Comments
Description
Transcript
組織内ネットワークにおける端末監視システムMARSの構築と運用 PDF
学術情報処理研究 No.18 2014 pp.81−89 組織内ネットワークにおける端末監視システム MARS の構築と 運用 Design, Implementation and its Operation of MARS: the terminal monitoring system in Local Area Network 川橋 裕 †, 坂田 渉 ‡ Yutaka KAWAHASHI†, Shou SAKATA‡ [email protected], [email protected] 和歌山大学システム情報学センター † 和歌山大学大学院システム工学研究科 ‡ Center for Information Science, Wakayama Univ.† Graduate School of Systems Engneering, Wakayama Univ.‡ 概要 一般企業や学術機関等において,端末を組織内ネットワークに有線接続する場合,多くのネット ワーク管理フレームでは利用者に IP アドレスの利用申請を義務付けている.しかし,各組織におけ る潜在的な IP アドレスの不正利用だけでなく,各端末および IP アドレスの利用状況を把握できな い問題がある.これは,有線接続における端末の位置や接続状況の多くを把握できる MAC アドレ スと,上記の IP アドレスが階層モデルにおいて連携していないためである.本研究では,同実態の 問題やネットワークの運用支援を目的とし,不正利用端末の検出および利用位置特定システムを開 発した.本システムは端末の位置特定にネットワーク認証機能を利用し,実際に利用者に認証を求 めることなく端末情報を収集可能とした.さらに,収集した端末情報と利用者からの利用申請内容 や過去の収集情報を比較することで不正利用端末を検出可能とした.本稿では,本システムの設計, 実装および運用による検証について述べる. キーワード IP アドレス,不正利用端末,利用検出,位置特定,運用管理 1 はじめに いモデルのため,各レイヤごとに開発・実装が進められ てきた.これは,先の発展を促す要因であるとともに, インターネット基盤の拡充と情報端末の普及によって, 運用管理において絶大な負担を管理者に課す要因にも 情報化社会は発展を続けている.一方で,組織内ネット なっている.すなわち,管理者には,端末やアプリケー ワークの構築と運用管理への需要が高まるとともに,運 ションを利用するエンドユーザから見た「つながらな 用の効率性と可用性,および拡張性など多岐にわたる要 い」という現象に対して,各レイヤ間における切り分け 求に応える必要が出てきた. 作業が必要となる.この切り分け作業とは,原因の追及 上記のような背景には,インターネットが有するレイ ヤモデルがあると考えられる.物理レイヤからアプリ や解決方法の模索を指しており,各レイヤの広範な知識 とスキルが求められる. ケーションレイヤに至るまで,レイヤ間のデータ受け渡 しに係る書式を規定する以外,相互のレイヤは干渉しな - 81 - 無線 LAN 環境などにおける端末利用では,組織外の 利用者を制限する上で,端末認証やユーザ認証を必須 利用者の端末が設置されている部屋名の特定を可能に とする場合が多い.しかし,従来からの有線接続による した.本システムでは具体的に,無許諾で利用されてい LAN 環境では,事務利用などで端末の仮想化が施され た環境を除いて,必ずしもユーザ認証などを必須として る IP アドレスなど,不正利用されている端末や利用室, MAC アドレスなどの検出が可能である. いない.大学などの組織では,教育研究において制限や 本研究では,不正利用端末の特定という本来の開発 認証を必要としないケースが多い.利用条件として端末 目的に加えて,エンドユーザからの「つながらない」事 の利用責任者に対し,固定の IP アドレスを払い出すと 象に管理者が対応する上で,これを支援する本システ ともに,厳しい場合でも,端末を特定するための MAC ムの運用についても報告する.本システムでは,エッジ アドレスを申請・登録する程度である. スイッチから多くの情報を収集し,過去の履歴をさかの IP アドレスはネットワーク層,MAC アドレスはデー ぼって利用状況を確認することで,エンドユーザのスキ タリンク層で運用される.したがって,レイヤの違う ルに依存することなく障害復旧の支援が可能である. 情報を連動して管理できない構造的な問題が存在する. 