検疫ネットワークを探る(2/2)

高崎達哉 2005年06月30日 16時28分

  • このエントリーをはてなブックマークに追加

検疫ネットワークを探る(1/2)で示した通り、現在、ワームによる被害が広まっている。特に、外部でインターネットに接続した際にワームに感染したPCを、企業ネットワーク内に持ち込むことにより、内部から感染が広まるケースが後を絶たない。このような場合の対策として有効だと言われているのが、「検疫ネットワーク」である。本稿では、前回に続いて、検疫ネットワークの仕組みや効果について解説する。

 検疫ネットワークと業務ネットワークを隔離する方式には、大きく以下の4種類が存在する。以降では、それぞれの方式の仕組みと、そのメリット・デメリットについて説明する。

  1. VLAN方式
  2. DHCP方式
  3. ゲートウェイ方式
  4. パーソナルファイアウォール方式

VLAN方式:スイッチでVLANを切り替える

 VLAN方式は、PCが接続されるスイッチのVLAN機能を利用して、PCの接続先を切り替える方式である。最初に、PCがVLAN対応スイッチに接続されると、PCが接続されているスイッチのポートに対して、検疫ネットワークのVLAN IDが割り当てられる(図1)。業務ネットワークには、検疫ネットワークとは別のVLAN IDが割り当てられているため、この時には、まだ、業務ネットワークには接続することができない。

図1 PCが所属するVLANをスイッチが切り替えることで、検疫ネットワークと業務ネットワークを切り替える

 そして、PCは、検疫ネットワーク上の検疫サーバにアクセスし、検疫を受ける。検疫に合格すると、PCが接続されているポートに対して、業務ネットワークのVLAN IDが割り当てられ、業務ネットワークにアクセスできるようになるのである。

 VLAN方式のメリットは、ネットワーク側のエンドのスイッチでアクセス先を切り替えるため、PC1台ごとに確実に制御ができ、安全であるということである。しかし、エンドのスイッチをVLAN対応のものに変更しなければならないというデメリットがある。

DHCP方式:DHCPの動的IPアドレスで切り替える

 DHCP方式では、検疫ネットワークに対して、業務ネットワークとは接続できない(ルーティングされない)ネットワークアドレスを割り当てておく。そして、新規接続PCに対しては、DHCPサーバが検疫ネットワーク用のIPアドレス(仮IPアドレスと呼ばれる)を割り当てるようにする(図2)。

図2 DHCPサーバがIPアドレスを割り振ってPCが所属するセグメントを決める。あらかじめ設定したネットワーク間のルーティング設定の下、接続直後のPCを業務セグメントにアクセスできないセグメントに所属させる。

 このIPアドレスは、検疫ネットワークでのみ有効であり、初期接続PCは、検疫ネットワークにしかアクセスできないことになる。そして、検疫ネットワーク上の検疫サーバにアクセスし、検疫を受ける。検疫に合格した場合には、DHCPサーバが業務ネットワーク用のIPアドレスを割り当て、その後は業務ネットワークに接続できるようになる。

 ルータにIPアドレスによるフィルタリングを施しておくことで、DHCPが割り当てるIPアドレスによってアクセスを制御する方法もある。ルーティングはできるものの、検疫を終えていないIPアドレスからのリクエストをルータがブロックする形態だ。この場合は、最初に一度だけフィルタの対象となるIPアドレス群をルータに設定する必要がある。

 DHCP方式では、VLAN方式のように、ネットワーク機器の変更は必要ないというのがメリットである。しかし、最初から業務ネットワークで使用しているIPアドレスをスタティックに割り当てて接続された場合には、検疫を行わずに業務ネットワークに接続できてしまうという問題がある。

 このため、DHCP方式では、DHCPで割り当てていないIPアドレスを使用して通信が行われた場合には、偽造したARP応答パケットを流すことによって、通信を妨害する仕組みを持っているものも多い。

ゲートウェイ方式:ルータなどが動的にアクセスを制御する

 ゲートウェイ方式では、セグメントを接続しているルータやVPN機器などで、アクセス制御を行う。具体的には、あるクライアントPCからの通信が、ルータなどのゲートウェイを通過しようとした場合に、そのPCがまだ検疫に合格していなければ、業務ネットワークへの通過を許可せず、検疫ネットワークのみに接続できるようにする(図3)。もし、検疫に合格していればアクセス制御が解除され、ゲートウェイを通過できるようになる。

図3 ルータが何らかの方法でPCの検疫状況を調べ、検疫に合格したPC(のIPアドレス)のみを業務ネットワークにルーティングする。

 ゲートウェイ型の特徴は、検疫を終えているのかを調べたり、検疫が終わっていることを確認したクライアントPCに対するアクセス制御を解除するといった作業を、ゲートウェイが自発的に実施する点である。

 ゲートウェイ方式のメリットは、セグメントを接続するゲートウェイのみに検疫機能を加えるだけでよいということである。しかし、ゲートウェイを越えないセグメント内部でのワーム感染には対応できないという問題がある。

パーソナルファイアウォール方式:クライアント側で制御する

 パーソナルファイアウォール方式では、クライアントPC上にあらかじめパーソナルファイアウォールソフトをインストールしておき、そのソフトの機能によって、接続先を制限する。

 まだ、検疫に合格していないPCの場合は、パーソナルファイアウォールは、検疫ネットワークのみに接続を制限する(図4)。そして、検疫ネットワーク上の検疫サーバにアクセスし、検疫を受ける。検疫に合格した場合には、制限が解除され、業務ネットワークに接続できるようになる。

図4 PCみずからが、内蔵するパーソナルファイアウォールのアクセス制御機能を用いて業務ネットワークへのアクセスを制限する。

 パーソナルファイアウォール方式は、ネットワーク側の機能を使用しないため、比較的簡単に導入できるというメリットがある。しかし、すべてのクライアントPCに専用のソフトウェアをインストールする必要があり、そのソフトウェアをインストールしていないPCが接続されてきた場合の対処が難しいという問題がある。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
藤本恭史「もっと気楽にFinTech」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
米ZDNet編集長Larryの独り言
谷川耕一「エンプラITならこれは知っとけ」
田中克己「2020年のIT企業」
大木豊成「Apple法人ユースの取説」
デジタル未来からの手紙
モノのインターネットの衝撃
松岡功「一言もの申す」
三国大洋のスクラップブック
大河原克行のエンプラ徒然
今週の明言
アナリストの視点
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
スマートデバイス戦略
セキュリティ
ネットワークセキュリティ
セキュリティの論点
スペシャル
de:code
Sapphire Now
VMworld
HPE Discover
Oracle OpenWorld
Dell World
AWS re:Invent
PTC LiveWorx
デプロイ王子のテクノロジ解説!
古賀政純「Dockerがもたらすビジネス変革」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
さとうなおきの「週刊Azureなう」
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
北川裕康「データアナリティクスの勘所」
Windows Server 2003サポート終了へ秒読み
米株式動向
Windows Server 2003サポート終了
実践ビッグデータ
中国ビジネス四方山話
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化