Sophos NAC Advanced 2011 User Manual [ja]
Sophos NAC Advanced
DHCP 施行ガイド
製品バージョン: 3.2
ドキュメント作成日: 2011年 3月
目次
1 このドキュメントについて.............................................................................................3
2 DHCP 施行の概要..............................................................................................................5
3 DHCP 施行のチェックリスト..........................................................................................6
4 DHCP の適用除外..............................................................................................................8
5 DHCP サーバー用接続要求ポリシーと RADIUS クライアント.............................11
6 DHCP Enforcer ソフトウェアのインストール............................................................17
7 Microsoft DHCP サーバーの設定...................................................................................22
8 Compliance Manager で行うタスク................................................................................31
9 テクニカルサポート........................................................................................................46
10 ご利用条件.......................................................................................................................47
2
DHCP 施行ガイド
1
このドキュメントについて
このドキュメントは、Sophos NAC Advanced の DHCP Enforcement (施行) 機能
の設定方法について説明するものです。この機能を設定することにより、社
内ネットワーク上の管理対象外エンドポイントの検出、それらのエンドポイ
ントのセキュリティレベルの評価、ネットワークアクセスのコントロールが
可能になります。このドキュメントには、DHCP Enforcer、Microsoft DHCP
サーバーの設定方法、および Sophos NAC Advanced を新規インストールした
場合のコンプライアンス アプリケーション サーバーの設定方法が記載され
ています。主な内容は次のとおりです。
■
DHCP 施行の概要
■
DHCP 施行のチェックリスト
■
DHCP の適用除外
■
ソフォス コンプライアンス アプリケーション サーバーの DHCP の設定
1.1
1.2
■
DHCP Enforcer ソフトウェアのインストール
■
DHCP 設定ツール
■
Microsoft DHCP サーバーの設定
■
Sophos Compliance Manager で行うタスク
対象読者
このドキュメントは、中小規模の組織で IT 業務全般を担当されている方を
対象にしています。また、クライアント数 25,000台以上の大規模なネット
ワークの管理担当者の方にもご活用いただけます。なお、クライアント数が
1,000台を超える場合は、ソフォス プロフェッショナル サービスのご利用を
お勧めします。プロフェッショナルサービスは、ソフトウェアの導入プラン
の立案・実行をご支援するサービスです。詳細についてはソフォスまでご相
談ください。
DHCP Enforcer ソフトウェアのインストール要件
Sophos NAC Advanced で DHCP Enforcement (施行) を使用するには、Sophos
DHCP Enforcer 用のソフトウェアをご使用の DHCP サーバーにインストール
する必要があります。
DHCP Enforcer のインストール要件
Windows Server 2000/2003/2008OS
3
Sophos NAC Advanced
DHCP Enforcer のインストール要件
ア
Microsoft®動的ホスト構成プロトコル (DHCP)DHCP ソフトウェ
4
DHCP 施行ガイド
2
DHCP 施行の概要
