24-5. ネットワ−ク構築は雲の彼方に `2e/03〜 (1) クラウド時代のネットワ−ク `2f/01 * 全ては空の上の雲のことにて SDNとか OpenFlow とか新しい技術はここに説明。それらをあわせて、どういうイント ラネットを構築できるのか。全体を見ていかないと。その中でここのことを見ていく。数 年先に再構築しなおすことになるネットワ−クのインフラ。できる限り社内にコンピュ− タは置かない、ということになるか。その時のキ−ワ−ドはこんなのか。 クラウドサ−ビスの利用、アカマイ、SDNでの設計、WAN回線。 Interop 2014 で入り口入ったところのセミナ−会場にて。 ちょうどSDNの説明が始ま るところだったので、立ち見で聞いた。冒頭、SDNは Software-Defined Network でな く Software-Defined Networking だと言っていた。 概念だから、手法だから、そんなよ うな理由を挙げていた。この展示会ではもうSDNは実用レベルに入った感があった。 SDNの実装方式は 1)オ−バ−レイ方式、仮想スイッチの間をトンネルを張る。 2)ホッ プバイホップ方式、OpenFlow 対応の物理スイッチを使用。OpenFlow の装置は社内のネッ トワ−クを部分的に扱うことができるのか、アライドがそうした製品を出していた。もう SDN製品を試しに買って動作確認を始めるべきだと思う。 NFV -- Network-Functions-Virtualization SDN -- Software-Defined Networking VTN -- Virtual Tenant Network VTN というのもある、1つの物理ネットワ−クに複数の仮想ネットワ−クを設定する技術。 異なる仮想ネットワ−クならばIPアドレスは重複しても構わない。 SDNの研究開発を進める国家プロジェクト O3( Open Organic Optima )。表記は大文字 のオ−に小文字の 3 を右下に書く。 身近な例で。business-news@impress.co.jp からの 2014/06/04 のメ−ルにて。名古屋市 立大学病院、OpenFlow でネットワ−ク再構築。導入製品 UNIVERGE PF シリ−ズ。 BROCADE 社のイ−サネット・ファブリックとは。 業界初の Ethernet Fabric スイッチと いう製品 Brocade VDX。ブロケ−ド社もSDNのブ−スに出していたけど、よく分からん。 大きな本屋へ久しぶりにいってSDNの本が出てないかみてみよう `2e/12/s。 あったけ ど一冊しかなかった。「すべてわかる SDN/NFV 大全」日経BP社、2,700円。 SDNのことはもう少し調べてまとめたいが、もうその気力がないので強引にまとめよう。 `2g/05 今もって周囲でもSDNやらないかんネとか検討してますヨという話は聞かない。 * KDDIもSDNのサ−ビス開始 2014/09/11 夕方きたメ−ルにて。【注目サ−ビス】 KDDI Wide Area Virtual Switch 2 〜世界初! イントラネットにセキュリティ機能を実装、 ビジネスシ−ンをさらに加速〜。 世界初となるクラウド型のイントラネットファイアウォ−ル機能(注)により、異なる企業 間での閉域ネットワ−クを利用する場合にも、安心・安全な社内セキュリティを確保する ことができます。(注)2014年6月12日時点自社調べ。SDN技術をイントラネット通信に適用 することが世界初。イントラネット内のセキュリティクラウドに関する特許出願中。 2014/06/12法人向けWANサ−ビス、8月末から順次提供開始。KDDI Wide Area Virtual Switch2(WVS2)。SDNだが OpenFlow ではないらしい。 その会社のWANの接続点でフ ァイアウォ−ル、IPS、ウィルス対策などを実施。これはSDNではなく NFVというの だ。これまでは例えばファイアウォ−ル設置サ−ビスと言えばその会社の方に装置を設置 して面倒みてもらうということだった。NFV ではこれらセキュリティ装置はWANの網側 に設置する。仮想化技術で何でもサ−ビスできるようになった事が背景にある。 * SDNでLANの設計を見直す ネットワ−ク設計はレイヤ3スイッチで大規模ネットワ−クを構築。タグVALNに利用 で柔軟なネットワ−クを構築。そして次のキ−ワ−ドはオ−バ−レイ、OpenFlow、SDN。 インタ−ネット回線の冗長構成もSDNで変わるのでないか。パケットを何とでもできる のだから。そもそもはC言語でパケットの中身を見て制御するプログラムである。DMZ にWWWサ−バがあっても対応できるかも。そうなるともう LinkProof はいらないかも。 VLANがもともとあって、それにタグを付けたタグVLANがでてきて。レイヤ7スイ ッチなんてのもでてきて。パケットの中身をくまなく見ることができる能力が備わってき た。パケットに付けた識別子を見て、それでいろいろ制御したらということになった。そ こでSDNが出てきた。IPアドレスを見るというよりも識別子タグでパケットを制御し よう、経路制御をしよう。どないでもなるということだ。 レイヤ3スイッチの装置を導入した時、部門の他の人の理解はまるで得られなかった。と いうよりもただのル−タでさえ理解できていないのだから、いわんやレイヤ3スイッチで ある。レイヤ3スイッチはある程度以上の大きな組織なりでないと導入はすることはなか った。500人位の規模の会社ではレイヤ3スイッチ?、そんなの知らないよという所は 実は多いかも知れない。小生はイントラネット構築に関してはやる事をやって来た。 * SDNで異なるWANを統合する 2つのネットワ−クを一緒にする際、不都合なセグメントがあってそこは対象から外した いとか。歴史的経緯でパブリックIPアドレスのセグメントがあるとか。相手には見せた くない情報があるセグメントとか。それは多分、お互いにそういうことは十分あると思わ れる。インタ−ネットVPNを置き換える。異なるネットワ−クを統合するのに便利。 NTTコミュニケ−ションズは以前から、Arcstar Universal One というWANのサ−ビ スをしている。2014年3月にはSDN技術を使った新型のVPNサ−ビスの Arcstar Universal One Virtual( UNO Virtual ) を始めた。 アプリをインスト−ルするだけでモ バイルキャリアを問わず、外出先からリモ−トアクセスが可能と説明されている。 NTTコミュニケ−ションズは 2014/01 にアメリカの Virtela Technology Services を 買収してWAN接続部でさまざまなサ−ビスを展開していく予定。7月から海外で、8月 からは国内で。Arcstar Universal One。 バ−テラは国際WAN回線のよく知られた回線 サ−ビス会社である。内もKDDI経由でバ−テラ回線を中国で利用している。 * インタ−ネット回線の改善 `2e/11/E UTMのポリシ−ル−ティングを利用。インタ−ネットの回線を2本、UTMの WAN1 と WAN2 から出す。WAN2 は新規回線で HTTP と HTTPS を例えば誘導。WAN1 は従来の回線で 他のプロトコルを、外からDMZのWebサ−バや SSL-VPN 装置へアクセス。 プライオ リティを設定すれば、どちらかの回線がダウンした場合に生きている方に誘導できるらし い。双方でできるのかは要確認。多分 WAN2 がダウンした場合に WAN1 だけにできるのだ ろうと思う、WAN1 でないとDMZ上のサ−バの扱いができない。 プライオリティの設定 の話は2014年の10月頃だったか、SI業者の誰かに聞いた気がする。 しかし FortiGate-310B の [ル−タ]->[スタティック]->[ポリシ−ル−ト] で作成したエ ントリを見たけど、プライオリティの設定項目は無かった。FortiOS のバ−ジョンが古い のか、それともプライオリティは他のメニュ−でやるとか。英文マニュアル FortiOS 4.0 MR3、2013年5月に見たのだが 261 ペ−ジに "Dual Internet connections"という説 明がある。WAN回線を2本引く絵があり。"config router static"で2つ定義し1つは "set distance 10"、もう1つは "set distance 20" としてある。264 ペ−ジには "Load sharing"、"Link redundancy and load sharing" の説明がある。これは使えないか。 FortiGate-310B より新しいバ−ションのファ−ムウェアを入れた FortiGate-80C で、バ −ジョンは v5.0,build3608(GA Patch 7)。[ル−タ]->[スタティック]->[スタティックル −ト][ポリシ−ル−ト][設定] というメニュ−があった。[設定]でプライオリティの設定 ができる感じがする。この画面メニュ−には "ECMPロ−ドバランス方式" で送信元IPベ− ス、重み付けロ−ドバランス、スピルオ−バ−、3つの選択肢がある。インタ−フェ−ス の名前とウェイトの一覧が出ている。その下のメニュ−に "Dead Gatewayの検知" で回線 のヘルスチェックの設定をするようである。疑似的な環境を手元に作り動作確認するか。 WAN1 と WAN2 それぞれで回線を2重化する。 ヤマハのル−タでの2重化は止めた方がい い。