インターネットアプリケーション時代の企業ネットワーク再設計
>
いまさら聞けない!?ネットワーク機器再入門
|
|
すでに解説したSOAPやアプリケーションサービスプロバイダが定着するとともに,企業ネットワークのインターネット依存度は,ますます高くなる。インターネットへの依存度が高くなればなるほど,インターネットセグメントの設計が重要となってくる。
ここでは,執筆時点におけるインターネットセグメントの設計を解説しておこう。今後,SOAPやIPv6,ブロードバンドネットワークなどの普及に伴って,セキュリティの実装方法やインターネットセグメントの設計方法も変化してゆくものと思われるが,本稿では執筆時点の現実に則しつつ,指針を示すことにする。
|
|
|
インターネットセグメントを設計するうえでは,ファイアウォールのセキュリティ概要を理解しておく必要があるだろう。ファイアウォールとは本来,インターネットというグローバルな外部ネットワークと,組織内のプライベートな内部ネットワークとを切り分け,外部ネットワークからの不正なアクセスや情報の漏洩に対抗するために用いられる広範な技術全般を指す。しかし昨今では,ファイアウォールの機能を手軽に実現できるように,その機能をパッケージ化したハードウェアやソフトウェアが利用されることも多く,一般的に「ファイアウォール」という場合,これらの「ファイアウォール製品」を指すことも多い。そこで本稿では,今日の企業ネットワークで一般的に利用されることが多い,パケットフィルタリング型のファイアウォール製品を前提に説明を進めることにする。
インターネットと企業ネットワークとを接続するためには,インターネットサービスプロバイダと契約し,インターネットサービスプロバイダのネットワーク(つまりインターネット)とリモートルータを介して専用回線で接続する必要がある。インターネットサービスプロバイダと接続するリモートルータには,グローバルIPアドレスを割り当てることが多い。
回線規模によっては,インターネットサービスプロバイダが提供するプライベートIPアドレスを割り当てられることもあるが,それこそダイヤルアップ接続でもするのでない限り,通常はグローバルIPアドレスの支給を受けるだろう。また,グローバルIPアドレスを支給されるのでなければ,ファイアウォールを構築して外部ネットワークから内部ネットワークを隠蔽する必要性は減少する(この場合でも,ファイアウォールを構築すれば,内部ネットワークのセキュリティレベルが向上するのはいうまでもない)ので,本稿中ではこのような構成を除外して考える。
通常,リモートルータはL2-HUBと接続し,そのL2-HUBにファイアウォール製品のExternalインターフェイス(インターネットに接続するためのネットワークアダプタ)を接続する。L2-HUBを利用せず,リモートルータとファイアウォール製品のExternalインターフェイスとを直結させてもかまわないのだが,障害発生時に管理用PCを接続する場面や,NTTドコモからi-modeの専用線を引き込む場面なども想定し,L2HUBを接続しておいたほうがよい。
このとき,ファイアウォール製品のExternalインターフェイスにも,グローバルIPアドレスを割り当てる。つまり,この構成の場合,ファイアウォール製品のExternalインターフェイスまでがインターネットであり,ファイアウォール製品のExternalインターフェイスまでは誰でも自由に到達することができる。
ネットワークの構築手法からみれば,ローカルルータでもパケットフィルタリングを実施するように構成するのが一般的である。その意味では,上記した「ローカルルータからファイアウォール製品のExternalインターフェイスのあいだは誰でも自由に到達できる」旨の記述は正確性を欠く。しかし,ここでは「インターネットと社内ネットワークの境界」を明確にすることを主眼としているので,上記の記述にとどめることにする。
ファイアウォール製品には,最低でも2個のネットワークアダプタが装備されている。1つは,インターネットとの接続に使用するExternalインターフェイスであり,もう1つは社内のインターネットセグメント(内部ネットワーク)と接続するためのInternalインターフェイスである。グローバルIPアドレスが枯渇しつつある現状と,内部ネットワークの構成を隠蔽する目的から,社内の内部ネットワークはすべてローカルIPアドレスで構成するのが一般的となっている。そのため,ファイアウォール製品のInternalインターフェイスにも,ローカルIPアドレスを割り当てる。
パケットフィルタリング型ファイアウォール製品の基本的な動作は,「ExternalインターフェイスからInternalインターフェイスへの通信(インターネットから社内ネットワークへの通信)を拒否し,InternalインターフェイスからExternalインターフェイスへの通信(たとえばホームページの閲覧)を透過する」というものである。InternalインターフェイスにはローカルIPアドレスが割り当てられているため,インターネット上のノードと直接通信することはできない。そのため,Internalインターフェイスからの要求は,ファイアウォール製品が代理処理する必要がある。
ところで,執筆時点におけるファイアウォール製品は,3個のネットワークアダプタを装着していることが多い。3個のネットワークアダプタは,それぞれ,Externalインターフェイス,Internalインターフェイス,DMZインターフェイスとして用いる。DMZとは,De-Militarized Zoneのことであり,インターネットのような外部ネットワークとも,組織内のLANのような内部ネットワークとも異なるセキュリティポリシーで運用される緩衝用のセグメントである。DMZは,扱いのうえでは社内ネットワークの一部に属し,一般的には内部ネットワークとは異なるローカルIPアドレスを割り当てる。
本稿中でいうDMZは,厳密には「公開用セグメント」「セキュアセグメント」「第3セグメント」などと呼ばれるセグメントを指しており,本来「DMZ」と呼ばれていたネットワーク構成を実装する場合の一例にすぎない。
DMZインターフェイスを装着しているファイアウォール製品は,あらかじめ設定された特定の通信を,DMZインターフェイスに接続されたIPセグメント上にあるWebサーバーやFTPサーバーに転送する。これによって,インターネットに公開するWebサーバーやFTPサーバーをインターネットに直接さらすことなく,安全に公開することができる。守るべき内部ネットワークに存在する情報の価値にもよるのだろうが,今日的にはDMZインタフェースを備えたファイアウォール製品を選択すべきであるし,出来合いのファイアウォール製品を利用しない場合でも,DMZに相当するセグメントを設けるべきである。
一般的なファイアウォール製品は,DMZインターフェイスに接続されているIPセグメント上にあるWebサーバーやFTPサーバーを信用していない。つまり,ExternalインターフェイスからInternalインターフェイスへの通信と同様に,DMZインターフェイスからInternalインターフェイスへの通信も拒否する。なぜなら,少なくとも何らかの形でインターネットに公開している以上,DMZ上のコンピュータはクラッキングされるおそれもあるからである。真の内部ネットワーク(Internalインターフェイスに接続されているネットワーク)を保護するため,DMZインターフェイスからInternalインターフェイスへアクセスは禁止される。
実際のファイアウォールでは,セキュリティを強化するため,ファイアウォール製品の多重化,アプリケーションプロキシの採用,リモートルータでのフィルタ実施など,複雑に構成されることもあるが,本稿での説明は割愛させていただく。
 |
18/20 |  |
