18-2. ネットワ−ク・セルの考え方 `27〜 (1) ネットワ−ク管理単位の設計 -------------------------------------------------------------------------------- パソコンもネットワ−クの中の構成要素としてシステム的に扱おうという考えです。こん な発想をした人がこれまでいたか。パソコンはこれまで1台1台と泥縄式に増えていった。 いろいろSI業者さんにこのコンセプトを話してみるが、そうした発想はない。2007/06 -------------------------------------------------------------------------------- * ネットワ−ク・セルの考え方 他部署やインタ−ネットにはアクセスできなくても、最低限の仕事はできるようにすると いうこと。ユ−ザはどのパソコンを使ってもいいというのは、ここではやらない。自分の 席が決まっていない形態のオフィスというのはやらない。個々のパソコンの管理をどうし ていくのかということと、情報漏洩対策は密接な関係がある。ネットワ−クセルとも関係 する。セル単位のネットワ−ク構造。独立して機能するネットワ−クの単位。全体のネッ トワ−クはその集合体であるという考え方である。雑誌なんかでもこうした考えは見たこ とがない、そうした製品もないし。大型客船のような構造で、1つの区画が浸水しても他 の区画まで水が来ないという。ある部署のパソコンのウィルス感染が、他の部署に波及し ないようにするのである。アカウント情報やファイルデ−タの集中管理と分散管理のうま い仕組みを考える。構成技術は無線LAN、DHCPサ−バ、ファイル共有ソフト、LDAP認証 サ−バ、部門用ファイアウォ−ルや侵入防御装置(IPS)である。 ・独立して機能するネットワ−クの単位。 ・自分のパソコンにロッグインできる。 ・部門用のファイルサ−バにアクセスできる。 ・部門用のプリンタが使える。 [ セル単位のネットワ−ク構造が要 ] 迷惑メ−ル対策から分かってきた強力ウィルスのボットの脅威。社内のネットワ−クのパ ソコンにも感染が広がるし、そしてそれらがインタ−ネットの他のところに迷惑メ−ルを 巻散らす。ボットはすでに入っているかも知れないし、またいつ入ってくるか分からない。 これに対処するため、社内ネットワ−クを大型客船のような構造にしたい。幾つかセルに 分割して、影響が他に波及しない構造である。さらにこの構造を考えて行くと、独立して 機能するネットワ−クの単位とし、全体のネットワ−クはその集合体であるとするのであ る。即ちイントラネットはモジュ−ル・ネットワ−ク型構造とするのである。 [ 集中管理と分散管理の組み合わせ ] 集中管理と分散管理のうまい組み合わせ。昨今は情報漏洩とか内部統制に対応すべくネッ トワ−クやパソコンを考える流れになっている。そのため全てが一局集中に向かっている。 しかしそんな法律的な話がいつまで続くというのか、今後5年10年続く普遍的なことな のか。メ−ルサ−バにメ−ルを保存する IMAP4 を使っているSI業者は、 自分が知って いるだけでも2回メ−ルが使えなくなった。社内外のメ−ルが半日なり1日なり使えなか ったそうだ。非常に厳しいポリシ−をその会社、設定している。IMAP4 は全社に展開して いるシンクライアントのパソコン利用の一環である。 [ バックグラウンドポリシ−を持て ] 検疫ネットワ−クでパッチが1つあたっていないからといって、ネットワ−クから弾き出 されてパソコンが使えない。そういうのはやめよう。もし問題が起きてもその部門の中だ けの問題にとどまるようにする。その部門の自己責任でいいではないか。締めるところと 緩めるところを作る。隅から隅までがちがちに縛らないこと。管理をしない管理、一見し て管理していないかに見えて、大きな掌の中で管理されている。マンションのプレイロッ トで遊ばせている分には安全である。プレイロットが十分広ければ管理されているという 意識はない。決まりをどんどん増やしていく方向はとらない。 [ サ−バは基本的にスタ−型にする ] ネットワ−ク・セルは各部門の独立性を高めることになる。セルの入り口にはUTMを配 置して、ウィルスの蔓延を自部門内に留める。UTMはファイアウォ−ル、侵入防御、ウ ィルスチェックを実施する。このためネットワ−クとしては、セル間でのやりとりはない。 例えばその部門だけで使う文書サ−バがあって、他の部署からも使いたい。そういう例外 的なアクセスはセル型ではやりたくない。無理にやろうとするとセル毎のUTMのファイ アウォ−ルのル−ルがややこしくなってしまう。隣のセルの情報を使いたいというのであ れば、その情報は中央の文書サ−バにて管理する。他のサ−バも同じである。 * ネットワ−ク・セルの構成 インタ−ネット接続のゲ−トウェイにて FireWall-1、InterScan、DefenseProが大きくは セキュリティを守っている。ネットワ−ク・セル毎の装置で、侵入防御、ボット対策、ス パム対策を実施するか。ForiGateを配置するのが有望。大企業の工場では、製造ラインの 制御用の Windows OSのセキュリティ対策に ForiGate を大量導入している模様。`28末 ネットワ−ク・セル管理用サ−バを配備する。部門用サ−ビスサ−バ、かサ−ビス装置と もいうことにする。サ−ビス装置は DHCP サ−バでIPアドレスを振る、プリンタの制御 もやるかも知れない。検疫機能が必要なところはそれをいれてもいい。部門用のIPSや ファイアウォ−ルはサ−ビス装置。DHCPサ−バはサ−ビスサ−バのマシンを利用するかも。 インタ−ネットのホ−ムペ−ジを見るのは、やるとすればプロキシサ−バで制御する。全 社共通のポリシ−で閲覧禁止うんぬんを決める。部署ごとの事情で、ここは全社ではだめ だけど許可するといったことはしない。それをやると際限がなくなる。プロキシサ−バで はウィルスなど危険サイトは見えない、いけない、あるいは警告を出すようにする。 ラックとUPS。鍵扉のついたラックを設置する。ヤマト通信工業株の Slim-Rackはどう か。OA机の間にすき間を少しあければ同じ高さですっぽり入る。1UのUPSをこれで おくというのはいいかも。だいたいパソコン用のUPSは四角の細長で小さいようだけど 場所を食う。2Uまで入る。スタンダ−ドタイプが 43,000円+税。 パソコンがあるからネットワ−クがあるのではない。ネットワ−クがあるからパソコンが 接続できるのだ。枝が伸びて葉がつくのであって、葉があるから枝が伸びるのではないと いうこと。どこに枝を出すのか伸ばしていくのか枝の太さは、これはどんな葉をどれだけ 付けるかを想定して決めるのである。この逆はまさに場当たり的というべきだろう。 侵入防御のこと。DMZに主ネットワ−クのセグメントなどを監視すること。もうあまり 意味がないのでないか。ファイアウォ−ルすぐ上だけを監視すればいいのでないか。大き く監視しても、おおざっぱにしか感染をとめることしかできない。望むらくはUTMを各 部署毎に設置する。これである部署が感染しても他に広まらないようにする。 部門用サ−ビスサ−バにはその部署のユ−ザのパソコンのファイルのバックアップをハ− ドディスクのトラブル対処のため取る。各自隣の人のパソコンとファイル共有をし合って ネというというのはこの際止める。それに部門用サ−ビスサ−バはその部署の共有のファ イルサ−バにもする、共有デ−タのバックアップもNASの利用などまた考えること。 セキュリティの観点だけでなくネットワ−クの単位としても見る。昨今ユ−ザのアカウン トを一括管理して、中央のアカウントサ−バが動いてないと自分のパソコンにもロッグイ ンできない事態が起きている。こんな時でも、中央サ−バが止まってもパソコンは使える ようにする。それがこのセル単位のネットワ−ク構造の目論見である。 * インタ−ネット&イントラネット部 □WAN Router MR: Mail-Relay | MS: Mail-Store ------------- MR WWW,DNS FS: File-Server 全社ファイルサ−バ | □ □ ●SSL-VPN IS: Identify Server ユ−ザ認証サ−バ | | | | LDAPサ−バ。 