本稿では,本システムの構成,提案手法,動作および これは,MAC アドレスを登録した端末が,割り当てら 運用評価について述べる. れた IP アドレス以外の未使用 IP アドレスを流用する など,IP アドレスを不正に利用したり,ユーザによる IP アドレスの競合や共用を回避できないことを指して いる. これまでは管理者が意図しない利用者をネットワーク へ接続させないための事前対策に重点が置かれており, 利用者がネットワークへ接続した後の IP アドレスの利 用状況等を把握するといった事後対策については考慮 されていなかった.この理由としては,これまで IP ア ドレスの利用方法や利用状況を追跡し把握できるシス テムが存在しなかったことが原因と考えられる [1][2][3] [4][5]. 加えて,管理者はエンドユーザが体感する「つながら ない」事象に対して,原因の切り分けと対応を迫られ る.当該事象が,端末のネットワークインタフェースや ハブの経年劣化,端末の IP アドレスや利用アプリケー ションの設定ミス,不正利用による IP アドレスの競合 など多岐にわたる.したがって,管理者は現場や当該端 末を直接調査するか,電話などによるエンドユーザとの インタラクションで情報収集を図る方法が一般的であっ た.前者も管理側の負担を増大させるが,後者はエンド ユーザのスキルや知識に大きく依存するため,多くは前 者にシフトし,管理側の負担となる. 2 既存研究と問題点 筆者らは既存研究として MAC アドレスのトレース バックシステム MATT(MAC Address Tracing Trailer) [7] に取り組んで来た.MATT は,位置特定の対象とな る端末の MAC アドレスを,経路制御を実施する基幹ス イッチからエッジスイッチまで追跡することで,利用者 の端末利用位置特定を可能にしている.位置特定には, NIC(Network Interface Card)毎に割り当てられてい る MAC アドレスを用いている.MAC アドレスはレイ ヤモデルにおけるデータリンク層でのアドレスを指す. したがって,MAC アドレスを収集する,エンドユーザ の直近にあるネットワーク機器 (エッジスイッチ) とパッ チ情報を組み合わせることで,端末の物理的な位置情報 を,部屋単位で取得できる.パッチ情報とは,エッジス イッチの接続ポートと,各部屋までのフロア配線などを 成端しているパッチパネルとの接続状況を示す. MATT は,利用者の端末位置特定を可能にするシス テムであるが,ARP テーブルのエージング時間を超過 すると,対象となる端末の MAC アドレスを取得でき ず,端末の位置特定が不可能になる問題を抱えている. 筆者らは,利用者がネットワークへ接続した後の IP アドレスの利用状況等を把握するといった事後対策に 重点を置き,組織内で利用されている全 IP アドレスの 3 本章では,本システムの構成とネットワーク環境およ 利用状況や接続履歴の把握による,不正利用端末の検出 および利用位置特定システム (MARS:MAC Address びソフトウェア環境について述べる. 本研究では,和歌山大学内ネットワークの構成を基に Reporting System,以下,本システム) を開発した [6]. 本システムでは,利用者がネットワークへ接続すると同 システム構成 本システムを開発している.本システムは図 1 のよう 時に利用者の端末情報や接続先のエッジスイッチの情報 に設置され,組織内で利用されている全 IP アドレスの を本システムで収集する.加えて,過去の収集データや 利用状況を把握可能にする. 利用者からの利用申請内容と比較することで,組織内 さらに,本システムの詳細構成図は図 2 の通りであ で利用されている全 IP アドレスの利用状況を監視し, る.利用者の端末が直接繋がるエッジスイッチは,ネッ 不正利用端末の検出を可能にする.さらに,ネットワー トワーク認証機能を有している必要がある.ネットワー ク機器と部屋の接続情報であるパッチ情報と連携して, ク認証機能には IEEE802.1X 認証,MAC アドレス認証 - 82 - 図- 2: 本システムの詳細構成図 図- 1: 本システムの全体構成図 および Web 認証などがある.本システムでは IP アド レスや MAC アドレスなど接続する端末の情報を収集す るために Web 認証を採用しているが,実際には認証機 能の基幹であるユーザ側のアカウント情報入力などを OS CensOS 5.5 Web Server Database Server Authentication Server Apache 2.2.3 MySQL 5.0.77 FreeRADIUS 2.1.9 省略しているため,ネットワーク認証機能の一部を利用 表- 1: ソフトウェア していると言える.