Sophos NAC Advanced ではデフォルト設定として DHCP Enforcement (施行) が
あらかじめ設定されています。このデフォルト設定は、もっとも一般的な
DHCP の利用環境を対象にしているため、Sophos NAC Advanced をインストー
ルした後の設定が最低限で済みます。ただし、DHCP の実装方法が通常と大
きく異なる場合は、追加の設定が必要なこともあります。
ヒント: DHCP Enforcement (施行) のチェックリストは、DHCP 施行の実装に
必要なタスクの一覧です。詳細はDHCP 施行のチェックリスト (p. 6) をご
覧ください。また、このドキュメントでは、チェックリスト内の各タスクの
詳細な手順も説明しています。
Sophos NAC Advanced 事前定義済み DHCP 施行のデフォルト設定
■
Compliance Manager を使用して、DHCP 施行に使用する各ポリシーで、
DHCP 施行機能を有効にする必要があります。
■
DHCP 施行を有効にすると、ポリシーに準拠している、あるいは一部準拠
しているエンドポイントにネットワークアクセスが許可されます。
■
DHCP 施行を有効にすると、ポリシーに準拠していないエンドポイントの
ネットワークアクセスは拒否されます。
■
エージェントがインストールされていないエンドポイントは、適用の対象
から除外されていない場合、ネットワークアクセスが拒否されます。
■
Dissolvable Agent を稼動している Windows Vista 環境のエンドポイントで
IP アドレスを解放、更新する必要がある場合、このエージェントは、管
理者権限のアカウント情報の入力、またはエンドポイントの再起動をリク
エストするユーザーメッセージを表示します。
Sophos NAC Advanced のアップグレード情報
■
前バージョンで DHCP を設定済みの場合、Sophos NAC Advanced のアップ
グレード後、DHCP 設定はそのまま残されます。他に変更が必要な設定は
ありません。
ヒント: Sophos NAC Advanced を新規インストールすると、2種類の新しい
DHCP Enforcer Access Template がインストールされます。Sophos NAC
Advancedのアップグレードでは、既存の DHCP Enforcer Access Template が
引き継がれます。
5
Sophos NAC Advanced
3
DHCP 施行のチェックリスト
DHCP Enforcement (施行) のチェックリストは、DHCP 施行の実装に必要な
タスクの一覧です。特に注意書きがない限り、このドキュメントの手順に
従ってすべてのタスクを実行します。
Sophos NAC Advanced のインストール・設定および Sophos Compliance Agent のデプロイ
チェック欄説明タスク
1.
2.
3.
ソフォス コンプライアンス アプリケーション サーバー の DHCP の設定
4.
5.
Sophos NAC Advanced をインストールし、設定する。詳細は「
Sophos NAC Advanced インストールガイド 」をご覧ください。
Compliance Manager で DHCP Exemption (除外) を作成する。
DHCP 除外の対象は、Sophos Compliance Agent を起動することが
できないエンドポイント、またはサーバー、ルーター、プリン
タ、あるいは確実に安全であることがわかっているエンドポイ
ントなど、コンプライアンス評価が不要なエンドポイントのど
ちらかです。対象から除外する必要のあるエンドポイントは、
DHCP で IP アドレスを自動的に取得しているエンドポイントだ
けです。
Sophos Compliance Agent を各エンドポイントに集中インストール
する。詳細は「 Sophos NAC Advanced インストールガイド 」を
ご覧ください。
コンプライアンス アプリケーション サーバーで DHCP 用の新し
い接続要求ポリシーを作成する。
コンプライアンス アプリケーション サーバーで DHCP サーバー
用の RADIUS クライアントを追加する。
DHCP サーバーの DHCP Enforcer の設定
6.
7.
DHCP サーバーの設定
8.
DHCP Enforcer のソフトウェアを DHCP サーバーにインストール
する。
ヒント: DHCP Enforcer のソフトウェアをインストール後、DHCP
Service が各 DHCP サーバーで起動していることを確認する必要
があります。
DHCP Enforcer Configuration Tool (設定ツール) を使用して、DHCP
Enforcer が DHCP サーバーと連動するように設定する。
DHCP Enforcer と連動するように DHCP サーバーを設定する。
6
Sophos Compliance Manager の設定
DHCP 施行ガイド
チェック欄説明タスク
9.
10.
11.
12.
13.
Sophos Compliance Dissolvable Agent の配布
14.
