トップに戻る

Transition Networksは、Lantronix、Incが完全に所有しています。

Transition Networks

ネットワークセキュリティ:認証が重要な理由

ほとんどの組織では、物理的セキュリティが提供されています。それがビデオ監視、アクセス制御、モーションディテクタ、またはアラームであるかどうか。営利企業は、物理的な資産と資産を保護するという概念を採用しています。インターネットを介して行われるビジネスが増え、ユーザーが会社のネットワークにリモートでログインするようになるにつれて、ネットワークセキュリティと知的財産の保護の重要性が劇的に高まっています。

ネットワークセキュリティの目的は、データ、収益、および/または生産性の損失につながる可能性のある不正アクセス違反からネットワークとその要素を保護することです。このホワイトペーパーでは、悪意のあるユーザーからの侵入を制限し、電子コンテンツに損害を与える可能性を制限するために、ネットワーク機器内で現在採用されているセキュリティ対策のいくつかについて説明します。

 

HTTPS、SSL、SSHとは何ですか?

パスポートや運転免許証と同様に、SSL証明書またはSSHキーは、認証局(CA)と呼ばれる信頼できるソースによって発行されます。多くのCAは、公開鍵と所有者のIDを含むデジタル証明書を発行することにより、ドメイン名とドメイン名の所有権の存在を確認します。この証明書は、証明書に含まれている公開鍵が、証明書に記載されている個人、組織、サーバー、またはその他のエンティティに属していることを示すCAによる証明でもあります。

HTTPSは、Hypertext Transfer ProtocolSecureの略です。これは、ワールドワイドウェブ(www)で行われるトランザクションを「保護」する機能を提供するサーバーソフトウェアです。 WebサイトがHTTPSサーバーで実行されている場合は、ブラウザーのURLセクションにHTTPの代わりにHTTPSを入力して、「保護モード」に入ることができます。 HTTPSは、PCとサーバー間で受け渡される情報が「安全」であることを確認するために、オンラインバンキングサービスをサポートするために金融機関から提供されることがよくあります。

SSLはSecureSocket Layerの略で、HTTPSが安全に機能することを可能にする標準ベースの暗号化方法です。 SSLは、インターネットトランザクションを保護するために広く実装されており、ほとんどの金融機関がWebを介してビジネスを行うための推奨される方法です。これは、自己生成された秘密鍵とパスワードを使用する公開鍵認証証明書に特に基づいています。 SSLの実装を検討している組織は、VeriSign、Comodo、Go Daddyなどのいくつかの認証局(CA)から公開証明書を購入できます。

たとえば、パーソナルコンピュータからオンラインバンキングサーバーへのSSL接続を確立するために、パーソナルコンピュータは接続を要求し、可能な暗号化方式をアドバタイズします。バンキングサーバーは、両方のコンポーネントで可能な最高の暗号化方式を選択し、その名前、キーを提供する認証局、および公開暗号化キーで応答します。この時点で、顧客は認証局に連絡してキーの信頼性を確認できます。パソコンは、ランダムに番号を生成し、バンキングサーバーから提供された公開鍵を使用して乱数を暗号化し、バンキングサーバーに再送信することで応答します。この時点で、メッセージを復号化できる必要がある唯一のデバイスは、秘密鍵を使用する銀行サーバーです。これにより、2つのネットワークコンポーネント間で受け渡される情報が暗号化される一意の「セッション」が開始されます。

SSHはSSLと非常によく似た方法で機能しますが、交換されたデータを2回暗号化するために、OSIモデルのさまざまなレイヤーをカバーします。最初の暗号化は、物理的な接続が確立されると、OSIモデルのトランスポート層で行われます。この時点で、接続はほとんどの機器で生成できる公開鍵を使用して認証されます。この公開鍵の検証により、128ビットの暗号化が作成され、クライアントとサーバー間の暗号化されたメッセージを介してログインとパスワードを提供できるようになります。パスワードが確認されると、一意のセッションが作成され、秘密鍵を使用してセッションにデジタル署名し、再度暗号化します。今回は、OSIモデルのセッション層で行われます。

SSHシステムへの攻撃が発生した場合、攻撃者はパスワードを傍受するために最初の128ビット暗号化を破る必要があり、次に攻撃者はセッションを「偽装」するために非常に長い一連の数字である秘密鍵に侵入する必要があります。それ以外の場合、ログオンしている場合(「あなた」とまったく同じ時間であっても)、セッションは異なる秘密鍵IDでデジタル署名され、各セッションのソースが検証されます。

IONシャーシ、SM24-1000SFP-AH、SM24-100SFP-AHなどのTransition Networksの新しいモデルの多くはすべて、エンドツーエンドのセキュリティのためにSecure Sockets Layer(SSL)およびSecure Shell(SSH)ターミネーションを備えています。

 

RADIUSとは何ですか?また、Network ManagerがそれをION管理モジュール(IONMM)で実装するのはなぜですか?

