不正接続防止ソリューション

オープンネット・ガード

登録したパソコンだけがLANに接続できる!

日立ソリューションズ

 

製品機能仕様事例紹介サポート連携機能 専用HP

space

 

機能

 

■オープンネット・ガードのセキュリティ機能
@不正接続検知機能(MACアドレス収集)
A不正PC遮断機能
B認証スイッチ連携機能(RADIUS機能、認証ログ管理機能)
C不正接続検知・遮断機能(IntraGuardian2連携機能)
DMAC認証DHCP機能(Linux標準DHCP/Infoblox連携)

■オープンネット・ガードの管理機能
@MACアドレス管理機能
AActiveDirectory連携/OpenLDAP連携機能
BPC管理ワークフロー機能
Cアラート通知機能

 

オープンネット・ガードのセキュリティ機能

@不正接続検知機能(MACアドレス収集)

  オープンネット・ガードがセンタ拠点から社内ネットワーク全体を監視します。各セグメントに機器を設置する必要はなく、既存ネットワーク機器(ルータ、L3SW)のARP情報を参照して、不正機器を発見します。本機能は、導入当初のMACアドレス収集にも活用できます。

図

A不正PC遮断機能

  不正検知機能で発見した不正PCは、ジュニパーネットワークス社ファイアウォール製品(SSGなど)をネットワークの要所に設置し、集約的に遮断を実施します。各セグメントに機器を設置することなく、安価で効率的な遮断方式です。
  拠点ネットワークを束ねているセンタ側アクセス回線の経路上に設置することが効果的です。

図

B認証スイッチ連携機能(RADIUS機能、認証ログ管理機能)

  認証スイッチのMACアドレス認証、WEB認証に対応しています。
  「認証定義」を設定し、RADIUSの認証情報(ID/パスワード)を自動生成でき、RADIUSの管理負担を大幅に軽減できます。
  例えば、複数メーカのスイッチが混在している環境や、認証する範囲をMACアドレス毎に分割したい場合など、認証情報を、1つのMACアドレスに対して、複数作成する必要が出てきますが、オープンネット・ガードなら、一元的にMACアドレスを扱えるので、管理が非常に容易です。

  802.1Xについては、Linux(FreeRADIUS)の定義を作成することで、オープンネット・ガードが生成する定義(MAC認証、WEB認証の定義)と、共存可能です。

  RADIUSの認証ログを解析し、日本語、表形式で表示することも可能です。正規のMACアドレスについては、最終認証日時の管理も可能です。また、アラクサラネットワークス社,日立金属社の認証スイッチを採用されている場合は、スイッチの認証ログを解析し、不正機器が接続したポートまで把握することが可能です。

図
 
★「認証スイッチ連携」専用HPはこちら

C不正接続検知・遮断機能(IntraGuardian2連携機能)

・「IntraGuardian2」(以下、IG2と略す)は、日本シー・エー・ディー社の不正接続検知/排除システムです。セグメント毎に1台づつ、「IntraGuardian2」を設置し、不正な機器を即時に検知・排除することができます。LANの空きポートが1つあれば、導入可能で、IG2本体は名刺サイズと小さく設置スペースも取りません。 また、1台で最大16VLANの運用が可能な「IntraGuardian2 EX」や、新型の「IntraGuardian2+」、最大24VLANの運用が可能な「IntraGuardian2+ EX」にも対応しております。

図
  IG2は、ARPパケットを監視し、不正な機器の接続を即時に検知できます。また、妨害パケットを送出する遮断方式を採用しており、同一HUB配下にある機器への通信も遮断が可能です。

DMAC認証DHCP機能(Linux標準DHCP/Infoblox連携)

  登録されたMACアドレスを持つパソコンだけにIPアドレスを配信する機能です。登録されたパソコンだけがネットワークに接続できます。MACアドレスは登録管理サーバで一元管理します。

[ 基本構成 ]


図

 

・利用状況モニタ機能

  利用中のIPアドレスをモニタから把握することができます。だれがどのIPアドレスを使っているか簡単にわかります。

 
図

・Infoblox連携機能

  DHCPアプライアンス「Infoblox」をDHCPサーバとして採用し、信頼性の高いDHCPサービスを提供することが可能です。
  MACアドレスおよび、固定配布のIPアドレスをオープンネット・ガードで管理し、Infobloxへ動的に反映します。