社内から様々なインタ−ネットへのアクセスがある。ヤマハのル−タでは対応できな いアクセスが出てくる可能性があるみたい。あるサイトへのアクセスでセッションが幾つ も出来るような場合、例えば買い物サイトとか。出来ない仕組みを自分できちんと理解し ている訳でないが。そうなると負荷分散装置なのかな。UTMはHA構成で2重化してあ るし、これで回線も2重化できることになる。UTMのポリシ−ル−ティングの事、飛び 飛びで書いてしまったが、一応これで結果を見たと言っていいだろう。各自整理されたい。 * 続インタ−ネット回線の改善 `2f/04 `2g/05 □DNS2次 □DNS □DNS 元々プロバイダAの回線1本で5〜6Mbps、回線 |A.d |A.e |B.d 業者はC社。外のサイト閲覧を速くするためB / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ を引いた、ポリシ−ル−ティング(PoricyR) で \________________/ Proxy のIPからの HTTP とHTTPS を誘導。B A: :N :B の足周り回線業者もC社で 30Mbps 程度。Aに : : : はプロバイダのDNS が幾つかありA回線からの Router■ ■ :HTTP み利用可。BのDNSも同様B回線から可。 Aの A.1| |N.1 :HTTPS DNS は Amazon EC2 も利用することになり、こ ----------- : れでDDoS攻撃にもある程度対処できる事になっ DNS1 |LinkProof| : った。"23-7. メ−ルとDNSサ−バの維持を"。 ◇ ----------- ■ |A.3 |A.9 |B.1 メ−ルはいずれクラウドのサ−ビスを利用する ---------------- ----------- ことを想定して。一応Office 365 利用を。365 DNS1次 A.2| |B.2 は大量のパケットを消費するということでB回 □ --------------- NAT 線を専用で使うことにする。B回線がダウンし |.1 .2| WAN1 WAN2| た場合は PolicyR のプライオリティで WAN1へ ------------|DMZ | 誘導する。これまでのA回線だけでは365 のパ 192.168.2.0| LAN | Proxy ケットを処理させるのは重いので新たにN回線 --------------- □ を引く。WAN1 にはWebサ−バや SSL-VPN装置が 192.168.1.0 |.2 |.5 あるとする。これら外部サ−ビスの利用を止め ----------------------------------- ないよう LinkProof でもって回線冗長化する。 [ル−タ]->[スタティック]->[ポリシ−ル−ト] WAN1は回線はAだけの場合。 ----------------------------------------------------- Proxy のIPアドレスから |受信トラフィックのマッチング条件: | の HTTP,HTTPS はBを通す、 | プロトコル [17 ] << UDPパケット。 | B回線用のDNSサ−バB.dを | 受信インタフェ−ス [LAN ▽] | 見るようにポリシ−ル−ト | 送信元アドレス/マスク [192.168.1.5/255....255 ] | を追加する。Proxy の参照 | 宛先アドレス/マスク [B.d IP/255.255.255.255 ] | DNSはこれまで A.3 を指定 | 宛先ポ−ト 始まり:[53 ] 終わり:[53 ] | していた。A回線がダウン | サ−ビスタイプ ビットパタ−ン:[00 ] ... | した場合、せっかくB回線 |トラフィック変更先: | があるのにサイトの名前解 | 送信インタフェ−ス [WAN2 ▽] | 決ができずに有効に使えな | ゲ−トウェイアドレス [B.1 IP ] | かった。これで解消できる。 ----------------------------------------------------- それでポリシ−ル−トの全部の設定はどうなったか。設定画面の上から WAN1自身の"受信 LAN、送信WAN1 でネットワ−ク A、送信インタ−フェ−ス[WAN1]、ゲ−トウェイアドレス [0.0.0.0]"。次に DMZ自身のエントリ。3番目に Proxy のIPアドレスが発信元で WAN2 経由の HTTP のエントリ、4番目に同じく HTTPS。 そして5番目が上の DNS のエントリ である。ポリシ−で LAN->WAN2 はル−ルを1つ "all all ANY ACCEPT" を入れている。 プロバイダAが NTPパケットを DDoS 攻撃対策でインタ−ネットへ行くのを止めているこ とが分かった `2g/05。それで NTP もプロバイダBの回線へ誘導することにした。6番目 の設定としてプロトコルは UDP を示す 17、送信元と宛先は 0.0.0.0/0.0.0.0、宛先ポ− ト 123、ゲ−トウェイアドレス B.1。プロトコルを 0 にして、宛先ポ−トの始まり[123] 終わり[123] と入れても、終わりは 65535 にどうしてもなってしまった。注意したい。 * 参考 「日経コミュニケ−ション」2014/01, P.60〜61, "NTTコムがオ−バ−レイを活用した > VPN、既存ネット上に即座に閉域網を構築"。 2014年3月、新型のVPNサ−ビ ス Arcstar Universal One Virtual(UNO Virtual) を開始。 「日経コミュニケ−ション」2014/04, P.47, JR東日本のネットワ−ク統合の記事がある。 > 別個に10以上のネットワ−クが存在していた。記事をよく読むと、まだ全部のネット ワ−クが一緒になった訳ではないみたい。1つか2つで限定的なサ−ビスが利用できる。 「日経コミュニケ−ション」2014/10, P.36〜37, NECの広告で "SDNソリュ−ション > 導入事例"。 Virtual Tenant Network、仮想テナントネットワ−クで業務用のLANや 各サ−ビス用のネットワ−クを用途ごとに独立できる。既存ネットワ−クはそのままと して、SDNをバックアップ回線として併用。地域毎のネットワ−クを構築していた。 (2) Office 365 にご縁ができるかも `2e/05〜 * Office 365 のことその1 Office 365 の利用に当たって Active Directory のユ−ザ認証は必須なのかな。 Active Directory サ−バはどこに置くのかな、クラウドのサ−ビスを使うのかな。分からない不 明な点を出しておいて東京の展示会で聞こう。Interop TOKYO 2013で聞こうでないか。い かん Interop ではまるで Office 365 の展示は出てなかった。 クラウドのサ−バは社内設置の AD は直接みることはできない。 AD のプロキシサ−バみ たい?なサ−バ ADFS を設置してそれを見ることになる。 ADFS 設置には結構費用がかか るとのこと。最近はクラウドの ADFS サ−ビスが出て来ていて、実質これを利用すること になるだろう。Office 365 のセミナ−にとりあえず1つ行ってみてこれだけ分かった。 そのセミナ−で更に聞いたところ、クラウドサ−ビスで AD を使うのは面倒。アカウント を Office 365 に登録して利用している会社の方が多い。どうも6割とか7割以上がそう みたい。複数ドメインも最近できるようになったとか。それならこれで2社間で、もうサ −ビスを統合できるぞ。メ−ル、スケジュ−ル共有、ファイル共有、アドレス帳。 しかし決して安定しているとは言えないかも。ネットでちょっと調べただけでも、サ−ビ スが止まったという記事がすぐに出てくる。しかしもう選択肢がない。良くても悪くも選 ぶしかないのである。もう社内ではメ−ルなどサ−バは面倒みれなくなっている。技術に 付いていけない。人材がいない。もうクラウドサ−ビスを使うしかないのである。 ADFS は AD と信頼関係を結ぶと言うことではないらしい。 先のセミナ−で講師のSEさ んに聞いた、プロキシと言っていた。 その後ネットを見ていて、Active Directory 間で ただの信頼関係を結ぶ話のことで。どうもこっちの Active Directory 見てだめだったら、 他の Active Directory を見に行くようにしようネ。ただ、それだけのことみたい。 Office 365 をオンプレミスで使う場合の事になるが。Microsoft Exchange サ−バのこと で。ネットを調べていたら "Exchangeフォレスト間移行" というのが Google の検索キ− ワ−ドで表示された。これができれば異なる Active Directory 間で相手 Exchange のス ケジュ−ルやメ−ルの検索などができるのでないか。 "5-7.新たな扉Webサ−ビス" の所でメモしていた。ここで関係してくるとは。"企業向 けWebアプリケ−ションサ−ビス Office 365 を提供開始 2011/06/29、Microsoftのク ラウドサ−ビス Office 365"。 本を探してみた、「ひと目でわかる AD FS 2.0 & Office 365 連携」2,940円、「できる Office 365 Small Business 2013年度」1,890円。 