中規模ネットワークの構築 - 運用管理設計
40,50人〜数千人が利用する中規模ネットワークを構築する時の運用管理設計について説明します。
ネットワークの管理のために運用管理VLANを検討します。運用管理VLANに接続された機器しかネットワーク機器にssh等で接続出来ないようにしてセキュリティを確保するためです。
集中ルーティング型ではファイアウォール、コアスイッチ、エッジスイッチ共に運用管理VLANのIPアドレスを設定し、コアスイッチでフィルタリングして他のVLANからは通信が出来ないようにします。
この時、可能であればファイアウォールでは運用管理VLANとのルーティングを停止し、運用管理VLANからファイアウォールへは通信出来るものの、他VLANから運用管理VLANへはルーティング出来ないようにして、万一フィルタリングにミスがあってもインターネットから通信出来ないようにすると望ましいと思います。
物理的な接続と対比させると以下になります。
分散ルーティング型ではネットワーク機器全てに運用管理VLANを設定出来ないため、設定されているIPアドレスに対してファイアウォール、各スイッチで運用管理VLANからだけ通信可能なようにフィルタリングします。
物理的な接続と対比させると以下になります。
運用管理VLANという特殊なVLANがある訳ではなく、通常のVLANと同様の設定で作成します。
尚、実際の運用では管理端末だけアクセス出来て、管理者自身のパソコンからアクセス出来ないと不便です。このような場合、管理端末ではなく運用管理サーバーを構築し、運用管理サーバー経由で運用管理VLANにアクセス出来るようにします。
運用管理サーバーは運用管理VLANだけでなく、通常のパソコンから接続出来るように他のVLANにも接続されている必要があります。
運用管理VLANはサーバーの運用管理VLANとも共有出来るため、ネットワーク、サーバー両方の管理者向けのVLANとして構築すると便利です。
尚、管理者が少ない場合や管理する機器が少ない場合は、運用管理VLANを設けずに管理者のパソコンからだけアクセス出来るようにフィルタリングする方法もあります。
又、運用管理VLANに対して、通常の業務データが流れるVLANを業務VLANと呼ぶ事もあります。
ログの扱い
ネットワーク機器ではログを保存出来る量が少ないため、すぐに上書きされてしまいます。
トラブル発生時にログを見ようとしても消えている事も多く、複数機器に渡る場合、それぞれの機器から採取してくるのも面倒です。
このため、syslogサーバーにログを保存する事を検討します。
syslogサーバーを運用管理VLANに接続し、スイッチやファイアウォール等のネットワーク機器からsyslogサーバー宛てにログを送信するようにします。
又、ログが分かり易いようにファシリティで分類します。例えばファイアウォールのようにログが大量にある機器は1台で1つのファシリティ、スイッチのように余りログが多くなく機器の数が多いものは複数のファシリティに分けると分かりにくいため、全体で1つのファシリティにすると分かり易いと思われます。
尚、スイッチではパソコンが接続されたインターフェースのup、downまでログを送信すると大量になります。このため、トラブル発生時に解析が出来るように基本は装置のトラブルを示すWarningやCritical相当を採取します。Warningは装置がダウンするまではいかないものの何等かの影響がある場合のログ、Criticalは装置がすぐにダウンするような場合に出力される事が多いためです。又、勝手に設定変更されてないか確認するため、設定変更したログやログインした証跡のログを採取するようにします。
ファイアウォールについては全ての通信のログを残す事が基本です。例えば、Webサイトを改ざんされた等のセキュリティ被害にあった場合、ログからどの通信が原因だったか確認する事が出来ます。又、踏み台にされて意図せずに他サイトを攻撃した場合等は警察からログの提出を求められる事があります。この場合は、ログによって少なくとも悪意がなかった事が証明出来ます。
このような事からスイッチはトラブル発生時に使う事が主目的のためログ保存期間は短くてよいと思いますが、ファイアウォールのログは被害に合った時の対応や予期しない加害者の疑いを晴らす意味で保存期間は長くする必要があります。ファイアウォールのログは全てのフレームについてログを採取出来れば望ましいですが、ログが大量になるのとファイアウォールの負荷にも影響が出る可能性があります。このため、1アクセス単位で採取してどのような通信があったか記録する事が重要です。
上記は広告ですが、自動でお奨めの商品やこのページに合った情報を提供してくれます。コーヒープレークになるような商品や情報が表示されている事を願っています。引き続き最後まで読んで頂けたらと思います。
ログ保存期間の補足
ログの保存期間について日本では明確な法律はありませんが、国際的な条約であるサイバー犯罪条約で最大90日の保全を求められる場合があり、日本も加盟しています。保存義務ではなく保全なので、保存していたらそのまま消去しないよう求める事です。従って、保存しなければいけないという事ではありません。
