス (RRAS) などの仮想プライベート ネットワーク (VPN) サーバー、またはワイヤレス アクセス ポイント (AP) や認証イーサネット スイッチなどのその他のネットワーク アクセス インフラストラクチャと組み合わせて使用できます。
IAS ベースの RADIUS インフラストラクチャの価値を最大限に活用するには、ネットワーク アクセス管理のために集中サービスを利用することを会社規模で決定する必要があります。 これには、Active Directory ディレクトリ サービスなどの集中アカウント データベースの使用、および IAS サーバー上でのネットワーク アクセス ポリシー管理の一元化があります。 管理を一元化することで、分散ネットワーク アクセス装置でのネットワーク アクセス制御情報の維持にかかるコストを大幅に削減できるようになります。 さらに、アカウントとネットワーク アクセス ポリシーを一元化することで、分散装置の構成および管理に関連するセキュリティ上のリスクも削減できます。
組織の現在および将来のニーズを満たす IAS インフラストラクチャを計画および展開するには、十分な検討が必要になります。 IASは、単一の切り離されたネットワークへのアクセスを意図したものではありません。 IAS は、さまざまなネットワーク アクセス シナリオに向けて、戦略的なネットワーク アクセス管理を提供するために展開する必要があります。
組織のネットワーク アクセス管理要件を特定する
Windows Server 2003 の IAS では、次のようなネットワーク アクセスのシナリオをサポートしています。
ワイヤレス アクセス。 802.1X に対応したワイヤレス アクセス ポイントを構成して、802.11 ベースの WLAN アクセス制御をするために IAS AAA サービスを使用したり、キー管理を提供したりできます。
ワイヤード アクセス。 802.1X に対応したイーサネット スイッチは、ワイヤード LAN へのポート単位のアクセス制御をするために IAS AAA サービスを使用できます。
VPN アクセス。 Windows ベースの RRAS などの VPN サーバーは、キー管理を提供するだけでなく、企業ネットワークのアクセス制御をするために IAS AAA サービスを使用できます。
ダイヤルアップ アクセス。 Windows ベースの Routing and Remote Access などのダイヤルアップ サーバーは、企業ネットワークのアクセス制御をするために IAS AAA サービスを使用できます。
エクストラネット アクセス。 エクストラネット アクセス サーバーは、ビジネス パートナーによる共有リソースへのアクセスを制限するために IAS AAA サービスを使用できます。
アウトソースされた企業ネットワーク アクセス。 ネットワーク ソリューション プロバイダは、アウトソースされたネットワーク インフラストラクチャを顧客のアカウント データベースおよびサクセス制御ポリシーに統合するために IAS AAA サービスを活用できます。 IAS は、このサービスに対する支払いを顧客に請求するのに必要なアカウンティング情報も提供できます。
インターネット アクセス。 インターネット サービス プロバイダ (ISP) は、ダイヤルアップおよび高速インターネット アクセスを提供するために IAS AAA サービスを活用し、その一方で、それぞれの組織のアカウント データベースおよびアクセス制御ポリシーを使用できます。 IAS は、このサービスに対する支払いを顧客に請求するのに必要なアカウンティング情報を提供できます。
IAS への投資を最大限に活用し、将来的な IAS インフラストラクチャへの変更を最小限に抑えるには、これらのシナリオを自分の組織での使用に照らして評価する必要があります。 このソリューションの IAS は、ワイヤレス ネットワーク アクセスに対してのみ使用されますが、これらのシナリオをサポートできるようにソリューションを拡張することも可能です。 RADIUS インフラストラクチャを拡張して別のシナリオをサポートするための情報については、「第 3 章 : セキュリティ保護されたワイヤレス LAN ソリューション アーキテクチャ」を参照してください。
IAS を使用してワイヤレス ネットワーク アクセス管理を行う
IEEE (Institute of Electrical and Electronics Engineers) 802.11 などの業界標準の登場により、WLAN はますます普及しています。 WLAN を使用することにより、ユーザーは建物やキャンパスを移動しながら、ワイヤレス AP の周辺にいる限りは自動的にネットワークに接続できます。
WLAN の使用には、利便性がある一方で、次のようなセキュリティ リスクを伴います。
互換性のある WLAN アダプタを備えていれば、誰でもネットワークに接続できる可能性があります。
ワイヤレス ネットワーク信号では、情報の送受信に無線電波が使用されます。 ワイヤレス AP の近くにいるユーザーなら誰でもワイヤレス AP で送受信されるすべてのデータを検出および受信できます。
セキュリティ上の最初のリスクに対処するには、ワイヤレス AP を RADIUS クライアントとしてセットアップし、アクセス要求およびアカウンティング メッセージを IAS を実行している中央の RADIUS サーバーに送信するように構成します。 2 番目のリスクに対処するには、ワイヤレス装置とワイヤレス AP との間で送信されるデータを暗号化します。
IAS は、IEEE 802.1X ワイヤレス AP およびクライアント デバイスのための RADIUS サーバーとして実行し、EAP-TLS (Extensible Authentication Protocol-Transport Layer Security protocol) などの証明書ベースの認証プロトコルを使用して動的暗号化キーを提供するという 2 つの方法で、WLAN に対するセキュリティ強化を図ります。
注 : このガイダンスでは、ワイヤレス AP を RADIUS クライアントと呼ぶ場合があります。 ワイヤレス AP 以外にも RADIUS クライアントとして使用できるものはありますが、このガイダンスではワイヤレス AP のみについて説明します。 このため、ワイヤレス AP と RADIUS クライアントを同じ意味の用語として使用します。
