ユーザーズガイド SOPHOS NAC ADVANCED DHCP 3.2

[. . . ] Sophos NAC Advanced DHCP 施行ガイド 製品バージョン: 3. 2 ドキュメント作成日: 2010年 5月 目次 1 このドキュメントについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2 DHCP 施行の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 3 DHCP 施行のチェックリスト. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 4 DHCP の適用除外. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 5 DHCP サーバー用接続要求ポリシーと RADIUS クライアント. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 6 DHCP Enforcer ソフトのインストール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 7 Microsoft DHCP サーバーの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 8 Sophos NAC Advancedで行うタスク. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 9 著作権情報. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 2 DHCP 施行ガイド 1 このドキュメントについて このドキュメントは、Sophos NAC Advanced の DHCP Enforcement (施行) 機能 の設定方法について説明するものです。この機能を設定することにより、社 内ネットワーク上の管理対象外エンドポイントの検出、それらのエンドポイ ントのセキュリティレベルの評価、ネットワークアクセスのコントロールが 可能になります。このドキュメントには、DHCP Enforcer、Microsoft DHCP サーバーの設定方法、およびSophos NAC Advancedを新規インストールした 場合のコンプライアンス アプリケーション サーバーの設定方法が記載され ています。主な内容は次のとおりです。 ■ ■ ■ ■ ■ ■ ■ ■ DHCP 施行の概要 DHCP 施行のチェックリスト DHCP の適用除外 Sophos コンプライアンス アプリケーション サーバーの DHCP の設定 DHCP Enforcer ソフトのインストール DHCP 設定ツール Microsoft DHCP サーバーの設定 Sophos Compliance Managerで行うタスク 1. 1 対象読者 このドキュメントは、中小規模の組織で IT 業務全般を担当されている方を 対象にしています。また、クライアント数 25, 000台以上の大規模なネット ワークの管理担当者の方にもご活用いただけます。なお、クライアント数が 1, 000台を超える場合は、ソフォス プロフェッショナル サービスのご利用を お勧めします。プロフェッショナルサービスは、ソフトウェアの導入プラン の立案・実行をご支援するサービスです。詳細についてはソフォスまでご相 談ください。 1. 2 DHCP Enforcer ソフトウェアのインストール要件 Sophos NAC Advanced で DHCP Enforcement (施行) を使用するには、Sophos DHCP Enforcer 用のソフトウェアをご使用の DHCP サーバーにインストール する必要があります。 DHCP Enforcer のインストール要件 OS Windows Server 2000/2003/2008 3 Sophos NAC Advanced DHCP Enforcer のインストール要件 DHCP ソフトウェ ア Microsoft® 動的ホスト構成プロトコル (DHCP) 4 DHCP 施行ガイド 2 DHCP 施行の概要 Sophos NAC Advancedには、あらかじめ定義されている DHCP Enforcement (施 行) のデフォルト設定があります。このデフォルト設定は、もっとも一般的 な DHCP の実装を対象にしているため、Sophos NAC Advancedをインストー ルした後の設定が最低限で済みます。ただし、DHCP の実装方法が通常と大 きく異なる場合は、追加の設定が必要なこともあります。 ヒント: DHCP Enforcement (施行) のチェックリストは、DHCP 施行の実装に 必要なタスクの一覧です。詳細は、DHCP 施行のチェックリスト (p. 6) を ご覧ください。また、このドキュメントでは、チェックリスト内の各タスク の詳細な手順も説明しています。 Sophos NAC Advanced 事前定義済み DHCP 施行のデフォルト設定 ■ Compliance Managerを使用して、DHCP 施行に使用する各ポリシーで、 DHCP 施行機能を有効にする必要があります。 