「日経コミュニケ−ション」2011/03,P.12〜27,"[特集]オンプレミスとはここが違う クラ ウド型メ−ル活用作法"。オフラインでも利用可能な様に Google Apps, Exchange Online では同期機能をサポ−トする。Exchange Online のWebアプリケ−ション Outlook Web Access。サ−バをインタ−ネット上でなく閉域網に置くのも出て来ている。 IIJセキュアMXサ−ビスに Office 365 との連携機能を追加したというIIJのアナ ウンス。2013年4月3日に提供開始。日本語スパムを高い精度で検知して Office 365 に届 く前にブロック、隔離をする。メ−ルの誤送信防止、メ−ルア−カイブ、添付ファイルの フィルタなど。Office 365 とセットで提供する。社内 AD とのユ−ザの同期なども支援。 すでに自社または親会社でIIJセキュアMXサ−ビスを利用しているなら、Office 365 のサ−ビス会社の選定はIIJので決まりでよし。 Office 365 のサ−ビスはよく見たら IIJ以外にもSI業者が独自機能を付加して提供している。大きい会社では富士ソフト が初期の頃から参入、大塚商会の「たよれ−るOffice 365」も実績があるようである。 Office 365 のライセンス数が気懸がりに。 社内からメ−ルを外に出すだけの装置なりサ −バの存在。メ−ルサ−バを社内のを使っている分にはいいが、クラウドのメ−ルサ−ビ スを使うことにしたら、どうなるのか。発信元のメ−ルアドレスも利用メ−ルアカウント として登録しないといけないのでないか。その後判明したところ関係ないって。 * Office 365 のことその2 国によってどこの管轄に入るか決まっているとのこと、日本の管轄はシンガポ−ル。日本 用には Office 365 はユ−ザのデ−タを香港に2ヶ所、シンガポ−ルに2ヶ所もっている、 との記事。そうだとすればサ−ビスが利用できない事態はほとんど無いと思われる。メ− ル送受信のレスポンスはどうなんだろう、シンガポ−ルなんかかなり遠いぞ。 Office 365 にはウィルスと迷惑メ−ルチェックの機能は標準で入っている。 しかし迷惑 メ−ルのチェックは精度はあまりよくないらしい。メ−ルのレピュテ−ションはやられて ないみたい。それで社内などに別途、スパムチェックの装置なんかがいるということ。あ るいはIIJのフロントのクラウドサ−ビスなんかを利用することになる。 マイクロソフトの多要素認証。マイクロソフトが2014年2月位に出してきたサ−ビス。 携帯電話やスマ−トフォンにメ−ルでワンタイムパスワ−ド(OTP)を送る。あるいはア プリによるOTPの表示ができる。この認証ができれば ActiveSync 対応ソフトで、外出 先からインタ−ネットに入り、直に Office 365 へアクセスさせても安全である。 見たところメ−ルの送受信はそこそこのレスポンスである。スケジュ−ルは結構遅い。ス ケジュ−ルを速くみせるようにするには、キャッシュを有効にする。しかしキャッシュを 有効にしていると、スケジュ−ルがかちあうことがある。キャッシュを無効にすると、か なり遅くなる。ましてやシンガポ−ルでなくアメリカだと、もっと遅くなる。 ホ−ムクラウド Office 365 −サイト。30日無料でフルに試すことができる。デモでは Enterprise E3 を選んでいた。ドメインはテスト用のを取ることができる。テスト利用で 用意されているドメインのサブドメインとして。 Office 365 を導入しようと考えている のなら、間に入る業者に全部お任せでなく、ぜひ自身で試してみた方がいい。 2014/05/E のSI業者の Office 365 セミナ−での話。2013年はクラウド元年だった。 クラウドとオンプレミスはまだ10倍の開きがある。でもオンプレミスの市場はマイナス 0.5 % になった。他所さんが買ったから家も買うということではないが、会社が買収され て親会社が Office 365 だから子会社もそうしないと。そんな話も実際出てくるだろう。 * Office 365 のことその3 Office 365 をその気になって調べたらいろいろ出るわ出るわ。なかなか奥が深い。 漠然 と Office 365 も POP3,SMTP,IMAP かなと思っていたが違った。Outlook と Exchange の 間は MAPI、マッピ−という暗号化プロトコルが使われる。MAPI over HTTP といい、表面 状は HTTP のパケットである。MAPI( Messaging Application Program Interface )。 Office 365 にアクセスするには MAPI、暗号化 POP3、それに Outlook Web App(OWA)とい うWebメ−ルである。Exchange サ−バなり Office 365 のクライアントは Windows で は Outlook 2010 ある。Outlook Express はだめである。MAPI は Microsoft が策定した 仕様なりプロトコルで、Windows 95 には既に搭載されていた。 ActiveSync には簡易 MDM 機能というのがある。 市販の MDM 製品を盲目的に買うのでな くてこれも検討してみたい。ActiveSync ポリシ−というのがある。ActiveSync がクライ アントに要求する仕様といっていい。デバイスで暗号化を要求する。8回間違えるとデバ イスをワイプするなどできる。ActiveSync 機能をもった商用アプリに Good などがある。 Office 365 の利用には大量のセッションが張られるとのこと。 インタ−ネット回線に余 裕がないと。500ユ−ザ利用で 2〜4 Mbps 位必要らしい。 マイクロソフトは必要回線 容量を計算するのを用意している。BlueCoat 社の ProxySG プロキシサ−バは MAPI を高 速化できるとのこと。Office 365 サ−バの前とクライアントの前に装置を設置する。 Exchange のプロトコルが SMTP でないのなら、多分 Notes も違うだろうな。これらは元 々はグル−プウェアのソフトだから電子メ−ルのプロトコルでないことは自明の理と考え るべきだろう。Outlook はプロファイルを作成するメニュ−で Exchange を選ぶところが あるとのこと、自動でプロトコルなんかは選択、設定されるらしい。 Office 365 は総称である。 この中に Exchange Online がある、Exchange サ−バのオン ラインサ−ビスである。Google メ−ルやカレンダ−も利用できる?。Office 365 を利用 するには、Office 365 内にあるアカウント情報にユ−ザを登録すればいい。 特に AD が 必要ということはない。メ−ルとスケジュ−ル利用で月額 330円、容量は 5 GB。 メ−ルの送受信のログを見るには Office 365 の管理者権限がいる。メ−ルの管理者を申 請しておく。メ−ルのア−カイブ機能がある。月 300円でメ−ル送受信の内容を全部取る ことができる。容量制限なし期限なしで。果てこのア−カイブしたメ−ルを閲覧するなり 改めて配信するのは各自できるのか、それとも管理者だけなのか。 Office 365 のサ−バは世界中にあるが、地区ごとに担当サ−バがある。 担当サ−バは複 数あって、アクセス先のURLに対するIPアドレスが増えたり変わったりする。時なし に変わるので必要なら自身でそのお知らせサイトをチェックする。単純にはファイアウォ −ルで外には HTTP を通すようにしておけばいいが、面倒なことになる場合がある。 2014年の1月頃の Office 365 のセミナ−で、最近 Office 365 は複数のインタ−ネ ットのドメイン名に対応したと聞いた。1つのテナントに異なる会社が属してサ−ビスを 共有できる。 Office 365 では異なる組織との予定表の共有ができるということだが完全 なものではないらしい、また複数ドメイン名対応とは別みたい。 既存のメ−ルサ−バを Office 365 に移行する手順は。DNSサ−バの MX レコ−ドの変 更が大きなことになる。他にも TXT と CNAME レコ−ドにも記述がいるらしい。一気に移 行するのでなく順々に移行ができる。各パソコンの Outlookで新しくプロファイルを作る。 移行が完了するまで Office 365 はメ−ルリレ−とメ−ルストアとして機能させる。 Office 365 にアクセスできるのは、 自社ファイアウォ−ルのWAN側IPアドレスから にする。これで社内からのアクセスのみ許可する。外出では社内設置の SSL-VPN装置経由 でのアクセスとなる。スマ−トデバイスのメ−ルアプリの ActiveSync での、直接のアク セスはまた別途検討することになる。MDM をしっかり利用するのが前提になるだろう。 * MAPI プロトコルのこと 表面上のプロトコルは HTTP である、内部は MAPI なんだけど。Outlook と IE の関係が 問題である。これらは別個のソフトだと思う、思っていた。それが違うのだ、密接に関係 している。IE でプロキシを設定したら Outlook でもそのプロキシ設定を使うという、こ れは驚きだ。Outlook からプロキシサ−バへ行って Exchange サ−バへアクセスがいく。 Office 365 は Exchange サ−バのクラウドサ−ビス版だから動作は同じことになる。 こ りゃ、知らんかった。 