PCのインターネットから社内設置のVPNサーバを使ったリモートVPNでVPN接続で、VPN接続後社内LANとの間にIEEE802.1x スイッチなどで、クライアント証明書の無いパソコンは社内LANに入れないようにする事は可能ですか？PC-＞インターネット-＞UTM（VPNサーバ）-＞スイッチ（IEEE802.1x）-＞社内LANスイッチは、クライアント証明書のないPCは遠さない。UTMの脆弱性をつき、VPN接続してきた不正端末は、スイッチでブロックしたい。PCは、Windows11 を想定。

Geminiさん(無料版)に聞いてみたら、

できますよ、って回答したので、反論してみましたｗ。

Me)

ほんとですか？

よくわからないのですが、802.1xはキーが基本MACアドレスベースだし、

VPNサーバからスイッチの経路はたくさんのパケットが通ります。

スイッチでのブロックはパケットベースは通常でなくポートベースが普通です。

とてもできそうにありませんが？

Gemini)

ご指摘ありがとうございます。ご懸念の通り、通常のL2スイッチが持つ標準的なIEEE 802.1Xの「ポートベース制御」機能だけでは、この構成で特定のVPNセッションのみをブロックすることはできません。

最初の回答で「可能」と申し上げたのは、お客様の目的である「VPNを通過した不正端末をブロックする」というセキュリティ要件を満たすための高度なネットワークアクセス制御ソリューションが存在するという意味でした。言葉足らずで申し訳ありません。



以下に、ご懸念の点について詳しく解説し、お客様の目的を達成するための最も確実な方法をご提案します。

## 1. ご指摘の懸念点について（ポートベース制御の限界）

ご指摘の通り、ご提示の構成において、通常のスイッチのポートベース制御には限界があります。

1. MACアドレスベースの制御ではないか？

* IEEE 802.1X認証は、EAP（Extensible Authentication Protocol）というフレームワークを使用しており、認証の実体はEAP-TLS（クライアント証明書）やEAP-PEAP（ユーザーID/パスワード）などです。

* MACアドレスは、その認証セッションを適用する論理的なエンティティとして使用されますが、制御自体はEAPで行われます。

2. スイッチのブロックはポートベースである

* これが最も重要な点です。UTM/VPNサーバーの単一の物理ポートに、多数のVPNクライアントのセッションが多重化して流入しています。

* スイッチが不正端末を検知してポート制御を実行すると、ポート全体が閉鎖され、正規のVPNユーザーのセッションもすべて切断されてしまいます。

結論として、単なるIEEE 802.1X対応スイッチでは、UTMの単一ポートに集中するトラフィックから、特定の不正端末のパケットだけを識別して遮断することは不可能です。

## 2. お客様の目的を達成する代替ソリューション（NAC連携）

お客様の目的である「UTMの脆弱性を突かれ、VPN接続してきた不正端末をブロックしたい」という二重防御を実現するためには、L2（ポート）レベルの制御ではなく、L3（IPアドレス）レベルの動的なアクセス制御が必要になります。

この要件を満たすための、最も確実で一般的な方法は、NAC（Network Access Control：ネットワークアクセス制御）ソリューションとUTMの連携です。



実現方法：NAC製品と連携した動的ACLの適用

1. UTM（VPNサーバー）の役割

* VPN接続が成功した際、UTMは正規PCに割り当てたVPN接続用のIPアドレス、および証明書認証の結果を、RADIUS認証サーバーに通知します（多くの場合、Accounting情報として）。

2. RADIUSサーバー / NAC製品の役割

* NAC製品は、この情報を基に、正規の証明書を持つ端末のVPN IPアドレスを「正規端末リスト」として保持します。

* 不正な端末がVPNを通過してしまった場合（＝証明書認証なしでUTMの脆弱性を突いた場合）、そのIPアドレスは「正規端末リスト」には登録されません。



3. スイッチの役割（高度な機能）

* NAC製品（またはRADIUSサーバー）は、認証結果に基づいたセキュリティポリシーをスイッチに動的に指示します。

* 具体的には、スイッチのUTM接続ポートに対して、「正規端末リストに含まれないIPアドレスからのトラフィックを拒否するアクセスリスト（Dynamic ACL）」をリアルタイムで適用します。



この方法の有効性

この方法であれば、スイッチのポートを閉鎖することなく、L3/L4の情報（VPNクライアントのIPアドレス）を基にして、単一ポート内の多重トラフィックから特定の不正端末のパケットのみをブロックすることが可能になります。

お客様の目的と、既存のネットワークの構成要件を総合的に考えると、このUTM $\\times$ NAC $\\times$ スイッチ連携によるL3動的制御が、最も現実的で効果的なセキュリティ対策となります。

実現にあたっては、UTM/VPNサーバー、スイッチ、RADIUS/NAC製品が、相互に連携するためのプロトコル（標準的なRADIUSプロトコル拡張やベンダー独自の連携機能）をサポートしていることが前提となります。

Me)

最近Geminiはへりくつをこねるようになりましたｗ。だれのせいだろう？

＞NAC製品

ってなんだろう？

＞高度なネットワークアクセス制御ソリューションが存在する

ことだろうか？

実現可能な方法も怪しいけど、頑張ってください。

スルーでお願いしています。