DHCP 施行を有効にすると、ポリシーに準拠している、あるいは一部準拠 しているエンドポイントにネットワークアクセスが許可されます。 DHCP 施行を有効にすると、ポリシーに準拠していないエンドポイントの ネットワークアクセスは拒否されます。 エージェントがインストールされていないエンドポイントは、適用の対象 から除外されていない場合、ネットワークアクセスが拒否されます。 Dissolvable Agentを稼動している Windows Vista 環境のエンドポイントで IP アドレスを解放、更新する必要がある場合、同エージェントは、管理者権 限のアカウント情報の入力、またはエンドポイントの再起動をリクエスト するユーザーメッセージを表示します。 ■ ■ ■ ■ Sophos NAC Advanced のアップグレード情報 ■ 前バージョンで DHCP を設定済みの場合、Sophos NAC Advancedのアップ グレード後、DHCP 設定はそのまま残されます。他に変更が必要な設定は ありません。 ヒント: Sophos NAC Advanced を新規インストールすると、新しい DHCP Enforcer Aaccess Template が 2つインストールされます。Sophos NAC Advanced をアップグレードすると、既存の DHCP Enforcer Access Template が引き継 がれます。 5 Sophos NAC Advanced 3 DHCP 施行のチェックリスト DHCP Enforcement (施行) のチェックリストは、DHCP 施行の実装に必要な タスクの一覧です。特に注意書きがない限り、このドキュメントの手順に 従ってすべてのタスクを実行します。 タスク 説明 チェック欄 Sophos NAC Advancedのインストールと設定、およびCompliance Agentのデプロイ 1. Sophos NAC Advancedをインストールし、設定する。詳細は、「 Sophos NAC Advanced インストールガイド 」をご覧ください。 Compliance Managerで DHCP Exemption (除外) を作成する。 DHCP 除外の対象は、Compliance Agentを起動することができな いエンドポイント、またはサーバー、ルーター、プリンタ、あ るいは確実に安全であることがわかっているエンドポイントな ど、コンプライアンス評価が不要なエンドポイントのどちらか です。対象から除外する必要のあるエンドポイントは、DHCP で IP アドレスを自動的に取得しているエンドポイントだけです。 3. Sophos Compliance Agentを各エンドポイントに集中インストール する。詳細は、「 Sophos NAC Advanced インストールガイド 」 をご覧ください。 2. Sophos コンプライアンス アプリケーション サーバーの DHCP の設定 4. [. . . ] 「Access-Request メッセージに Message-Authenticator 属性を必要とする」 チェックボックスが選択されていないことを確認します。 6. 「OK」をクリックします。 16 DHCP 施行ガイド 6 DHCP Enforcer ソフトのインストール DHCP Enforcer ソフトをご使用の Microsoft DHCP サーバーにインストールし ます。DHCP Enforcer ソフトには、DHCP Enforcer と DHCP Enforcer Configuration Tool (設定ツール) が含まれています。 1. DHCP Enforcer ソフトをソフォス Web サイトからダウンロードします。 2. DHCP Enforcer ソフトのインストールファイルをダブルクリックしてイン ストーラを起動します。 3. 「Next」(次へ) をクリックします。 DHCP Enforcer インストールウィザードが表示されます。 4. 「Complete」(すべて) オプションを選択します。「Next」(次へ) をクリッ クします。 ヒント: Microsoft DHCP サーバーが検索され、適切な DHCP Enforcer ソフ トのコンポーネントがインストールされます。 5. 「Install」(インストール) をクリックしてソフトウェアをインストールし ます。 6. 「Finish」(完了) をクリックします。 ヒント: インストールが完了したら、DHCP Enforcer Configuration Tool を 使ってご使用の DHCP サーバーの設定を構成してください。詳細は、DHCP 設定ツール (p. 17) をご覧ください。 ヒント: DHCP Enforcer ソフトをインストール後、DHCP Service が各 DHCP サーバーで起動していることを確認する必要があります。 6. 1 Microsoft DHCP Enforcer ソフトをアンインストールする 1. 「スタート」メニューから、「 コントロール パネル > プログラムの追加 と削除 」を選択します。 2. 「Microsoft DHCP Enforcer Software」を選択し、「削除」をクリックしま す。 3. 「はい」をクリックして DHCP Enforcer のソフトウェアの削除を確認しま す。 6. 