社内のパソコンの Outlook から社内のプロキシサ−バに大量のパ ケットが行くことになる。ブラウザの IE のプロキシ設定で pac スクリプトで、 プロキ シサ−バ経由でなく直接クラウドの Office 365 へ行くように設定するしかない。 ファイアウォ−ルでは HTTP,HTTPS はポリシ−ル−ティングで速い回線の方を通るように した。MAPI はみかけ HTTP なので処理が厄介である。 クラウド上の Office 365 サ−バ のURLまたはIPアドレスへのパケットは速い回線へ誘導というようにする必要がある。 ファイアウォ−ルでURL指定ができればいいが、Office 365 のIPアドレスは変わる。 プロトコルが異なっているというのは重大である。いろんなことが関係してくる。メ−ル のフォレンジック装置を設置していたとする、 MAPI に対応しているかどうか問題になる。 InterScan のメ−ルのウィルス、スパムのチェックも問題である。大体製品のモデルとし て Exchange 対応とかがあって、SMTP/POP3 とは別製品になっているのが多い。 (3) ネットワ−クとサ−ビスのHA `2e/09 * 高可用性と冗長化のいろいろ 高可用性(HA)と冗長化は似たような意味だが正しくはどう理解すればいいか。高可用性 を実現するための手段に冗長化と負荷分散がある。クラスタは複数の装置を束ねて使うと いう意味で、HAにすると必然的にクラスタ構成を採用しているということになる。HA は "High Availability" の略、フェイルオ−バクラスタと負荷分散クラスタがある。 フ ェイルオ−バは稼働系と待機系の装置で構成される。 ネットワ−クやサ−バ利用の可用性を上げるのに、どこもかしこもネットワ−クを冗長構 成にすると複雑なネットワ−クになっていく。Single Point Of Failure(SPOF) 部を無く すということ。1つネットワ−ク装置なりサ−バなりが壊れたら使えなくなるのを避ける。 どこもかしこも2台での冗長構成にする。レイヤ3スイッチしかり、その下のつくレイヤ 2スイッチも。WANのル−タもしかり。サ−バは2台でのクラスタリングに。 インタ−ネット回線の冗長化は。簡易BGP は同じキャリアだったらできるらしい。この場 合 BGP というのか BGP4か。簡易といってもそれなりに費用はかかるのでないか。大企業 でないと利用は無理だと思う。回線の冗長化という言い方をする。回線のHA化とは言わ ないよな。ファイアウォ−ルでポリシ−ル−ティング機能を使ってパケットを回線別に振 り分けるのもある。負荷分散装置をプロキシサ−バ代わりに利用する手もあるのでないか。 ファイアウォ−ル、UTMでポリシ−ル−ティングでパケットの種類をわけて複数回線に 流す。別個のインタ−ネット回線とみなしていい。1本のインタ−ネット回線を信頼性を 上げるため、みかけ速度アップのため LinkProof で複数回線を使うようにする。 DMZ のないネットワ−クということで LinkProof を設置するのである、 これなら設定はそん なに難しくはない。ヤマハのル−タでも複数回線対応できるようだが利用は慎重に。 社内のパソコンから社内外のWWWサ−バを見るのは。プロキシサ−バとブラウザでのパ ケットの振り分け。社内に何でもいいから設置したWebサ−バに、ブラウザでパケット の宛先を制御するスクリプトをおいておく。スクリプトの内容を変えれるだけで全パソコ ンのブラウザのアクセス経路を制御できる。ファイアウォ−ルのポリシ−ル−ティングと 合わせて、どのインタ−ネット回線にパケットを誘導するか制御できる。 イントラのサ−バなどをもう1台同じコンテンツで用意することにやぶさかではない場合。 負荷分散装置を導入するプランはどうか。ロ−ドバランサともいう。イメ−ジとしては普 通は、自社WWWサ−バに外からの大量のアクセスを捌くために、複数台WWWサ−バの マシンを並べて負荷分散装置で割り振る。いわば本番機が並んでいる訳でこれを冗長化構 成として利用するのである。つい先日までこの考えは思い付いてなかった。 高可用性ということを調べていると "縮体" という用語が出てくる。SI業者さんも当り 前のように縮体と言ってるし。縮体運転、フォ−ルバックという。サ−バを代わりのに切 り替える、低速モ−ドの回線に切り替える、性能を落としたり機能を制限するなどしても サ−ビスを維持すること。緊急の場合に最低限どこまでの性能や機能でユ−ザが利用でき るかということである。金のかかるシステムのバックアップの検討に必要な考え方だろう。 [ 高可用性の実現ツ−ル ] フェイルオ−バクラスタ ・Windows サ−バのクラスタ化する NLB ソフト。評判はあまりよくない。 ・Linux Virtual Server(LVS) というオ−プンソ−ス。 ・UNIX や Linux の商用のクラスタリングソフト。 負荷分散クラスタ ・SLB( Server Load Balancing ) サ−バ負荷分散。製品は BIG-IP や Alteon など。 ・回線冗長化装置もこのカテゴリに入ると思う。製品は LinkProof が代表的。 * 回線冗長化装置の幾つか製品 ・Radware 社の LinkProof。買収した Alteon も回線冗長化ができるのでないか。 ・アライドテレシス社のアドバンスドVPNアクセス・ル−タ、オプションで対応する。 ・回線冗長化とトラフィック分散の Cell Janus という製品。国内は DIT 社が扱い。 ・BIG-IP Global Traffic Manager(GTM)、グロ−バル負荷分散機能。 ・A10 Networks EXシリ−ズセキュアWANマネ−ジャ、QoS機能、IPSアノマリ防御。 ロ−ドバランサの Alteon に LinkProof の機能と WAF の機能が入ると、とある筋から情 報を入手した。2015年5月頃。Interop 2105 で Alteon を展示していたブ−スで確認した ら、確かに予定はあるがまだ入ってないとのことだった。入ったら連絡を下さいとその展 示ブ−スのSI業者の人にお願いした。扱いは難しいが一石三鳥だからな。 アライドテレシス社のアドバンスドVPNアクセス・ル−タのオプションのライセンス、 標 準価格 29,800円でWANロ−ドバランス機能が使える。 回線の冗長化が Active-Active でもできる。今対応製品は CentreCOM AR550S,AR560S,AR570。本体の標準価格 AR550S は 109,800円、AR570S は 218,000円。これら2009年頃には製品としてあった。 * プロキシサ−バのHAの検討 1) プロキシサ−バを2台、フェイルオ−バで設置。HeartBeat 利用。 2) プロキシサ−バを2台、負荷分散装置を設置して利用してみる。 3) プロキシサ−バを2台そのまま。ブラウザの pac スクリプトで。 インタ−ネットの回線は従来からの回線1と新しく引いた回線2がある。社内のプロキシ サ−バのマシン経由、即ちこのマシンのIPアドレスからのパケットは回線2を通すよう にUTM に設定したポリシ−ル−ティング制御している。社内のブラウザ利用から外部のサ イトへの HTTP,HTTPS パケットがその対象となる。回線2がダウンした際に回線1を経由 するように、pac スクリプトで書くことができると思う。具体的にどうすればいいのかな。 パケットの振り分けを変更した pac スクリプトを、 社内のWebサ−バなどに乗せ換え るだけで、エンドユ−ザのパソコンのブラウザのアクセス経路を変えることができる。 [ツ−ル]->[インタ−ネットオプション]->[接続] 画面メニュ−の [ LANの設定 ] ----------------------------------------- | ロ−カルエリアネットワ−ク(LAN)の設定 |---------------------------------------- |- 自動構成 ----------------------------- pac スクリプトを書いたファイルを || 社内のWebサ−バに置いておく。 || □設定を自動的に検出する || □自動構成スクリプトを使用する << ここ〆して。 | アドレス:[ ] << http://xxx.xxx.xxx/proxy.pac |------------------------------------------------------- | |-プロキシ サ−バ− ------------------------------------ || || □LANにプロキシ サ−バ−を使用する(これらの設定は || ダイヤルアップまたはVPN接続には適用されません) || アドレス:[ ] ポ−ト:[ ] [詳細設定] || □ロ−カルアドレスにはプロキシサ−バ−を使用しない |------------------------------------------------------- | [ OK ][キャンセル] -------------------------------------------------------- * DMZのセグメントのこと あるメ−カの SSL-VPN 装置のHA構成。単体の設置はDMZに普通におくだけ、 WWW サ−バなんかと同じように。 この SSL-VPN 装置は、HA構成はフェイルオ−バ型と負荷 分散型ができる。フェイルオ−バ型は FortiGate のように簡単に設置できない。 デュア ルホ−ムド構成というのにしないといけない。