FireWall□---------------------- | □MS主 □MS予備 □FS ●SSL-VPN | |IS主 |IS予備 | | ------------------------------------------- [ イントラネット部 ] MS FS IS SSL-VPN □ □ □ ● ■ ----- ---------- セグメント | | | | | |IPS| |レイヤ3|---------- A -------------------------| |-----|スイッチ|---------- B Proxy | | | |---------- C ----- ---------- 1台のIPSで多数のセグメントをめんどうみるのは無理。主IPSでは FireWall 周り のセグメント3ヵ所をみる。だいたいIPSの監視の委託は1セグメント30万円である。 この料金からしても、自分で何とかせないかん。監視だけで月に数百万円かかってしまう。 WWW Proxy ブラウザ ------- ----------- --------- Proxy 指定IP2 | | https | | https | | | ○| <--------> | ■<->□ | <--------> |■<->□| WWWに HTTPS アクセス ------- ■ ----------- ■ --------- |IP3 |IP2 |IP1 ------------------------------------------------------------- ※BlueCoatキャッシュサ−バにより暗号化WWWでも内容が分かる。 ※■は暗号化されたHTTPパケット。□は暗号を解いたHTTPパケット。 * セグメント部のパタ−ン << ネットワ−ク・セルのいろいろ >> 無線LAN、UTM、部門サ−バの組み合わせとする。無線LAN装置やUTM装置にも DHCPサ−バ機能はあるが、これらの装置では使わないことにする。装置それぞれで無線な ら無線と、その機能を使う。DHCP は部門サ−バの Linux マシンで使うことにする。無線 とUTMはあるところないところがでてくる。部門サ−バは一応全部配置する。部門用サ −バにアクセスするのも LDAP サ−バでユ−ザ認証させようかと考えたが、やめ。LDAPサ −バが動いてないと何もできないというのはだめである。 ・UTMがあるとこもあれば無いとこもある。 ・DHCP サ−バ利用のとこもあれば固定IPのとこもある。 ・無線LANのとこもあれば有線LANのとこもある。 ・シンクライアントのとこもあればこれまでのパソコンのとこもある。 ・Cisco 2950 スイッチを配備して SNMP で状態を見るところもある。 [ 一番普通の状態 ] 部門用サ−バやプリンタは固定IPアドレス。先 ■部門用 ◆プリ △ △ ずはガイドラインに従ってIPアドレスを付け直 |サ−バ |ンタ | | す。各パソコンも固定IPアドレス。これがこれ ---------------------------------- までのネットワ−クの状態。 [ 無線LAN設置 ] 無線LANのカバ−する範囲は1つの部門とかは ★無線LAN △ △ 関係ない。無線LAN装置で DHCP をやるとする | と関係してくるが、やらないので関係しない。電 ---------------------------------- 波が安定して届く範囲。 [ UTM装置設置 ] UTM装置は透過型で設置すること。既存のネッ ■ △ △ トワ−クにぽっと入れる。部門内のパソコンウィ -------- | | | ルスなんかに感染しても、それが他部門まで広が ----|UTM|---------------------- らないようにするのが一番の目的。 -------- [ シンクライアント ] Windows Serverを使うシンクライアントはやらな シンクライアント い。Windows のサ−バのノウハウが正直なところ ■ 用サ−バ △ △ ない。やはり金がかかる、カル(Cal) とかいう訳 | | | の分からんライセンスは困る。 ---------------------------------- 1セグメントに1つの部門とは限らない。192.168.1.0 ネットワ−クが開発部だけではな く設計部もあるかも知れない。多分、フロア−用のスイッチングハブで分けることになる。 部門用サ−バは開発部と設計部で別々に設置するのか、共有するのか。パソコンの台数が 1つのセグメントで100台とかだと DHCP サ−バは別々に設置した方がいいのでないか。 部門用サ−バのマシンの DHCPサ−バを使うか、それとも DHCPサ−バのアプライアンスを 使うかは少し検討がいる。アプライアンスでよく見るのは Infoblox、 2007年秋に東 京での展示会で初めて見た。弁当箱ぐらいのサイズで結構、値段は高いとその時思った。 * もしもの時のバックアップ ファイルのバックアップは、セキュリティの観点でも実施することが必要である。ボット は汎用プログラムであり、パソコン内のファイルを全部、消去することだって何の問題も なく実行できてしまう。情報漏洩ばかり心配している会社が多いようだが情報が無くなる ことの方が実際的なダメ−ジは大きい。企業の存続が危ぶまれる。ボットは Windowsパソ コンに寄生する。そのためバックアップに使うサ−バは Windows OSではだめだ。Linux も多分ウィルス感染が危ない。使うなら、ただの Linux ではなくセキュア Linux という のにしたい。`29/07/10 韓国でハッカ−攻撃により政府のパソコンのデ−タが破壊された ことが発表された。実際にファイルが破壊されたというのは初めて聞いた。 * PFS なる保護ファイルサ−バの設置 `2h/10/M PFS( Protected File Server ) なる装置の設置がここでは肝心である。 PFS なる物が市 販されているのかは分からない。ウィルスに感染しない、保護されたファイルサ−バであ る。これに部門のパソコンのファイルを保存する。 部門用の PFS に入ったファイルは更 に全社用 PFS にもコピ−するのが望ましいだろう。1つの部門はPC 50〜100台位。 これはボットなどのマルウェアの侵入はもはや防御はできるものではない。ファイルの暗 号化や消去といった攻撃を受けても事業が継続できるように、必要なファイルは安全なフ ァイルサ−バに退避させておくという考えである。PFS 装置はできるだけシンプルなプロ グラムとして、バグが絶対に入り込まない安全な代物にすることが重要である。 : □Router | ----------------- □ □MR | | | ------ Mail- 社内用 UTM機能 ----------|Fire|UTM Store DNS Proxy SSL-VPN ------ □ □ □ | | | | -------------------------------------------------- | PFS全社用 ------------ Intra CIFS Active ■ | Layer3 | □ □ □Directory | UTM | Switch | UTM | | | ------□--| |--□------------------------ | | Server Farm ------------ | | -------------- ----------------- 最重要情報用の完全 PFS部門用 | | PFS部門用 分離セグメント ■ △ □UTM UTM□ ■ △PC ■ | | | | | | |PFS部門用 ------------- ------------------ ------------- バグが絶対に無いプログラムなんかは多分できないかも知れない。しかし少なくともマイ クロソフト社のWindows OSのように毎週のようにセキュリティ・ホ−ルが見つかりパッ チが配布される。そんな状況ではないようなプログラムは開発はできるはずである。セキ ュリティ・ホ−ルの大方はバッファオ−バ−フロ−に起因するものでないか。C言語のポ インタ−のようなメモリに直結するような記憶はしないでおく。記憶は配列のみ利用する ようにして、配列を越えた場合はただの NULL に誘導する。これだけでも相当安全性は増 すと思う。