ソリューションの前提条件を確認する
IAS を使用したワイヤレス アクセス管理ソリューションの設計を始める前に、使用している環境で必要となる既定の条件を理解しておく必要があります。
Active Directory に関する留意事項
このソリューションは、Acitive Directory を展開し、自社のドメイン コントローラで Windows 2000 Server 以降を実行している組織を対象に設計されています。 これらがこのソリューションの必要条件になるのは、RADIUS の設計に際して行われる決定の中には、Windows 2000 のネイティブ モード以降を実行しているドメインでしか使用できない機能が必要になるものが含まれているためです。 次の表は、このソリューションで使用される機能、およびさまざまなドメイン機能レベルでのサポートのレベルを示しています。
表 5.1: ソリューションで活用される Windows ドメインの機能
| 機能 | Windows Server 2003 ネイティブ モード |
Windows 2000 ネイティブ モード |
混合モード または Microsoft Windows NT® 4.0 |
|---|---|---|---|
| ユニバーサル グループとネストしたグループ | はい | はい | いいえ |
| ユーザー プリンシパル名 (UPN) | はい | はい | いいえ |
| リモート アクセス ポリシー (RAP) 許可を使用したアクセスの制御がユーザー アカウントで使用可能 |
はい | はい | いいえ |
| EAP–TLS のサポート | はい | はい | いいえ |
| IAS RADIUS の役割 | 機能 | シナリオ |
|---|---|---|
| RADIUS サーバー | – Active Directory またはその他の信頼できるデータ ソースで直接資格情報を確認する。 – ネットワーク アクセスを決定するために RAP を活用する。 |
すべてのネットワーク アクセス管理のシナリオで必要。 |
| RADIUS プロキシ サーバー | – 要求プロパティに基づいて要求をルーティングする。 – 送信中の要求の RADIUS プロパティを変更できる。 – RADIUS サーバー グループに対する RADIUS 要求の負荷分散を提供する。 |
– ネットワーク アクセス装置が共有されるマルチフォレスト シナリオで有用である。 – 大規模なフロントエンド/バックエンドのネットワーク AAA アーキテクチャを展開するのに有用である。 – 外部組織への認証の連合に有用である。 |
| RADIUS サーバーとプロキシ サーバー | 上記の 2 つの機能の組み合わせ | 2 つのシナリオの組み合わせ |
| フェールオーバーと負荷分散方法 | 長所 | 短所 |
|---|---|---|
| RADIUS サーバー グループによる IAS プロキシ | – RADIUS サービスはフェールオーバーとフェールバックによる失敗の検出サービスを提供する。 – トラフィック プロパティに基づくトラフィック負荷分散が行われる。 – 負荷分散時に EAP セッション状態を維持する。 – 要求のサーバーへの分散が優先順位および重要度の設定に基づいて構成可能である。 |
– 追加の IAS サーバーが必要になる。 – AP は依然として、プライマリおよびセカンダリ プロキシ RADIUS IP で構成する必要がある。 |
| ワイヤレス AP でのプライマリおよびセカンダリ RADIUS サーバーの設定 | – 小規模な環境では単純な構成になる。 – ワイヤレス AP はトラフィックの失敗を検知し、フェールオーバーを実行する。 – ネイティブなワイヤレス AP 機能を利用する。 |
– プライマリおよびセカンダリ RADIUS サーバーを選択する際には、その計画および監視に細心の注意が必要になる。 – ワイヤレス AP の多くは、サーバーの負荷分散が行えなくなるため、フェールバック機能をサポートしていない。 |
エンタープライズ組織および大規模ネットワーク サービス プロバイダは、RADIUS クライアントからの要求を受け付けて RADIUS サーバーへの負荷分散を行うために、RADIUS プロキシを利用することを検討してください。この場合、RADIUS サーバーは RADIUS サーバー グループに構成できます。 RADIUS サーバー グループ内の RADIUS サーバーへのネットワーク トラフィックの分散は、変更可能な多数の構成項目に基づいて行うことができます。 構成項目には、優先順位および重要度に加え、RADIUS トラフィックのタイプや RADIUS 属性などがあります。 各 RADIUS サーバー グループの RADIUS サーバーは、ドメインまたは全フォレスト内のユーザーおよびデバイスに対してコアの認証や承認を実行できます。 これにより、RADIUS 要求を処理するためのフロントエンドまたはバックエンドのアーキテクチャが構築され、負荷分散および拡張オプションに対する柔軟性が最大限提供されます。
.gif)
図 5.2: RADIUS プロキシを使用したフェールオーバーと負荷分散
ただし、最新のワイヤレス AP の単純な RADIUS サーバー フェールオーバー機能は、ほとんどの組織にとって十分なレベルの復元性を提供します。 もし十分でない場合でも、RADIUS プロキシ サーバー ベースのフェールオーバーと負荷分散戦略への移行は比較的簡単です。 ワイヤレス AP ベースのフェールオーバーと負荷分散を使用するうえでの短所は、ワイヤレス AP と RADIUS サーバーを組み合わせ、RADIUS サーバーで負荷が均等かどうかを監視し、必要に応じて変更を行うための管理が必要なことです。 また、ワイヤレス AP の一部のモデルはフェールバックをサポートしないという短所もあります。 フェールバックは、フェールオーバーしてセカンダリ RADIUS サーバーを使用している AP が、プライマリ RADIUS サーバーが回復次第、そのプライマリ サーバーに自動的に戻るときに起こります。 フェールバックがなければ、すべてのワイヤレス AP がセカンダリ RADIUS サーバーにフェールオーバーした場合、管理者が操作しなければ、それらの AP を再び適切なプライマリ サーバーに戻すことができません。