その製品のマニュアルの最初に、その設置 の絵が下記の [1] が描かれている。 この絵は具体的にどう言うネットワ−ク構成になる のか、SSL は は2つの Fire ではさまれるってどういうこと?。具体的な設置は多分[2] のようになるらしい。SSL が DMZ と LAN のネットワ−クにつながっている、セキュリテ ィ上面白くない、安全性に配慮したのが [3] であり [4] である。 [1] [2] [3] DNS□ SSL□ | -------------- | | --------- | ------------- ----------------|DMZ | □Fire DNS□ SSL□ | | | | | | | | --------- SSL□===□SSL | | □SSL -----------------|DMZ | | | | | Server | | | | | ----------------|DMZ2 | ■ ■ □Fire SSL□===□SSL --------- --------- | | | | | | LAN LAN | --------------- ----------------------------- -------------------------- ※これらデュアルホ−ムド構成という。SSL-VPN 装置のネットワ−クが2本出ている。 [4] 仮想IP ------------- ------- 2.5 ------- | UTMには静的経路の 4.0 と 5.0 | SSL | | SSL | | を設定、いやこれはいらないか。 ------- ------- -------- 内部ネットワ−クにあるレイヤ 2.4| | | |2.6 2.2| | 3スイッチが全部の経路制御を 2.0 ----|---------|-----------| Fire | するので。UTM のデフォルト経 | 仮想IP | | | 路をレイヤ3スイッチに向けて 1.4| 1.5 |1.6 -------- 4.0 5.0 おけばいいはず。UTMをNATモ− ----------------- LAN |1.2 ----- ----- ドで設置する場合は先の設定が | 透過 UTM 1.3 | | | | いるということ。 ----------------- WAN | □R □R | | | | 1.3はUTMの管理用IPアドレス。 1.0 ----------------------------------------------- Juniper の MAG のHA構成は FortiGate と同じような感じでできるらしい。それにこの 図のように ExternalをDMZに、Internal をLANにケ−ブルをつなぐ構成もできるよ うである。MAG のハンズオントレ−ニングに出た人が講師の話として、海外ではこうした 2本足構成が多いとブログで書いていた。しかし本当かな、他ではこうした話は聞いたこ とがない。社内に SSL-VPN装置をおいて、社内のパソコンから社内のサ−バへのアクセス を SSL-VPN 経由にして社内のネットワ−クでも暗号化する。こうした SSL-VPN 装置の利 用がアメリカが多くなっているという話は、とあるSI業者の営業から聞いたことはある。 この場合パソコンからサ−バへは直接アクセスできないように SSL-VPN装置を2本足で設 置するのはあるかと思う。透過的な感じで設置するといった方がイメ−ジが湧くと思う。 * FortiGate のHA構成について この装置はやたら簡単にHA構成が採れる。非常にシンプルで分かり易い。他のもこんな 塩梅で簡単にできると思ったら、それは違う。そんな簡単なものではないです。HAはオ −バライド無効が推奨でデフォルトになっている。2台は Active-Standby 構成。LAN 側からのアクセスは例えば https://192.168.1.2/ である、メインもサブの装置うんぬん は関係ない。仮想IPアドレスと仮想MACアドレスが両者の装置に付いている。 --------------- WAN | L2 |----- 2.0 UTM は例えば FortiGate-310B。UTMのAとBでそれぞ --------------- れIPアドレスを付けたりはしてない。まるで1台あ 2.2|A B| るという感じである。ファ−ムウェアのアップでも何 --------- --------- らかの設定でも、1台にやれば2台やったことになる。 |Active |=====|Standby| UTM --------- --------- === はクロスケ−ブル2本をたすきがけで装置につな 1.2| | ぐ。特殊なケ−ブルを使うわけではない。装置同士で --------------- LAN HeartBeat して稼働を確認する。この絵ではWANとLAN | L2 |----- 1.0 のスイッチがある。ただのスイッチングハブである。 --------------- FortiGate のHAとレイヤ3スイッチのCisco のHAは同じようなネットワ−ク構成であ る。2台の筐体それぞれにIPアドレスを付けたりはしない。1台で稼働してた時のIP アドレスを仮想IPアドレスとして付けている。 FortiMail はHA構成でない、ハ−ドディスクを RAID5 にした。 FortiMail をHA構成 にすると Active-Standby で切り替わる際に、メ−ルがなくなる可能性があるという。メ −ルが無くなることは避けると言うのを最優先にした結果の選択だった。 * 参考 「ネットワ−ク技術&設計入門」 SBクリエイティブ 2,980円。 > 2014/05/06 名古屋駅前の本屋でみた。 ネットワ−クを2重化する説明が、かなり詳し く載っていた。久しぶりに見たネットワ−ク系の本だ。 「Software Design」2014/04, P.53〜78, "第2特集:ネットワ−クエンジニア養成 ロ−ド > バランサの教科書"。 ロ−ドバランサからADCへ、クラウドでのロ−ドバランサの実 装と利用。キ−ワ−ドはNAT構成、L2フラットベ−ス構成、DSR構成。 (4) ロ−ドバランサ装置の設置は `2e/10 * ロ−ドバランサについてメモ Alteon Application Switch は Alteon社が製造してた。その後 Nortel Networks が買収。 2009年1月に Nortel Networks 社は破産保護申請。2009年にラドウェアが買収。 LocalDirector など Citrix NetScaler、これまでは大体200万円以上してたのこと。 2011年頃のロ−ドバランサ市場の様子は BIG-IP が40〜50% のマ−ケットをシェア。 最近は単なるロ−ドバランサでなく、ADC( Application Delivery Controller ) という。 A10 Networks 社の Thunder ADC は次世代ADCといい、DDoS 攻撃対策もできる。 Thunder TPS は DDoS 攻撃対策専用アプライアンス。Thunder ADC とどう性能が違うのか。 キャッシュのないプロキシサ−バみたいな使い方が既にやられているのでないかと思う。 Radware 社の AppDirector はサ−バ負荷分散装置、LinkProof は回線負荷分散装置。 エントリ−モデルの Alteon 5208 をキャンペ−ンで 128 万円。2014年12月末まで。 設定はコマンドで。他社製品もたいがいコマンドでの設定。後発の A10 でもそうみたい。 設定が一番難しそうなのは印象としてはF5社の BIG-IP。ラドウェア社のも難しそう。 コマンドで負荷分散対象のサ−バを加えたり外したりする。ネットで操作例が出ている。 富士通の IPCOM は自動切り離し機能と自動組み込み機能あり。多分他社もあると思う。 Alteon のことをネットに書かれた記事で、中身は Linux、L2スイッチを介して利用。 * ロ−ドバランサの設置について [ レイヤ3の構成 ] △PC どうもこの形態がロ−ドバランサを利用する場合の一般的 | 1.0 な構成らしい。これまで全然知らなかったけど。 ------------------------- 実IP 1.1 | 1.2 仮想IP PC からサ−バ svr にアクセスする、サ−バは1.2 にある --------- として。SLB が実際のサ−バにアクセスを分散させる。 | SLB | svr1□ --------- □svr2 svr1, svr2 の実IPアドレスはそれぞれ 2.8 と 2.9であ 実IP|2.8 | 2.1 |2.9 る。デフォルトゲ−トウェイは 2.1 である。 ------------------------- [ ワンア−ム構成 ] PC がサ−バ srv 1.2 にアクセスするつもりで SLBにアク svr1 svr2 SLB PC セス。SLBから svr1 にパケットが行って、SLB に戻り PC □ □ ■ △ へ返す。これが非DSR(Direct Server Return)方式。 svr1 |1.8 |1.9 |1.2 |1.0 から PCへ直接パケットを返すのがDSR方式である、こっち ------------------------- の方が SLBに不用意に負荷が集中しないという利点がある。 * 後発の国産メ−カ製品はどうか セイコ−ソリュ−ションズ(株) 国産ロ−ドバランサ Netwiser。