4. 校内ギガビットネットワークの概要

校内ギガビットネットワークの概要
情報工学科 脇山俊一郎
1.はじめに
平成 13 年度の補正予算で校内 LAN 更新の予算が認められ,平成 14 年 3 月より新システムの運用
が開始されました.新ネットワークは回線速度の増速のみならず,ネットワークのセキュリティにも
重点を置き,様々なネットワークサービスを安定かつ安全にユーザに提供できるよう設計されていま
す.ここでは新しいネットワークの構成を紹介するとともに,そこで取り入れられているセキュリテ
ィ対策について紹介します.
2.システム概要
2.1ネットワーク
図 1 に新しい校内 LAN システムの構成を示します.
8号棟(電子制御棟)
10号棟(専攻科棟)
3〜5年教室
実験室
教官室
6号棟(電子・情報棟)
ネットワーク機器室
実験室
教官室
フロント
スイッチ
対外接続用
エッジスイッチ
フロント
スイッチ
5号棟(電算機室)
外部DNSサーバ
7号棟(設計工作室)
外部Webサーバ
外部Mailサーバ
DMZ用
エッジスイッチ
ファイヤウォール
装置
実験室
エッジスイッチ 教官室
ビデオ配信
サーバ
フロント
スイッチ
内部DNSサーバ
ネットワーク
管理・監視
装置
3号棟(研究実験棟)
内部Webサーバ
DHCP管理装置
2号棟
図書館
事務室
1号棟(管理棟)
エッジスイッチ
事務室
ビデオ配信サーバ
内部Mailサーバ
NetNewsサーバ
フロント
スイッチ
Web
Proxy/Cache
サーバ
ビデオ配信エンコーダ
実験室
教官室
4号棟(講義棟)
センターL3スイッチ
Web
ウィルス検知除去
サーバ
実験室
教官室
エッジスイッチ
フロント
スイッチ
9号棟
(技術開発センター)
GBE用ファイバ増設
GBE用既設ファイバ使用
エッジスイッチ
GBE用ファイバ・ラック内配線
実験室
研究室
技術交流サロン
1〜2年、5年教室
特別教室
(LL、物理化学)
体育館
学寮
事務室
エッジスイッチ 図書室
100Base-TX UTPカテゴリ5
図1:新校内 LAN システム構成図
新システムの基幹ネットワークは,センターレイヤ 3(L3)スイッチ,フロントスイッチ,エッジ
スイッチからなる 3 階層構成の Ethernet スイッチ群から構成されています.
センターL3 スイッチは,レイヤ 3 スイッチングの機能により校内 LAN 全体の IP ルーティングを司
- 36 -
る装置で,その名の通りシステムの中心として働きます.ここには基幹となるネットワーク装置の他,
各種ネットワークサービスを提供するサーバ群も接続されています.一方,フロントスイッチは校内
の主要な棟屋に設置され,教育用システム等の接続や隣接棟屋のエッジスイッチ,棟内の情報コンセ
ントを収容します.また,エッジスイッチでは情報コンセントの収容のみを行います.
使用している Ethernet スイッチはすべで Cisco Systems 社のものです.表1に導入機種の一覧を
示します.
表 1:導入した Ethernet スイッチ
スイッチ種類
製品名
センターレイヤ 3 スイッチ
Cisco Catalyst
フロントスイッチ A
Cisco Catalyst
フロントスイッチ B(10 号棟のみ)
Cisco Catalyst
エッジスイッチ
Cisco Catalyst
6500
4000
2948G/L3
3500XL
学内各棟に設置されるスイッチ間は光ファイバーを用いて,GigabitEthernet により接続されてい
ま す . 特 に ト ラ フ ィ ッ ク が 集 中 す る セ ン タ ー L3 ス イ ッ チ と フ ロ ン ト ス イ ッ チ の 間 は ,
GigabitEthernet を 2 回線用意して高速化を図るとともに,一方の回線に何らかの障害が発生した場
合に備えての冗長性も持たせています.