2 DHCP 設定ツール DHCP Enforcer Configuration Tool (設定ツール) を使用して、DHCP Enforcer が DHCP サーバーと連動するように設定します。DHCP Enforcer Configuration 17 Sophos NAC Advanced Tool は、DHCP Enforcer と一緒にインストールされ、 Microsoft の動的ホスト 構成プロトコル (DHCP) を起動している Windows サーバーに対応していま す。 6. 2. 1 DHCP Enforcer を設定する 1. DHCP サーバーマシンの「スタート」メニューから、「 Sophos > NAC > Support Tools > DHCP Enforcer Configuration Tool 」(Sophos - NAC - サポー トツール - DHCP Enforcer 設定ツール) を選択します。 「DHCP Enforcer Configuration」(DHCP Enforcer の設定) ウィンドウが表示 されます。ここで、「Enforcer」タブが選択されています。 2. 「Default User Class」(既定のユーザークラス) フィールドを空白のままに します。 デフォルトのユーザークラスは、コンプライアンスアプリケーションサー バーからユーザークラスが返されない場合のみに適用されます。たとえ ば、コンプライアンス アプリケーション サーバーの障害や、DHCP サー バー、コンプライアンス アプリケーション サーバー間の通信エラーが発 生した場合、あるいはコンプライアンス アプリケーション サーバーでス コープに対するユーザークラスが検出できない場合など、Sophos NAC Advancedからユーザークラスが返されないことがあります。NULL のデ フォルトユーザークラスは、ネットワークアクセスを許可するよう、あら かじめSophos NAC Advancedで指定されています。 3. 「RADIUS Enforcer Servers」(RADIUS Enforcer サーバー) ペインで、「Add」 (追加) をクリックして、コンプライアンス アプリケーション サーバーを 指定します。コンプライアンス アプリケーション サーバーは DHCP サー バーと通信する必要があります。 4. 「Enable」(有効) チェックボックスを選択したままにし、コンプライアン ス アプリケーション サーバーをアクティブな状態に保ちます。 5. 「IP Addres」(IP アドレス) フィールドに、コンプライアンス アプリケー ション サーバーの IP アドレスを入力します。または、「Resolve IP…」(IP アドレスの解決) をクリックします。次に、入力欄にホスト名を入力して 「OK」をクリックします。 6. DHCP サーバーで使用されているポートと同じであれば、「Authentication Port」(認証ポート) と「Accounting Port」(アカウンティング ポート) の設 定はデフォルトのままにします。 18 DHCP 施行ガイド 7. 「Shared Secret」(共有シークレット) フィールドに、DHCP サーバーの共 有シークレットとして「DHCP」と入力します。次に、確認のため再度 「DHCP」と入力します。 DHCP は、DHCP サーバーの設定で使用した共有シークレットに一致しま す。詳細は、DHCP サーバー用の RADIUS クライアントを追加する (Windows Server 2003) (p. 14) またはDHCP サーバー用の RADIUS クライア ントを追加する (Windows Server 2008) (p. 15) をご覧ください。 8. 「OK」をクリックします。 ヒント: 「Microsoft」タブの設定は変えないでください。変更の必要はあ りません。 9. [. . . ] 「Save」(保存) をクリックします。 重要: グループの作成後、「Groups」ページの一覧で優先順位を設定でき ます。1つのエンドポイントに該当するグループが複数ある場合は、最初 に一致するグループが使用されます。ソフォスでは、より特化した、条件 の厳しいグループを優先することをお勧めしています。 8. 3 エンフォーサ設定を検証する Compliance Managerの「Enforcer Settings」(エンフォーサ設定) ページでは、 Sophos NAC Advancedによる Enforcement (施行) の実行方法を指定できます。 使用する DHCP 実装に対して、事前定義済みの DHCP Enforcer の設定が適切 33 Sophos NAC Advanced であることを確認してください。ほとんどの場合、エンフォーサ設定に変更 を加える必要はありません。 操作方法 1. Compliance Managerにログオンします。 2. 「 Configure System > Enforcer Settings 」(システムの設定 - エンフォーサ 設定) をクリックします。 3. 「Policy Threshold Settings」(ポリシー アップデートのしきい値) で、指定 されているデフォルト値をそのままにします。 4. [. . . ]