TDR Host Sensor Enforcement について
Firebox 構成に Threat Detection and Response (TDR) が含まれている場合は、Fireware v12.5.4 以降で TDR Host Sensor Enforcement を有効化することができます。
TDR Host Sensor Enforcement により、企業ポリシーに準拠しているデバイスへの Mobile VPN 接続を制限する整合性チェックが追加されます。マルウェアに感染する可能性の低いデバイスのみが接続されるため、メインの企業ネットワークの安全性が高まります。
Host Sensor Enforcement を有効化する場合は、Firebox への VPN 接続を確立する上で、モバイル デバイスが以下の要件を満たしている必要があります。
- TDR Host Sensor がモバイル デバイスで実行されており、TCP ポート 33000 経由で Firebox から TDR Host Sensor へ通信できる状態になっている必要がある。
- モバイル デバイスで実行されている TDR Host Sensor が、Host Sensor Enforcement 設定で指定されている TDR アカウント UUID に関連付けられている必要がある。
- (任意) 指定されたバージョン以降の Windows または macOS オペレーティング システムがモバイル デバイスで実行されている必要がある。
仕組み
ユーザーは Mobile VPN 経由で Firebox に接続します。ユーザーが Host Sensor Enforcement が有効になっている Mobile VPN グループに属している場合は、以下のようになります。
- Firebox で VPN 接続が許可されるが、最初は Firebox からモバイル デバイスへの一方向の VPN 通信のみが許可される。
- TCP ポート 33000 経由の VPN を介して Firebox から Host Sensor に接続される。
- Host Sensor Enforcement 設定で指定されている TDR アカウント UUID に Host Sensor が関連付けられているかどうかが Firebox で検証される。
- モバイル デバイスがオペレーティング システムの要件を満たしているかどうかが Firebox で検証される (要件が指定されている場合)。
Firebox と Host Sensor では、メッセージ認証として、TDR 認証キーとハッシュ ベースのメッセージ認証コード (HMAC) が使用される。
以下の場合は、Firebox で Mobile VPN 接続が終了します。
- TDR がインストールされていない、TDR がインストールされているが実行されていない、モバイル デバイスで TCP ポート 33000 が開いていない、または HMAC の不一致が発生したなどの理由で、Firebox から TDR Host Sensor に通信できない場合。
- モバイル デバイスで実行されている TDR Host Sensor が、Host Sensor Enforcement 設定で指定されている TDR アカウント UUID に関連付けられていない場合。
- モバイル デバイスがオペレーティング システムの要件を満たしていない場合。
ホストが正常に接続された後は、Firebox で TDR Host Sensor の変更が監視されることはありません。たとえば、ホストが VPN に接続されているときに TDR Host Sensor がアンインストールされても、Firebox で接続が終了されることはありません。
TDR Host Sensor Enforcement の構成方法については、TDR Host Sensor Enforcement を構成する を参照してください。