ポリシーを作成する。
グループを作成し、作成したポリシーを適用する。
DHCP Enforcer の設定を検証する。
DHCP Enforcer レポートを実行し、DHCP 施行を有効にする前
に、エンドポイントのポリシーコンプライアンスの状況を確認
する。
ヒント: DHCP Enforcer レポートを使用して、DHCP 施行を有効
にした際にエンドポイントに適切なネットワークアクセスが許
可されるかどうかを判断します。
DHCP Enforcer Access Template を検証し、DHCP 施行を有効にす
る。
Sophos Compliance Dissolvable Agent のアドレスをゲスト用エンド
ポイントに配布する。詳細は「Sophos NAC Advancedインストー
ルガイド 」をご覧ください。
7
Sophos NAC Advanced
4
DHCP の適用除外
DHCP Enforcement (施行) の対象から除外するエンドポイントには、Compliance
Agentを起動できないものや、コンプライアンス評価が不要なもの (サーバー、
ルーター、プリンタ、「安全」と判断されるエンドポイントなど) が含まれ
ます。対象から除外する必要のあるエンドポイントは、DHCP で IP アドレ
スを自動的に取得しているエンドポイントだけです。このようなエンドポイ
ントには DHCP Exemption (除外) を作成してください。作成しない場合は、
DHCP Enforcement (施行) を有効にした際に、エンドポイントのネットワー
クアクセスが拒否されます。
Compliance Manager を使用して、2種類の DHCP Exemption (除外) を作成する
ことができます。
■
DHCP Criteria Exemption (DHCP 条件による除外): 特定の MAC アドレス、
ユーザークラス、ベンダクラスを対象から除外する。
4.1
■
IP Scope Exemption (IP スコープによる除外): 特定のネットワークセグメン
トを対象から除外する。
DHCP 条件による除外を作成する
Compliance Manager の「Exemptions」(除外) ページで、DHCP Criteria (条件)
による除外を作成します。DHCP 条件による除外では、単一の MAC アドレ
ス、ユーザークラス、またはベンダクラスを指定するか、あるいはこれらの
項目の任意の組み合わせを指定します。DHCP Exemption (除外) と DHCP
Enforcer Access Template は一組で使用され、適用の除外や、対象から除外さ
れるエンドポイントに対するネットワークアクセスが識別されます。
操作方法
1.
Compliance Manager にログオンします。
2.
「 Enforce > Exemptions 」(施行 - 除外) をクリックします。そして、ペー
ジの左下にある「Create Exemption」(除外の作成) をクリックします。
3.
除外の名称と説明を入力します。
4.
「Exemption Type」(除外のタイプ) リストボックスをクリックして、
「DHCP Criteria」(DHCP 条件) を選択します。
8
DHCP 施行ガイド
5.
「Exemption Criteria」(除外の条件) の下に表示されている、「MAC
Address」(MAC アドレス)、「User Class」(ユーザークラス)、または
「Vendor Class」(ベンダクラス) オプションボタンを選択して除外の条件
を指定し、該当する MAC アドレス (またはプレフィックス)、ユーザーク
ラス、またはベンダクラスを入力欄に記入し、「Add」(追加) をクリック
します。
追加する除外の条件の数に応じて、この操作を繰り返します。
ヒント: ワイルドカード文字「*」を最後に指定して、除外の条件に使用
することもできます。たとえば、MAC アドレスとして「AA*」と入力す
ると、「AA」で始まるすべての MAC アドレスが除外されます。同様に、
「*」記号なしで「AA」と入力すると、「AA」という名称の MAC アドレ
スだけが除外されます。
6.
「Select」(選択) をクリックし、DHCP Enforcer Access Template を除外に追
加します。「Default - DHCP Permit (NULL User Class)」(デフォルト - DHCP
許可 (NULL ユーザークラス)) アクセステンプレートを選択して「OK」を
クリックします。
4.2
ヒント: 「Default - DHCP Permit (NULL User Class)」は、Sophos NAC
Advanced であらかじめ定義されているアクセステンプレートで、ネット
ワークアクセスを許可するものです。ここで作成する除外は、Sophos NAC
Advanced によるコンプライアンス評価なしでネットワークにアクセスで
きるよう設定されます。
7.
「Save」(保存) をクリックします。
重要: 除外の作成後、「Exemptions」ページの一覧で優先順位を設定でき
ます。特定のエンドポイントに複数の除外が適用可能な場合は、エンドポ
イントに適用可能な最初の除外が使用されます。より特化した、条件の厳
しい除外を優先することをお勧めします。
IP スコープによる除外を作成する
対象から除外する必要のあるエンドポイントは、DHCP で IP アドレスを自
動的に取得しているエンドポイントだけです。Compliance Manager の
「Exemptions」(除外) ページで、IP スコープによる除外を作成します。IP ス
コープによる除外では、適用の対象から除外するネットワークセグメントを
設定します。この除外では、組織全体でポリシーを段階的に施行する場合な
ど、段階ごとにポリシーの施行を必要としないネットワークセグメントを対
象から除外することができるため便利です。
9
Sophos NAC Advanced
操作方法
1.