一方,各エッジスイッチから情報コンセントまでの間は,従来と同様にカテゴリ 5 の UTP ケーブル
により配線されています.従来,この部分はシェアード・ハブを用いて 10Mbps の帯域を複数のコンセ
ントで共有する形となっていましたが,新システムではすべての情報コンセントがそれぞれエッジス
イッチの独立したポートに接続されるようになっています.これにより末端においても回線速度
100Mbps が保証されるようになりました.また,情報コンセントはポートベースでの VLAN(Virtual
LAN)により管理されており,サブネットへの割り当て・変更等が容易に行えるようになっています.
2.2ネットワークサービスサーバ
校内 LAN のユーザにネットワークサービスを提供するサーバとして,
• ネームサーバ(Primary・Secondary の 2 台)
• メイルサーバ(教職員用・学生用・メイリングリスト管理および中継用の 3 台)
• Web サーバ(学外向け・学内向けの 2 台)
• Proxy/Cache サーバ(1 台)
• ビデオ配信サーバ(学外向け・学内向けの 2 台)
• NetNews サーバ(1 台)
の各種サーバを用意しています.
各サーバ用のマシンは,すべてラックマウントタイプのもので,1つのラックに収容されています.
ネームサーバ,メイルサーバ,Web サーバは Sun Microsystems 社の Sun NetraT1 Server で,OS は
Solaris8 を使用しています.Proxy/Cache サーバについては処理能力を重視し,性能の高い Sun Fire
280R Server を採用しました.Proxy/Cache サーバには学内からの通信が集中するため,センターL3
スイッチへの接続も GigabitEthernet を用いています.一方,ビデオ配信サーバおよび NetNews サー
バには Intel アーキテクチャの CPU を使用した Compaq 社の ProLiant DL300 を使用しています.ビ
デオ配信サーバの OS は Windows2000 Server で,ビデオ配信には OS に付属している Windows Media
Server を使用しています.また NetNews サーバでは Linux OS のもとで Cnews が稼動しています.
2.3セキュリティ対策
ネットワークが学校での重要な基盤として機能するようになるにつれ,様々なネットワークサービ
スを安定かつ安全にユーザに提供することも,極めて重要な要素となってきました.ここでは新シス
テムでの不正アクセスやウイルス等に対するセキュリティ対策について紹介します.
- 37 -
2.3.1不正アクセス対策
残念なことですが,インターネットの利用者の中には,インターネットに接続されているシステム
への不正アクセスを試みる人たちが少なからず存在します.本校の校内 LAN もインターネットに接続
しているため,不正アクセスの脅威にさらされています.ポートスキャンや既知のセキュリティホー
ルを突いた不正アクセスの試行などは今では定常的に観測されるほどです.それらの攻撃から校内
LAN と学内のコンピュータを保護するために,本システムではファイアウォール装置を導入し,パ
ケットフィルタリングを行っています.使用しているファイアウォール装置は,CiscoSystems 社の
Cisco Secure PIX515 で,外部,内部,DMZ(DeMilitarized Zone:非武装地帯)の3つのセグメントを
接続するネットワークインタフェースが用意されています.
(図2)
Internet
対外接続の基本的なフィルタ
PIX Firewall
インターネット側からの接続が必要な
ネットワークサービス用ホスト向けのフィルタ
校内LAN内部への
アクセスを制限する
フィルタ
DNS
Mail
Web
校内LAN
図 2:ファイアウォール装置とその機能
外部セグメントは対外接続用のセグメントで,本校と東北学術研究インターネットコミュニティ
(TOPIC)をつなぐルータが接続されています.ここでは,プライベートアドレスをもつパケットの流
入・流出を防ぐといった対外接続の基本的なフィルタリングを行っています.
DMZ セグメントは外部ネットワークと内部ネットワークのいずれからも隔離されたセグメントで,
外部からのアクセスが必要となるネームサーバやメイルゲートウェイ,学外向け Web サーバ・動画配
信サーバが接続されています.ここでは,それぞれのサーバが提供するネットワークサービス向けの
ポートについてのみ接続を認め,それ以外のパケットはすべて遮断するようにしています.