2017年秋でのインタ−ネットの状況は、マルウェアの脅威は止まるところ を知らないレベルにまで達している。もはや社内ヘの侵入や破壊などは防ぎ切れないと認 識すべきである。この PFS ファイルサ−バは企業活動を守る最後の砦である。 (2) 部門用サ−ビスサ−バの設置 `28 -------------------------------------------------------------------------------- この検討は自宅でやることにしよう。2008年夏に手に入れたHPのマシンが1台ある。 OSは SUSE ス−ゼ、ドイツ製ということだ。ソニ−のノ−トPCの Windows XP も1台 ある。更にデスクトップの Windows 98 も1台あったりして。 -------------------------------------------------------------------------------- * 概要 シンクライアントなら部門用のファイル共有サ−バは必要ないかもしれない。 IAサ−バというのが安くていいと雑誌に最近よく出ている。`27/06 各部には空調ル−ムはない。タワ−型かボックス型のあまり騒音がしないのがいい。 部門用ファイル共有サ−バと言うのでなくて、部門用サ−ビスサ−バと言おう。 部門用のサ−ビスサ−バは、できれば鍵扉のついたラックに設置したい。 * 役目 ・DHCP サ−バによるIPアドレスの割り振り。 ・各パソコンのファイルバックアップ。 ・ロ−カルでのパソコン認証。 ・プリンタなど周辺装置の利用。 ・部門用ドキュメントサ−バ。 * 各パソコンのファイルのバックアップ 何をバックアップすればいいか。メ−ル、Dドライブ、デスクトップ環境の設定ファイル など。パソコンが壊れた場合に、バックアップしていたファイルを別なパソコンにコピ− して復旧させたい。壊れたディスクからファイルを吸いだすようなことはしない。バック アップをとるためのソフトはどんなんがあるか。フリ−ソフトでやりたい。ベクタ−のと ころなんか見ると一杯ある。バックアップソフトの有償製品を買わなくてもやれると思う。 パソコン雑誌に時折り特集されたりしている、パソコンのお引っ越し記事。こんなんを見 れば結構詳しく何を新しいパソコンにコピ−すべきか書かれている。これはパソコンが壊 れた場合、ディスクのファイルを吸い出して新しい或いは別なパソコンに復旧する話でも ある。吸い出すべき、新しいパソコンにコピ−すべきファイルが分かるのなら、それをど こかにバックアップをとっておけばいい訳で。十分できる話だと思う。 Linux を部門用のサ−ビスサ−バとする。各パソコンには DHCP でIPアドレスを配布す る。各パソコンのバックアップ領域をもうける。Linux でパソコンのマシン名かユ−ザ名 を入れるとそのパソコン用のバックアップ領域ができるというのはどうだ。適当なスクリ プトを用意する。その人が異動で別な所に移動したら、そこの部門用のサ−ビスサ−バに、 この領域をコピ−する。パソコンのファイルの移動はこれで完了だ。 マシン名は日本語をつけてしまっている輩とか変に長い名前だったりする。マシン名はや めたほうがいいか。そうなるとユ−ザ名か。ディスクの中のその人が作成したファイルを、 いちいちネットワ−ク管理者が現場に言って、今度行く部署のパソコンにコピ−したりす るようなことは止めたい。そうなると管理者が一元的に管理用パソコンで操作ができるこ とができるといい。皆のパソコンがちゃんとバックアップがとれているかも分かる。 [ 各パソコンのOSのバックアップ ] 全体イメ−ジを定期的にバックアップソフトでバックアップする。復旧するのは容易にな る。パッチや追加ソフトを別途入れなくても済む。バックアップしていたファイルを戻す だけである。バックアップする量が問題だ。幾ら次回からは差分でいいとしてもだ。イメ −ジでなくマスタ−を作っておくやり方では。マスタ−でまずは復旧し、パッチなどをあ てていく。そのパソコンだけにいれたソフトとかもいれる。それからバックアップしてい たファイルを戻す。こっちはかなり手間がかかる。ファイルのバックアップで留めるのか OSのバックアップまでやるのか、各社各管理者さんで判断してもらいたい。 * サ−バマシンの検討 Windows はもう先が見えている。Windows OSには依存しないようにする。Windows 2003 サ−バはネットワ−ク・セルでは使わないことにする。OSはLinux にする、フリ−ソフ トの Linux でいいだろう。有償の Red Hat Enterprise Server でもいい。これって会社 で1つライセンスを買えば何台でもインスト−ルして構わないのかな。その後分かったが マシンの台数分のライセンスは必要である。1年1台10万円ぐらいいる。特段、有償の Red Hat Linux にしなければいけない理由はないと思う。フリ−のでも十分である。ある いは SUSE Linux にする手もある、有償のでも1年1台4万円ぐらいである。 マシンはタワ−型のにする。オフォイスにそのまま置ける、騒音がそんなにしないという ことで。だいたいにおいてラックマウント型はかなりうるさいという、静かなタイプがあ れば部門用ラックに入れても構わない。メ−カは今、どこのSI業者さんに聞いてもHP 社が定評がある。それも東京仕様といって国内で組み立てているのが信頼性が高いという ことだ。タワ−型の例ではHPの ML310 G5、メモリ4GB、146GBミラ−ディスク、Red Hat Linux Enterprise Server 3年標準サブスクリプション付き、3年保証とか。 SunFire X2100 M2 はどうか。40万円ぐらい。AMD Opteron デュアルコア、2 GB メモリ、 500 GB 7200 回転 SATA 2台、エントリレベル・サ−バ、DVD-ROM,VMwareESX対応。対応 OSはSolaris 10/Red Hat Enterprise/SUSE LINUX Enterprise Server/Windows 2003 Server。CPU性能が高い。CADや解析のサ−バとしてよく用いられる。問題は大きさ だ。幅 42.6 x 奥行 63.4 x 高さ 4.3 重量 10.7 Kg ちょっと奥行きがあり過ぎる、営業 所や支店なんかは狭いので置き場所に困る。しかし Sun は最近、あまり評判が今一つで。 [ メモ ] 富士通のパソコンサ−バ PRIMERGY RX200S2, 64 bit Intel Xeon, Ultra320 SCSI RAID 1 または 5, 1U。ニュ−テックの NAS、Evolution も導入。CentOS 使用。どこかの例。 水冷のサ−バは水が漏れるとたいへん。フロンで冷やすのもあるが、フロンが抜けていく そうな。水冷サ−バも水が減っていくそうな。 NASに NetVault を入れて更に NetApp や EMCなんかにバックアップするとか。NAS にはソフトは入れることができない?。高いNASなら入れることができるか?。 * バックアップ用マシンとしてNASは Windows Storage Server 2003 R2 搭載したNAS。Active Directory のユ−ザ認証、暗 号化ファイルなどが使える。家庭用とか安いのでは3万円ぐらいでも買える。企業向けの でも30万円前後。いいかどうか知らんがバッファロ−、IOデ−タ。一見このプランは よさそうだが、実際どうなのか。パソコンを何台お守できるか。全部でパソコンが500 台あって、1つのNASで50台としても10台必要、20台なら25台。結構な費用に なる。きちんとNASをめんどうみるとかなるとその管理の手間も増える。 適当なNASを部門にばらまき、ここにバックアップをとるようにする。NASはパソコ ンショップで売っている家庭用のものでもいいのでないか。この程度のことなら自宅のパ ソコンでテストできる。らくらくお引っ越し。DHCPサ−バ機能があるNASもある。パソ コンが壊れた際にNASにデ−タが残っていて復旧ができる。できるというよりできれば もうけものぐらいに思ってもらう、保険的なもの。それぐらいでメンテナンスフリ−で運 用しないと、安いNAS製品はやってられないかも知れない。 SI業者に一度聞いてみよう。家庭用のが実際使えるものかどうか。