Comments
Description
Transcript
(WATA)の概要
無線LAN アドホックネットワーク R&D ノマディックアクセス ワイヤレスアドホックトンネリングアクセス (WATA)の概要 NTTアクセスサービスシステム研究所 く の 久埜 ゆたか お がわ まさかつ まな べ としひろ 豊 /小川 将克 /眞部 利裕 出張先など出先でのインターネット接続を安全かつ簡易に提供するワイヤレスア ドホックトンネリングアクセス(WATA)の概要について説明します.WATAによ り得られる効果は,携帯電波が到達しない屋内でのインターネット接続,公衆無線 LANの展開,シンクライアント端末との組み合わせによる情報漏洩対策などがあり ます. WATAの適用領域 先でもPC/PDAをネットワークにつなぎ たいと考 える, いわゆるモバイルワー 車中など ③ 移 動 先 : 出 張 先 , イベント会 場など,訪問先全般 ワイヤレスアドホックトンネリングア カーが増加しています.このような背景 クセス(WATA)は出張などで訪問し の下,NTTグループでは,従来から公 上 記 の各 々 の状 況 に適 した通 信 手 た先のネットワークなど,直接には使用 衆無線LANサービスを展開し,鉄道駅 段を考えてみると,①では,有線のブ 権のない自営網との接続に適用される技 構内,コーヒーショップなどで無線LAN ロードバンド回 線 + L A N , ② では, 術です.ビル内の会議室など,携帯電 による有料インターネット接続サービス 携帯電話,公衆無線L A N が,優れた 話の電波が到達せず,公衆無線LANの を提供中です. 通信手段を提供しているといえます. 展開も困難なエリアが存在します.それ らの「都会のデジタルデバイド地域」の 解消がWATAの目的です. 無線LANはどう使われるか 無線LANは,配線不要という特長か ら,オフィスのLAN,自宅内のブロード WATAの開発の目的は,無線LANの 適用領域をさらに拡大することです. 通信する場所の分類 人 が通 信 を行 う状 況 は, 次 の3 つ の場 合 に分 類 することができます (図 1 ). しかし, ③ では, 携 帯 電 話 の電 波 が届かないという他企業の会議室のよ うな場所かもしれません.その企業の L A N はその場 所 まで来 ていても, 訪 問者には,そのネットワークの使用権 は与えられていないのが普通でしょう. ということは,現状では通信手段がな バンドルータとPCの接続などに多く用い ① 自 分 が普 段 いるところ: 自 分 いということを意 味 します. つまり, られるようになりました.PC,PDAへ が働いているオフィス,自宅など 訪 問 先 , 出 先 という環 境 は現 代 の, の無線LANの搭載が進むにつれ,外出 ② 移動中:歩行中,交通機関乗 都市部におけるデジタルデバイド地域 携帯電話 エリア 会社(居室) 公衆無線 LANエリア 移動中(駅・電車) 図1 無線LANが便われる可能性のある場所 42 NTT技術ジャーナル 2007.7 訪問先(会議室など) R & D ホ ッ ト コ ー ナ ー インターネット トンネル サーバ 光ファイバ 光ファイバ インターネット上のサーバとの間 でHTTPトンネルを形成 企業内のアクセスライン 企業内のアクセスライン 内部サーバにアクセスできないように, ゲストユーザ端末からのパケットは HTTPトンネルを通る ・セキュリティポリシー上, APにアクセスできない AP ・接続できても,Proxyを 越えられない HTTPトンネルを通るので, ゲストユーザ端末のProxyの 設定不要 AP 本サービスを 導入すると アドホックネットワーク 端末間通信 訪問者端末 応対者端末 応対者端末 訪問者端末 企業内のPCに転送してもらう 図2 WATAの概要 すれば,一番気になるのは,経済的な り,訪問者のインターネット接続を実現 特に昨今,企業情報漏洩問題を解 負担の問題とネットワークのセキュリ しつつ,セキュリティ上の問題点を解決 決 するため, シンクライアント端 末 ティを外来者からいかに守るかの2点で しています. といえるのです. (情報が入っていない端末)を持ち歩 き,必要な情報をその都度ネットワー しょう. ■ネットワークのセキュリティ (1) 外 部 から来 た訪 問 者 がネット ワークを使えるようにする手段 図2に示すように,WATAはインター ク経由で取ってくるという利用形態が 外部から来た訪問者が一時的にせよ 普 及 しており, 出 先 での通 信 需 要 は ネットワークを使用することは,明らか ネット上のトンネルサーバ,応対者端末, 高まりつつあります. にセキュリティ上の懸念事項となりま 訪問者端末から構成されます.