パーソナル・ファイアウォール ネットワーク内部の特定の通信を保護するための簡単な手段

Presentation on theme: "パーソナル・ファイアウォール ネットワーク内部の特定の通信を保護するための簡単な手段"— Presentation transcript:

1 パーソナル・ファイアウォール ネットワーク内部の特定の通信を保護するための簡単な手段
送信、受信パケットのきめ細かな制御（drop, allow, reject, bypass）が可能。 発信元制限のためのpre-IPSecフィルタリングと宛先制限のためのpost-IPSecフィルタリングをサポート

2 ＶＰＮでのリモートアクセス（１/２） インターネット ＮＡＴ（アドレス変換） コーポレート・イントラネット ＳＳＨ Ｓｅｎｔｉｎｅｌ での
SSH Sentinel ＳＳＨ Ｓｅｎｔｉｎｅｌ での ＶＰＮアクセス ｘ ｘ イントラ内の アドレス割付 自宅より メールサーバ SSH Sentinel ＶＰＮゲートウェイ・ファイアーウォール ＮＡＴ（アドレス変換） インターネット イントラウェブ 出張先より イントラネットワーク側に、図のようにＶＰＮゲートウェイを設置し、クライアントＰＣにもＳＳＨセンチネルＶＰＮクライアントをインストール致します。 この例ではファイアウォールと兼用となっておりますが、別々に設置してもかまいません。 左側のクライアントＰＣからイントラネットに接続する際に、ＳＳＨセンチネルとＶＰＮゲートウェイの間で認証が行なわれます。 認証に成功するとＶＰＮトンネルが作られます。 クリック 赤の点線の部分がＶＰＮトンネルでデータが暗号化されます。このＶＰＮトンネルを介して、クライアントＰＣはあたかもイントラネットに接続されているかのごとく、メールサーバ等複数のサーバに対して、セキュアなアクセスが可能となります。 2回クリック SSH Sentinel データベースアクセス 出先より ポリシーサーバ

3 ＶＰＮでのリモートアクセス（２/２） ＳＳＨ Ｓｅｎｔｉｎｅｌの優れた機能 アプリケーションからは透過的にアクセスが可能
ＩＰＳｅｃとＮＡＴの問題を解決 NAT Traversal (Latest IETF Draft) Ｖｉｒｔｕａｌ ＩＰによる内部アドレス割付 IKE config mode DHCP over IPSec L2TP ハードウェアトークンのビルトインサポート ポリシーの一元管理 SPRP/SPSL 実証に裏付けされた相互接続性 コーポレート・イントラネット SSH Sentinel ＳＳＨ Ｓｅｎｔｉｎｅｌ での ＶＰＮアクセス ｘ ｘ イントラ内の アドレス割付 自宅より メールサーバ SSH Sentinel ＶＰＮゲートウェイ・ファイアーウォール ＮＡＴ（アドレス変換） インターネット イントラウェブ 出張先より ＩＰＳｅｃＶＰＮはネットワークレイヤーに実装されているので、アプリケーションからは透過的で ウインドウズのファイル共有もリモートＰＣから実現が可能となっております。 また、ＩＰＳｅｃとＮＡＴの問題もナット　トラバーサルにより解決されるので、 通信経路上にナットが介在しても安全な通信が可能となります。この場合、ＶＰＮゲートウェイも ナット　トラバーサルをサポートしている事が前提となります。 バーチャルＩＰにより、イントラネット内のアドレスでのアクセスができるので、 あたかもイントラネット内にいるかのごとく、リモート環境よりアクセスする事が可能となります。 ハードウェアトークンをビルトインサポートしているので、USBトークン、スマートカード等に証明書を発行し、VPNゲートウェイとの認証に用いることができます。 1回バッククリック 大規模な構築には、ポリシーサーバーを立て、ポリシーの一元管理が可能となっております。 図の青い点線のようにセキュリティポリシーを、ポリシーサーバより、ダウンロードする事ができます。 実証に裏付けされた相互接続性についてですが、シスコ、チェックポイント、ネットスクリーン、ヤマハ、ソニックウォール等、普及しているVPN製品との相互接続は、弊社にて検証が行なわれております。ネットスクリーンの製品とは、ナットトラバーサルを用いての相互接続も確認されております。 2回クリック SSH Sentinel データベースアクセス 出先より ポリシーサーバ

