第2回 何が変わった? エッジ層を保護するISA Server 2006


高橋 桂子
NRIラーニングネットワーク株式会社
ラーニングソリューション部
(Microsoft MVP for Windows Server System - ISA Server)
2007/1/18

 ISA Server 2006の機能強化点

 今回の連載では、ネットワークの境界を指すエッジ層を保護するISA Server 2006を取り上げます。前回ご紹介したように、ISA Server 2006は次の3つの機能強化を図った製品です。

●セキュリティで保護されたアプリケーションの公開

 現在多くの企業がインターネットを介した、社員やパートナーの組織内のリソースへのアクセス環境を構築しています。こうしたリモートアクセス環境は企業には必要不可欠ですが、マイクロソフトによると自社のWebサイトへ10回以上の攻撃を受けた企業の割合は95%、企業リソースへの不正アクセスを経験した企業は35%にも上ります。

 ISA Server 2006では、従来のアプリケーションレベル検査や検疫制御機能に加えて、認証の大幅な強化や、マイクロソフトのアプリケーションサーバであるExchange ServerやSharePoint Serverを安全に容易に公開するための専用ウィザードの搭載、およびWeb公開時の負荷分散機能を新しく実装しました。

●ブランチオフィスゲートウェイ

 現在、企業の30%にはWAN回線を介したブランチオフィス(支店・拠点)が存在し、IT予算のおよそ33%がブランチオフィスによって消費されているといわれています。このようなリモートのブランチオフィスを本社に接続し、ブランチオフィスからのインターネットアクセスセキュリティを強化、集中管理し、限られた帯域を効率的に活用できる必要があります。

 ISA Serverは、本社とブランチオフィスを接続するVPNサーバ兼ファイアウォールとして、VPNサイト間接続を実現することができます。ISA Server 2006ではこのような機能に加え、帯域の効果的な利用を実現する、BITSキャッシュや、HTTP圧縮、DiffServ IP設定を新しく実装しました。

●Webアクセスの保護

 現在、ハッカーやマルウェア開発者は、金銭的な動機を持ち、ターゲットに対して高度な攻撃を実行する例が増加しています。マルウェアや不正なコンテンツ、トラフィックを検査し、マルウェアや攻撃者がもたらす悪影響から組織を保護する必要があります。

 Microsoft Forefrontでは、エッジ層・サーバ層・クライアント層にわたる多層防御を実現することができます。エッジ層を保護するISA Serverは、マルチレイヤファイアウォールであり、アプリケーションレベルの検査や、侵入検知機能、さまざまな認証に加え、ISA Server 2006では、フラッド攻撃やワームの伝播からネットワークを保護するフラッド防止機能を新しく実装しました。

 今回の記事では、セキュリティで保護されたアプリケーションの公開機能について紹介します。

 認証の強化〜クライアント認証方法と認証の検証方法

 ISA Server 2006では、Webサーバ公開時に、どのような方法でクライアント認証を実行するか、またクライアントから送信された認証データをISA Serverがどのように検証するかを、Webリスナ作成時に明確に定義できるようになりました。

図1 Webサーバ公開時の認証の構成

 さらにクライアントの認証方法としてHTMLフォームの認証が、認証の検証方法としてLDAP(AD)、RAIDUS OTP(ワンタイムパスワード)が新しく実装されました。これにより、次のような環境を構築することができるようになります。

  • HTMLフォームの認証による公開Webサーバへのアクセス時における安全性の高い認証
  • ISA ServerをActive Directoryに参加させなくても、LDAP(AD)を認証の検証方法として指定することで、バックエンドのドメイン・コントローラを使用したLDAPによるActive Directoryユーザーアカウントを使用した認証の検証
  • Aladdin、Vasco、Secure Computing、ActivCardなど他社製のRADIUS OTP(ワンタイムパスワード)サーバを使用した認証の検証

 HTMLフォームの認証とは、Exchange Server 2003のOutlook Web Access(OWA)のフォームベース認証に相当する機能です。ISA Server上でユーザー認証を実装する場合、ISA Server 2004までは、認証方法として、HTTP認証を使用することしかできませんでした。

 HTTP認証は、IISに実装されている認証に相当するメカニズムであり、HTTPのAuthenticationヘッダを使用して、認証データを送信します。HTTPのAuthenticationデータは、Windowsクライアント側に資格情報として認識され、保管されます。

 例えばインターネットカフェに設置されたPCなど、不特定多数の利用者が使用する環境で、ある利用者がHTTP認証を使用してブラウザから認証データを送信した場合、そのPCに資格情報として入力したユーザー名とパスワードがキャッシュされてしまいます。そのため、次にそのPCを使用した別のユーザーがブラウザの履歴から、前の人がアクセスしたWebサイトを探して接続したときに、資格情報がキャッシュされていると、一致するユーザー名、パスワードをキャッシュから取り出してそのまま使用することができてしまうという危険性があります。

 フォームの認証は、次のような専用のASP.NETのフォーム認証用ページを使用した認証方法です。

図2 ISAのHTMLフォーム認証画面

 フォーム認証では、HTTPのAuthenticationヘッダを使用せずに、POSTメソッドを使用して認証データを送信します。フォーム認証ではやりとりされる認証データはクライアント側に認証データとして認識されないため、キャッシュされず安全です。また、認証に成功した場合はユーザークレデンシャルとしてセッションCookieを発行します。セッションCookieにはタイムアウト値を構成することができ、一定時間経過後自動的に無効化できます。フォーム認証時の通信内容をキャプチャすると、以下のようになります。

1.クライアントから認証データ送信

POSTメソッドを通じて認証データ(username=administrator& password=P@ssw0rd) を送信


認証データは暗号化されないため、フォーム認証はSSLと併用して使用
2.認証後、セッションCookieの発行

Set-Cookieヘッダに発行されたセッションCookieをセットし、ブラウザに送信
3.認証後、クライアントはセッションCookieをセットしデータを要求

Cookieヘッダに発行されたCookieをセットし、Webサーバーにデータを要求
図3 フォーム認証時のキャプチャデータ(画像をクリックすると拡大します)

1/3

Index
何が変わった? エッジ層を保護するISA Server 2006
Page1
ISA Server 2006の機能強化点
認証の強化〜クライアント認証方法と認証の検証方法
  Page2
認証の委任とシングルサインオン
Exchange公開ルールウィザード
  Page3
SharePoint公開ルールウィザード
Web公開の負荷分散



Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間