RADIUSは、Remote Authentication Dial In User Serviceの頭字語であり、管理認証プロセスを一元化するために設計されたネットワークプロトコルです。 RADIUSは、すべてのネットワーク要素に実装する必要のある管理ルールの数を制限するために、サービスプロバイダーによって広く採用されています。 RADIUSプロトコルは、クライアントとサーバーの関係で機能するように設計されています。つまり、すべての認証ルールと監視は一元化されたサーバーで行われ、各クライアントは、クライアントに対して管理を行う前に、これらのルールにアクセスします。

あなたが20,000のネットワーク要素(スイッチ、ルーター、NIDなど)を持つ大規模なサービスプロバイダーのネットワークアーキテクトであり、管理ネットワークへのアクセスが許可された50の管理ステーションがあるとします。各管理ステーションの認証レベルは異なる場合があります(つまり、ラップトップAはNIDの読み取り/書き込みとスイッチへのアクセスが可能ですが、コア機器への読み取りアクセスしかできない場合があります)。 RADIUSの前は、すべての新しいネットワーク要素と同様に、各ネットワーク要素をルールでプログラムする必要がありました。 RADIUSサーバーでは、ルールは1つの場所にあり、各クライアントデバイスは基本的にそのサーバーからルールを「学習」します。

RADIUSアプリケーションの場合、ION管理モジュール(IONMM)は、ユーザーが管理要求をIONMMに送信し、認証と承認のために要求をRADIUSサーバーに直接転送するという点で、ネットワークアクセスサーバーのように機能します。 。この機能は、ネットワーク管理者が、ネットワークに展開されているすべてのIONMMにルールをインストールすることを心配せずに、許可された担当者にのみIONMM管理情報へのアクセスが許可されるようにするのに役立ちます。また、信頼できないユーザーがION管理モジュールにアクセスした場合、そのユーザーはネットワークをさらに掘り下げることなく、すべてのネットワークルールと認証コードにアクセスできないようにします。

IONシャーシ、SM24-1000SFP-AH、SM24-100SFP-AHなど、Transition Networksのモデルの多くには、すべてRADIUSが組み込まれています。

 

ACLルールとは何ですか?また、ACLルールは何にアクセスを許可/防止しますか?

アクセス制御リスト(ACL)は、文字通り、ネットワーク機器へのアクセスを許可または拒否するリストです。 ION管理モジュール(IONMM)の観点からは、アクセス制御リストを、妥協のない「許可」または「拒否」ステートメントを持つという観点から考えるのが最善です。あなたは入ることが許されているか、出ているかのどちらかです。

IONMMの場合、アクセス制御リストを使用して、IONシャーシの管理へのアクセスを制御し、その後、そのシャーシに挿入されたカードの管理インターフェイスへのアクセスを制御します。 IONMMには、3層のアクセス制御リストがあります。 OSIモデルに関して、IONMMの最上位のレイヤーアクセス制御リストはレイヤー4にあります。レイヤー4では、IONMMはUDPポート、TCPポート、またはICMPタイプに基づいてアクセスをフィルタリングできます。このフィルタは、管理インターフェイスへのアクセスを取得しようとしている可能性のあるトランスポートプロトコルのタイプに基づいて、アクセスを許可または拒否します。アクセス制御の次に高い層は層3で動作し、管理制御にアクセスしようとしているステーションのIPアドレスに基づいています。一方、最下位層のACLは、MACアドレスを使用して層2で機能します。デフォルトでは、これらの各ACLルールには暗黙のallowコマンドが指定されています。つまり、プラグインするすべてのものに、適切なユーザー名とパスワードでアクセスが許可されます。

この暗黙の許可は、セットアップ時にネットワークオペレータが任意のワークステーションからデバイスにアクセスできることが重要であるため、デフォルトとして持つことが重要です。ただし、展開されると、組織のネットワークと収益に悪影響を与える可能性のある潜在的なセキュリティ違反ポイントを表します。これにより、正しいパスワードを持つ誰かがログインしていることを確認するだけでなく、アクセスを許可したマシンがログインしていることを確認するために、ACLを構成することが重要になります。

