ユーザーズガイド SOPHOS NAC DHCP 3.5

[. . . ] Sophos NAC DHCP 環境設定ガイド 製品バージョン: 3. 5 ドキュメント作成日: 2010年 6月 目次 1 このガイドについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2 DHCP 施行の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 3 DHCP 施行のチェックリスト. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 4 DHCP Enforcer ソフトをインストールする. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 5 NAC Manager で行う作業を実行する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 6 補足 A: DHCP 施行のアップグレード (再設定なし). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 7 補足 B: DHCP 施行のアップグレード (再設定あり). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 8 補足 C: DHCP Enforcer Configuration Utility の使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 9 テクニカルサポート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 10 ご利用条件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 2 環境設定ガイド 1 このガイドについて このガイドは、Sophos Endpoint Security and Control の DHCP Enforcement (施 行) 機能の設定方法について説明するものです。この機能を設定することに より、組織のネットワーク上にある不明なエンドポイントの検出、それらの エンドポイントのセキュリティレベルの評価、ネットワークアクセスのコン トロールが可能になります。このドキュメントには、NAC DHCP Enforcer、 Microsoft DHCP サーバー、NAC サーバーの設定方法が記載されています。 また、ご使用の DHCP 施行ソフトのアップグレードについても説明していま す。 主な内容: ■ ■ ■ DHCP Enforcer ソフトの新規インストールと設定。 NAC Manager を使って DHCP を設定する方法。 DHCP 施行のアップグレード。 対象読者: ■ ■ ■ Enterprise Console のユーザー。 Sophos NAC for Endpoint Security and Control のユーザー。 DHCP 施行をインストール・設定したり、アップグレードする方。 このガイドを読む前に、「Sophos Endpoint Security and Control クイック ス タートアップガイド」をご覧ください。 Sophos Endpoint Security and Control の各ドキュメントは、次のサイトから入 手できます。 http://www. sophos. co. jp/support/docs/Endpoint_Security_Control-all. html 1. 1 DHCP Enforcer ソフトのインストール要件 Sophos NAC で DHCP Enforcement (施行) を使用するには、Sophos DHCP Enforcer 用のソフトウェアを各 DHCP サーバーにインストールする必要があ ります。 DHCP Enforcer ソフトのインストール要件 OS サポートされている Windows Server のバージョンは次のとおりです。 ■ Windows Server 2003 以降 (32ビット) ■ Windows Server 2003 SP2 以降 (64ビット) 3 Sophos NAC DHCP DHCP Enforcer ソフトのインストール要件 ■ Windows Server 2003 R2 以降 (32ビット/64ビット) ■ Windows Server 2008 以降 (32ビット/64ビット) ■ Windows Server 2008 R2 以降 (32ビット/64ビット) ヒント: Windows Web Server 2008 および Windows Server 2008 の 「Server Core」には対応していません。 DHCP ソフト Microsoft® 動的ホスト構成プロトコル (DHCP) 4 環境設定ガイド 2 DHCP 施行の概要 Sophos NAC には、デフォルトの DHCP Enforcement (施行) 設定があります。 このデフォルト設定は、もっとも一般的な DHCP の実装を対象にしているた め、Sophos NAC をインストールした後の設定が最低限で済みます。ただし、 DHCP の実装方法が通常と大きく異なる場合は、追加の設定が必要なことも あります。 ヒント: DHCP Enforcement (施行) のチェックリストは、DHCP 施行の実装に 必要なタスクの一覧です。インストールやアップグレードに関する適切な操 作方法は、以下のリンク先をご覧ください。 ■ DHCP 施行をはじめてインストールする場合は、DHCP 施行のチェックリ スト (p. 7) をご覧ください。 DHCP 施行を NAC バージョン 3. 3 ではじめてインストールし、それをバー ジョン 3. 5 にアップグレードする場合は、DHCP 施行のアップグレード (再 設定なし) のチェックリスト (p. 25) をご覧ください。 