Compliance Manager にログオンします。
2.
「 Enforce > Exemptions 」(施行 - 除外) をクリックします。そして、ペー
ジの左下にある「Create Exemption」(除外の作成) をクリックします。
3.
除外の名称と説明を入力します。
4.
「Exemption Type」(除外のタイプ) リストボックスをクリックして、「IP
Scope」(IP スコープ) を選択します。
5.
「Select」(選択) をクリックし、DHCP Enforcer Access Template を除外に追
加します。「Default - DHCP Permit (NULL User Class)」(デフォルト - DHCP
許可 (NULL ユーザークラス)) アクセステンプレートを選択して「OK」を
クリックします。
ヒント: 「Default - DHCP Permit (NULL User Class)」は、Sophos NAC
Advanced であらかじめ定義されているアクセステンプレートで、ネット
ワークアクセスを許可するものです。ここで作成する除外は、Sophos NAC
Advanced によるコンプライアンス評価なしでネットワークにアクセスで
きるよう設定されます。
6.
「Save」(保存) をクリックします。
重要: 除外の作成後、「Exemptions」ページの一覧で優先順位を設定でき
ます。特定のエンドポイントに複数の除外が適用可能な場合は、エンドポ
イントに適用可能な最初の除外が使用されます。より特化した、条件の厳
しい除外を優先することをお勧めします。
10
DHCP 施行ガイド
5
DHCP サーバー用接続要求ポリシーと RADIUS ク
ライアント
DHCP を適切に機能させるためには、DHCP サーバー用の接続要求ポリシー
と RADIUS クライアントを作成する必要があります。この設定はどちらとも
コンプライアンスアプリケーション サーバーで行います。接続要求ポリシー
は、DHCP コンプライアンス要求とその他の要求を識別するポリシーです。
DHCP サーバーからSophos NAC Advancedに施行の要求を送信できるように
するため、DHCP サーバーを RADIUS クライアントとして構成する必要があ
ります。
5.1
DHCP 用の新しい接続要求ポリシーを作成する (Windows Server 2003)
DHCP Enforcement (施行) を使用するには、Sophos コンプライアンス アプリ
ケーション サーバー で接続要求ポリシーを作成する必要があります。接続
要求ポリシーは、DHCP コンプライアンス要求とその他の要求を識別するポ
リシーです。このポリシーは、Sophos NAC Advanced で DHCP 要求とそれ以
外の要求を識別し、適切な施行を実施するために作成します。
1.
ソフォス コンプライアンス アプリケーション サーバーの「スタート」メ
ニューから、「 管理ツール > インターネット認証サービス 」をクリック
します。
インターネット認証サービスが開きます。
2.
「接続要求の処理」をクリックします。
3.
「接続要求ポリシー」を右クリックし、続いて「 新しい接続要求ポリ
シー」をクリックします。
「新しい接続要求ポリシー ウィザード」が表示されます。
4.
「次へ」をクリックします。
5.
「カスタム ポリシー」オプションボタンを選択します。
6.
この接続要求ポリシー名として、ポリシー名の欄に「DHCP」と入力し、
「次へ」をクリックします。
「DHCP」というポリシー名は、この接続要求ポリシーが DHCP 施行に使
用されることを示します。
7.
「追加」をクリックしてポリシー条件を追加します。
8.
「User-Name」を選択し、「追加」をクリックします。
11
Sophos NAC Advanced
9.
「User-Name」ダイアログボックスの入力欄に、「^[0-9a-f]{2,32}$」と入
力して、「OK」をクリックします。
ヒント: ソフォスでは、DHCP 用ユーザー名に MAC アドレスを使用して
います。この値は、2~32文字の 16進数文字列で指定されます。
10.
「追加」をクリックして別のポリシー条件を追加します。
11.
「Calling-Station-ID」を選択し、「追加」をクリックします。
12.