複数の RADIUS サーバーがローカルで使用可能であるとき、ワイヤレス AP ベースのフェールオーバー戦略を使用して負荷分散を行うには、次のような構成が必要になります。
各拠点の ワイヤレス AP の半分が、最初にプライマリ RADIUS サーバーを使用し、プライマリ RADIUS サーバーが失敗した場合にはセカンダリ RADIUS サーバーを使用するように構成します。
各拠点の ワイヤレス AP の残りの半分が、最初にセカンダリ RADIUS サーバーを使用し、セカンダリ RADIUS サーバーが失敗した場合にはプライマリ RADIUS サーバーを使用するように構成します。
注 : "プライマリ" および "セカンダリ" という用語はサーバーの機能の違いを表すものではありません。どちらも同等のサーバーです。 ここでは、フェ-ルオーバーについて説明するうえで両サーバーを区別するために、こうした用語を使用しています。
.gif)
図 5.3: ワイヤレス AP ベースのフェールオーバーと負荷分散
1 台の RADIUS サーバーがローカルで使用できるうえに、さらにリモートの RADIUS サーバーも使用可能な支社で、ワイヤレス AP ベースのフェールオーバー戦略を使用して負荷分散を行うには、ローカル RADIUS サーバーをプライマリ サーバーとして使用するように支社内のすべてのワイヤレス AP を構成する必要があります。 次に、リモート RADIUS サーバーをセカンダリ サーバーとして構成して、プライマリ サーバーの失敗時に使用できるようにします。
.gif)
図 5.4: リモート RADIUS サーバーによるワイヤレス AP ベースのフェールオーバーと負荷分散
拡大表示する 支社のシナリオでは、サービスを復帰させたときに、ワイヤレス AP がプライマリ RADIUS サーバーにフェールバックできるようにしておきます。 そうでない場合は、RADIUS サービスのために不要なワイド エリア ネットワーク (WAN) を通過することがないように、ワイヤレス AP を手動で構成する必要があります。
注 : 各製品のフェールバックのサポート状況については、ハードウェア ベンダーに問い合わせてください。
支社の RADIUS サーバーはオプションです。代わりに、WAN 全体で中央 RADIUS サーバーを使用することも可能です。 ただし、ローカル RADIUS サーバーとドメイン コントローラーがない場合、WANに障害が発生したときに、事業所のユーザーはローカル WLAN にアクセスできなくなります。
このソリューションは、ワイヤレス AP ベースのサーバーのフェールオーバーと負荷分散のための手動構成を使用するように設計されています。 サーバーのフェールオーバーと負荷分散のために RADIUS プロキシを使用する RADIUS インフラストラクチャの計画の詳細については、「Microsoft Windows Server2003 Deployment Kit」の「Deploying**IAS」(英語)**の章を参照してください。 このリソースの参照先については、この章の最後を参照してください。
ログ要件を確立する
2 種類のオプション情報をログに記録するように IAS サーバーを構成することができます。
成功した認証イベントおよび拒否された認証イベント
RADIUS 認証とアカウント情報
WLAN へのアクセスを試行したデバイスとユーザーから生成された成功した認証イベントと拒否された認証イベントは、既定で IAS により Windows Server 2003 システム イベント ログに記録されます。 認証に関する問題に対してトラブルシューティングを行う際には、認証イベント ログ情報が非常に役に立ちます。ただし、この情報はセキュリティ監査および警告にも使用できます。
最初の段階では、成功および拒否イベントのログ記録オプションを有効にしておき、システムが安定したら、成功イベントのオプションを無効にしてください。 これは、システム イベント ログは成功した WLAN アクセス イベントですぐにいっぱいになってしまうためです。また、RADIUS 認証要求のログ記録オプションが有効になっている場合には、このオプションを使わなくてもセキュリティ上問題はありません。
エンタープライズ レベルの組織は、Microsoft Operations Manager (MOM) などの企業監視ツールを利用して、カスタム スクリプトを使ってシステム イベント ログ内の IAS イベントを処理することを検討してください。 たとえば、カスタムの MOM スクリプトは、拒否された認証の試行に関連する IAS イベントの増加を検知して、管理者に対応するように通知できます。
IAS には、RADIUS 要求ログの形式で認証およびネットワーク アクセス セッション情報を保存する機能も備えられています。 RADIUS 要求ログから次の情報を提供するためのオプションは、任意に有効または無効にすることができます。
アカウンティング要求 - たとえば、ネットワーク アクセス セッションの開始および終了を示すアカウンティング開始メッセージと終了メッセージ
認証要求 - たとえば、認証の試行の成功または失敗を示すアクセス受付メッセージまたはアクセス拒否メッセージ
定期的な状態 - たとえば、いくつかのネットワーク アクセス デバイスが送信した暫定的なアカウンティング要求
RADIUS 要求ログは、ネットワークの使用を基に計算された料金を顧客に請求するネットワーク サービス プロバイダなどの組織にとって有用な情報です。 ただし、RADIUS 要求ログはセキュリティの監視と監査にも使用できます。 特に、セキュリティ監査の担当者は、RADIUS 認証およびアカウンティング ログを使用して次の事項を決定します。
WLAN への許可されない認証の試行に関する詳細な情報
WLAN に対する許可された接続の期間
IAS は、テキストまたは Microsoft SQL Server™ 2000 データベースにログを記録します。 IAS での RADIUS 認証およびアカウンティング情報のテキストによるログ記録は、既定で無効になっています。 RADIUS のテキストによるログ記録を有効にする場合は、事前に次のことを行なう必要があります。