NAC バージョン 3. 1. 2 からバージョン 3. 5 にアップグレードする場合は、 DHCP 施行のアップグレード (再設定あり) のチェックリスト (p. 36) をご 覧ください。 ■ ■ 事前定義済み DHCP 施行のデフォルト設定 NAC Manager を使用して、随時、次のデフォルト設定を変更することができ ます。 ■ 不明なエンドポイントにネットワークアクセスが許可されます。不明なエ ンドポイントにエージェントはインストールされておらず、施行の対象か ら除外されていません。デフォルトで、DHCP サーバーのモードは「Report Only」に設定されています。DHCP 施行を有効にして、不明なエンドポイ ントを検疫するには、「Unknown Endpoint Mode」を「Enforce」に変更す る必要があります。 ヒント: DHCP 施行を有効にすると、不明なエンドポイントからプライ ベート IP アドレスおよびローカル エリア ネットワーク (LAN) へのアクセ スが拒否されます。 ■ 既知のエンドポイント (エージェントを稼動しているエンドポイント) に ネットワークアクセスが許可されます。NAC ポリシーは、「Report Only」 モードに設定されます。既知のエンドポイントに対して DHCP 施行を有 効にするには、使用する各ポリシーのポリシーモードを「Enforce」(施行) に変更する必要があります。 5 Sophos NAC DHCP ヒント: DHCP 施行を有効にすると、ポリシーに準拠、または一部準拠し ており、エージェントを稼動しているエンドポイントにネットワークアク セスが許可されます。エージェントを稼動しているが、ポリシーに準拠し ていないエンドポイントのネットワークアクセスは拒否されます。 ソフォスでは、不明なエンドポイントに対しては DHCP 施行を使用し、既知 のエンドポイントに対してはエージェント施行を使用することをお勧めして います。しかし、Sophos NAC で、既知のエンドポイントに対して DHCP 施 行を使用することもできます。エージェント施行の詳細は、「Sophos Compliance Agent 環境設定ガイド」をご覧ください。 6 環境設定ガイド 3 DHCP 施行のチェックリスト DHCP Enforcement (施行) のチェックリストは、DHCP 施行の実装に必要な タスクの一覧です。特に注意書きがない限り、このドキュメントの手順に 従ってすべてのタスクを実行します。 タスク 説明 チェック欄 Sophos NAC および Compliance Agent のインストール 1. [. . . ] サーバーの共有キーを入力、および確認入力します。 重要: ここで入力する共有キーは、DHCP Enforcer ソフトを DHCP サーバー にインストールした際に入力した共有キーと同じである必要があります。 4. 「Save」(保存) をクリックします。 6. 6 DHCP 施行を有効にする 不明なエンドポイント、および既知のエンドポイントの両方に対して、DHCP 施行を有効に設定することができます。ソフォスでは、不明なエンドポイン トに対しては DHCP 施行を使用し、既知のエンドポイントに対してはエー 29 Sophos NAC DHCP ジェント施行を使用することをお勧めしています。しかし、Sophos NAC で、 既知のエンドポイントに対して DHCP 施行を使用することもできます。 6. 6. 1 不明なエンドポイントに対して DHCP 施行を有効にする DHCP 施行は、各 DHCP サーバー上の不明なエンドポイントに対して有効に 設定することができます。これによって、不明なエンドポイントを検疫する DHCP サーバーを指定できます。この機能を使用して、DHCP 施行を段階的 に実行してください。 不明なエンドポイントに対して DHCP 施行を有効にする前に、除外を作成し てください。対象から除外する必要のあるエンドポイントは、DHCP で IP アドレスを自動的に取得しているエンドポイントだけです。 操作方法 1. NAC Managerにログオンします。 2. 「Configure System > Server Settings」(システムの設定 - サーバー設定) を クリックします。 3. DHCP 施行を有効にする DHCP サーバーのサーバー名をクリックします。 4. 「Unknown Endpoint Mode」(不明なエンドポイントモード) リストをク リックして、「Enforce」(施行) を選択します。「Enforce」モードは、 「DHCP - Internet Access」アクセステンプレートを使用して、不明なエン ドポイントを検疫し、インターネットや修復サーバーへのアクセスを許可 します。 ヒント: DHCP Configuration Wizard 実行時にプロキシサーバーを指定した 場合、エンドポイントはインターネットにアクセスできます。プロキシ サーバーを指定しなかった場合、エンドポイントは DHCP Configuration Wizard で指定した修復サーバーに接続できます。アクセステンプレート は、「Configure System > Enforcer Settings」(システムの設定 - エンフォー サ設定) エリアで変更できます。 5. 「Save」(保存) をクリックします。 6. 6. 2 既知のエンドポイントに対して DHCP 施行を有効にする 各ポリシーで、既知のエンドポイントに対して、DHCP 施行を有効に設定す ることができます。既知のエンドポイントに対して、エージェント施行や DHCP 施行を使用する場合は、該当するポリシー内で、ポリシーモードを 「Report Only」(レポートのみ) から「Enforce」(施行) に変更してください。 重要: すべてのポリシーおよびポリシーの変更内容は直ちに有効ですが、エー ジェントが取得するまで、エンドポイントには適用されません。 