特別企画:レイヤ2トンネリング(後編)
レイヤ2を用いた仮想ネットワークの
メリットとデメリット
佐藤純也
インターネットイニシアティブ
2004/7/23
リモートブリッジoverIPを経由した通信のアクセス制御 |
リモートブリッジoverIPの運用はセキュリティポリシーの維持を主眼としているため、レイヤ2ブリッジからの通信に対してフィルタリングを行うことは非常に重要で、セキュリティの維持という観点からすると必須の要件といえます。
リモートブリッジoverIPではレイヤ2トンネルの終端サーバの先にクライアントのPCなどがつながることになります。
図7 リモートブリッジoverIPの利用イメージ |
ユーザーからすると、このままの状態では通常のEthernet経由でアクセスしているのか、リモートブリッジoverIP経由でアクセスしているのかの違いはほとんどなく、ネットワーク上のリソース利用が可能ですし、そのままではリモートユーザーVPNのように明示的なユーザー認証を必要とせずネットワークへアクセスできます。
通常のEthernetを利用する場合には、Ethernetへ物理的につなぐためにEthernetのインターフェイスがある場所へ行く必要があります。大抵の場合、Ethernetのインターフェイスがある場所はオフィスの中でしょうから、オフィス内へのアクセスにかかわる物理的なセキュリティパスを通過する必要があります。
しかし、リモートブリッジoverIP経由でアクセスする場合、レイヤ2トンネルの終端は「IPネットワーク上のどこか」ですから、通常のEthernet経由でする場合に通過しなければならないセキュリティパスを通ったかどうかは確認できません。従って、リモートブリッジoverIPを経由した通信はそのまま通常のネットワークに流すようなことはせず、通信の制御を行うことがセキュリティ上、非常に重要です。
図8 リモートブリッジoverIPからの通信をファイアウォールで制御 |
通信のフィルタリングを実現するための、一般的な例としてはリモートブリッジoverIPによって構築されるネットワークセグメントと、実際のネットワークの間で、ルータやファイアウォールによるフィルタリングを実施しましょう。
さらに高度なセキュリティを施したい場合、802.1xなどを利用してリモートブリッジoverIPの先にあるクライアントを個別に認証する仕組みを採用することも有効です。
クライアントを認証する仕組みを導入した場合、前回お話しした
セキュリティポリシーグループ = ネットワークセグメント |
という目標をスマートに実現可能となります。
クライアントの認証によって、リモートブリッジoverIPで実装されるネットワークセグメントにアクセス可能なユーザーを制限することができるため、そのネットワークセグメントのユーザーのグループを特定でき、これによってセキュリティポリシーグループごとにネットワークセグメントを作成することが可能になります。
さらにリモートブリッジoverIPは既存のIPネットワークのどこにでも仮想的にネットワークセグメントへのアクセスポイントを提供できるため、社内、社外を問わず、同じアクセスポリシーを持った、同じネットワーク環境を提供できます。
具体的な例を挙げると、普段自分が使っているネットワークセグメントを提供するリモートブリッジoverIP環境を用意しておけば、出張先の地方拠点のオフィス内にとどまらず、自宅、海外のホテルなどから同一のアクセスポリシーを持ったいつもと変わらないネットワーク環境を提供できます。
つまり、セキュリティを維持したまま、オフィスの自席にあるEthernetのインターフェイスを持ち歩くことができるといえばイメージしやすいかもしれません。
柔軟なリモートアクセスの提供を「セキュリティを維持したまま」という点がセキュリティポリシー管理では非常に重要であり、このことで、従来の手法ではセキュリティポリシー上、「例外的な処置」として対応が必要になるケースでも低コストで対応することができるのです。
以下に、従来のネットワーク管理では難しかった事例に対してリモートブリッジoverIPが有効な例をいくつか挙げてみましょう。
無線LAN管理への適用例 |
セキュリティ上はマイナスイメージがぬぐえない無線LANですが、ユーザーからすると非常に魅力的なソリューションです。
無線LAN特有の問題として、電波の有効範囲という物理的な制約があるため、オフィス全体をカバーするにはかなりの数の基地局が必要になり、しかもそれぞれの基地局が別々のネットワークセグメントに散在する状況も珍しくありません。無線LANを安全に運用するにはWPAなどの技術もありますが、そもそも社内各所にある無線LANを同一のセキュリティポリシーで管理するのは非常に厄介なことです。
リモートブリッジoverIPを使うことで別々のネットワークセグメントに散在する基地局を集約できるため、無線LANユーザーを同一のセキュリティポリシーで管理することが容易に行えるようになります。
図9 無線LANへの適応例 |
しかもリモートブリッジoverIPはネットワーク構造に依存することなく構築可能であるため、状況さえ許せば、オフィスだけではなく地方の拠点の無線LANをすべて同一のネットワークセグメント上で管理することも可能です。
前ページへ |
2/3 |
次ページへ |
Index | |
特別企画:レイヤ2トンネリング(後編) | |
リモートブリッジoverIPのデメリット/レイヤ2トンネルとブリッジ | |
リモートブリッジoverIPを経由した通信のアクセス制御/無線LAN管理への適用例 | |
小規模拠点管理の適用例/アプライアンス機器メンテナンスへの適応例 |
関連記事 | ||||
|
「Master of IP Network総合インデックス」 |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
|
|