WLAN アクセス情報を追跡するための要件、および必要な詳細情報について、セキュリティ担当者に問い合わせる。
WLAN ユーザーから要求を負荷分散する際のサーバー ハードウェア要件 (ディスクおよび CPU) を把握するために、RADIUS テキスト ログの記録のラボ テストを実施する。 WLAN アクセスにより、他のネットワーク アクセス タイプより多くの情報が生成される可能性があります。
どの RADIUS 要求情報 (認証、アカウンティング、定期的な状態) が必要で、どの情報がオプションかを評価する。 WLAN アクセスによって、かなりの情報が生成され、ディスク領域がすぐになくなる可能性があります。
RADIUS 要求ログ情報のアクセス、格納、およびアーカイブ方法を決定する。 RADIUS 要求ログ情報は、各 IAS サーバーのハードディスク上にテキスト ファイルとして保存することも、SQL Server データベースに保存することも可能です。
RADIUS アカウンティグ ログを使用する必要のあるエンタープライズ レベルの組織は、IAS の SQL Server のログ記録機能を活用することを検討してください。 RADIUS アカウンティング情報は各 IAS サーバーの SQL Server Desktop Engine (MSDE) に記録した後に、中央の SQL Server クラスタに複製できます。 こうすることにより、RADIUS アカウンティング データが一元化され構造化されるため、クエリ、レポーティング、およびアーカイブを実行しやすくなります。 ローカル MSDE データベースへの SQL Server ログ記録を実行すると、ネットワーク上の問題により IAS がこの情報を記録できなくなり、アカウント情報に依存しているネットワーク アクセス要求が拒否される可能性もなくなります。
RADIUS 要求ログの定期的なクエリ、レポーティング、およびアーカイブを実行するための SQL Server 2000 またはスタッフを持たない組織は、セキュリティ上の問題の調査のためにこの情報を記録することを検討できます。 次の表に示すとおり、このソリューションでは、RADIUS のログ記録に関する設計上のいくつかの決定が下されています。 この表で、自社の環境の要件に適合する決定事項を確認してください。
表 5.4: IAS ログ記録の設計上の決定事項
| IAS ログ記録の設計上の決定事項 | コメント |
|---|---|
| 「Windows Server2003 セキュリティ ガイド」に記載されている IAS グループ ポリシー テンプレートにあるシステム イベント ログのサイズは、IAS イベントを収容するために既定よりも大きくなっている。 | RADIUS 認証要求のログ記録のオプションを有効にしない場合、システム イベント ログは既定で WLAN アクセス セキュリティ イベントの主要な記録となる。 [必要に応じてイベントを上書きする] の既定の設定など、設定は慎重に検討する。この設定によっては、ログがいっぱいになると監査データが上書きされることになる。 |
| RADIUS 認証とアカウンティング要求のテキスト ファイルへのログ記録が有効になっている。 | これにより、IAS サーバー上に CPU 負荷およびディスク領域の要件が発生する。 ログ記録が実行できない場合、IAS は認証とアカウンティング要求の受け付けを停止する。 そのため、ログ ファイル ディスクをいっぱいにするサービス拒否攻撃 (DoS) について考慮する必要がある。 |
| このガイダンスの IAS サーバーのハードウェア仕様には、独立した物理ディスク上にある独立したログ ファイル ディスク ボリュームが含まれる。 | これにより、RADIUS 要求のログ ファイルへの書き込み能力による RADIUS ネットワーク アクセス管理への影響を最小限に抑えることが保証される。 また、この決定により、ディスク ボリュームをいっぱいにするログ記録の原因となるイベントが、サーバーの回復力に影響しないことも保証される。 |
| RADIUS 認証およびアカウンティング項目のオプションが有効になっているが、定期的な状態のオプションは有効になっていない。 | これにより、認証状態やセッション時間を決定するのに必要な重要な情報だけを記録することが保証される。 定期的な状態のオプションは、ログ ファイルの要件を削減するために省略されている。 自社の環境でユーザー セッション時間の記録が重要となる場合は、定期的な状態のログを有効にするかどうかを検討する必要がある。 |
| RADIUS 認証およびアカウンティング ログ ファイルのために ODBC (Open Database Connectivity) 互換のデータベース形式が選択されている。 | これにより、管理者は ODBC 互換データベースに容易にログ ファイルをインポートして、分析を実施できる。通常は、これが最善の方法と考えられている。 また、Windows Server 2003 サポート ツールの IASPARSE.EXE を使用してファイルを参照することもできる。 |
| 新しいログ ファイルの作成間隔は、毎月に設定されている。 | 生成するログ ファイルの数を減らすように作成間隔を選択すると、SQL Server のログ機能を使用していない場合のデータベースへのログ ファイルのインポートや IASPARSE.EXE を使用してのログ ファイルの参照が容易になる。 このオプションは、1 つのログ ファイルを使用してハードディスクに書き込みを行なうことのリスクとのバランスを考えて設定する必要がある。 |
| RADIUS 要求のログ記録のオプションは、ディスクがいっぱいになったときには古いログ ファイルを最初に削除するように設定されている。 | この既定の設定によるリスクは、ログ ファイル ディスクがいっぱいになったときにセキュリティ情報が失われる可能性があるということである。 この設定は、ログ ファイルがいっぱいになったときに IAS サーバーが停止しないようにするために選択されている。 サービスの可用性よりもセキュリティ ログの保存を優先したい場合は、この設定を無効にする。 |
サーバーの集中または分散を選択する
集中 IAS サーバーまたは分散 IAS サーバーの使用の決定は、ある程度、組織の地域的な分散および組織の IT インフラストラクチャの展開戦略に基づいて行なわれます。 次の3 つの IT インフラストラクチャ戦略のなかで、最も自分の組織に適した戦略はどれかを検討してください。