なお,応 す.ウイルスを持ち込まれる,内部の 対者端末はネットワークに接続しトンネ サーバから情報を盗まれる,さまざまな ルサーバにHTTP/HTTPS でアクセス 問題が引き起こされる可能性がありま できるものとし,訪問者端末は訪問先企 ここで紹 介 するW A T A は, この問 題を解消するシステムです. ネットワークを間借りする す.これらの問題を一挙に解決するため 業 のネットワークにセキュリティポリ ではどうしたら,この問題が解消でき に,ネットワークの内部に訪問者の端末 シーにより接続できないものとします. るのでしょうか.物理的媒体として,訪 がパケットを送ることができないように 訪問者端末 と応対者端末の間は無線 問先の会議室等に来ているLANしかな する必要があります.WATAが,どう L A N の端 末 間 直 接 通 信 モード( アド い状況を想定しているのですから,この やって訪問者のパケットがネットワーク ホックモード)を利用して無線接続し ネットワークを借りて通信する,という 内部を流通しないようにしているかにつ ます. こと以外に手段はありません.そこで, いては後ほど説明します. どうしたらネットワークを貸してもらえ ■WATAのセキュリティ るか,という話になります.貸す側から WATAは次のように動作することによ ここでの核になる考え方は,訪問者端 末は,ネットワークの使用権限がないの で,その権限がある応対者端末にパケッ NTT技術ジャーナル 2007.7 43 り当てられたIPアドレス ①のために,トンネルサーバで訪問者 トを中継してもらう,というものです. を送り返します. 端末間で直接に通信を行う際にはネット 端末に対してIPアドレスを払い出すこと ワークの使用権限は問題となりませんの が必要となります(②と③のためには, ここで,訪問者−応対者間,および で,それを活用しています. 上述したカプセル化の機能で十分です). 訪問者−トンネルサーバ間で適切な認証 次に,誰でも応対者の端末を経由し 機能が実装されていれば,第三者を排除 てインターネット接続できてしまうのは することができるので,第三者が応対者 応対者端末とトンネルサーバの間は 問題なので,特定の訪問者のパケットの を経由して,勝手にインターネット接続 H T T P トンネルを作成します.したがっ みをインターネットに転送するよう認証 を行うことはできなくなります. て,訪問者端末からのデータは,応対者 機能が必要となります. (2) ネットワークを訪問者から守る 手段 端末にて中継および HTTPカプセル化 そこで最初に,応対者端末からトンネ され,HTTP/HTTPSでトンネルサー ルサーバに次 の情 報 を登 録 します (図3). バに届けられ,そこで,カプセル化が解 ︰サービス・セット識別子) 末のパケットとして流通します(なお, WATAの受益者は,外からやってき た人=訪問者です.したがって,WATA ・S S I D ( S e r v i c e S e t I d e n t i f i e r かれます.インターネット内は訪問者端 経済的な負担は誰がするか の利用のパターンとしては次のどれかに 該当しなければなりません. ・訪問者―応対者間で使われる暗号 訪問者端末からの中継パケットのみが ① 訪問者が買って持って歩き,訪 鍵(WEP Key等) HTTPトンネルを通り,応対者端末で作 成したパケットは外部にはき出されない 問先で,先方の企業の応対者に渡す ・Adhoc ID(無線LANアドホック ② 訪問者と訪問を受けた企業が同 モード側のサブネットのID,訪問者 一視できる:同一企業の本社支社 がどの応対者を経由しているかを指 などの場合 ようになっています) . (3) 訪問者端末までパケットが届く 定する) 仕組みと認証 ③ 訪 問 を受 けた側 は訪 問 者 に 登録後,訪問者は応対者からAdhoc (ネットワーク接続という)便宜を しますので,訪問者端末宛のパケットが IDを入手し,携帯電話等を利用して, 供与しなければならない性質を持っ 訪問者端末に届くようにするには,訪問 トンネルサーバに向 けて, 入 手 した ている(自治体,病院,大学など 者端末宛のパケットが Adhoc IDを送信します.トンネルサー 公共的機関の場合,また災害時の バは, 臨時ネットワークの場合など) WATAでは,パケットを複雑に中継 ① トンネルサーバまで届くこと ② 応対者端末まで届くこと ・応対者端末が設定したSSID ③ 訪問者端末まで届くこと ・暗号鍵(WEP Key等) 利用パターンで用いることになるでしょ ・確保されたIPアドレスプールから割 う.USB keyのような形態で,訪問者 が必要です. 