内部セグメントには,メインの L3 スイッチを通じて学内向けのネットワークサービスを提供する
サーバや教育用電子計算機システム,情報コンセントを介して接続されるコンピュータ群が接続され
ています.ここでは,基本的には外部から内部へ向けたパケットをすべて遮断するようにしています.
したがって,校内 LAN に接続している一般のコンピュータに学外から接続することはできません.一
方,内部から外部へのアクセスとその応答のパケットに関しては通過させるように設定しているので,
学内からインターネットへのアクセスは問題なくできます.なお,いくつかの特定のホストおよび特
定のサブネットについては,外部からのアクセスが可能となるようにしていますが,その際も実際に
必要となるポートについてのみパケットの通過を許すようにして,セキュリティを確保するようにし
ています.
2.3.2ウイルス対策
- 38 -
一般のネットワーク利用者にとって,最も身近なネットワークセキュリティ問題はコンピュータ
ウイルスではないでしょうか.コンピュータウイルスは,電子メイルや Web ページの閲覧により,
みなさんが使用しているパソコンに感染し,保存ファイルの破壊やウイルスのさらなる伝播,DoS
攻撃の拠点化など,様々な不正行為を働こうとします.
コンピュータウイルスからパソコンを防御する方法としては,それぞれのパソコンにウイルス感染
を予防するソフトウエアを導入するのが一般的です.これらのソフトウエアは
• 送受信する電子メイルを検査しウイルスの有無の確認や削除を行う
• 定期的にハードディスク内を検査し,ウイルスに感染しているファイルを発見・削除する
といった機能を持ちます.ウイルスかどうかの判断は,パターンファイルと呼ばれるデータベースと
の照合により行われますが,パターンファイルは日々更新がなされており,最新のファイルをダウン
ロードしておかなければウイルス感染の予防にはなりません.ウイルス対策のソフトウエアを導入し
ていても,パターンファイルの更新を怠っていたり,パターンファイル購読の期間が切れていたりし
て,期待通りの働きをしていない例が校内でも見受けられます.そこで,新システムでは電子メイル
や Web ア ク セ ス の サ ー ビ ス を 提 供 す る サ ー バ に ウ イ ル ス 対 策 の ソ フ ト ウ エ ア ( InterScan
VirusWall)を導入し,一元的な管理・監視のもとでウイルスの検出・削除が行えるようにしました.
図 3 に電子メイル利用時のウイルス検出・削除のしくみを示します.
Internet
VirusWall
sendmail
校内LAN
pop
送信メイル
受信メイル
メイルサーバ
ユーザPC
図 3:メイルサーバでのウイルス検出・削除のしくみ
すべての電子メイルはメイルサーバを介して送受信がなされています.メイルサーバでは電子メイ
ルの送受信を行う sendmail という daemon が稼動しており,25 番ポートで電子メイルの中継を待
ち受けています.VirusWall は sendmail の代わりに 25 番ポートを監視し中継メイルを受け付け,
そこでウイルスの有無を検査し,ウイルスを含む添付ファイル等があればそれを削除した上で
sendmail に処理を渡しています.
校内 LAN に PC を接続し,Outlook や Eudora 等の電子メイルソフトウエアを使用している場合,
それらのソフトはメイルサーバに保存されているメイルを pop というプロトコルにより受信します.
メイルサーバに保存されているメイルはすでに VirusWall でウイルス検査済みなので,ウイルス感
染の危険はありません.一方,ユーザ PC が何らかのウイルスに感染していて,その PC から送信す
る電子メイルにウイルスが付着している場合が考えられます.その場合も,送信メイルは一旦メイル
サーバに送られるため,その時点でウイルスの検査がなされます.従って,ウイルス付きメイルを伝
- 39 -
播させてしまう恐れもなくなります.
メイルサーバでは毎日定期的にウイルス検出のためのパターンファイルを最新のものに更新して
いるので,新たなウイルスが出現した場合でも,最小のタイムラグで電子メイルの安全性を確保する
ことが可能となっています.
