図1: KUINS-III の通常の利用
本稿では,KUINS-IIIではなぜNATが提供されていないのか,では部局側で KUINS-IIIにNATの機能を持つルータ(NATルータ)を導入するにはどうすれば よいかについて解説します.
プライベートIPアドレスを用いると,外部との直接の接続性が無くなって セキュリティ面で優れているという解説がされることがありますが,これは 必ずしも本当ではありません.グローバルIPアドレスを用いても,対外接続 ルータのところで外部との接続をフィルタリングしてやれば,ほとんど同じ ことだからです.
プライベートIPアドレスを用いて外部との接続にNATを介することにすることは, 直接グローバルIPアドレスで接続するのに比べ,プライバシーの観点からは優 れています.すなわち,外部にはNATルータのIPアドレスから接続しているよ うにしか見えないので,NATルータの内側にどのような機器があってそのうち どの機器から接続されてきたかということが,外側からは知る方法がないのです.
このことは,家庭などでネットワークを構成する場合にはメリットですが, 大学のようなところでNATルータを導入する場合には注意しなければなりません. 例えば,もしNATの内側でウイルスに感染したパソコンが外に対して不正アク セスを繰り返しているような状況になったとしましょう.外からは,不正アク セスはすべてNATルータから行われているとしかわからず,NATの内側でどの パソコン (1台とは限りません) が不正アクセスを行っているかを特定するま では,NATルータそのものを停止して配下の全端末の通信を停止せざるを得な いようなことも起こります.
第一の理由は,NATの処理はルータに取って負荷の重い処理であることです. KUINSでの利用においては百歩譲っても10Mbps以上の性能が必須と考えられますが, KUINS-IIIの設計時点では,その性能を実現できるNATルータは非常に高価で, 比較的安価なものは数Mbpsが限界でした.さらに,後述のようにNAT処理ごと のログを取ることにするとさらに厳しくなります. しかし,家庭へのブロードバンドサービスの普及とともに,この状況は 変わってきています.
第二に,KUINS-IIIのハードウェア構成との親和性の問題があります. KUINS-IIIでは,機器のコストおよび管理のコストを削減するために, ルーティングの処理を,全学で8台の基幹スイッチとよばれる高速のL3スイッ チに集約せざるを得ませんでした. これにNATの処理を加えるためには,基幹スイッチ自体にNAT処理をやらせるか, 基幹スイッチの周りにVLANの数だけNATルータを並べるかのいずれかになり ますが,前者は性能的に無理があり,後者は機器の管理ができなくなります.
第三に,ログの管理の問題があります. 前節で述べたように,NATルータを介して外部に不正アクセスがあった場合に 問題のある機器を特定できるようにするには,すべての通信に対して NATによるアドレス変換がどのように行われたかをログとして記録しておく ことが必須です. ログの保存期間について法律上の明確な定めはありませんが,最低3ヵ月は 保存しておくことが必要と言われています. KUINSにおいて全通信でそのようなログを取ると膨大な量になり,現実的では ありません.
以上のことから,KUINS-IIIにおいては,
NATではなくアプリケーションゲートウェイを介して学外と通信することを
基本とし,KUINSとしてWebプロキシサーバ,メールサーバ,SOCKSプロキシ
サーバ等を提供することにしました.これに加え,部局で準備するアプリケーションサーバや,
SSHによるユーザレベルでのポートフォーワーディングにより
ほとんどのアプリケーションはKUINS-IIIにおいても利用できるようになります(図1).
図1: KUINS-III の通常の利用
前置きが長くなりましたが,KUINS-IIIに接続された端末から, NATを介して学外へ接続できるようにするための方法を以下に解説します.
部局でNATルータを設置する場合には,以下の2点に注意していただくことが条件となります.
NATルータを設置する際の注意点の第二は,法的責任に関してです. ここで示す方法では,KUINS-IIIに接続された端末から学外へのアクセスは, すべてNATルータのKUINS-IIの側のIPアドレスを使って行われます. 学外からはNATルータのKUINS-IIの側のIPアドレスで接続されたということ以上は わかりません.もし不正アクセスその他法律上の責任が 問われるようなことになった場合,実際にそのアクセスがどの端末から行われたかを 特定する責任が,NATルータの管理者,すなわちKUINS-II側のIP addressについて 責任者として届け出ている人にかかります.
したがって,このようなNATルータを設置する場合には, NATルータにおけるアドレス変換毎に,グローバル側とプライベート側での IPアドレスとポート番号の対応関係がきちんとログに取れるようにすることが 必要です.また,対象とするKUINS-III側のVLANを,責任者が本当に責任が取 れる小さな範囲,典型的には研究室単位くらいにしておき,接続される端末の 台数も必要以上に増やさないことを強くお勧めします.
KUINSのDHCPサーバは,NATがない場合と同じようにdefault gatewayとして KUINSのルータ(基幹スイッチ)のIPアドレスを付与します.KUINSのルータでは, 学内向けのパケットは通常通り配送します.一方学外へのパケットは通常であ れば,ルータで破棄されるところ,代わりにNATルータへredirectされます(図3).
これにより,学外との通信のパケットのみがNATルータを通過することになり, NATの負荷やログの管理の点で有利になります.また万一NATルータが停止して も,学内との通信は(NATルータのない)通常のKUINS-IIIと同様にできます.
図2: NATルータの導入方法
図3: NATルータ使用時の動作
プロードバンドルータを利用する場合には,NAT処理でのアドレス変換毎のグローバル側とプライベート側の IPアドレスとポート番号の対応関係がすべてログに残せることが条件です. また,ブロードバンドルータそのものはハードディスクなどの二次記憶を持たずメモリ容量も限られているため, 必ずログを管理するためのサーバを別に用意して,そこへsyslogというプロトコルでログが飛ばせるよう になっていることが必要です.syslogログ対応とうたっていても,アドレス変換ごとのログがきちんと取れるものは 限定されるようです.こちらで確認している製品例としては YAMAHA RTA55i があります.
PCやワークステーションにNATルータをさせる場合,きめ細かいログが取れる こと,ログの蓄積もそれ自身が行うことができる点で有利です.ただし,停電 などの対策が必要になり長期安定運用のためにはそれなりの手間がかかります.
最近のNATルータは,UPnP対応やVPN対応など高機能を売りにしていますが, これらの機能が予期せぬ不正侵入経路をつくってしまうことが稀ではありません. NATルータの設定の際には,使わなさそうな機能,よく理解できない機能は できるだけ停めた状態で運用なさるようご配慮下さい.