NetAppなんかかつて 1千万円単位だったのが今や百万円ぐらいのもあるそうだ。パソコン台数が300を越え たぐらいで、そうしたそれなりの物を導入しないといけない。パソコン台数が300以下 なら、安いNASの利用でもいいかも知れないが。会社やネットワ−クの規模、パソコン 台数によって出入りするSI業者が違ってくる。これまでパソコンよりの業者さんとはほ とんど付き合いがなかったので、バッファロ−製のNASとか見ることはなかった。 * もう DHCP は十分使えそうだ Cisco 3750 の DHCP はリレ−機能だけ、DHCP サ−バへの要求を仲介する。 もう DHCP は十分使えそうだ。2007年1月に友人と話していて感じた。 DHCP ネットマスク、デフォルトゲ−トウェイ、DNSサ−バのIPアドレス。 DHCP サ−バのソフトはフリ−ソフトのが有名。BIND の ISC。Linux のでいいや。 Windows のコマンド、>ipconfig /renew IPアドレスの獲得とリリ−ス。 NetScreen も FortiGate にも DHCP サ−バの機能がある。 無線LANに DHCP サ−バ機能もある。家庭用のかあるいは企業用のでも。 * DHCP サ−バへの期待 実は DHCP の仕様は何でもありである。デフォルトゲ−トウェイ、DNSぐらいしかパソ コンなど DHCP クライアントは対応してない。しかし DHCP の仕様としては、何でもパラ メ−タとして持てるようになっている。 SMTP サ−バ、POP サ−バのIPアドレスもある。 パソコンの DHCP で、SMTP サ−バと POP サ−バのアクティブとスタンバイを持てること ができればいいのだが。エンドユ−ザ向けの Linux の Ubuntu なんかの DHCPクライアン トはどうなのだろうか。知り合いのネパ−ル人が2007年頃、Ubuntuいいよと話ていた。 全社で1つの DHCP サ−バを設置し運用するのであれば、下記のアプライアンス製品を用 いて冗長化するとか、そんな話になるとは思う。しかし部門毎での DHCP サ−バ設置、運 用であればアプライアンスまでは必要ない。DHCP だけやるにしては、 アプライアンス製 品は結構高額だと思う。Linux マシンの部門用サ−ビスサ−バで十分である。 * DHCP サ−バのアプライアンス Infoblox 図研ネットウェイブ(株) `27/05 > DNS と DHCP サ−バ機能のアプライアンス。100万円から。独自OS。 IPAM という IPアドレスの管理。RADIUS NTP など対応。ISC DHCP 3.0.1 に準拠、BIND 9.2.3 に 準拠。IDグリッドに対応。DDNS に対応。Active Directory に対応。装置の2重化がで きる。Linux マシンで2重化、クラスタリングをしようとするとかなりの金額がかかる。 DNS,DHCP,NTP,RADIUS などの機能がある。本社には 1050タイプを1台、工場には250を 設置するのがいいと聞いた。DNSは本番サ−バから待機サ−バヘの切り替えが5秒。 NetWyvern DHCP (株)インフィコ開発 `26/02 > ファンレス、ディスクレスで耐久性が高い。W201xD147xH44。 2台による冗長化が可能。 MACアドレスをあらかじめ登録しておき、接続可否の制御をする。Webによるクラ イアントモニタ画面あり。DHCPリレ−エ−ジェント対応。MACアドレスをみて毎度同 じIPアドレスを割り当てることも可。この会社 RADIUS のアプライアンスも作ってい る。NetWyvern RADIUS、クライアント証明書発行機能、Active Directory連携機能あり。 展示会でもらったのは紙1枚のパンフレットだけで、大丈夫かいな。 * 参考 「テクインフォ」2005/01/31, Vol.53, P.69〜70, "Cisco ワンポイントレッスンDHCPサ− > バの設定"。DNSアドレス、デフォルトゲ−トウェイ、ドメイン名など通知。 「NETWORK magazine」2008/09, P.102〜117, "特集2:失敗しないバックアップ大作戦"。 > Windows XP 標準の NTBackup の使い方。フリ−ソフトの RunBackup/BunRestore。 (3) パソコン管理を楽にするには -------------------------------------------------------------------------------- どこも皆パソコンには困っている。どこの会社、大学などでも状況は一緒。やりたいこと もいっしょ。自分とこは特殊なケ−スなどと考えるのはだめ。もはや先が見えてきた気が する Windows パソコンには、できるだけ銭と手間はかけない方がいいのでないか。 -------------------------------------------------------------------------------- * パソコンのこれからのことを予想すると たかが読み書きそろばんが、コンピュ−タのオペレ−ティングシステムである必要はない。 昨今のビデオやテレビにもコンピュ−タが組み込まれている、でもエンド・ユ−ザとして はそんなことはどうでもいいことであって関係ない。 パソコンにはできるだけソフトは入れないようにする。ウィルスチェック、パ−ソナルフ ァイアウォ−ル、資産管理ソフト、情報漏洩防止ソフトなどなど。入れるのはバックアッ プソフト。部門用のサ−ビスサ−バに、自分のパソコンのフィイルをバックアップする。 パソコンは Windows XP か Vista か。Windows XP は2014年4月までサポ−トすると 表明。普通の会社ではこのまま Windows XP で終わりまで突っ走るか。Vista は全然、別 もんのOSみたい。Vista の Office ソフトもデ−タの互換性がまるでだめみたいだし。 2008年2月、 マイクロソフトが Windows OSのソ−スの一部を公開するという報道 があった。これは大きな方針転換だ。ビルゲイツが引退するのも大きい変化だ。慈善事業 家というのは、ビルゲイツはどうも本気のようだ。 設備担当の部署にお任せだからIT部門はタッチしないというのでなく、IT利用の基盤 として、ちゃんと関わっていかなければならない。パソコンの設備としてのシステムとし て、設計して配備していかなくてはいけない。 * パソコンはシンクライアントに向かっている ここのパソコンに1台ずついろいろソフトをインスト−ルしていく。長くはもたない。ど こにお金をかけるべきか、よくよく考えなければならない。 シンクライアントにすれば資産管理ソフトはいらんかも?。操作ログをとるソフトもいら んかも。親サ−バでは全部みている訳だから、特にそうしたソフトはなくてもいいかも。 ディスク付きのパソコンが、とりあえず社内にゆきわたって大量に存在している。すぐに は捨てることはできない。緩やかな移行。現実的な対応が実際的には求められる。 既存パソコンの有効利用。ディスク付きのパソコン、既存パソコンをほかるわけにはいか ない。ディスク付きパソコンをシンクライアント的に使うソフトが出ている。 この先全部のパソコンがシンクライアントになるのは、まだまだ先。多くの企業では数年 下手すれば5年ぐらいこのままかもしれない。2009年時点、普及率は20%もない。 * トラブル対応のヘルプデスク ネットワ−クに起因する問題か。たいがい電源プラグが外れかけているとか。しょうもな いことがほとんど。ハブに適当にケ−ブルを差して、ル−プしてしまったとか。KJ法で カ−ドを作り分類しよう。場辺り的に対処して終わりにするのでなく、どうしたら問題が 減るか一度よく考えよう。こういうのこそQCサ−クルで取り上げてもいい。 マニュアルを書く際には、そのマニュアルに対する質問が出ないように考えて作成するこ と。文章を分かりやすく吟味すること。できないことを明示する。 Windows XP に対応と だけ書くと、必ず Windows 2000 ではだめなのかと質問がくる。 別な人からは Vista は どうなのと来る。Windows XP に対応、それ以外は対応しない。と書かなければだめだ。 パソコンのソフトが問題か。ワ−ド、エクセル、パワ−ポイントは何かとトラブルが起き て、問い合わせがよくある。