ACLの最も基本的な形式は、許可/拒否するMACアドレスを指定することです。このACLタイプは、同じブロードキャストネットワークに接続されている場合、またはルーターインターフェイスからの管理を許可すると同時に、ルーターがそのインターフェイスにアクセスできるユーザーをポリシングできるようにする場合に適しています。 MAC ACLのデフォルト状態では、正しいユーザー名とパスワードを持つすべてのMACアドレスが管理情報にアクセスすることを暗黙的に許可します。

ネットワークオペレータが管理を少数のデバイスでのみ構成することを許可し、それらが両方とも管理モジュールと同じブロードキャストドメインにある場合、MACアドレスを管理モジュールに直接入力することは、登録ユーザーは、管理インターフェイスへのアクセスを許可されます。 MACアドレスが許可として入力されると、暗黙の拒否ステートメントがその下で自動的にアクティブになります。これは、指定されたMACアドレスのみが管理インターフェイスへのアクセスを許可されることを意味します。 ION管理モジュールの場合、IONMMには少なくとも1つの許可ステートメントが必要です。そうしないと、WebインターフェイスまたはTelnetを介して管理にアクセスできなくなります。

管理モジュールが管理ステーションとは異なるブロードキャストドメインにある場合、MACテーブルはルーターインターフェイスのMACアドレスを使用する必要があります。これは、「送信元」MACアドレスが関連付けられる場所であるためです。その場合、ルーターのインターフェースにアクセスできる機器はすべて、デフォルトで、正しいユーザー名とパスワードを使用してIONMMの管理インターフェースにアクセスできます。この潜在的なセキュリティ問題は、IPアドレスに基づいてACLを割り当てることで回避できます。

ネットワーク管理者が、すべての管理アプリケーションに使用する3つの個別のラップトップと2つのワークステーションを持っていると想定します。これらの5つのIPアドレスをpermitステートメントを使用してIONMMACLに入力するだけで、それぞれが管理プロンプトのパスワードにアクセスできるようになります。 IPアドレスに「permit」ステートメントが入力されるとすぐに、暗黙の拒否も自動的に入力され、許可されたIPのみが管理インターフェイスにアクセスできるようになります。たとえば、ネットワークオペレータが192.168.100.100にIONMMの管理を許可したい場合、オペレータは他のすべてのIPアドレスに対して拒否ステートメントを入力する必要はなく、allowステートメントが入力された後にそのインターフェイスに暗黙的に適用されます。 1つのコマンドを使用して、IPv4範囲のアドレスまたはIPv4ネットワーク全体を入力できます。 IONMMには少なくとも1つの許可ステートメントが必要です。そうしないと、WebインターフェイスまたはTelnetを介して管理にアクセスできなくなります。

 

結論

このホワイトペーパーでは、ネットワーク管理を容易にし、ネットワークセキュリティを強化するために、今日のネットワーク要素に統合されているセキュリティテクノロジの一部について説明しました。新しいIONプラットフォームは、Transition Networksがこれらの対策を真摯に受け止め、多数の新しいセキュリティ機能と堅牢な管理フレームワークを中心に構築された次世代のインテリジェント光ネットワーキングデバイスファミリを提供していることの証拠です。

 

私は何年もの間、お客様のインストールでTransitionNetworksの製品を使用してきました。私は常に彼らの製品、カスタマーサービス、販売、および技術サポートが一流であることに気づきました。他のブランドを使うことすら考えません。

ITソリューションプロバイダーのシニアプロジェクトマネージャー

閉じる

ディストリビューションからの見積もりをリクエストする

当社の製品は、世界中のパートナーネットワークを通じて販売されています。以下の見積もりをリクエストしてください。当社のネットワークエキスパートが見積もりプロセスを促進し、適切なパートナーと一緒に必要な製品とソリューションを確実に入手できるようにします。

$2,000を超える大規模プロジェクトの場合、特別割引価格を提供できます
見積もりを処理するディストリビューターまたはリセラーの名前。お住まいの地域のパートナーの詳細については、 ページの購入方法

この製品は見積もりに正常に追加されました。

見積もりを表示するには、ここをクリックしてください。

見積もりが正常に作成されました。

見積もりを表示するには、ここをクリックしてください。

製品の編集 - 詳細を編集する

見積もりにはまだ製品が含まれていません。

製品の編集 - 詳細を編集する

製品

見積もりにはまだ製品が含まれていません。

見積もりリクエストは正常に送信されました。

見積もりプロセスを容易にするために、まもなく確認メールが届きます。リクエストした見積もりを保存したい場合は、 ログインする または アカウントを作成する.

エラー

見積もりの処理中にエラーが発生しました。ページを更新して、もう一度お試しください。

見積もりをリクエストしています...
専門家に聞く