ネットワークを介したウイルスの伝播手段としては,電子メイルによるものの外,Web アクセス
時にウイルスに汚染されたファイルをダウンロードしてしまうことが考えられます.また,Web ペ
ージに仕掛けられていた不正なプログラムにより,ウイルス感染と同様の被害に遭うケースも出てき
ています.そこで,新システムでは Web アクセス時にも VirusWall によってウイルスや不正プログ
ラムの検出・削除ができるような構成(図 4)を採っています.
Internet
ウイルス・不正プログラムの
検出・削除
VirusWall
squid
SmartFilter
proxy
cache
URLの検査
proxy
cache
教官室等のPC
教育用電子計算機システム
図 4:Web 閲覧時のウイルス検出・削除のしくみ
校内からの Web アクセスは,教育用電子計算機システムの端末からは教育用電子計算機システム内
の proxy/cache サーバを経由して,それ以外の端末からは校内 LAN システムの proxy/cache サーバを
介してなされています.校内 LAN システムの proxy/cache サーバでは,SmartFilter というソフトウ
エアにより閲覧しようとしている URL を検査しています.これは本校からのネットワーク利用として
ふさわしくない内容を持つ Web サイトへのアクセスを制限するためです.Proxy/cache サーバは
SmartFilter による URL 検査の後に,VirusWall が稼動している Web ウイルス検知除去サーバを介し
て目的の Web サイトにリクエストを伝えます.Web ウイルス検知除去サーバでは,リクエストに応じ
て Web サイトから送られてくるデータを検査し,ウイルス感染や不正プログラムの実行を阻止してい
ます.
2.3.3セキュリティ対策の効果
4 月から 7 月の 4 ヶ月間に,メイルサーバ上の VirusWall によって検出されたウイルス検知数を
- 40 -
図 5 に示します.ここで,hirose は cc.sendai‑ct.ac.jp ドメイン,mailgw は info.sendai‑ct.ac.jp
ド メ イ ン お よ び メ イ リ ン グ リ ス ト で 使 用 し て い る sendai‑ct.ac.jp ド メ イ ン , inetgate は
ccedu.sendai‑ct.ac.jp ドメインのメイルを取り扱っているメイルサーバです.学生のメイルアドレ
スで使用する ccedu ドメインを管轄する inetgate での検知数が他に比べ低くなっていますが,これ
は学生の電子メイル利用が,学校のアカウントよりも携帯電話のメイル機能や自宅で契約している商
用プロバイダーのメイルアドレスを使用することが多いためと考えられます.
ウイルス検知数
180
160
140
検知数
120
inetgate
mailgw
hirose
100
80
60
40
20
0
4月
5月
6月
7月
図 5:電子メイルのウイルス検知数
平成 14 年 7 月 15 日に FRETHEM ウイルスに感染した添付ファイルを持つメイルが学内でも大量に見
つかりました.このとき流行したウイルスは VirusWall のパターンファイルでは検出が不可能であっ
たため,パターンファイルが更新されるまでの間,自動検出ができずに学内に入り込んでしまいまし
た.従って,図5のウイルス検知数にはこの間のウイルス感染メイルのトラフィックが計上されてい
ません.このようにメイルサーバでウイルス検出・削除ができるようになっても,新種・亜種のウイ
ルスが出現した場合は,パターンファイルが更新されるまでは素通りになってしまうため,万全では
ないことに注意してください.
3.おわりに
新システムの導入により,本校の校内ネットワークはより高速に,また堅牢なものになりました.
セキュリティ強化はネットワーク利用の安全性を高めますが,一方で利便性を多少損なう部分も出て
きます.新システム稼動後に,「Web ブラウザからインターネット上の大きなファイルをダウンロー
ドしようとすると,随分待たされるのだけど」,というご相談がありました.これは一旦,VirusWall
でのウイルス検査が入った後に,パソコンにファイルが転送されてくるために起きる現象です.校内
ネットワークの安全性を確保するために,このようなトレードオフが生じることをご理解頂きたく思
います.
ネットワークへの接続や利用について不明な点がありましたら,お気軽に情報技術室のスタッフに
ご相談ください.
- 41 -