すなわち,認証時に接続する端末情 報をエッジスイッチから収集する補助的な機能である. 上記の補助機能には,本システムを運用するエッジ スイッチから RADIUS サーバへ端末情報を送信する機 ある必要があり,本研究で動作確認をおこなった機器は 以下の通りである. 能が含まれる.具体的には,エッジスイッチと通信す る RADIUS サーバには当該エッジスイッチからの認証 • Catalyst 3750 (Cisco IOS 12.2(50)SE 以降) • Catalyst 3560 (Cisco IOS 12.2(50)SE 以降) 要求に無条件で ACCEPT を返すよう設定する.一方 • Catalyst 2960 (Cisco IOS 12.2(50)SE 以降) で RADIUS サーバは,端末の IP アドレスや MAC ア ドレス,エッジスイッチのポート番号および時刻など, ソフトウェア環境 本システムに必要な端末情報を収集する.本システムで 3.2 RADIUS サーバに収集される端末情報の詳細を,5 章 で述べる. 4 章に後述する提案手法を,表 1 のソフトウェア群を 用いて実装した.Apache や MySQL,FreeRADIUS は ネットワーク認証機能には,後述する RADIUS サー すべて無償のオープンソースソフトウェアであり,安定 バ上で,ユーザ情報以外の端末情報で認証する場合も 性が高く,広く利用されている.本システムは,上記の あるため,多くの機器には上記の補助機能が備わって 環境に Perl および PHP を用いて実現した. いる.エッジスイッチからの認証要求に対して無条件に ACCEPT を返信することで,認証ページへの誘導やロ グインの手順を省略できるため,端末を有線接続させる 本システムでは,エッジスイッチの認証機能を利用し て組織内で利用されている全 IP アドレスの利用状況を 把握している.次に,本システムにおけるネットワーク 環境やソフトウェア環境について述べる. 提案手法 4 ユーザは従来と変わらない利用環境を継続できる. 本章では,本研究における提案手法について述べる. 本研究では,IP アドレスの利用位置特定手法,IP アド レスの不正利用端末の検出手法を提案する.加えて,管 理者が IP アドレスの利用状況を容易に把握できるよう に Web ブラウザ上で動作する管理インタフェースを提 案する. 3.1 ネットワーク環境 本システムでは,エッジスイッチとなる機器に Cisco 4.1 社製の Catalyst スイッチを用いた.本システムを動作 させるためには,ネットワーク認証機能を有する機器で IP アドレス利用位置特定 本システムでは,IP アドレスの利用位置を特定する ためにエッジスイッチのネットワーク認証機能の一部 - 83 - • 通信の開始,終了状態 • 通信の開始,終了時刻 • 接続先エッジスイッチの IP アドレス • 接続先エッジスイッチのポート番号 本システムでは,上記の情報と 4.3.1 項に後述するパッ チ情報と連携することで利用者の端末が設置されてい る部屋名を特定できる.加えて,これらの情報を 4.3.2 項に後述するデータベースに格納することで,組織内で 利用されている全 IP アドレスの利用状況を逐次蓄積し ている. 次に, (4)の手順について述べる.前述の(3)で RA- DIUS サーバがエッジスイッチから受けた認証要求に対 して, (4)では無条件に ACCEPT を通知している. さらに,RADIUS サーバは接続を許可した IP アドレ 図- 3: IP アドレス利用位置特定の手順 を利用している.3 章で述べたように,エッジスイッチ からの認証要求に対して,RADIUS サーバが無条件に ACCEPT を返信することで,実質的にユーザによる認 証手順をキャンセルしている.一方で,利用者がネット ワークへ接続すると同時に利用者の端末情報や接続先 のエッジスイッチの情報を本システムで収集している. 具体的な動作手順を図 3 に示す. スのみ全通信を許可する設定内容をエッジスイッチに 送信する.RADIUS サーバから設定内容を受け取った エッジスイッチは,Dynamic ACL として利用者の端末 が接続しているポートに対して同設定を適用する.これ により,利用者はネットワークへの接続が可能となる. 以上のようにして,本システムでは利用者の端末情報 を収集し,IP アドレスの利用位置を特定している.さ らに, (4)の手順で RADIUS サーバがエッジスイッチに (1)ネットワークへの接続開始 対して無条件に ACCEPT を通知するため,実際にユー (2)認証開始 ザがアカウント情報等を入力することなくネットワーク (3)利用者の端末およびエッジスイッチの情報を通知 への接続を可能にしている.