パーソナル・ファイアウォール ネットワーク内部の特定の通信を保護するための簡単な手段 送信、受信パケットのきめ細かな制御(drop, allow, reject, bypass)が可能。 発信元制限のためのpre-IPSecフィルタリングと宛先制限のためのpost-IPSecフィルタリングをサポート
VPNでのリモートアクセス(1/2) インターネット NAT(アドレス変換) コーポレート・イントラネット SSH Sentinel での SSH Sentinel SSH Sentinel での VPNアクセス 192.168.1.x 192.168.1.x イントラ内の アドレス割付 自宅より メールサーバ SSH Sentinel VPNゲートウェイ・ファイアーウォール NAT(アドレス変換) インターネット イントラウェブ 出張先より イントラネットワーク側に、図のようにVPNゲートウェイを設置し、クライアントPCにもSSHセンチネルVPNクライアントをインストール致します。 この例ではファイアウォールと兼用となっておりますが、別々に設置してもかまいません。 左側のクライアントPCからイントラネットに接続する際に、SSHセンチネルとVPNゲートウェイの間で認証が行なわれます。 認証に成功するとVPNトンネルが作られます。 クリック 赤の点線の部分がVPNトンネルでデータが暗号化されます。このVPNトンネルを介して、クライアントPCはあたかもイントラネットに接続されているかのごとく、メールサーバ等複数のサーバに対して、セキュアなアクセスが可能となります。 2回クリック SSH Sentinel データベースアクセス 出先より ポリシーサーバ
VPNでのリモートアクセス(2/2) SSH Sentinelの優れた機能 アプリケーションからは透過的にアクセスが可能 IPSecとNATの問題を解決 NAT Traversal (Latest IETF Draft) Virtual IPによる内部アドレス割付 IKE config mode DHCP over IPSec L2TP ハードウェアトークンのビルトインサポート ポリシーの一元管理 SPRP/SPSL 実証に裏付けされた相互接続性 コーポレート・イントラネット SSH Sentinel SSH Sentinel での VPNアクセス 192.168.1.x 192.168.1.x イントラ内の アドレス割付 自宅より メールサーバ SSH Sentinel VPNゲートウェイ・ファイアーウォール NAT(アドレス変換) インターネット イントラウェブ 出張先より IPSecVPNはネットワークレイヤーに実装されているので、アプリケーションからは透過的で ウインドウズのファイル共有もリモートPCから実現が可能となっております。 また、IPSecとNATの問題もナット トラバーサルにより解決されるので、 通信経路上にナットが介在しても安全な通信が可能となります。この場合、VPNゲートウェイも ナット トラバーサルをサポートしている事が前提となります。 バーチャルIPにより、イントラネット内のアドレスでのアクセスができるので、 あたかもイントラネット内にいるかのごとく、リモート環境よりアクセスする事が可能となります。 ハードウェアトークンをビルトインサポートしているので、USBトークン、スマートカード等に証明書を発行し、VPNゲートウェイとの認証に用いることができます。 1回バッククリック 大規模な構築には、ポリシーサーバーを立て、ポリシーの一元管理が可能となっております。 図の青い点線のようにセキュリティポリシーを、ポリシーサーバより、ダウンロードする事ができます。 実証に裏付けされた相互接続性についてですが、シスコ、チェックポイント、ネットスクリーン、ヤマハ、ソニックウォール等、普及しているVPN製品との相互接続は、弊社にて検証が行なわれております。ネットスクリーンの製品とは、ナットトラバーサルを用いての相互接続も確認されております。 2回クリック SSH Sentinel データベースアクセス 出先より ポリシーサーバ
SSH Certifier SSH Certifier サーバ・コンポーネント SSH Certifier クライアント・コンポーネント SSH Certifier SSH Certifier サーバ・コンポーネント Certifierエンジン CA管理サーバ(HTTP) 証明書登録ゲートウェイ 証明書発行エージェント OCSPレスポンダ・エージェント リポジトリ(内部データベース) LDAPサーバ(オプション) SSH Certifier クライアント・コンポーネント OCSPクライアント SSH Token Master™ スマートカード管理モジュール SSH Accession™ Windows、PC Unixアプリケーション用セキュリティ・トークン制御モジュール 管理用HTML拡張テンプレート
SSH Certifierの構成 Certifierエンジン CA管理サーバ 証明書登録ゲートウェイ 証明書発行エージェント SSH Certifierの構成 Certifierエンジン 内部データベースにアクセスし、証明書登録ゲートウェイからのリクエストに応える CA管理サーバ Certifierエンジンに運用ポリシーを与える 管理者にHTTPによるポリシー管理インターフェースを提供する 証明書登録ゲートウェイ 証明書申請を受付け、 Certifierエンジンに送付する 発行された証明書をエンド・エンティティに配布する 証明書発行エージェント 発行された証明書、CRLをディレクトリ・サーバに配布する OCSPレスポンダ・エージェント より精確なCRL同期を提供するOCSPクライアントのリクエストに応答する
SSH Accession Mail WWW VPN SSH Accession SSH Sentinel SSH Accession SSH Sentinel Internet Explorer OutlookExpress Mail WWW VPN SSH Accession 複数アプリケーションから証明書に同時アクセス アプリケーションから複数のハードウェア・トークンにアクセス さて、では実際にユーザ側でのスマートカードの利用について弊社SSHのソリューションをご提案させて頂きたいと思います。 スマートカードやUSBトークンに入っている証明書をこの様に一般的に広く使われているMail,WWW,VPNのアプリケーションで利用できるのは弊社SSHのソリューションのみです。 これを可能にしているのがSSH Accessionです。SSH Accessionは一言で言えば証明書をハンドリングするミドルウェアと言えます。様々なベンダーのスマートカードやUSBトークンに格納されている証明書をこの図の様に様々なアプリケーションに渡すことが可能です。 このようなミドルウェアを開発可能にしている背景には弊社はPKIベンダーとしての開発活動だけではなくPKIを利用する様々なクライアントソフトウェアも同時に開発してるという他社にはないユニークな特徴がございます。 A社スマートカード B社スマートカード C社スマートカード A社USBトークン B社USBトークン
セキュリティトークンを用いた 大規模ネットワークの構成例 PKCS#15 CMP Certification Authority S D インターネット VPN GW または Secure Shell Server SGW イントラネット SSH Sentinel または Secure Shell Client SSH Token Master SSH Token Master SSH Token Master PKCS#15 PKCS#15 S D USB Token S D S D S D S D Smart Cards USB Token メールサーバ ファイルサーバ ウェブサーバ
Making the Internet Secure www.ssh.com/jp/