30 環境設定ガイド 操作方法 1. NAC Managerにログオンします。 2. 「Manage > Policies」(管理 - ポリシー) をクリックします。そして、アッ プデートするポリシーのポリシー名をクリックします。 3. 「Policy Mode」(ポリシーモード) リストをクリックして、「Enforce」(施 行) を選択します。 ■ Enforce: 「Enforce」ポリシーモードでは、指定されたポリシーに対する エンドポイント評価、NAC Managerでのレポート情報の作成が行われま す。メッセージの表示、および修復アクションが実行され、該当する アクセスステートに対するアクセステンプレートを使用して、施行ア クションが実行されます。「Enforce」モードは、ステップ 5 で関連付 けされるアクセステンプレートを使用します。 4. 「Agent Enforcement Action」(エージェント施行アクション) リストをク リックして、「Release Renew」(解放、更新) を選択します。既知のエンド ポイントに対して DHCP 施行を使用する場合は、必ず、「Release Renew」 を選択してください。 31 Sophos NAC DHCP 5. 左側のナビゲーション「Network Access」(ネットワークアクセス) エリア で、「DHCP」をクリックします。「Enforce」(施行) タブをクリックし、 適用されているアクセステンプレートを確認します。 ヒント: デフォルトで、各ポリシーには、アクセステンプレートが自動的 に適用されています。適切なアクセステンプレートが適用されていること を確認してください。「Report Only」(レポートのみ) および「Remediate」 (修復) モード用にアクセステンプレートはそのままにしてきます。 事前定義済みの DHCP Enforcer Access Template の適用 ■ Policy Retrieval Error: エンドポイントのコンプライアンス ステートが、 「Configure System > Enforcer Settings」(システムの設定 - エンフォーサ 設定) エリアで設定されている「DHCP Policy Update Threshold」フィー ルドの値を超過し、最新でなくなります。「DHCP - Remediation Access」 アクセステンプレートは、DHCP Configuration Wizard 実行時に指定し た修復サーバー以外へのネットワークアクセスを拒否します。 Compliant: エンドポイントがポリシーに準拠している状態。「DHCP Full Access」アクセステンプレートは、エンドポイントがポリシーに準 拠している場合、ネットワークアクセスを許可します。 Partially Compliant: エンドポイントがポリシーに一部準拠している状 態。「DHCP - Full Access」アクセステンプレートは、エンドポイント がポリシーに一部準拠している場合、ネットワークアクセスを許可し ます。 Non-Compliant: エンドポイントがポリシーに準拠していない状態。 「DHCP - Remediation Access」アクセステンプレートは、DHCP Configuration Wizard 実行時に指定した修復サーバー以外へのネットワー クアクセスを拒否します。 ■ ■ ■ 6. 随時、矢印を使用して、DHCP Enforcer Access Template の優先順位を指定 してください。 特定のステートに適用可能なテンプレートが複数ある場合、そのステート に最初に該当するテンプレートが使用されます。ソフォスでは、より特化 された、条件の厳しいアクセステンプレートを優先することをお勧めして います。 7. 「Save」(保存) をクリックします。 32 環境設定ガイド 6. 6. 2. 1 事前に定義済みのポリシーを使用する 事前に定義済みのポリシーを使用して、管理対象エンドポイント、および管 理対象外のエンドポイントの両方に対して、セキュリティポリシーを施行す ることができます。 ■ Default: 「Default」(デフォルト) ポリシーは、エンドポイントにCompliance Agent がインストール済みで、他のポリシーが指定済みでない場合、使用 されます。デフォルトで、ポリシーモードは「Report Only」に設定されて います。ポリシーモードが「Remediate」または「Enforce」に設定されて いる場合、エンドポイントで修復アクションを実行します。 Managed: 「Managed」(管理対象エンドポイント用) ポリシーは、Sophos Enterprise Console によって管理され、Compliance Agent がインストール済 みのエンドポイントに指定することができます。デフォルトで、ポリシー モードは「Report Only」に設定されています。ポリシーモードが 「Remediate」または「Enforce」に設定されている場合、エンドポイント で修復アクションを実行します。 Unmanaged: 「Unmanaged」(管理対象外のエンドポイント用) ポリシーは、 社外から持ち込まれたコンピュータに対して指定することができます。こ のポリシーは、エンドポイントで修復アクションを実行しません。 Dissolvable Agent は、「Unmanaged」ポリシーを使用します。 ■ ■ ヒント: エンドポイントにCompliance Agent がインストールされておらず、 Dissolvable Agent も使用されていない場合は、エンフォーサの設定によって ネットワークアクセスが指定されます。 6. 6. 3 DHCP 施行とユーザーのネットワークアクセス DHCP 施行を有効にした後、各ユーザーのエンドポイントのネットワークア クセスは、使用するエンドポイントが不明なエンドポイントか、既知のエン ドポイントかによって異なります。