基本的には①の「受益者負担的」な WWW サーバ 企業内ネットワーク トンネルサーバ インターネット AP 訪問者端末に割り当てた IPアドレスのみ転送を許可する Adhoc IDを通知 ファイアウォール Adhoc ID,SSID, WEP Keyの登録 応対者端末 アドホック側のIPアドレスの通知 ゲストユーザに割り当てたIPアドレスを通知 ゲストユーザ アドホック側の IPアドレスの割当 Adhoc IDを通知 IPアドレス,SSID,WEP Keyの通知 訪問者端末 44 アドホック側の IPアドレスプールの割当 NTT技術ジャーナル 2007.7 図3 WATAの動作手順 R & D ホ ッ ト コ ー ナ ー ワークの管理者の許可が前提となります. 表 類似システムとの比較 WATA 価格面 安全性 導入可能な ネットワークの種類 設置の手間 ○ 中間 既存システムをそのま ま利用でき,ソフトを 導入するのみ FON * 複数SSID無線LAN ◎ 安価 世界規模で大量生産の ため製品価格が安く, 既存ネットワークをそ のまま利用できる △ 高価 VLANスイッチを導入 する必要があり,既存 ネットワークをそのま ま利用できない ◎ 安全 トンネルにより,ゲス トのアクセスを制限. ゲストのアクセスログ を管理 △ 危険 ゲストのアクセスログ を管理しておらず,踏 み台になる可能性が 高い ◎ 安全 VLANにより,スタッ フ用とゲスト用にネッ トワークを分離して いる ○ 中間 NAT,Proxy経由の通 信が可能 △ 少ない NAT経由の通信しか対 応していない.Proxy 経由の通信はできない ◎ 多い 複数SSID無線LANを 導入するために,ネッ トワークを構築するた め,多様なネットワー クに対応可能 ◎ 簡単 既存のネットワークに 接続するだけ ◎ 簡単 既存のネットワークに 接続するだけ △ 面倒 既存のネットワークに 対応できず,VLANス イッチの導入が必要 説明したように,訪問者のパケットはす べて外部にはき出されるため,内部の ネットワークに有害な操作を行うことは できません. 事業への導入にあたっては,ユーザに 対する十分な情報提供と,WATAの導 入実績の積み上げが鍵になると考えま す.また,冒頭で述べた移動先ニーズの 分析から,シンクライアントソリュー ション,VPNソフトとのバンドル化も進 めていく必要があると考えています. * FON:個人用アクセスポイントを登録会員に開放するサービス.提供主体のFONは2005年11月にスペイ ンで設立.日本では2006年12月4日よりサービスを開始. が応対者用のソフトウェアを持ち歩き, ② 無線LANアドホックモードで利用 訪問した先で応対者の端末に挿しても するWEP Keyを応対者が設定する らって通信を行うことが想定されます. ために,異なる訪問者(グループ) ただし,冒頭で説明したように,企業情 ごとにWEP Keyを変更できます. 報漏洩問題対策としてWATAを使う場 来客した人どうしのセキュリティも 合には,②のように,同一企業内の移 動先でも使用されることが想定されます. 守れます. ③ 応対者端末で,中継処理を行う その場合には,あらかじめ応対者端末用 ため,アクセスポイント(AP)には のWATAクライアントソフトをインス 変更が不要です.既存のAPを使用 トールしておく形態で使われる可能性が してアクセスが可能になります.安 あります. 価なソリューションとして提案する WATAの特長 ことができると考えられます. 以 上 より, W A T A は, 既 存 ネット 出先での通信はニーズが明確であるた ワークを有効利用し,訪問者にインター め,WATAと同様のサービスを提供する ネットアクセスを提供したい企業に適用 システムがあります(表). 領域があると考えられます. WATAの特長は,次の3点です. ① 実際に応対する人が自分でPCを WATA導入の課題 操作して,訪問者にインターネット WATAは,外部からやってきた訪問 アクセスを開放するために,きめ細 者がネットワークを一時的にせよ利用す かい開放・閉鎖ができます. るものなので,利用される側のネット (左から)久埜 豊/ 小川 将克 / 眞部 利裕 WATAは,新しい考えに基づくインター ネットアクセス手段です.「都会のデジタル デバイド」解消の手段として,また,企業 情報漏洩問題対策に真価を発揮します. ◆問い合わせ先 NTTアクセスサービスシステム研究所 ワイヤレスアクセスプロジェクト 無線サービスグループ TEL 046-859-2295 FAX 046-855-1172 E-mail [email protected] NTT技術ジャーナル 2007.7 45