「Calling-Station-ID」ダイアログボックスの入力欄に、「^[0-9a-f]{2,32}$」
と入力して、「OK」をクリックします。
ヒント: ソフォスでは、DHCP 用 Calling-Station-ID に MAC アドレスを使
用しています。この値は、2~32文字の 16進数文字列で指定されます。
13.
「追加」をクリックして別のポリシー条件を追加します。
14.
「Service-Type」を選択し、「追加」をクリックします。
15.
「Authenticate Only」を選択し、「追加」をクリックして、「選択した種
類」に「Authenticate Only」を追加します。
16.
「OK」をクリックします。
17.
「追加」をクリックして別のポリシー条件を追加します。
18.
「Client-Friendly-Name」を選択し、「追加」をクリックします。
19.
「DHCP」と入力して、「OK」をクリックし、「次へ」をクリックしま
す。
ヒント: RADIUS クライアントの名前に「DHCP」を含めて、DHCP が適切
に動作するようにします。クライアント名で、大文字と小文字は区別され
ません。
20.
「プロファイルの編集」をクリックします。
21.
「資格情報を確認せずにユーザーを受け入れる」オプションボタンを選択
し、「OK」をクリックします。
ヒント: 認証は Compliance Agent によって実行されるので、接続要求ポリ
シーは、ユーザーの認証を要求しないよう設定されています。Sophos NAC
Advancedは、すべての DHCP 要求パケットに対して認証を実行します。
エージェントによって認証されないユーザーや、除外されていないユー
ザーは、ポリシーに準拠していないと判断されます。
12
22.
「次へ」をクリックします。
23.
「完了」をクリックします。
ヒント: 作成したポリシーをダブルクリックすると、ウィンドウに指定し
た「ポリシー条件」が表示されます。
DHCP 施行ガイド
5.2
DHCP 用の新しい接続要求ポリシーを作成する (Windows Server 2008)
DHCP Enforcement (施行) を使用するには、Sophos コンプライアンス アプリ
ケーション サーバー で接続要求ポリシーを作成する必要があります。接続
要求ポリシーは、DHCP コンプライアンス要求とその他の要求を識別するポ
リシーです。このポリシーは、Sophos NAC Advanced で DHCP 要求とそれ以
外の要求を識別し、適切な施行を実施するために作成します。
1.
ソフォス コンプライアンス アプリケーション サーバーの「スタート」メ
ニューから、「 管理ツール > ネットワーク ポリシー サーバー 」をクリッ
クします。
ネットワーク ポリシー サーバーが開きます。
2.
「ポリシー」で「接続要求ポリシー」を右クリックし、「新しい接続要求
ポリシー」をクリックします。
新しい接続要求ポリシー ウィザードが表示されます。
3.
接続要求ポリシー名として「DHCP」と入力し、ネットワーク接続の方法
は「指定なし」のままにします。そして「次へ」をクリックします。
「DHCP」というポリシー名は、この接続要求ポリシーが DHCP 施行に使
用されることを示します。
4.
「追加」をクリックしてポリシー条件を追加します。
5.
「User-Name」を選択し、「追加」をクリックします。
6.
「User-Name」ダイアログボックスの入力欄に、「^[0-9a-f]{2,32}$」と入
力して、「OK」をクリックします。
ヒント: DHCP 環境のためにユーザー名には MAC アドレスを使用します。
この値は、2~32文字の 16進数文字列で指定されます。
7.
「追加」をクリックして別のポリシー条件を追加します。
8.
「Calling-Station-ID」を選択し、「追加」をクリックします。
9.
「Calling-Station-ID」ダイアログボックスの入力欄に、「^[0-9a-f]{2,32}$」
と入力して、「OK」をクリックします。
ヒント: DHCP 環境のために Calling Station ID には MAC アドレスを使用し
ます。この値は、2~32文字の 16進数文字列で指定されます。
10.
「追加」をクリックして別のポリシー条件を追加します。
11.
「Service-Type」を選択し、「追加」をクリックします。
13
Sophos NAC Advanced
12.
「Authenticate Only」を選択し、「追加」をクリックします。
13.
「OK」をクリックします。
14.