又、国際カードブランドの基準であるPCI DSSでは最低3か月保存する必要があります。国際的なカードブランド社が運営しているだけでなく、IT企業等多くの企業が会員です。このため、カード会社でなくても参考になる数字です。
統計的にはセキュリティ事故発見から過去1年以内に殆どの要因があるとされています。
このため、ファイアウォールのログは最低3ヶ月、出来れば1年以上保存する事をお奨めします。
ファイアウォールのログは全て採取するとアクセス数によっては大量になりますが、例えば1アクセスについて1Kバイトのログが発生し、1時間当たり10,000アクセスあった場合、1日では240Mバイトになり、1年間では約90Gバイトになります。
最近ではテラ(=1,024G)を越えるディスクも多いため、余程アクセスが多くない限り一般の企業や研究所で1年間ログを保存する事はそう難しくないと思います。
時刻同期の検討
ログをsyslogサーバーで集中管理しても時刻がズレているとトラブル発生時に調査するのが困難です。例えば15:00にトラブルが発生し、15:00頃のログを調べていても時刻がズレていたため15:10として記録されていると、該当のログが探しにくくなります。このため、NTPサーバーを運用管理VLANに接続し、各スイッチを時刻同期させます。
NTPサーバーやファイアウォールはインターネットで公開されている上位のNTPサーバーに時刻同期させるようにします。
上記のようにすると以下の階層構造となり、全ての機器で時刻同期されます。
上位のNTPサーバーは通常は複数設定出来ます。このため、NTPサーバーが複数台ある場合は全てのNTPサーバーに同期するように設定する事で冗長化が可能です。
SNMP及びSNMPTRAPの検討
ネットワークの管理・監視のために運用管理VLANにSNMPマネージャを接続する事を検討します。
導入するSNMPマネージャによって機能は違いますが、一般的にはMIBを収集する事で通信量がどの位あるかグラフで表示して把握する事も可能です。
MIBを収集してグラフ表示するのに特化したソフトウェアとしてMRTGがあります。
又、殆どのSNMPマネージャの場合、TRAPを受信すると管理者にメールを送信したり、GUI画面でグラフィカルに該当箇所を表示させたりする事が出来ます。
監視のソフトウェアの例としてはnagiosがあります。
MRTG、nagios共にGPLというライセンスを採用していて、自由にダウンロードして無料で利用出来ます。
DMZについて
DMZのスイッチを管理する方法は2通りの考え方があります。1つは既に説明した運用管理VLANにそのまま接続する方法です。
DMZのスイッチはファイアウォールのDMZのインターフェースに接続されていますが、運用管理VLANのIPアドレスを設定すれば論理的にはDMZに接続されていない事になり、例えファイアウォールのフィルタリングがなくてもインターネットからDMZのスイッチへは通信出来ません。これはDMZのスイッチがDMZのネットワークに属していないためです。
スイッチだけ考えた場合はこれで問題ありませんが、DMZにあるサーバーまで含めて考えた場合は少し検討が必要です。
サーバーは通常のインターフェースとは別に管理用のインターフェースを接続するための運用管理VLANが必要になる事があります。
この運用管理VLANはサーバーから通信を発信出来る場合はイントラネット内の運用管理VLANと同じであってはいけません。DMZのサーバーはインターネットに公開されているため、万一乗っ取られるとイントラネット全てのサーバーやスイッチが危険になるためです。
このため、可能であれば小さなファイアウォールを導入して必要な通信だけ透過するようにします。
DMZの運用管理VLAN用のスイッチを用意してDMZのスイッチやサーバーを接続し、小型ファイアウォールに接続する事で実現可能です。
このようにする事でセキュリティを確保しつつ、DMZとイントラネットの運用管理VLANの間でssh、syslog、SNMP等必要な通信が可能になります。
小さなファイアウォールを用意出来ない場合は、DMZの運用管理VLANをインターネットに接続するファイアォールに接続してイントラネットの運用管理VLANと通信出来るようにしても大丈夫ですが、設定が複雑になるため充分留意が必要です。
尚、DMZのスイッチやサーバーに関しては公開NTPサーバーに同期させますが、DMZにNTPサーバーがある場合はこのサーバーに同期しても良いと思います。
LLDPの検討
LLDPをサポートしている機器が殆どの場合は有効化する事を検討します。LLDPを利用する事で近隣の装置の把握だけでなく、どのインターフェースに接続されているかの確認も容易に出来るようになります。
このため、間違ったインターフェースのケーブルを抜いたり、間違ったインターフェースの設定変更をしたりするミスを防ぎやすくなります。
尚、Catalystの場合、LLDPと同等の機能であるCDPがデフォルトで動作しています。スイッチをCatalystで統一している場合はそのまま有効でよいと思いますが、Catalystが少ない場合はCDPを停止する事も考慮します。