4 ＳＳＨ Ｃｅｒｔｉｆｉｅｒ SSH Certifier サーバ・コンポーネント SSH Certifier クライアント・コンポーネント
ＳＳＨ　Ｃｅｒｔｉｆｉｅｒ SSH Certifier サーバ・コンポーネント Certifierエンジン CA管理サーバ（ＨＴＴＰ） 証明書登録ゲートウェイ 証明書発行エージェント OCSPレスポンダ・エージェント リポジトリ（内部データベース） ＬＤＡＰサーバ（オプション） SSH Certifier クライアント・コンポーネント ＯＣＳＰクライアント SSH Token Master™ スマートカード管理モジュール SSH Accession™ Windows、PC Unixアプリケーション用セキュリティ・トークン制御モジュール 管理用HTML拡張テンプレート

5 ＳＳＨ Ｃｅｒｔｉｆｉｅｒの構成 Certifierエンジン CA管理サーバ 証明書登録ゲートウェイ 証明書発行エージェント
ＳＳＨ　Ｃｅｒｔｉｆｉｅｒの構成 Certifierエンジン 内部データベースにアクセスし、証明書登録ゲートウェイからのリクエストに応える CA管理サーバ Certifierエンジンに運用ポリシーを与える 管理者にHTTPによるポリシー管理インターフェースを提供する 証明書登録ゲートウェイ 証明書申請を受付け、 Certifierエンジンに送付する 発行された証明書をエンド・エンティティに配布する 証明書発行エージェント 発行された証明書、CRLをディレクトリ・サーバに配布する OCSPレスポンダ・エージェント より精確なCRL同期を提供するOCSPクライアントのリクエストに応答する

6 ＳＳＨ Ａｃｃｅｓｓｉｏｎ Mail WWW VPN SSH Accession SSH Sentinel
ＳＳＨ　Ａｃｃｅｓｓｉｏｎ SSH Sentinel Internet Explorer OutlookExpress Mail WWW VPN 　SSH Accession 複数アプリケーションから証明書に同時アクセス アプリケーションから複数のハードウェア・トークンにアクセス さて、では実際にユーザ側でのスマートカードの利用について弊社SSHのソリューションをご提案させて頂きたいと思います。 スマートカードやUSBトークンに入っている証明書をこの様に一般的に広く使われているMail,WWW,VPNのアプリケーションで利用できるのは弊社SSHのソリューションのみです。 これを可能にしているのがSSH　Accessionです。SSH Accessionは一言で言えば証明書をハンドリングするミドルウェアと言えます。様々なベンダーのスマートカードやUSBトークンに格納されている証明書をこの図の様に様々なアプリケーションに渡すことが可能です。 このようなミドルウェアを開発可能にしている背景には弊社はPKIベンダーとしての開発活動だけではなくPKIを利用する様々なクライアントソフトウェアも同時に開発してるという他社にはないユニークな特徴がございます。 A社スマートカード B社スマートカード C社スマートカード A社USBトークン B社USBトークン

7 セキュリティトークンを用いた 大規模ネットワークの構成例
PKCS#15 CMP Certification Authority S D インターネット VPN GW または Secure Shell Server SGW イントラネット SSH Sentinel または Secure Shell Client SSH Token Master SSH Token Master SSH Token Master PKCS#15 PKCS#15 S D USB Token S D S D S D S D Smart Cards USB Token メールサーバ ファイルサーバ ウェブサーバ

8 Making the Internet Secure