集中 IT インフラストラクチャ
分散 IT インフラストラクチャ
混在 IT インフラストラクチャ
最近の多くの IT 組織では、IT インフラストラクチャを構成するコンポーネントの数を少しでも削減し、障害からの復旧が速く、より集中的なインフラストラクチャの実現に努めています。 この目標を達成するには、支社のユーザーが中央のユーザーと同じレベルの IT サービスを受けられるようにする、高速で復旧の速い WAN インフラストラクチャへの莫大な投資が必要になります。 この戦略の 1 つの長所は、分散サーバーのインフラストラクチャにかかる費用をネットワーク インフラストラクチャと帯域幅にかけることができる点です。 さらに、サーバー インフラストラクチャを熟練のデータ センター オペレータおよびエンジニアに近い場所に設置することで、可用性を高めることもできます。
高速で復旧性の高い WAN を備える組織内で IAS サーバーを集中化することで、802.1X WLAN ソリューションのコストを削減できます。 このようなタイプの IT インフラストラクチャ戦略を、エンタープライズ レベルの組織の RADIUS サーバー設計の出発点とする必要があります。 RADIUS プロトコルはネットワークの帯域幅をそれほど消費せず、WAN リンク全体で十分に機能します。 802.1X 認証の完了を待っている間に Dynamic Host Configuration Protocol (DHCP) などのプロトコルがタイムアウトする可能性についても検討する必要があります。 さらに、自社環境がネットワーク アクセスの決定に使用するユーザーとグループを含める IAS サーバーとドメイン コントローラ間に処理能力の高い接続を確保することが重要になります。 IAS サーバーと Active Directory 間の高速通信を確保することで、802.1X ネットワーキングに関係する多くの潜在的な問題を回避できます。
ただし、帯域幅、高度なネットワーク装置、および冗長 WAN 接続にかかる費用を考えると、一部の IT 組織では、集中 IT インフラストラクチャ モデルを使用できないのが現実です。 これらの組織では、代わりに、支社に分散されたサーバー インフラストラクチャによる集中 IT インフラストラクチャ以外のモデルを選択することになります。 このモデルは、WANに障害が発生した場合も途切れることのない IT サービスの提供を保証します。
IT インフラストラクチャ戦略の 3 番目のタイプは、組織で可能な限り IT インフラストラクチャを集中させ、必要に応じて分散させるというものです。 この戦略では、ハブを設置したユーザーおよびハブに接続している支社のユーザーに対してサービスを提供するために、IT インフラストラクチャの大部分をハブ設置内にグループ化できます。 同時に、このモデルでは、大勢のエンドユーザーが従事する支社へのサーバー インフラストラクチャの分散が可能になります。 次の図は、このような混在 IT インフラストラクチャ組織の一例を示しています。
.gif)
図 5.5: 集中 IT インフラストラクチャと分散 IT インフラストラクチャが混在した組織
拡大表示する このガイドのソリューションは、以下を提供することで、集中、非集中、混在サーバー インフラストラクチャの展開モデルに適合するように設計されています。
ローカルな要求とサーバー インフラストラクチャを備えていないオフィスからのその他の要求を処理できる 2 つの RADIUS サーバーを備えた大規模なハブ オフィスを構成するためのガイド
オプションの支社 RADIUS サーバーを備えた大規模な支社を構成するためのガイド
注 : サーバー インフラストラクチャを備えていない小規模な支社では、WLAN へのアクセスは WAN の稼働率に依存します。
サーバーの台数と設置場所を決定する
独立した各 Active Directory フォレストには、フォレスト ユーザーおよびデバイスに対して RADIUS サーバーとして動作する最低 2 台の IAS サーバーが必要です。 これにより、RADIUS サーバーの 1 台が使用できなくなったときにもネットワーク アクセス要求が継続して処理されることが保証されます。
大勢のユーザーがいる本社は、2 台以上の RADIUS サーバーの設置場所の候補として最適です。 RADIUS サーバーを備えた複数のハブ設置間で高速の帯域幅が利用可能であれば、WAN 全体に配置された RADIUS サーバーにフェールオーバーするようにワイヤレス AP を構成できます。 ただし、WAN 全体で RADIUS サーバーを使用しようと計画するときは、自社環境において RADIUS サーバーとドメイン コントローラ間に適切なネットワーク リンクがあるかどうかを評価します。 ワイヤレス AP とクライアント コンピュータのタイムアウト値もテストして、必要に応じて AP パラメータを変更する必要があります。 最後に、フォレストのルート ドメインで RADIUS サーバーを見つけて、Kerberos 処理を最適化します。
ドメイン コントローラを保証するのに十分な規模があるが、復旧可能なハブへの WAN 接続を備えていない支社は、ローカル RADIUS サーバーの設置場所の候補となることができます。 組織で復旧可能な WAN を備えていない場合、支社の IAS サーバーの初期コストおよび運用コストと、WAN が使用できなくなった場合にワイヤレス ネットワークにアクセスできないワイヤレス ユーザーのコストを比較検討する必要があります。
IAS と他のサービスを同じ場所に配置させるかどうかを決定する
IAS と Active Directory ドメイン コントローラ間の通信は集中的なため、ドメイン コントローラと同じサーバーで IAS を実行することにより、パフォーマンスの向上を実現できます (これにより、ネットワーク上の通信に関連した遅延時間の問題を回避できます)。 ただし、ドメイン コントローラ上に IAS を配置した場合の潜在的な問題について慎重に検討する必要があります。 次の表に、必要な検討事項を詳細に説明します。
表 5.5: IAS とドメイン コントローラを同じ場所に配置した場合の検討事項