FAQをイントラに載せて、同じようなのを自分で調べるこ とができるようにする。本当はこんなことは初歩で既にやっていて当り前。デ−タベ−ス にして検索できるようにするとかはめんどう、ただのテキストで結構である。 各部署にパソコンの分かる人を部門ITヘルパ−とする、決める。昨今、IT部門よりパ ソコンに詳しい輩はどこにでもいる。そいつの仕事の5%程度の負荷でヘルプデスクの役 割をしてもらう。いちいちIT部門に問い合わせしなくても、ロ−カルで迅速に問題解決 できるようにするのが望ましい。これがその企業のIT力になっていく。 * 先ずは管理をしないこと なぜパソコンが誰が使っていてIPアドレスは何と、表やらデ−タベ−スやら作らないけ ないか。パソコンに入っているソフトやバ−ジョンなど資産管理も不要になるのでないか。 Windows のOSや Office ソフトなどライセンスの数などは、管理するとしても。 人事異動に伴うレイアウト替えの煩わしさからの解放。フリ−アクセスフロアによるめん どくささ。もう無線LANと DHCP でできるはずである。無線LANのセキュリティはそ こそこでもいい。重要ファイルは SSL-VPN 経由でのアクセスとなり暗号化される。 パソコンは各部署で好きなように買ってもらっていい。Windows OSもいろんなソフトも 自由に買ってもらえばいい。年に一度、IT管理部門が各部署からどんなソフトがあるか 棚卸ししてもらって報告を受ければいいでないか。大手の会社でそうしているのを聞いた。 社員証を忘れても救済できるように、というか何か物を必ずもっていないとパソコンが使 えない。そういうことにはしたくない。ICカ−ド、USBキ−、ワンタイムパスワ−ド の装置とかは使わない。物は忘れる、亡くす、壊れる。管理が増える一方である。 レイアウト替えのこと。フリ−アクセスフロアのゴムマットとアルミパネルを剥がす。ハ ブが床下にあってネットワ−クケ−ブルも張り直す。こんな作業をまだIT部門がやって いるのなら、ハブは床上でフラットケ−ブルをゴムマットの下にかましてよしとする。 * IPアドレスの割り振りと利用のル−ル 192.168.1.0 なら 1 がゲ−トウェイ用、2 から 10 までは予約で、部門用の DHCPサ−バ など各種サ−バ用にすると決める。 11 から 20 までユ−ザ用の固定IPアドレスのホストに割り当てる、Windowsパソコンや Machintoch や Solaris や Linux などサ−バ機。テスト用にも使うことにする。 21 から 250 まで DHCP による動的割り当てで、一般ユ−ザ用のパソコンとする。細かく はセグメントまたはVLANで範囲を分割する。 251 から 255 はお客さん用で固定IPアドレスとする。 インタ−ネットへのアクセスが できるようにしておく。部門サ−バをはじめ社内資源にはどこにもアクセスはできない。 一般ユ−ザのパソコンは無線LAN接続とする。サ−バ類はより接続の信頼性を考慮して ケ−ブル接続。固定IPアドレスの部分は、部門で自由にパソコンなどつなげてよし。 * 楽になるどころかより泥沼にはまる きちんとしたポリシ−をもっていないと、パソコンのお守は泥沼にはまっていく。だいた いどこの企業でも、各パソコンにはウィルスチェックのソフトを入れていると思う。お守 の一つとして、バ−ジョンを上げてより最新のウィルスにも対応させる。しかしこれを実 施すると何十メガもメモリをくって、パソコンの操作1つするのに、えらく時間がかかる ようなことになってしまう。新しいウィルスチェックソフトは、軽くしましたと宣伝文句 にはあるが全然である。ともかくパソコンはそのままでは使い物にならないので、メモリ を追加することになる。なんぼかかるのか知らないが、数千円では済まないだろう。それ でもメモリを追加できればいい方で、少し古いパソコンとなるとメモリを差すスロットの 余りがすでにないこともある。友人やSI業者の会社でも似たような話を聞いた。 また内部統制がらみで資産管理ソフトや暗号化ソフトや操作ログ記録ソフトもパソコンに 入れるというのもよくある話だ。これらのソフトもかなり癖があるようである。SI業者 が一括してパソコンに設定するのを請け負って、無茶苦茶苦労したと幾つも聞いた。多分 これらのソフトがすんなり入るのは、十分なスペックのある Windows 2000 か XP を新品 で、一括して購入してソフトをインスト−ルするという場合だろう。すでに社内に散らば っている購入時期が違うパソコンで、メモリもディスクもかつかつ、ソフトもいろいろで バ−ジョンもまちまち。そんな状況の元ではインスト−ルし設定し使えるようにするのは 至難の業というべきである。残念ながら Windows パソコンはそんな、 こなれた代物では ない。そこのところを一番認識していたのは、パソコンを世界にあまねくばらまいた張本 人であるマイクロソフトのビル・ゲイツ自身に他ならないだろう。 * パソコンがパソコンでなくなる日まで 日用品 "コモディティ" であるはずなのだが、手間のかかるやんちゃ坊主だ。パソコンは 必要悪か?。必要悪というにはひど過ぎる。東芝のルポにブラウザが映ればいいでないか。 ワ−プロでも内部ではOSらしきものを持っていたと思う。大きなポリシ−が必要だ。パ スワ−ドが何文字、有効期間はとかではない。情報漏洩対策で何やらソフトをパソコンに 入れるとかでもない。何を一番優先するか、ユ−ザの利便性を第一にするとか。何のため にパソコンを使うのかとか。目先のトラブルに場当たり的な対策で日々、追われているだ けではだめだ。一つの問題を掘り下げていくと、全体の問題点までが見えてくる。そこか らネットワ−クシステムの中のパソコンとしてセットアップしていくことを検討すること。 でも、しかしパソコンのできが悪過ぎてどうにもならないかも知れない。システム的に計 画しても、結局のところ場当たり的に対応して行くしかないのでないか。 持ち出しするノ−トパソコンを紛失盗難、そのため暗号化するのだとよく言われる。しか しそうでなくて、社内にあるデスクトップパソコンの方が紛失盗難に会う方が多い、そう いう統計があるらしい。そのためデスクトップパソコンも暗号化しないといけない、そう 考えている企業などのIT担当者もいるとのことだ。大学でパソコンを盗まれたというニ ュ−スはよくある話である。デスクトップパソコンだからと言って、そんなに大きななも のでない。片手で持てる程度の重さサイズのものが机の上に置かれている。紙袋にだって 入るぞ。社内のパソコンは盗まれる可能性は小さい、だから暗号化しなくてもいいという 議論にはならない。じゃ、だからと言って社内のデスクトップパソコンも丸っとディスク ごと暗号化するのか。こういう場当たり的な考えは止めないと。どうして暗号化がいるの か、何を暗号化しないといけないのか。元から考えないとだめである。 * 参考 「日経コンピュ−タ」2007/07/23, P.126〜132, "特集2:PCは自由を求める"。 > ノ−トPCなど十分なセキュリティ対策を施した上で使う企業の事例を紹介。 (4) 検疫用ネットワ−ク装置&ソフト -------------------------------------------------------------------------------- 実際にこれを実施した雑誌なんかの事例では、あまり社内では評判はよろしくないようだ。 SI業者さんから聞いた話でも同じく。導入したはいいが、すぐに検疫を止めてしまうと ころが多いようである。もしやるとすれば ROUD とネットワ−ク装置の組み合わせか。 -------------------------------------------------------------------------------- * 検疫というのはどう考えるか 検疫ネットワ−ク、検疫装置などなど。パソコンがまっとうな状態にあるか。セキュリテ ィのパッチが最新かとかウィルスチェックのパタ−ンファイルが最新か。でないとネット ワ−クにつながせないとか、VLANで隔離ネットワ−クにつなぐとか。ウィルスに感染 したパソコンを社内に持ち込んで広がらないようにする。昔、異国からの船がきた時、船 員を50日間だったか船に留め置き、病気がないことを確認してから上陸させたとか。ど こかそんな話が雑誌に書いてあった。 外部の人が勝手にネットワ−ク装置にパソコンを接続できないようにする。