1台構成でも安定性の高 い通信を保証、対応機種 SX-3740,SX-3220。仮想IPアドレスに対してサ−バへアクセス。 サ−バの1つの実IPアドレスを仮想IPアドレスと同じにしておく。装置が故障した場 合でもバイパス機能でアクセスできる、フェイルスル−モ−ドといい独自機能である。 キャッチコピ−が "サ−バダウン対策に35万円〜" というのもあり。 SX-3220 ロ−エントリ−モデル、35万円、ハ−ドディスクやファンなし、10/100BASE2 ポ−ト。SX-3220 は2015年3月末で販売終了、後継機種は SX-3820 598,000円。SX-3740は 10/100/1000BASE 6ポ−ト、120万円。共通機能はセッション維持、ヘルスチェック、DSR。 フェイルオ−バ−機能対応モデルあり。SSLアクセラレ−ション機能はオプションとか。 * SSL-VPN に負荷分散装置を使う あるメ−カの SSL-VPN 装置のドキュメントを読んでのこと。 装置は同じ設定にしてくれ とある。SSL-VPN 装置内部で利用するIPアドレスは違えた方がいいのでないかと思うが、 あくまでも装置内部でのことで関係ないのかもしれない。1台目の設定をエクスポ−トし て2台目やそれ以降にインポ−トすればよくて便利とある。SSL 証明書の作成で仮想IP アドレスを付けて置くのも、負荷分散装置を使う設定ポイントである。 多分、対象装置の同時ユ−ザアクセスのことなんかはロ−ドバランサではみることはでき ない。ロ−ドバランサはヘルスチェックという機能で、対象装置が死んでいるか、もう少 しみるぐらいのことである。対象装置が2台なら2台とも同じ同時ユ−ザアクセスにして、 均等にアクセスを割り振るようにするのが先ずは思い付くことである。SSL-VPN 装置の場 合、たいがい同時ユ−ザアクセスのライセンス制限があるので、こんなことを検討した。 装置の1つはAで同時50ユ−ザアクセス。もう1つの装置はBで同時10ユ−ザアクセ スとしよう。Aに先ず振り分けて一杯になったらBに振り分ける、そんなことができるの か。コネクション数での重み付けで同等なことはやれる。あるいは静的な重み付けラウウ ドロビン、あらかじめ比率を決めておいてリクエストを振り分ける。Aを100にしてお けばいいのでないか。それでAが故障した際にBにパケットを振り向けるのである。 * Netwiser のやや具体的な動作 Netwiser でフェイルスル−モ−ドを利用するには、 インライン構成でブリッジモ−ドに すること。Netwiser はワンア−ム構成とインライン構成ができる。 ワンア−ム構成はネ ットワ−クケ−ブルにこの装置とサ−バを一列に並べるイメ−ジである。ワンア−ム構成 はソ−ス NAT の設定をするということだが、よく意味が分からない。Netwiser ではレイ ヤ3構成はできるのか、多分できるはず。レイヤ4−7と仕様に書かれているので。 DMZ 1.9------- Netwiser 装置自体の管理用IPアドレスは1.8とする。 ----------------------| UTM | | ------- サ−バAとBを Netwiser で負荷分散対象にする。ア 仮想IP 1.1|(1) 管理用IP クセスは 1.1 に、Netwiser でAかBに振り分けられ ---------- 1.8 る。 AとBのデフォルトゲ−トウェイは 1.9 である。 | SLB | Bを Netwiser のメニュ−で負荷分散対象から外せば、 ---------- 外からは 1.2 でBにアクセスができる。 そうしてお 1.1|(2) |(3) 1.2 いてBのファ−ムウェアをアップするとかテストがで A■ ■B きる。わざわざBをDMZ上に出すまでもない。 SLB□仮想IP この図はワンア−ム構成だが、上と同じくブリッジの |.1 2.0 WAN インライン構成とする。サ−バAとBがある。DMZ ----------------------------- の仮想IPは SLB に付けたもの。 WAN側の仮想IPは 仮想 | UTM が付けたのもの。仮想IPをさらに仮想IPにすると SLB■IP ■A ■B NAT|.9 いうことになる。SLB が故障すると 仮想IP 2.1 はそ |.1 |.1 |.2 ------- れまで SLBを示していたのが、サ−バAを示すことに ---------------------| UTM | なるはずである。サ−バBへはアクセスできなくなる。 DMZ 1.0 .9------- LAN | NAT 技術のオンパレ−ドだ。本当にできるのかしゃん。 ----------------------------- フェイルスル−モ−ドで救済できるサ−バは1つだけである。いくつかサ−バがある場合、 例えばメ−ルリレ−、WWW、SSL-VPN とあれば、それぞれに1個ずつ Netwiser をかま すことになる。金額的に高物についてしまう。幾つか対象とするサ−バがある場合は、ロ −ドバランサを2台使ってHA構成にして、フェイルスル−モ−ドはやらない。そういう ことになるのでないか。まあこれも結構費用はかかるのだが。 負荷分散装置がなぜWAN回線の冗長化ができるのか。インライン構成のブリッジモ−ド、 この構成をひっくり返したらWANの冗長回線構成になっているのでないか。2014/10/27 気付いた。きっとそうだよな。負荷分散装置のパンフレットなんかで回線の冗長化の図が でているけど、ひっくり返した絵になっている、どういうことか理解できなかったけど。 * Mail-Relay のHA構成の検討 メ−ルリレ−のサ−バのこと。メ−ルの中継とDNSのサ−バをやっている。これをロ− ドバランサでHA化できないか。これまでは予備機を同じIPアドレス、同じ設定で作っ ておいて、本番機が壊れたらちゃっと交換する位しかできなかった。しかしその予備機を 試すのが難題である。本番機を外して予備機をネットワ−クにつないで、実際にメ−ルが 送受信できるか確認しないといけない。うまくいけばいいが、へたすればメ−ルがちゃん と処理されないかも知れない。DNSサ−バの動作もぶっつけ本番になってしまう。 ロ−ドバランサをかませば予備機の方のマシンの sendmail デ−モンを止めてメ−ルのや りとりができないようにできる。そうすればDNSサ−バの動作は確認できる。ロ−ドバ ランサを使う設定で、DNSサ−バのnamed の設定とメ−ルサ−バの sendmail の設定で、 IPアドレスを記載するところの扱いをどうするか。上記の場合サ−バBが予備機的な設 置だが、実IP の 1.2 にするのか仮想IPの 1.1 を記載するのか。hostGに FortiGate-80C でも置いてテスト環境を作って試してみないといけない。やってみないと分からない。 /etc/hosts /etc/resolv.conf /etc/nodename ---------------------------------------- --------------------- ------------- |192.168.2.1 hostA hostA. mail.nix.co.jj |nameserver 127.0.0.1 |hostA /etc/mail/mailertable, access は sendmail.mc /etc/defaultrouter hostB を示しているだけで関係なし。 ----------- ------------------ |DwhostA |domain nix.co.jj □Router □hostA' | | |192.168.2.2 |.1 |.3 仮想IP --------------------- 202.241.128.0 /usr/local/etc/named.hosts |.2 □hostA DNS,Mail-Relay ---------------------------------- -------.2 |.1 | IN NS ns.nix.co.jj. |hostG|----------- 192.168.2.0 | IN MX 10 mail.nix.co.jj. ------- □hostB Mail-Store |hostA IN A 202.241.128.3 |.2 |.1 |ns IN A 202.241.128.3 --------------------- 192.168.1.0 |mail IN A 202.241.128.3 [ ロ−ドバランサをかます ] SLB□ hostA1□ hostA2□ hostA1, hostA2 の named.hosts はこれまで ------- |.1 |.7 |.8 ので。 /etc/hosts でホスト名だけ違えれば ---|hostG|-------------------------- いいのでないか。 ワンア−ム構成で hostA1, ------- hostA2 は SLB の内側にあると想定されたし。 [ hostA1 ] [ hostA2 ] /etc/hosts /etc/nodename /etc/hosts /etc/nodename ----------------------- ------------- ----------------------- ------------- |192.168.2.7 hostA1 |hostA1 |192.168.2.8 hostA2 |hostA2 |192.168.2.1 hostA ... |192.168.2.1 hostA ... (5) クラウドサ−ビスの様子と検討 * セキュリティ管理サ−ビス これまでSI業者の営業マンにずっと言い続けてきたこと。