「追加」をクリックして別のポリシー条件を追加します。
15.
「Client-Friendly-Name」を選択し、「追加」をクリックします。
16.
「DHCP」と入力して、「OK」をクリックし、「次へ」をクリックしま
す。
ヒント: RADIUS クライアントの名前に「DHCP」を含めて、DHCP が適切
に動作するようにします。クライアント名で、大文字と小文字は区別され
ません。
17.
「認証」セクションで「資格情報を確認せずにユーザーを受け入れる」オ
プションを選択し、「次へ」をクリックします。
ヒント: 認証は Compliance Agent によって実行されるので、接続要求ポリ
シーは、ユーザーの認証を要求しないよう設定されています。Sophos NAC
Advancedは、すべての DHCP 要求パケットに対して認証を実行します。
エージェントによって認証されないユーザーや、除外されていないユー
ザーは、ポリシーに準拠していないと判断されます。
5.3
18.
「次へ」をクリックします。このポリシーでは属性を設定する必要はあり
ません。
19.
「完了」をクリックします。
ヒント: 作成したポリシーをダブルクリックすると、ウィンドウに指定し
た「ポリシー条件」が表示されます。
DHCP サーバー用の RADIUS クライアントを追加する (Windows Server 2003)
Sophos コンプライアンス アプリケーション サーバー で、インターネット認
証サービス (IAS) にご使用の DHCP サーバーを追加してください。DHCP サー
バーから Sophos NAC Advanced に施行の要求を送信できるようにするため、
DHCP サーバーを RADIUS クライアントとして構成する必要があります。
1.
ソフォス コンプライアンス アプリケーション サーバーの「スタート」メ
ニューから、「 管理ツール > インターネット認証サービス 」をクリック
します。
14
インターネット認証サービスが開きます。
2.
「RADIUS クライアント」を右クリックし、「新しい RADIUS クライアン
ト」をクリックします。
DHCP 施行ガイド
3.
「フレンドリ名」フィールドに「DHCP」と入力し、「クライアントのア
ドレス」フィールドにご使用の DHCP サーバーの IP アドレス、または
DNS 名を入力します。「次へ」をクリックして続行します。
ヒント: RADIUS クライアントの名前を DHCP にして DHCP が適切に動作
するようにします。この名前は、前の項で作成した接続要求ポリシー名に
一致します。
4.
「共有シークレット」フィールドに「DHCP」と入力し、ご使用の DHCP
サーバーの共有シークレットを指定し、確認入力します。DHCP 共有シー
クレットは、DHCP サーバーを設定する際に Sophos NAC Advanced と連動
させるために使用します。
ヒント: デフォルトで、「クライアント ベンダ」が「RADIUS Standard」
に選択されているのでそのままにします。
5.
「要求はメッセージ認証属性を含んでいる必要がある」チェックボックス
が選択されていないことを確認します。
5.4
6.
「完了」をクリックします。
DHCP サーバー用の RADIUS クライアントを追加する (Windows Server 2008)
Sophos コンプライアンス アプリケーション サーバー で、ネットワーク ポリ
シー サーバーにお使いの DHCP サーバーを追加してください。DHCP サー
バーから Sophos NAC Advanced に施行の要求を送信できるようにするため、
DHCP サーバーを RADIUS クライアントとして構成する必要があります。
1.
ソフォス コンプライアンス アプリケーション サーバーの「スタート」メ
ニューから、「 管理ツール > ネットワーク ポリシー サーバー 」をクリッ
クします。
ネットワーク ポリシー サーバーが開きます。
2.
「RADIUS クライアントとサーバー」で、「RADIUS クライアント」を右
クリックし、「新規 RADIUS クライアント」をクリックします。
3.
「フレンドリ名」フィールドに「DHCP」と入力し、「アドレス (IP また
は DNS)」フィールドにご使用の DHCP サーバーの IP アドレス、または
DNS 名を入力します。
ヒント: RADIUS クライアントの名前を DHCP にして DHCP が適切に動作
するようにします。この名前は、前の項で作成した接続要求ポリシー名に
一致します。
15
Loading...