無線LANに 勝手に接続できないようにする。これは検疫の話ではないな。パソコン接続の許可うんぬ んのこと。いや、先ずはそもそも、このパソコンは接続OKですよとしていて、そのパソ コンがウィルスなどに感染したか、感染する可能性のある場合は、何らかの対処をしない といけないというのが、検疫だろう。 検疫もくそもない古いパソコンが、まだまだある。NECのPC98なんてのもあったり するぞ。工場の現場事務所の片隅に8インチのディスクドライブと一緒に置かれていたり する。こんなんは、そもそもウィルスに感染しようがないので無害。Windows 98 とか Me とかだってまだあるぞ。まだこちらはウィルスなどが出回っているので危険である。マイ クロソフトもインタ−ネットには繋がないでくれと言っている。 レイヤ3スイッチが一巡してしまい、当面売るものがなくなって、検疫システムだ−と触 れ回ったが、ユ−ザはほとんど踊らかなった。というアナリストもいる。ほとんど広まら なかったみたい。やるのは、そう簡単ではない。パソコンそれぞれに認証用のソフトを入 れないとだめ。 検疫ネットワ−ク装置のパソコンのチェック機能と SSL-VPN 装置のホス トチェッカ−の機能はどうも同じみたいだ、`28/02/23 に気付いた。 * 検疫ネットワ−ク装置はあった方がいいか あった方がいいかという前に、検疫ネットワ−ク装置は実際問題、使えるのか。スイッチ ングハブがコンピュ−タやネットワ−ク装置のMACアドレスを覚えてしまい離さないこ とがある。サ−バやル−タなどの置き換えの時に起こりうる。こうなると、もうスイッチ ングハブの電源をいったん落として、電源を入れ直さないと何ともならない。このように 人知れず個々のコンピュ−タを認識するためにMACアドレスがいろんな所で登録されて いる。どれ位の時間で装置を取り外して、その装置のMACアドレスが消えるのか、正直 なところよく分からない。こんなような状態でMACアドレスを基本的に使ってチェック するという検疫ネットワ−ク装置は、どんなものか。本当にちゃんと働くのか、とりあえ ず働いたとしても、少し問題が起きるとどうにもこうにもならなくなるのでないか。それ にパソコンが最新パッチが当たるまで繋がせないという売り、かなり運用に疑問である。 故意であるとか間違ってとかパソコンを同じIPアドレスでネットワ−クにつなげると簡 単にネットワ−クが麻痺してしまう。特にル−タやレイヤ3スッチのインタ−フェ−スに あたるIPアドレスをパソコンに付けたりすると、たちどころにネットワ−クがだめにな ってしまう。パソコンの設置作業で知らずに、たまたま同じIPアドレスと付けてつなげ て、そしたら周りからなんかおかしいぞと声があがってきて、パソコンの設定が何かおか しかったかと分かる、そんな経験をした管理者は結構いるのでないか。しかし管理者の知 らないところでパソコンをつなげられたら、どこがおかしい元なのか特定するのはかなり 難しいと思う。コンピュ−タの配置とネットワ−クのトポロジ−を常にモニタするネット ワ−ク管理ソフトを稼働させておけば、警告が表示されると思うがどうなのか。一度はそ の手のソフトをインスト−ルして見てみた気もするが、忘れた。 それ以前に、このMACアドレスを付けられたら困るというのは、レイヤ3スイッチなど 基幹部分でのネットワ−ク装置、ファイルサ−バなどのコンピュ−タである。検疫ネット ワ−ク装置で、あらかじめ登録したMACアドレス以外のはネットワ−クに参加させない。 ネットワ−クの維持という観点から検疫ネットワ−ク装置らしきものはいるだろうと思う。 もしレイヤ3スイッチやサ−バのマシンでMACアドレスが変わらないような措置をとれ るものならやりたい。これら装置のIPアドレスのMACアドレスはこれこれ。誤って同 じIPアドレスをパソコンなどに付けても、そのMACアドレスが装置に登録されないよ うにするのである。MACアドレスの偽造は簡単にできるという。ARP キャッシュポイズ ニング で Google で調べたら、Catalyst 3750 の説明書に "ダイナミックARP検査" とい う章があった。これでどうにかできるかも知れない。 * 認証VLANとか検疫ネットワ−ク 検疫ネットワ−ク装置はパソコンをネットワ−クにつながせない、隔離セグメントにいっ たんおくとか、パッチが当たるまでつながせないとか、そうした機能が加わっている。仕 組みとしては認証VLAN方式、認証DHCP方式、認証ゲ−トウェイ方式がある。 認証VLAN方式は IEEE802.x方式のことで、VLAN対応スイッチのポ−ト1つに1台 のパソコンを接続しないといけない。全部のスイッチングハブをおきかえなければならな い。安全性を満たしてないパソコンは別なVLANにおいて参加させないようにする。 認証DHCP方式はパソコンのMACアドレスを DHCP サ−バが見て、接続の可否をする。 しかしパソコンに固定IPを振ったら抜けてしまう。Infoblox社の製品はどうか。RADIUS サ−バが別にいるのか。今一度、調べ直してみないといけない。 パソコンは最初に Windows Update の自動実行、ウィルスチェックソフトのパタ−ンファ イル取得の自動実行を設定しておけば、普通ではそれで最新状態に保たれるはず。あまり 検疫システムのことは、ワ−ワ−言わなくてもいいのでないか。 ネットワ−ク装置の Apresia NA認証と、パソコン資産管理統合ソリュ−ション NOSiDE Inventory Sub System2004 との連携で、パソコン検疫LANを実現する。 ウィルス定義 ファイル、セキュリティパッチを調べて強制的に自動適用させる。 ConSentry レイヤ7スイッチ、ポ−ト単位でUTM機能がある製品。2007年5月時点、 この装置の名前、あまり聞かないようになった気がするのだが。一体どうしたのか。扱っ ている業者は今もって1社だけ。ConSentry LANShiled Switch CS4048X、約300万円。 SonicWALL の機能。オプションでアンチウィルス機能を入れることができる。パソコンに アンチウィルス定義ファイルが最新バ−ジョンになっているかチェックする。最新に更新 されていないと強制的にインスト−ルを遂行する。アンチウィルスソフトが入ってないパ ソコンはインタ−ネットへのアクセスを遮断する。 認証スイッチは、最初にパソコンを使う場合にMACアドレスを覚える。いったん覚えて しまったらその日はそのままになる。別なパソコンにMACアドレスを偽造したら、その まま認証スイッチを通ってしまう。 認証スイッチとパソコンの接続のこと。Apresia はこの下にハブを付けてもいい。 Cisco のはハブはつけては駄目、直接パソコンをつけないといけない。ハブを全部おきかえない けないと言っていることが、IEEE802.x 方式のこと。 パソコン個体認証の ROUD の検疫機能。認証スイッチ Apresia や OmniStack と連携がで きる。ネットワ−ク参加の可否を制御する。できることはできるがLAN用の ROUD にし ないとダメ。WAN用の ROUD でもライセンスを後から買えば使えるみたいだが。 SSL-VPN 装置のパソコンのチェック機構を検疫機能として使うことができる。外で使うパ ソコンを社内アクセスさせるわけで、それなりの安全性があるか調べるということである。 認証VLANみたいな感じもあるが、パソコンを別セグメントに隔離とかはできない。 * この装置はなんじゃ DGS-3200-10 L2+コンパクトセキュリティギガビットスイッチ。もらった1枚のパンフレットによれ ば、ネットワ−クのエンドポイントでのセキュリティを大幅に向上することが可能。標準 価格 49,800円。なんかえらく安い。パンフレットに ROUD/RegistGate ハ−ドウェア認証 対応との文字があったので目に止まった。NOSiDE LAN 検疫対応、Microsoft NAP検疫対応。 RADIUS認証から始まり、今ある大方の認証方式は全部サポ−トしているのでないか。部門 用のパソコンの検疫装置として使うことを想定。802.3ad, 802.1X認証, RSTP, IGMP, QoS, RADIUS認証など対応。"INTEROP 2007"グランプリ受賞。http://www.dlink-jp.com/台湾製。 設定に来た ROUD の代理展のSEさんも知ってはいたが、どうなんだろうと話していた。 * よく見かける Net'Attest は何? ソリトンシステムズの認証サ−バのアプライアンス。IEEE802.x ユ−ザ認証、ネットワ− ク認証サ−バ。認証スイッチ Apresia シリ−ズ。認証スイッチ+認証サ−バ RADIUSの組 み合わせ。認証デバイスのサポ−ト、非接触ICカ−ド 指紋認証ユニット シングルサ インオン。Shared Port Mode のポ−ト共有モ−ド、 下にハブやスイッチが入ってもいい、 既存のネットワ−ク構成をほとんど変更させずにすむ。 Designated Port Mode ポ−ト専 有モ−ド、1ポ−ト1クライアント、ダイナミックにVLANを割り当てることができる。 Net'Attest 認証サ−バは、F5 Networks 社の SSL-VPN 装置の FirePass でも利用できる。 クライアント証明書をUSBト−クンに入れ、ト−クンをパソコンに差し込んで使う。 * 東京での展示会での感触では 2006年6月のインタ−ロップで Cisco のブ−スなんか見ていて、 パソコンの認証が だいぶ簡単にできるようになった感じがした。レイヤ3スイッチとかレイヤ4や7のスイ ッチであれば、特定のパソコンの特定のパケットをブロックするぐらいのことは朝飯前で ある。適当なパスワ−ドでも先ず入れて、それをスイッチが認識して、それ以降はパケッ トを通す。別にそんなこと LDAP でなくても Active Directory でなくてもいいぞ。統一 した方法、パソコンやユ−ザを認証するためのデ−タベ−ス、ある決められた認証情報の やり取り、そういう場合に LDAP なんていうのがあるよということだ。2006年11月 に Ciscoが分かるエンジニアが言うには、認証の辺りはまだのような感じだと言っていた。 * 現実に起きた検疫なること 新型インフルエンザの騒動で検疫ということがクロ−ズアップされた。これで検疫がどう いうものかよく分かったのでないか。それにしても過敏で過剰過ぎる反応だった。修学旅 行の中止や延期。神戸だけの学校ならまだしも、全国に広まってしまった。2000校を 超える数だ、もうまさに異常。神戸や大阪での結婚式ヘの出席も見合わせるとか。会社か らは行ったら3日間とか7日間出勤は禁止で自宅待機せよとのお達しが出たり。西へ向い て行く新幹線はガラガラ。飛行機の機内での検疫でひかっかった高校生は空港近くのホテ ルで何日、缶詰になったや。近くの座席に座っていた人らも監禁された。監禁とはいわず に係留措置。世界での感染は拡大している。2009年6月11日にフェ−ズ6に引き上 げられた。毒性は中のままだが。終わってみれば大騒ぎしたのは日本だけだったみたい。 * IPS機能のある検疫ネットワ−ク装置 世界最先端の検疫ネットワ−ク&シグネチャレスIPSを搭載した CounterACT アプライ アンス。セキュリティが不十分なパソコンを検知して対処し、ワ−ムやボットの感染拡大 を事前に防ぐ。2006年9月の製品資料から。ForeScout 社。アメリカはシンリコンバ レ−で2000年4月設立。Cisco Catalyst や Juniper などと連携できる。VLANを 変更したりポ−トを閉じたり。スイッチングハブと連携して、お客さんのパソコンにはゲ スト用ネットワ−クのVLANを割り当てる。 CounterACT は内部ネットワ−クに非イン ラインで設置する。IPS機能だけの製品が ActiveScout。攻撃方法は多々出てくるがタ −ゲットを見つけるスキャン行為は限られた方法しかない。2007年5月に知った。 * トレンドマイクロの検疫ネットワ−ク装置 Trend Micro Network VirusWall Enforcer アプライアンス 1U。単一セグメント向けの モデル 1200 10/100 Mbps 2ポ−ト、180 Mbps、250同時ユ−ザ、最大180W。複数セグメン ト向けのモデル 2500 10/100/100 Mbps 5ポ−ト、最大9ポ−トにできる、1.2 Gbps、4000 同時ユ−ザ、最大 450W。価格は例えばモデル 2500の500ユ−ザだと300万円弱。正 常なパケットだけを通す。IRC パケット適用によりボット通信を止める。インライン方式、 簡易検査。治療するのに隔離する。ポリシ−に合致しないパソコンは別VLANに隔離す る。各パソコンにはクライアント用ソフトはインスト−ルしなくていい。この装置は結構、 前からあるみたい。エ−ジェントをパソコンに配信する?。いつ配信するか、何のことか。 (5) UTMの配置と無線LAN `29/05 * UTMの配置 小さなUTMをばらまくこと。2つの考え方。部門単位とか。結構費用がかかる。それだ けのコストをかけるのであれば、もうできるところからシンクライアントにパソコンを変 えていくべきだ。しかしUTMが1台20万円ぐらいで買えるのだから安い。一挙に導入 するのではなくじょじょに既成事実を積み重ねていく。侵入防御装置が1台1千万円とい うとビックリしてだめ。UTMをハイ20台、もろもろで500万円、ハイこれもダメ。 ファイアウォ−ルとIPSの設置はWWWサ−バへの攻撃を防ぐということ、加えて幾つ かの社内のセグメントを守るということ。そのために DefensePro を導入したのは意味が あった。社内のネットワ−クを大きく守る。それに半値で購入できたことも設置には意味 があった。まだその頃、UTMはそんなに評価は固まっていなかった。というか製品は存 在していたのだろうが、ほとんど眼中になかった。 FortiGate をばらまくとして集中管理するにはどうしたらいいか。 FortiManager で管理、 ログ収集は FortiAnalyzer。ばらまくための具体的な設定はいかに。ボットなど強力なウ ィルスの感染が社内に広がらないようにすることが第一。もはやボットの侵入は阻止する ことは不可能。ならば侵入されてもその該当部署内に留めるようするしかない。ファイア ウォ−ルはそのためにいる。迷惑メ−ルのチェックはしない。IPSはいらない?。 工場での利用。FortiGate をどういう設定にして設置しているのか。すでにかなりの事例 ができている。大企業の工場で一括で数百台導入したとか。2008年の春ぐらいの話で 聞いている。ル−ティングなしでパソコンをゲ−トウェイにして工作機械などからの情報 を吸い上げていたりする。パケットのフォワ−ディングを禁止しなければ、ウィルスは向 こう側に行けることは知っておかないと。必要に応じてUTMを設置するのが望ましい。 製造系ネットワ−クの本「産業用イ−サネット入門」CQ出版 2,800円。製造ラインもち ょっと見てあげないかんか。現場の人や生産技術の人がちゃんとネットワ−クについて分 かって対応できているのか。 工作機械に付けるFA用コンピュ−タは Windows Embedded だったりする。ウィルス感染の場所がどんどん増えていく。どうも工場にやってくる業者 は、自分達が売りたい製品のことしか頭にないようである。危ないと思います。 `2h/11/E追記。上の「産業用イ−サネット入門」がいつ発売されたのか調べた。アマゾン で扱っているので 2009/4/1 と分かった。お値段は 7,622 円よりだと。 この時期にはま だ IoT と言う用語にはなってなかった。 工作機械に付けるFA用コンピュ−タという言 い方をしていた。これは Windows Embedded だったりしてウィルスチェックソフトはイン スト−ルされないし、されてもパッチが当てられることはない。ウィルス感染し放題だ。 --------------- 工作機械ネットワ−ク 工作機械のネットワ−クが全社ネットワ−ク | とどこかでいつの間にかパソコンをゲ−トウ □経路設定なしのパソコン ェイにして繋げられている可能性がある。ル | −ティングなしでも、賢いマルウェアは自身 --------------- 社内ネットワ−ク で状況を調べて、反対側へと乗り越えて行く。 * 建物内の無線LANの設置 雑誌を引っぱり出してきて30分見れば、昨今の無線LANがどんなんか分かる。業者任 せにする前に、ちょっと自分で調べてみよう。雑誌を取ってなければインタ−ネットを見 れば、なんぼでも記事はある。 「UNIX MAGAZINE」にもかなり実践的な記事が載っている。 