また、ゲストエンドポイントは、 Compliance Dissolvable Agent を実行して、ネットワークにアクセスすること が可能です。 ■ 不明なエンドポイントとは、Sophos Enterprise Console で集中管理していな いエンドポイントで、Compliance Agent をインストールしていない、施行 の対象から除外していない、および Dissolvable Agent を起動したことがな いエンドポイントを指します。 ゲストエンドポイントは、Compliance Dissolvable Agent を使用してネット ワークアクセスをコントロールすることができます。 ■ 33 Sophos NAC DHCP ■ 既知のエンドポイントとは、Sophos Enterprise Console で集中管理している エンドポイントで、Compliance Agent をインストール、実行しているエン ドポイントを指します。 DHCP 施行とユーザーのネットワークアクセス: 不明なエンドポイント DHCP 施行を有効に設定後、不明なエンドポイントのネットワークアクセス は次のとおりです。 1. エンドポイントが起動します。 2. 不明なエンドポイント向けに DHCP 施行を有効に設定すると、制限付き でエンドポイントにネットワークアクセスが許可されます。このようなエ ンドポイントは、インターネットや修復サーバーに接続できます。DHCP Configuration Wizard 実行時にプロキシサーバーを指定した場合、エンド ポイントはインターネットにアクセスできます。プロキシサーバーを指定 しなかった場合、エンドポイントは DHCP Configuration Wizard で指定し た修復サーバーに接続できます。 DHCP 施行とユーザーのネットワークアクセス: ゲストエンドポイント DHCP 施行を有効に設定後、ゲストエンドポイントがCompliance Dissolvable Agent を使用することが必要な場合、ゲストユーザーのネットワークアクセ スは次のとおりです。 1. エンドポイントが起動します。 2. ユーザーが Internet Explorer を開き、Compliance Dissolvable Agent URL を表 示して、Compliance Dissolvable Agent を実行します。 3. Compliance Dissolvable Agent は、評価を完了後、エンドポイントが NAC ポ リシーに準拠しているか、一部準拠しているか、準拠していないかを判断 します。 4. DHCP 施行を設定・有効に設定後、ネットワークアクセスは次のとおりで す。 ■ ポリシーに準拠しているエンドポインにネットワークアクセスが許可 されます。 ポリシーに一部準拠しているエンドポイントにネットワークアクセス が許可されます。Compliance Dissolvable Agent は、エンドポイントを修 復してポリシーに準拠するよう、ユーザーにメッセージを表示します。 エンドポイントの自動修復が NAC ポリシーで設定されている場合は、 エンドポイントの修復が実行されます。デフォルトで修復は無効になっ ています。通常、ゲストユーザーのエンドポイントは修復しないこと が望まれます。 ■ 34 環境設定ガイド ■ ポリシーに準拠していないエンドポイントにネットワークアクセスが 拒否されます。このようなエンドポイントは、インターネットや修復 サーバーに接続できます。DHCP Configuration Wizard 実行時にプロキ シサーバーを指定した場合、エンドポイントはインターネットにアク セスできます。プロキシサーバーを指定しなかった場合、エンドポイ ントは DHCP Configuration Wizard で指定した修復サーバーに接続でき ます。Compliance Dissolvable Agent は、エンドポイントを修復してポリ シーに準拠するよう、ユーザーにメッセージを表示します。エンドポ イントの自動修復が NAC ポリシーで設定されている場合は、エンドポ イントの修復が実行されます。デフォルトで修復は無効になっていま す。通常、ゲストユーザーのエンドポイントは修復しないことが望ま れます。 DHCP 施行とユーザーのネットワークアクセス: 既知のエンドポイント DHCP 施行を有効に設定後、既知のエンドポイントのネットワークアクセス は次のとおりです。 1. エンドポイントが起動後、Compliance Agent が起動します。 2. Compliance Agent は、評価を完了後、エンドポイントが NAC ポリシーに 準拠しているか、一部準拠しているか、準拠していないかを判断します。 3. [. . . ] NAC Managerにログオンします。 2. 「Manage > Policies」(管理 - ポリシー) をクリックします。そして、アッ プデートするポリシーのポリシー名をクリックします。 3. 「Policy Mode」(ポリシーモード) リストをクリックして、「Enforce」(施 行) を選択します。 ■ Enforce: 「Enforce」ポリシーモードでは、指定されたポリシーに対する エンドポイント評価、NAC Managerでのレポート情報の作成が行われま す。メッセージの表示、および修復アクションが実行され、該当する アクセスステートに対するアクセステンプレートを使用して、施行ア クションが実行されます。「Enforce」モードは、ステップ 5 で関連付 けされるアクセステンプレートを使用します。 50 環境設定ガイド 4. 「Agent Enforcement Action」(エージェント施行アクション) リストをク リックして、「Release Renew」(解放、更新) を選択します。既知のエンド ポイントに対して DHCP 施行を使用する場合は、必ず、「Release Renew」 を選択してください。 5. [. . . ]