ゲートウェイ認証を利用したHTTP接続でアクセス制限を行う

SPSを使用したHTTP接続

本稿ではSPSをプロキシサーバーとして使用してHTTP接続を行う手順を解説します。

構成としては下図のようになります。SPSをプロキシサーバーとしてブラウザに設定して、そこから接続することによってセキュアな通信を確保し、監査証跡を保存することが可能です。

リモートアクセス環境イメージ

本設定ではSPSをノントランスペアレントモードで動作させます。ノントランスペアレントモードについてはこちらの記事をご参照ください。

以下ポリシーの設定を解説します。

LDAPの設定

SPSはゲートウェイとして機能する際、SPS本体に登録したユーザー認証を行うか、連携したサーバーの認証方法を使用するのか選択することができます。ここではアクティブディレクトリ(以降ADと呼びます)との連携を使用して認証を行います。

LDAP設定

ポリシー設定のメニューからLDAP Serversを選択していただき、IPアドレスを入力後、Active directryを選択してDN情報を入力します。

この時、SPSでは対象グループやユーザーをADから探します。

  1. まずGroup Base DNを入力し、アクセスさせたいユーザーのグループが存在するディレクトリを指定します。
  2. 次にUser Base DNを入力し、先ほど指定したグループに所属していて、アクセスを許可したいユーザーが存在するディレクトリを指定します。
  3. 最後にADに登録済みユーザーをバインドします。ここでは、Administratorを指定しています。

User Mapping Policy の設定

接続対象サーバーを使用する権限があるユーザー名を指定します。ここでは、特に指定しないので下図のように「*」を入れておきます。

User Mapping Policy の設定

HTTPポリシーの設定

ここでは、HTTP接続ポリシーを設定します。上記で設定した項目を反映します。

メニューからHTTP>Connectionと移動し、下図のように接続対象①サーバーIP、②SPSのIP、③クライアントのIPを入力します。

HTTPポリシーの設定

HTTP接続ポリシー設定画面を下にスクロールしていきますと、各種ポリシーを適用することが可能な個所になります。

先ほど設定した①LDAPポリシー、②User mapping policy を適用します。設定した名前が付いたポリシーをボックスから選択して保存してください。
また、今回はHTTPの通信を許可する設定をしています。

クライアントPCのプロキシ設定手順

クライアントPCのブラウザにプロキシの設定を施します。ここではGoogle Chromeを例としてご紹介します。

Windowsの機能で設定します。
ネットワークとインターネット>プロキシ>手動プロキシセットアップにてSPSのアドレスとポート番号を指定してください。

クライアントPCのプロキシ設定手順

ブラウザでHTTP接続

上記の設定後にブラウザを介してHTTP接続を行います。ここでは対象サーバーへのアクセスを試行します。

ブラウザを起動させると共通して下図のようにゲートウェイ認証情報を聞かれますので、連携したLDAPサーバーで指定したグループ内のユーザーを認証情報として記載します。

ブラウザでHTTP接続

ADの認証情報を入力後にブラウザが使用可能になるので、対象ターゲットサーバーにアクセスしました。

クライアント接続時の監査証跡

接続後にSPSでセッション状況について確認ができます。
SPSのWeb GUI画面にてSearchの項目を選択すると、接続履歴及び現在の情報を確認することができます。

クライアント接続時の監査証跡

監査証跡エクスポート

監査証跡をダウンロードしてトラフィックを解析することができます。
詳細を表示して右上のダウンロードを選択します。

pcapファイルのエクスポート

その後、専用プレイヤーを起動させファイルを開き、左上のメニューからpcapファイルのエクスポートを行います。その際は空のフォルダにエクスポートするようにしてください。

データ確認

エクスポートしたデータを解析します。ここではPCAPファイルをWiresharkを利用して表示しています。HTTP通信の項目に対象接続サーバーへのアクセスがあったことが確認できるかと思います。

Wiresharkで確認

以上、
ゲートウェイ認証でHTTP通信を行った際に監査証跡として記録する方法について説明しました。

製品詳細・お問合わせ

購入前のお問い合わせ、詳細な説明や実機によるデモのご希望も承っております。

 

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP