運用管理の過去・現在・未来:やりたい放題の学内ネットワークに「喝!」 (2/2)
災い転じて
ネットワーク再構築プロジェクトでは、ネットワークをいくつかのセグメントに分けることにした。インターネットと学内ネットワークは、複数のIX(Internet Exchange)との間で合計4Gbpsほどのバックボーンがある。これらのバックボーンのつながるネットワークは、研究目的を優先し、ファイアウォールの設定を厳しくしないことにした。この研究目的のセグメントを利用するのは、申請許可制にした。
そのネットワークの内側に外向けのファイアウォールを設置。大学のWebサイトのサーバなどを設置するDMZ(非武装地帯)のセグメントと、内部ネットワークをキャンパス単位に分けた複数のセグメントをまとめる中継セグメントを設置した。
内部ネットワークの各セグメントでは、基本的にすべてのグローバルIPアドレスを回収し、DNSによる動的割り当てに変更した。どうしてもグローバルIPアドレスが必要な場合のみ月額利用料を徴収することにした。これにより、グローバルIPアドレスを使うコンピュータは、1000台以下に激減したとのことだ。
こうして佐藤さんをはじめとするプロジェクトメンバーの努力により、X大学のネットワークは健全さを取り戻すことができた。学内ネットワークへの攻撃も激減したが、同時に攻撃のパターンが高度化してきたという。そのために、ネットワーク機器やサーバへのパッチ適用など、ネットワーク管理者としての業務は休まる暇がない。
しかし、そこはネットワークが専門の佐藤さん。一般企業の管理者ならば、音を上げてしまいそうな激務にもかかわらず、涼しい笑顔を見せる。というもの、新しいネットワークは、自身の研究にも役立っているからだ。
佐藤さんは、一番外側のセグメントにハニーポット(調査目的にわざと侵入されやすいようしたサーバ/ネットワーク機器)を置き、攻撃検知装置を使ってログを取って攻撃パターンを調査している。また、P2Pファイル交換ソフトの利用にもあえて制限を設けず、P2Pファイル交換ソフトの脆弱性を狙った攻撃の研究も行っている。研究の成果は、学内ネットワークのセキュリティ向上に役立てられているほか、学外にも積極的に情報公開している。
Copyright© 2012 ITmedia, Inc. All Rights Reserved.
オンラインムック Special
- PR -Special
- PR -
ITmediaはアイティメディア株式会社の登録商標です。