ようやくサ−ビスとして出て 来たか。講演した人も認めていた、これまではファイアウォ−ルでも売りっ放なしだった。 しかしまずはちゃんとセキュリティ機器の設定をやってあるのが前提。他社が設置設定し た機器も実際のところ面倒みることができるのか。まあ、これからのサ−ビスだろう。し ばらくは様子みか。1年ぐらい過ぎればこなれてくるだろう。これまで有名なのはLAC 社の監視サ−ビス。でもセキュリティ機器を監視するだけ。監視だけでなく必要ならパッ チやシグネチャを当てる、ソフトウェアやファ−ムウェアのバ−ジョンアップをする。 "CTC Forum in Nagoya 2014" にて "CTCマネ−ジド・セキュリティ・サ−ビスの紹介" という講演があった。10月1日に開始。SOC ソックという、横浜のデ−タセンタ−内に 設置。アメリカの専業 MSS 事業者 SilverSky と協業したモデルにて。難しいことはアメ リカのアナリストに相談する。これまでCTCでセキュリティ関係の部署が幾つもに分散 していたのを統合して200人体制で。SilverSky は既にこれまで6千社にサ−ビスを提 供しているという。http://www.ctc-g.co.jp/solutions/mss/。 富士通ソ−シアルサイエンスラボラトリ(富士通SSL) 企業のセキュリティ機器を運用代行 するマネ−ジド・セキュリティサ−ビス(MSS) を発表。次世代ファイアウォ−ル、サンド ボックス、IPSやIDSなどから生成されるイベントやログを監視し、リアルタイムで 分析する。機器の最新シグネチャアップデ−ト作業を代行する。月額費用は 324,000円か ら。2014/11/6 発表、提供開始。SOC(セキュリティオペレ−ションセンタ)、SIEM(セキュ リティ情報イベント管理)。感想:本当にIPSの面倒なんか見ることができるのか。 インタ−ネットのサイトの "クラウド Watch" のメ−ルで、担当者のいない中小企業にも 包括的なセキュリティを提供、英ソフォス CEO、2014/11/11。 "ソフォスがタ−ゲットに している従業員5000人以下の企業では、ITセキュリティ担当者は平均 0〜3 人程度であ り" と説明している。ソフォスのサイトのどこにこのアナウンスがあるのか見たけど無い ぞ。以上運用代行の話か。しかしこれら保守契約はどうするのか。たいがい保守契約は機 器が壊れたら直すと言うだけだ。ユ−ザ用サイトがあって、そこからファ−ムウェアやパ ッチをとってこられる。FAQをみることができる。障害の連絡フォ−ムがあるとか。 * 既存のサ−バはどうするか DMZのこれまであったWWWサ−バはクラウドに出すことにする。会社の窓口となるホ −ムペ−ジである、もはや自社に置いておくべき物ではない。DMZにこれからも残る可 能性があるのは SSL-VPN 装置とDNSサ−バにメ−ルリレ−のサ−バ。 メ−ルリレ−は バックアップの予備機が必要だ。DNSサ−バは2次ネ−ムサ−バがプロバイダにあるの で社内のDNSサ−バが止まってもまだ救われる。社内のサ−バのDNSサ−バ指定を把 握しておくことは必要である。SSL-VPN 装置はクラウドサ−ビスが利用できるはず。 昨今のクラウドサ−ビスの様子はどうか。単純に利用すればいいだけのものか。いろいろ 検討すべきことがあるのか。実際に試してみないと。ただで、もしくは安い料金で。遠州 の大学はITをほとんどクラウド化している。安いサ−ビスとかいろいろ組み合わせて利 用している。丸紅情報も全面的にクラウド化するとか。しかしその前にクラウドを利用す る目的はどうなのか、やはりきちんと考察すべきだろう。ただ、そういう時代でしょとい うのはどうかなと思う。できれば明確な目的が欲しい。人件費削減はやめておこう。 会社のホ−ムペ−ジはクラウド利用で。そのホ−ムペ−ジを守るWAFもホ−ムペ−ジの アクセスログもクラウド利用で。世界的な企業のホ−ムペ−ジならCDNの利用も検討す る。CDN(コンテンツ・デリバリ−・ネットワ−ク)。一番知られているサ−ビス業者は Akamai、NTTコミュニケ−ションズがOEMしている。CTCのパンフレットでAkamai Solution Book が手元にあり。 CDNetworks 韓国のCDNサ−ビス会社で日本法人もあり。 国内にもサ−ビス業者が幾つかでてきている、ライムライト?という会社の名を聞いた。 * ファイアウォ−ル周りの事 DMZ周りがだんだんとややこしくなってしまっている。結果的にDMZのセグメントの 辺りが複雑なネットワ−クになった。DMZに設置されている装置または関係している装 置を全部リストアップして、どのような状況になっているのか一度整理しないといけない。 こうなってくるとDMZのセグメントを1本だけでなく、複数設けるというSI業者のエ ンジニアの話も理解できるというものである。無線LANコントロ−ラをDMZに設置し LAN側も接続してある、LAN側はお客様用のVLANも設けていたりする。侵入防御 装置はUTMの直上に設置しているが、管理用にLAN側にも足が出ている。新しく導入 した SSL-VPN装置でHA構成にするため仕様上、危うく足をLAN側にも出すところだっ た。WAN側はインタ−ネット回線が2本になりUTMのポリシ−ルティング機能でパケ ットを分散しているし。OpenSSL の問題でUTMで TLS だけ外から許可したのもあった。 * メ−ルサ−バの運用はどう クラウドのメ−ルサ−ビスを契約し切り替えるまでは、現行のメ−ルサ−バの面倒みない といけない。メ−ルリレ−のマシンが故障したら。予備機を用意しておいて置き換えるか、 でもマシンに溜まっている処理途中のメ−ルはどうすればいい。そのままコピ−すればい いのでないかと思うが、多分。これはテストしてみないといけないな。 コピ−したりせ ずオンサイト保守契約によりSI業者がきてマシンを直すのを待つのが賢明か。メ−ルス トアはアプライアンスの FortiMail な訳でどうするか。 FortiMail 間でメ−ルデ−タの コピ−なんかできるのか?、確かできなかったと思う。予備の FortiMail-200D に置き換 えてとりあえずメ−ルの送受信ができるようにしないといけない。 元の FortiMail に戻 すまでそれに来たメ−ルはパソコンへの取得を待ってもらうしかないか。 * DMZ設置の SSL-VPN 装置 DMZセグメントに単純に SSL-VPN装置を設置することを1本足構成という。この1本足 構成では外から装置に来る際にファイアウォ−ルを通り、そこでパケットの通過許可のチ ェックを受ける。装置から社内のサ−バへアクセスする際もファイアウォ−ルを通りパケ ットの通過許可のチェックを受ける。2重のチェックがされる。2本足構成ではLAN側 アクセスにはファイアウォ−ルは通らないので、後者のチェックはなしになる。パケット は何でも全部通ることになる。これが柔軟であるという表現になったと思われる。そして アメリカでは後者のチェックまではしなくていいだろう、セキュリティ的に問題はそうそ う起きないだろうという判断が、推測として多くされているのでないか。これまで調べて 出てきた幾つかのキ−ワ−ドを考えてみると、こういうことでないのだろうか。 * クラウドのユ−ザ認証サ−ビス NECのサ−ビス。スマ−トデバイスを利用の際に高度なセキュリティを実現する、法人 向けクラウド認証サ−ビス NEC Cloud Authentication でグル−プウェア機能をオ−ルイ ンワンで提供するクラウドサ−ビス Microsoft Office 365 との連携機能の販売を開始を 発表。2013/12/09。NECのID活用基盤ソフトウェアNC7000-3A をベ−スにソフトウェ ア証明書を用いた二要素認証。AD連携できる。 Office 365 対応機能を追加したサ−ビス は 100ID 利用、AD連携オプション利用で月額37,000円〜。 ユ−ザとデバイスを認証する。 2012/10/23 に販売開始。http://jpn.nec.com/solution/vas/nec_cloud_authentication/。 ソフトウェア証明書を用いてデバイス自体を認証する方式、ワンタイムパスワ−ド生成機 器のような特別なハ−ドウェアが不要とも説明している。どんな物か興味をそそられる。 * AWS( Amazon Web Services ) はどう クラウドのサ−バの代表的なサ−ビスだから実際に触ってみなくても調べは進めておかな いと。AWS は IaaS の1つ。従量課金モデルで初期費用は不要とのこと。支払いの基本は クレジットカ−ド決済。AWS のパ−ト−ナ−経由での支払いができる、例えばサ−バワ− クス会社とか。Amazon Virtual Private Cloud(VPC)、 パブリッククラウドをプライベ− トのように。社内から AWS に IPSec VPN で専用線で接続。 2012.1 専用線の引き込みが できるようになった、AWS Direct Connect。 2011.8 インタ−ネットVPNができるよう になった。2011.3.2 東京リ−ジョン設立、 これで遅延の問題が解決された、それまでは 海外にしかサ−バがなかった。リ−ジョンとは複数のデ−タセンタ−群の集合体。2006年 開始、クラウドコンピュ−ティングサ−ビス。 Amazon Route53 は SLA 100% のDNSサ −ビスである、簡単にDNSの設定がやれる画面があり費用も安価である。 * クラウドサ−ビスの Box の利用 メ−ル本文に書かれた資料のリンク先をクリックすると、box.com サイトにアクセスしに 行き、パスワ−ドを入れよと画面がでてくる。これでサイズの大きい資料なんかも配布で きる。[ファイル]->[名前を付けて保存] をやると、 "henomohe1.pdf - Boxの共有ファイ ル.htm" というファイルでセ−ブされた。プリントしたらファイル名だけが頭に印刷され て、その下は空白の1枚だけでてきた。ブラウザでセ−ブしたファイルをクリックしても エラ−でちゃんと表示できなかった。 ここから参考、2015/12/01 にSBクリエイティブ から来たセミナ−案内のメ−ル、12/4開催の "クラウドで実現するワ−クスタイル変革〜 大阪 Box Japan-CTC 共同セミナ−、Box お客様導入事例、ファイルサ−バと SharePoint を導入済みのCTCが Box を導入するねらい。こんなのもあるよということで。 ------------------------------------------------------------- | https://henomohe.app.box.com/s/qwsdorkd... |------------------------------------------------------------ | ファイル | 編集 | 表示 | お気に入り | ツ−ル | ヘルプ |------------------------------------------------------------ | box henomohe1.pdf [ダウンロ−ド][サインアップ][ログイン] |------------------------------------------------------------ | ファイルの中身が以下表示されている * Office 365 など用の付加サ−ビス IIJのセキュアMXサ−ビスのスペアメ−ルオプション。Office 365、Google Apps を利 用していて災害や障害が発生した際、IIJのWebメ−ルで送受信できるようにするサ −ビス。契約プランに応じて最大14日分のメ−ルがある。 2015年3月23日から提供開始。 インタ−ネットから先ずIIJのセキュアMXサ−ビスがあって、ウィルスチェックとスパ ムチェックをしたのを Office 365、Google Apps に渡す。 認証はワンタイムパスワ−ド や接続元IPアドレスによる制限をする。Office 365 や Google Apps を利用することに したら、こうしたメ−ルのバックアップはできればした方がいいような気がする。どうも Office 365 などはあまりアナウンスは無いがそこそこ停止しているような雰囲気がある。 Office 365 のウィルス、スパムのチェックはあんまり芳ばしくないようだ。 結構すり抜 けてしまいパソコンが感染してしまうという。Office 365 とパソコンの Outlook の間は MAPI over HTTP と言うプロトコル。これでパソコンが感染してしまうのか。 マイクロソ フトのサンドボックスなるものが出てきたらしい。検査時間は30分。 Advanced Threat Protection という。SI業者の人が2016年3月頃に話すのを聞いた。もう一つトピックス、 IIJセキュアMXサ−ビスは機能を拡充しサンドボックスオプションを追加した。2015 年10月5日より提供を開始。 Office 365、Google Apps を利用しているユ−ザでも利用で きる。サンドボックス製品は何を使っているのかの記載はない。 * いろいろメモ DNSサ−バのセキュリティ対策、オ−プンレゾルバ−になってないか確認する。 インタ−ネットのNTPサ−バはちゃんと使えていて同期できているか確認する。 WANのサ−ビスで拠点でセキュリティ対策を施すサ−ビスを利用する検討。 DNSサ−バは社内にDNS1次を設置するのがいいと思う。マシンをどうする。 メ−ルサ−バはクラウドのを利用する時代になった。社内で持つべき物ではない。 スパムメ−ルの検知と除去はクラウドのメ−ルサ−ビスに任せることを割り切る。 社内にないと困るのは無線LAN装置APか。DHCP サ−バも社内にないと困る。 メ−ルはクラウド利用で Office 365 にて。ファイル共有も Office 365 にて。 メ−ルのログのフォレンジックもクラウド利用で、Office 365 のオプション。 Google Apps のことはまあいいか。プロトコルは HTTP なり HTTPS で特にね−。 中国語のメ−ルは件名を見ただけではまっとうなメ−ルかスパムか分からない。 大手のクラウド業者はIIJ、NTTコムが有力か。KDDIやCTCはどうか。 クラウドサ−ビスは業者を使い分けることになるだろう、例えば AWS とIIJとか。 一口にボットと書いたが標的型メ−ル、強力ウィルス、マルウェア、ボットがある。 * 参考 永久保存の「Software Design」2013/03 号、P.100〜104, "全業務をクラウド化してISMS 認証を取得、サ−バ−ワ−クスの取り組みとは? 社内LAN撲滅運動!"。さらっと書い てあるがなかなかいい記事だ。AWS 専業インテグレ−タ、(株)サ−バ−ワ−クスはファイ ル管理は Boxで、Box は権限管理のことで企業向け。Dropbox は個人用という感じ。 AWS アカウントが数百あり。 Active Directory とID連携できるシングルサインオンのサ− ビス OneLogin を利用。MDM は Windows/Mac OS X/iOS/Android に対応するサイバネット 社のを利用。社外とのメ−ルは Google Apps、社内メ−ルは禁止で社内のコミュニケ−シ ョンは Yammer で管理。サ−バ−ワ−クスは Amazon のクラウドサ−ビスを国内で仲介サ −ビスしていて、えらく気合いが入った説明を演説のようにしているのを見たことがある。 「日経コンピュ−タ」2013, 10/31, P.34, "残していいのは認証、DNS"。 > DNSはレスポンスが大事なので外にはおけないということ、DHCPサ−バも。自前運用 のメ−ルサ−バをデ−タセンタ−に移行する場合メ−ルの運用を1日停止したとの記事。 「Software Design」2014/09, P.72〜73 の "クラウドを利用するうえでのクラスタリング > の考え方"。 クラウド上の仮想サ−バを冗長化する手っ取り早い方法はロ−ドバランサ を用いること。"第2特集:クラスタリングの教科書、第1章クラスタシステムのしくみ、 第2章デ−タセンタ−におけるクラスタリングの実際、など。 「Software Design」2014/10, P.140〜145, "セキュリティ実践の基本定石【第十四回】現 > 実の脅威となったDNSサ−バへのDDoS攻撃"。P.142 の記載で 「インタ−ネットはそ んなに安定して動くものではない」Akamai 社の Fast DNS サ−バ 2003年1月25日 韓国 で起こった大規模なインタ−ネットの障害。韓国では1.25大乱と呼ばれている。 ------------------------------------------------------------------------------------ [ 付録 ] いろいろ * ActiveSync のこと ActiveSync は Microsoft が開発したモバイル端末用のデ−タ同期の仕組みである。最初 Exchange サ−バに実装されたと思われる。iOS や Android のスマ−トデバイスに入って いるアプリに ActiveSync Client が実装されている。 Windows 2000/XP/7 何かにはない。 Windows 8.1 には入っている?、Windows 8.1 のサ−フェ−スに入っているのかな。 Exchange Server と同期をとる。メ−ル、スケジュ−ルがスマ−トデバイスと同期がとれ る。デ−タを取り込んでくる、それで同期と言う表現をしているのだ。ポ−リングでクラ イアントの方からアクセスをする。同期というとデ−タの同期ということかと思うが、ど うもニュアンスが違うような気がする。 ActiveSync Client のアプリから Exchange Server にアクセスする認証は。 どうもユ− ザ名とパスワ−ドだけのようである。くどいようだがデバイスの何らかの情報で装置を認 証する、MACアドレスやハ−ドディスクの番号とか、特定ファイルの存在チェックとか。 そういう機能はない。SSL-VPN 装置には代理でアクセスを受ける、認証する機能がある。 ActiveSyncはこれまで一般的な何かのサ−ビスのプロトコルかと漠然と思っていた。理解 の一助には例えば次の設定例はどうか。 プロバイダの "OCN>メ−ルサ−ビス>OCNメ−ル> ActiveSync機能について" はどうか。iOS,Android のスマ−トデバイス、Windows 8 の標 準アプリで利用できる。2013年12月17日に提供開始。詳しい設定が出ている。 * 回線冗長化装置? Cell Janus という製品の開発は香港の会社 Cell Technology 社、IPv6/IPv4 トランスレ −タ機能あり。ずっとメモを残していた。いつ頃だったか。2000年ぐらいだったかも。 今もこの会社はあるのか不明。特に調べていない。