Linux/CGP作業メモ

■スマートフォン対応検疫システムCounterACT + NetAttest LAP
　ITPro EXPOで興味深い製品を見かけたのでメモ。エージェントレスでスマートフォンの検疫システムを構築でき、多拠点型のビジネスモデルでも比較的導入コストを低く抑えられそうで、以前在籍した会社に導入したいなぁと思われたので要点を箇条書きにて整理しておく。

・CounterACTは検疫＋IPSの組み合わせで動作する
・スマートフォンの検疫はMACアドレスベース
　→PCはOSやAntiVirusなど詳細な条件設定可能
・デバイスの識別はHTTPヘッダ上のUser-Agent
・インライン設置でなくミラーポート設置でOK
・CounterACTのみでは同一セグメントしか検疫できない
　→L3スイッチのARPテーブルの参照やARP・NBT・DHCPリレーの監視等他機器連携で可能だそうです
　　関係者の方から訂正をいただきました、ありがとうございます
・今回のケースでは他セグメントはNetAttest LAPをCounterACT連携させて検疫を可能に
・CounterACTが検疫ルールを一元管理
・NetAttest LAPは自管理セグメントの端末検出時にCounterACTに通知
・CounterACTの応答に対応してNetAttest LAPが接続を制御する
・検疫をパスしても不正なパケットはIPS機能で遮断可能という２重防御
・通常IPSは外部からのアクセスに対して設置されることが多いがこれは内部通信向けを想定
・社内でウイルス感染した端末が不正通信を行った場合に検知可能
・対象端末の通信の遮断や遅延（ハニーポット機能あり）をさせることが可能
・ActiveResponse機能はなかなか面白い
・業務システムがDC集中で拠点が多数分散しているようなケースで非常に有効
・NetAttest LAPは小型のアダプタサイズのアプライアンスで非常にコンパクト
・小さい拠点でも設置に困らない←重要
・NetAttest LAP自体もインライン設置でなくミラーポート設置でOK
・５年前に存在していたら当時在籍の会社に即導入提案してたな
・1000ユーザ導入＆３年間維持コストで800万くらい？w
・説明員さんが今は亡きリコース社のManHunt IDSを知っててびっくりした
・その説明員さんがこのblog読んでて更にびっくりしたw

　過去にManhunt IDSを在籍企業で導入していた時には、インターネットからのアクセス部分と社内から社外へアクセスする部分の両方を同時監視できるネットワーク構成にして最小のライセンスで運用可能にし、IDSの機能をフルに活用する工夫をしていたが、この場合多数ある拠点とDC間におけるWLAN通信監視が事実上行えず社内側に一部リスクを残す構成になってしまっていた。今回のこの仕組みがあれば全拠点で各セグメント単位にデバイスを配置し、制御は１ヶ所で集中できることから、社内側ネットワークの監視レベルが高く維持でき、比較的運用的にもコスト的にも抑えられそうな印象があり非常に興味をそそられた。少人数の拠点が多い企業では目の行き届かない部分も多く、こうした仕組みは非常に有効だと思われる。エージェントレスなのでキッティングも不要。httpのヘッダが必要という部分はやや気になるが、Untangleのような無償利用可能なUTMのCaptive Portal Webと組み合わせるなど必ずhttp通信を必須とする環境を作ることで対応は可能だと思われる。CounterACTが更に小さくなればサーバラックのない中小企業でも容易に導入できると思うのでぜひコンパクト化を期待したい。