| IAS の場所 | 長所 | 短所 |
|---|---|---|
| ドメイン コントローラと同じ場所 | – ユーザーおよびコンピュータの認証と承認のパフォーマンスが向上する。 – 必要となるサーバー ハードウェアが削減される。 | – IAS 管理者とドメイン管理者を切り離すことができない。 – 同じ場所に配置されたサービスのフォールトやパフォーマンスの問題を本質的に切り離すことができない。 |
| ドメイン コントローラと異なる場所 | – IAS 管理者とドメイン管理者を切り離すことができる。 – IAS の負荷や動作が Active Directory サービスに影響しない。 | 追加のサーバー ハードウェアが必要となる。 |
| 検討事項 | 事前に必要な処理 | 説明 |
|---|---|---|
| Windows Server 2003 ドメイン コントローラは既定で、Server Message Block (SMB) の署名と暗号化、またはセキュリティで保護されたチャネルでの通信への署名が必要となる。 この要件のため、以前のバージョンの Windows ベース クライアントの一部で問題が生じる可能性がある。 | 自社環境のクライアント コンピュータをすべて、最低でも Active Directory クライアントを持つ Microsoft Windows 95、または Microsoft Windows NT 4.0 Service Pack 4 (SP4) 以降にアップグレードする。 | 詳細については、この章の最後の「関連情報」に記載されている「Windows Server 2003 ヘルプとサポート センター」を参照してください。 |
| Windows Server 2003 ドメイン コントローラは、既定で、セキュリティで保護されたチャネルへの署名と暗号化が必要となる。 SP4 を適用せずに Windows NT 4.0 を実行しているドメイン内のサーバーでは、この要件がドメイン間信頼に支障を来たす可能性がある。 | レガシー ドメインのすべてのドメイン コントローラを、Windows NT Server 4.0 SP4 以降にアップグレードする。 | 詳細については、この章の最後の「関連情報」に記載されている「Windows Server 2003 ヘルプとサポート センター」を参照してください。 |
| Windows Server 2003 ドメイン コントローラでは、インストール前に、Active Directory フォレストおよびドメインの準備が必要になる。 | 自社環境のドメイン コントローラを Windows Server 2003 にアップグレードする前に、ADPrep ユーティリティを使用して新しいフォレストを準備する。 | これによる部分的な属性セット (PAS) への影響はなく、グローバル カタログ サーバーが再構築されることはない。 |
| 認証の種類 | コメント |
|---|---|
| 最初のコンピュータ認証 | クライアントはIAS との完全認証を実行する。 |
| 最初のユーザー認証 | クライアントはIAS との完全認証を実行する。 |
| ワイヤレス AP 間の移動時のユーザー再認証 | クライアントは、各 IAS サーバーで 1 回完全認証を実行し、追加の認証では高速再接続を使用する。 |
| ワイヤレス AP 間の移動時のデバイス再認証 | クライアントは、各 IAS サーバーで 1 回完全認証を実行し、追加の認証では高速再接続を使用する。 |
| スケジュールされたコンピュータ再認証 | クライアントは IAS とのキャッシュされた認証を使用する。 |
| スケジュールされたユーザー再認証 | クライアントは IAS とのキャッシュされた認証を使用する。 |
| 認証の種類 | 1 秒あたりの認証数 |
|---|---|
| 新規 EAP–TLS 認証 | 36 |
| オフロード カード サポートを使用する新しい EAP–TLS 認証 | 50 |
| 高速再接続による認証 | 166 |
| リソース | 構成 |
|---|---|
| CPU | Dual CPU Pentium III 850 MHz |
| RAM | 512 MB |
| ネットワーク インターフェイス カード (NIC) | 障害時に備えて 2 枚の NIC |
| ハードディスク | – 9 GB ハード ディスク 2 台で RAID 1 を構成 (ボリューム C)、オペレーティング システム用 – 18 GB ハード ディスク 2 台で RAID 1 を構成 (ボリューム D)、ログ ファイルおよび構成データ用 |
IAS サーバーのハードウェア要件は環境により異なります。 自分の組織の状況に合わせて要件を判断してください。
サーバーのソフトウェア要件を決定する
自分の環境の IAS サーバーには、Windows Server 2003 Standard Edition と Enterprise Edition のどちらが必要なのかを決定する必要があります。 Windows Server 2003 Standard Edition では、50 RADIUS クライアント (たとえば、ワイヤレス AP) と 2 つのサーバー ルーティング グループまでサポート可能です。
このソリューションは、ハブ オフィスの RADIUS サーバーについては Windows Server 2003 Enterprise Edition を使用してテストされ、支社の RADIUS サーバーについては Windows Server 2003 Standard Edition を使用してテストされました。 ただし、このソリューションは、前述の制限があっても、どちらのバージョンを使用した場合でも同じように問題なく機能します。
組織内の標準によっては、次のように、他のソフトウェア コンポーネントが必要になる場合があります。
バックアップ エージェント
MOM または Microsoft Systems Management Server (SMS) クライアント コンポーネントなどの管理エージェント
ウイルス対策ソフトウェア
侵入検出エージェント
管理計画を立てる
IAS ベースの RADIUS サーバーは、比較的少ない継続保守で、途切れることのないサービスの可用性およびネットワーク セキュリティが保証されます。 ただし、RADIUS インフラストラクチャを管理するための適切なスタッフが訓練され、配備されるように、WLAN プロジェクトの開始時には、IAS 管理戦略を決定する必要があります。