しかしまだ業者任せするのはまだましな方で、部署ごとで好きなように安い無線LAN装 置を、パソコンショップで1万円や2万円ぐらいのを買ってつないでいた。そんなことが 一般的だったみたいである。もう何年か前にいちど調べてみればよかった。勝手にやれば というのでなはなく、ネットワ−クの構成部分として、きちんとみておかないけなかった。 いったん無線LANを設置しても、どうも速度がでなかったり不安定で、また有線LAN に戻すという話をちらほら聞く。家庭用の無線LAN装置のメ−カが出している一応企業 向け?の装置を導入したような場合が、そういうことになるみたいである。 自宅のパソコンを新しく買う検討をしていて無線LANもついでに検討した。2008年 1月から2月にかけてのこと。パソコンショップを周り、無線LANのカタログもかき集 めた。だいたい分かった。企業などで使うのと自宅で使うのと、どう違うか。無線の規格 は同じみたい。安い家庭用のハブと Ciscoなんかのハブとの違い、簡単にいえば造りが違 うということ。無線LANは何やら規格が一杯あるから分かりにくくなっている。やはり 自分で買うなり試すなりしてみないと。無線の電波は人体に影響はないのか。携帯電話の 電磁波よりも強度は小さく問題はない。推奨は Cisco の通称はんぺん 1131、オフィス用。 Cisco の人から電話があり社内での実際の設置状況を聞いた。60mのオフィスで10数 メ−トル間隔で7台設置、パソコンはその間10数台。あふれたのは隣の無線LANに接 続しに行く。1242 が工場用。1252 が 11n 対応。Express モデルは簡易使用版である。 どこか一つの部署に無線LANの装置を設置することを考えてみる。かかる費用は、1フ ロア−分の無線LAN装置の見積りをSI業者さんに出してもらうか。先ずは自分達がい る部署、フロア−から敷設するのが常套だろう。くれぐれもパソコンショップで売ってい る数万円の無線LANを買ってきて、とりあえずやってみようなんて考えないこと。多分 パソコンショップのでも使えないことはないと思う。100円均一の包丁で料理ができな いかといえば、できる。しかしプロの料理人がそんな包丁を使うか。東京でのインタ−ロ ップなど大きな展示会に出ている製品を選ぶべきである。無線LANはやはりそうだろう と思うが。どうも家庭用と企業用の境が無い、ぼけているのもある。例えばNTTのADSL モデム、これは家庭用も企業でも同じものだ。スイッチングハブもそんな気がする。コレ ガ製とかの 2,980 円程度の代物。企業がよく使ってきたアライド製は今、なんぼ?。 * 具体的に無線LAN製品を選ぶと `2a/05〜 企業での利用は Cisco、Meru、Aruba と言ったところ。小規模の拠点であれば、そこそこ の無線LANでいいかも。パソコン10台かそこらなら家庭用の無線LANでもいいかも という。付き合いのあるSI業者によれば Cisco か Aruba を推奨とのこと、電波を調べ る機能が入っている。エクストリコム Extricomのパンフレットも手元にはある。INTEROP 2010 で何気なくもらったパンフレットで、(株)フルノシステムズの無線LAN装置 アク セスポイントの ACERA 701 と 702、IEEE802.11a/g/b。聞いたことない会社。 現状これまでに誰かに安い無線LANが社内のそこそこで取り付けられているかも。利用 している電波にチャネル、暗号化はどんなのか調べないといけない。IT部門で全社ネッ トワ−クで認証スイッチとか入れてなければ、よそで好きなようにそもそもできる。そう やって設置されている無線LANの暗号化が WEP しか対応してなければ、 危険なので買 い替えなければいけない。この際だから勝手に無線LAN設置はできないようにル−ルを 組織として取り決めたいところだ。 たくさんの無線LANのアクセスポイントを設置することになる。コマンドで設定するの はこの際やめたい。できればGUI画面で手元で一括ないしそれぞれで設定したい。シス コだと今ある製品では、はんぺんの Cisco Aironet 1140 と Cisco Aironet 1250 のシリ −ズ、Cisco 5500 ワイヤレスコントロ−ラ1Uである。 2007年12月のカタログに は値段も出ていて、はんぺんの 1130AG は9.5万円、1240AG は12.2万円、1250AG は 17.6 万円。アプライアンス型ワイヤレスLANコントロ−ラ Cisco 2100 は 44万円。 * アル−バの製品でいいのでないか `2a/06 ※アクセスポイントAP Aruba 620 ブランチ・オフィス・コントロ−ラ。35万円+税。2009年夏頃発表。ユ −ザ数 128(同時接続)、リモ−トAP数(最大) 32、LAN接続AP数(最大) 8。 10/100 Base-T 4つ、10/100Base-T(PoE対応)4つ、ギガビットEthernet Pluggable(1000Base-T) 1つ、ExpressCard 1つ、USB 2.0 1つ、115W。620/650/651 はロ−カルネットワ−ク印 刷とマス・ストレ−ジを可能にするプリントサ−バ機能とNAS機能も搭載している。 無線LANアクセスポイント Aruba AP105。2009/09/24 発表 12.5万円+税。無指向性内 臓アンテナ。IEEE802.afPOE(給電)またはAC電源アダプタで。IEEE802.11 a/n あるいは b/g/n の同時利用ができる。AP120シリ−ズの4機種はアンテナがついている、 AP105 と どう違うのか。発売は 2007/11/08 だった、当時のアナウンスでは AP120ファミリの価格 は 25.9万円。試しに幾つか買う際には AP120 も1つは買った方がいいのかどうか。 Aruba 200 が一番小さいモデルだが、販売を終了している扱い業者もある。2008年3 月に発売。どうも値段が 620 とそう変わらないので特に 200 を買う意味はないかも。 LAN接続アクセスポイントはただのスイッチンハブのポ−トか。多分というかきっとそ う。AP105 などアクセスポイントは Aruba 620 に直接つながないといけないことはない。 デスクトップパソコン用に無線LAN装置はどこのメ−カの物でもいいのか。Cisco でも Aruba でもその製品がない。バッファロ−でもいいの?。 コントロ−ラは本社で大きなのを1つ入れるのか、それとも拠点ごとにコントロ−ラを置 くのがいいのか。多分拠点ごとだと思うが、触ってみないと分からない。 アクセスポイント1つでパソコン10台が目安。見通しのいい部屋なら。電波強度を見る ソフトが Aruba には無料でついている。 アクセスポイントは机の上とかでなく壁の上の方がいいみたい。PoE 給電でネットワ−ク ケ−ブルで電気を供給する。電源ケ−ブルをはわさなくていい。 いやいやアクセスポイントは天井。天井の板の上に載せるのだと。いいことを聞いたばい。 見た目、部屋の中から天井を見上げてもアクセスポイントは見えない。`2a/07/29 安定稼働させるための情報収集。ともかく無線LANの装置についてめぼしい情報があれ ば書き留めておく。電子レンジの横は止めた方がいいとか。泥臭い話が一杯あるようだ。 * 個人的にお勧めの無線LANは メル−です、Meru Networks 社。電波の周波数の振り分けの設計をしなくても済むという のが素晴しい。シングルチャネルデプロイメントと言う技術を使って単一の周波数を使う という。これがやれるのはメル−だけ。でも無線LANの売れ筋メ−カは、やっぱりなん と言っても Cisco 社みたいだけど。 でも安定運用して行くにはそれ相当のノウハウが必 要みたいである。無線が切れるとか朝の内は繋がらないとか。机1つ離れた人は問題なく 使えているとか。いろいろ起きて来るようである。どうもそうしたことがあまり起きない のがメル−の製品のような気がしているのだ。これは最初にメル−のパンフレットを見た 時から今に至るまでその感触は変わっていない。 2015年の Interop の Fortinet 社 の展示ブ−スでい、これまでになく無線LANのアクセスポイントを壁に並べていた。説 明員にそのこと水を向けたら、メル−社を買収したとのこと。これで Fortinet 社はしっ かり無線LAN装置をどんどん売っていく体制ができたというもの。やるな!。`2f/06