 
図

<Infobloxを既にご利用中のお客様へ>
  オープンネット・ガードと連携し、不正接続検知機能を適用することで、固定IP設定の不正機器の検知ができるようになります。
  Infobloxに登録済みのMACアドレスをオープンネット・ガードに取り込む機能があり、導入が容易です。

 
★「Infoblox連携」専用HPはこちら

オープンネット・ガードの管理機能

@MACアドレス管理機能

・MACアドレス情報や、各種定義情報はDBに保管しており、一括バックアップ、リストアが可能です。
・MACアドレスや、各種定義情報は、CSV形式ファイルにて一括メンテナンスが可能。
・MACアドレス一覧のカスタマイズ可能(表示項目や表示順序を管理者毎にカスタマイズ可能)。 また、各項目で、キーワード検索/並べ替えが可能。
・最終リース日(DHCP)、最終認証日(RADIUS)、最終検知日時&最終検知IPアドレス(不正検知)を管理し、 ネットワークの利用状況を管理できます。不稼働PCの洗い出しが可能。

図

・メニューのカスタマイズ
  管理用画面のメニュー表示を管理者ID毎にカスタマイズ可能。
  例えば、オペレータ用に不正一覧だけを閲覧できる管理者IDを設定できます。

AActiveDirectory連携/OpenLDAP連携機能

・MACアドレスは、ユーザIDに関連づけることができます。
  ユーザIDには各種のユーザ情報が付属しています。
  ユーザ情報は、オープンネット・ガードのローカルDBに保存することもできますが、
  ActiveDirectoryや、OpenLDAPをユーザIDをキーに参照することも可能です。

BPC管理ワークフロー機能

  社内ネットワークのセキュリティを維持していく為には、MACアドレス情報を維持していくことが必要です。
MACアドレス管理は、管理者にとって大きな負担になりますが、エンドユーザの協力を要請できる企業では、 PC管理ワークフローを適用することにより、容易にMACアドレス情報をメンテナンスすることができます。

・PC(MACアドレス)の棚卸を容易に実施でき、MAC情報を最新に保ちます
  MACアドレス情報中の「利用期間」を、パソコンの「棚卸」のタイミングと捉え、オープンネット・ガードの登録管理サーバは、終了日付間際のパソコンをチェックしています。終了日付間際のパソコンを発見した場合、利用者に棚卸を促すメールを自動的に送信します。メールを受け取った利用者は、PC管理ワークフローの画面にアクセスして、使用中のパソコンに対して、以下の申請処理を実施します。

  @継続利用する(延長)
  AMACアドレス詳細情報の変更(端末情報変更)
  Bパソコン返却(返却)
  CMAC登録削除(廃棄)

  申請をうけとった管理者が、承認を行うことでMACアドレス情報を自動的にメンテナンスすることができます。
  承認処理は、自動化することも可能です。また部門管理者を設定して承認業務を分担することも可能です。

・部門でPCを購入した場合、登録申請ルートを確立できます
  PC管理ワークフロー画面では、パソコンの新規登録申請を実施できますので、部門内で購入したパソコンのMAC登録申請にもご利用いただけます。CSV形式ファイルでの一括申請も可能です。

  利用期間を満了するまでに棚卸作業を実施しないとMACは「無効」状態となり、不正検知&遮断の対象になったり、IP配信を受けられなくなりますので、エンドユーザへ棚卸の実施を促すことができます。

図

Cアラート通知機能

  不正接続の検知、DHCPサーバ/RADIUSサーバや各種連携機器へのアクセスにエラーが発生した場合などに、 メールまたはSNMPトラップによるアラート通知を行うことができます。
・各種アラートについては、送信する/しないを設定可能です。
・メール通知については、メールテンプレートにより送信先や件名/本文の内容をカスタマイズ可能です。
・SNMPトラップ通知については、MIBファイルを提供しておりますので、SNMPマネージャ製品を問わず運用が可能です。
図

 

掲載されている会社名・製品名は、各社の商標または登録商標です。 © Hitachi Solutions, Ltd. 2010,2016. All rights reserved.