変更および構成管理
サービスの可用性とネットワーク セキュリティを確保にするには、IAS サーバー上に既知の状態を維持することが重要になります。 IAS では、netsh コマンドを使用して、さまざまなサーバー構成要素に対するトランザクション変更をネイティブに実行し、変更により予期しない動作が発生した場合には容易にロールバックできます。
netsh コマンドを使用すると、IAS 構成のすべてまたは一部をテキスト ファイルにエクスポートおよびインポートできます。 これらのファイルを使って、IAS サーバー間で設定を複製できます。この機能により、大規模な環境での構成変更の展開をより迅速に行なうことができます。
適切な変更および構成管理に必要なタスクの一覧は、「第 12 章 : RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する」に記載されています。
サービスの復元を計画する
障害発生時に RADIUS サービスを迅速に復旧できるようにするには、事前に細心の計画を立てておく必要があります。 このガイドで提供しているインストール スクリプトを使用すれば、IAS のインストールと構成を合理化できます。また、netsh スクリプトを使用すれば、IAS 構成の状態を迅速に復元するのに必要な手順を簡単に自動化できます。 サービス復元のタスクの詳細については、「第 12 章 : RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する」を参照してください。
管理アクセス許可を計画する
IAS は、Windows Server 2003 オペレーティング システムのオプション コンポーネントであるため、ローカル サーバーの管理セキュリティ モデルから切り離された、独立した管理セキュリティ モデルを必要としません。 IAS 管理をローカル サーバーの Administrators から完全に切り離すことはできません。 カスタムな展開なしでも、ある程度の分離は実現できます。セキュリティで保護された Web アプリケーションの作成などのカスタムな展開では、ローカル サーバー管理アクセス許可を持つ最小権限のアカウントを使用して、IAS 構成を変更できます。
ただし、必要最小限の権限モデルを実現するには、要求される管理の種類や、さまざまな IAS リソースへのアクセス要件を計画することがやはり重要になります。 次の表には、IAS サーバーに関連する役割とタスクの例が含まれます。
表 5.10: IAS 役割の説明とタスク
| スタッフの役割 | 役割の説明 | タスク |
|---|---|---|
| IAS 管理者 (IAS Administrators) | IAS サービスおよび IAS 構成の管理などの日常的な IAS 管理タスクを実施する。 | IAS サービスの開始、停止、クエリ、構成を実行して、IAS 構成データベースを変更する。 |
| IAS セキュリティ監査人 (IAS Security Auditors) | 管理アクセス許可を持たないセキュリティ監査人がセキュリティ情報にアクセスできるようにする。 | セキュリティ イベントに対する RADIUS アカウントおよび認証ログ ファイルを確認する。 RADIUS 認証要求ログが無効の場合、IAS セキュリティ監査人は、IAS 関連のセキュリティ イベントに対するシステム イベント ログ エントリを検証および保存する必要がある。 このために、追加のアクセス許可が必要になることがある。 |
| IAS バックアップ オペレータ (IAS Backup Operators) | バックアップ オペレータが IAS サーバーの定期的なバックアップを行なえるようにする。 バックアップには、IAS 構成状態データと履歴データが含まれる。 | IAS サーバーの毎日、毎週、毎月のバックアップを管理する。 |
| WLAN ヘルプデスク スタッフ (WLAN Helpdesk Staff) | ユーザーによる WLAN アクセス関連の問題の解決を支援するスタッフ | ユーザーおよびデバイス認証に関連するシステム イベント ログ内の IAS イベントを確認する。または、イベントが別のシステムに複製されるのを表示する。 |
| タスク | グループ メンバシップ | 必要なアクセス許可または権利 |
|---|---|---|
| IAS サービスの停止、開始、クエリ、構成 | IAS Admins ドメイン グローバル グループ。IAS サーバー上のローカル Administrators グループのメンバ | SC コマンドを使用して、Windows Server 2003 のサービス許可を修正できる。 オペレーティング システム コンポーネントの既定のアクセス許可を変更する場合は、事前にマイクロソフトのサポート担当者に相談すること。 |
| IAS 構成の変更 | IAS Admins ドメイン グローバル グループ。IAS サーバー上のローカル Administrators グループのメンバ | C:\WINDOWS\system32\ias ディレクトリに置かれた IAS データベース ファイル、および HKLM\System\CurrentControlSet\Services の下にある各種レジストリ キー使用のためのアクセス許可が必要になる。 既定では、これらのアクセス許可は、ローカル/ビルトイン Administrators セキュリティ グループのメンバに付与される。 |
| IAS サーバーにある RADIUS 要求ログへのアクセス | IAS Security Auditors ドメイン グローバル グループ | IAS 監査人は、D:\IASLogs ディレクトリに置かれた RADIUS 要求ログ ファイルの読み込みと削除が可能である必要がある。 このソリューションの構築ガイドでは、このディレクトリの NTFS Change アクセス許可を IAS Security Auditors セキュリティ グループに付与し、IAS Security Auditors セキュリティ グループに付与された Change 共有アクセス許可で IASLogs という名前の共有を作成する。 |
| システム イベント ログからの IAS セキュリティ イベントの読み取りと保存 | ローカル Administrators または IAS サーバーの Backup Operators |
このソリューションでは、ディスク上のテキスト ファイルへの RADIUS 認証ログ記録を有効にするガイドを提供する。 このため、IAS 監査人は、通常、RADIUS 認証セキュリティ イベントを確認するために IAS システム イベント ログにアクセスする必要がない。 ただし、RADIUS 認証ログ記録が無効の場合は、IAS セキュリティ監査人はシステム イベント ログから IAS イベントを読み込み、保存する必要がある。 システム イベント ログをアーカイブするには、Administrator または Backup Operators メンバシップが必要になる。 |
| IAS サーバーの毎日、毎週、毎月のバックアップの実施 | IAS サーバーの Backup Operators | IAS 構成状態や RADIUS 要求ログなどの履歴データも含め、IAS サーバーをバックアップする。 Backup Operators セキュリティ グループのメンバは、%systemroot%\system32\ias ディレクトリに置かれた IAS データベース ファイル、HKLM\System\CurrentControlSet\Services の下の各種レジストリ キー、および D:\IASConfig にある IAS NETSH 構成テキスト ファイルへのアクセスが許可される。 |
| トラブルシューティングのためのシステム イベント ログの IAS 認証イベントの確認 | システム イベント ログの読み取りアクセス許可を持つグループ メンバシップ | シニア トラブルシューティング スタッフには、IAS 認証拒否イベントを参照および解釈するための、Windows Server 2003 システム イベント ログの読み取りアクセス許可が付与される必要がある。 |
| 脅威/脆弱性 | 兆候 | 監視ツール |
|---|---|---|
| 盗まれた資格情報 (たとえば、消失した、または盗まれたポータブル コンピュータ内にあった情報) を使用した認証の試行 | 失効された資格情報の使用の試みを示すシステム イベント ログや RADIUS 認証要求ログ内の認証の成功/拒否イベント (ソース: IAS、ID 1 および 2) | – 失効した資格情報の使用を検索する目的で、イベント ログ エントリを解析するために書かれたカスタム スクリプトを使用した MOM – 失効した資格情報の使用を検索するためのファイル解析スクリプトまたは SQL Server ツール |
| 不正なワイヤレス AP を使用して実行された man-in-the-middle 攻撃の試行 | 不正な認証 (不正なメッセージ認証属性) または無効な要求 (未知の RADIUS クライアントまたはサーバーから受信した要求) など、過度に発生したインスタンスを示す IAS サーバー上のシステム モニタ カウンタ | これらのシステム モニタ カウンタを検出して、警告を発生させるカスタム スクリプトを使用した MOM |
| IAS サーバー サービスに対する DoS またはバッファ オーバーフローの試行 | 誤った形式のパケット (誤った形式のデータを含むパケット)、未知の種類 (RADIUS 以外のパケットの受信)、または欠落したパケット (不正な MAC、誤った形式、未知以外の欠落したパケット) の過度に発生したインスタンスを示す、IAS サーバー上のシステム モニタ カウンタ | これらのシステム モニタ カウンタを検出して、警告を発生させるカスタム スクリプトを使用した MOM |
| 承認されていない認証の試行 | システム イベント ログ内で繰り返される認証の失敗イベント (ソース: IAS、ID 2) | – 過度な認証拒否のパターンを調べる目的で、イベント ログ エントリを解析するための MOM カスタム スクリプト – 過度な認証拒否のパターンを特定するためのファイル解析スクリプトまたは SQL Server ツール |
| 盗まれた資格情報を使用して成功した認証 | 疑いのあるネットワーク活動を示す RADIUS アカウンティング ログ | – ログをインポートして、カスタム クエリを実行する Microsoft Access – SQL Server データベースに保存された異常なネットワーク アクセス情報を特定するためのレポート |
基本的なセキュリティ監視以外にも、マイクロソフトでは IAS サーバーを定期的に監査して潜在的なセキュリティの問題を把握したり、監視技術を用いて自社のネットワーク インフラストラクチャで発見される脆弱性を明確に定義し、軽減するよう、推奨しています。
次の表に、IAS サーバー インフラストラクチャの潜在的な脅威と、自社の IAS インフラストラクチャのセキュリティ問題を監査するための技術の詳細を示します。
表 5.13: 予防的な監査の対象となる IAS サーバー インフラストラクチャの脅威
| 脅威/脆弱性 | 兆候 | 監査ツール |
|---|---|---|
| IAS 構成および履歴データに対する不十分なアクセス許可 | IAS Admins グループ、IAS Security Auditors、または Local Administrators グループの承認されていないメンバ | SomarSoft の DumpSec などの Active Directory およびローカル セキュリティ グループ監査ツール |
| 成功しなかった認証を隠そうとする試み | システム イベント ログが予期しないときに消去される | – Windows Server2003 リソース キットの EventcombMT などのツールを使用した Windows イベント ログ監査 – MOM などのイベント ログ監視および警告ツール |
| RADIUS アカウントの監査および認証ログへの承認されていない変更 | 予期していないユーザー ID による書き込み成功がフォルダ監査ログに記録される。 | MOM などの Windows ファイル監査および監視ツール 承認されていないファイルの変更を検出するには、ファイルの監査を有効にする必要がある。 |