よって,本システムはネッ (4) ACCEPT の通知および Dynamic ACL の適用 トワーク認証を導入している組織やネットワーク認証を (5)認証完了 導入していない組織であっても適用可能である. (6)ネットワークへの接続完了 特に,利用者の端末情報を収集するために重要となる 4.2 (3)および(4)の手順について述べる. IP アドレス不正利用端末の検出 本システムでは,4.1 節で述べた手法で組織内で利用 (3)の手順では,利用者の端末がネットワークへ接 されている全 IP アドレスの利用位置情報を収集する. 続すると同時に,エッジスイッチは RADIUS サーバへ 収集した利用位置情報は,4.3.2 項に後述するデータベー 認証要求する.本システムでは,この認証要求で伝達 スに逐次格納する.加えて,収集した利用位置情報と過 される情報を利用している.よって,エッジスイッチ 去に収集した利用位置情報を比較することで,利用室を にネットワーク認証の設定が必要となる.具体的には, 移動している IP アドレスの検出や複数端末で利用され エッジスイッチと RADIUS サーバ間の通信を確立する ている IP アドレスの検出が可能になる.さらに,収集 ための設定および利用者の端末が接続するエッジスイッ した利用位置情報とユーザからの利用申請内容を記録 チのポートにネットワーク認証の設定が必要である.特 した 4.3.3 項に後述するデータベースの情報と比較する に利用者の端末が接続するエッジスイッチのポートに対 ことで,無許諾で利用されている IP アドレスの検出や して,Cisco 社製 Catalyst スイッチが有する機能であ 利用室を移動している IP アドレスの検出,IP アドレス る ACL(Access Contorol List)の設定をおこなってい の利用申請時と利用状況が異なる IP アドレスの検出が る.これらの設定によって,RADIUS サーバに利用者 可能である. の端末情報およびエッジスイッチの情報が収集される. RADIUS サーバに収集される情報を以下に示す. • 認証 ID • 利用者の端末の IP アドレス • 利用者の端末の MAC アドレス このようにして本システムでは,IP アドレス,MAC アドレス,利用室の 3 つのうち少なくとも 1 つに差異 があれば,IP アドレスの不正利用端末であると判定し ている.管理者はこれらの不正利用されている IP アド レスの利用状況を 4.4 節に後述する管理インタフェース - 84 - を用いて確認できる.管理インタフェースは Web ブラ 情報により構成される.特に,認証機能からは,本来 ウザ上で動作しており,管理者が使用している OS 等に ネットワーク層で用いる端末の IP アドレスが取得され 依存することなく利用できる. る.このため,不正な IP アドレス,DHCP による自動 取得の失敗を指す OS 依存の汎用アドレスなどを確認出 4.3 来る.具体的な内容を以下に示す. データベース • ホスト名 • IP アドレス 本節では,本システムに必要なデータベースの内容に ついて述べる. 4.3.1 • MAC アドレス • VLAN ID • 接続先の機器名 • 接続先機器のポート • 学部,棟 パッチ情報 ネットワーク内に存在する全てのネットワーク機器に おける各ポートの接続先情報である.本システムでは, • 利用室名 • 部局 同パッチ情報と連携してユーザの端末が設置されている 部屋名を特定している.具体的な内容を以下に示す. • 時間 • 通信の開始,終了 • 設置学部,棟 • 設置階数 • 設置部屋名 • 機器名 4.3.3 • IP アドレス • ポート ある.本システムでは,組織内で利用されている全 IP • 各ポートの VLAN ID • 接続先の棟,階数 • 接続先の部屋名 な内容を以下に示す. 利用申請内容 利用者から提出される IP アドレスの利用申請内容で アドレスの端末情報をデータベース化している.具体的 • ホスト名,IP アドレス • 接続先機器のポート • 部局 • 所属部局,学部,棟,利用室名 • 使用責任者,機器名 • サブドメイン 和歌山大学では,各棟各フロアにレイヤ 2 のエッジス • 備考 イッチを設置しており,エッジスイッチのポートは,フ ロア配線のパッチパネルとマッピングしている.すなわ ち,各室の情報コンセントとエッジスイッチのポートは 1 対 1 で接続されているため,配線の施工時のパッチパ ネル,および当該パネルとエッジスイッチ間のパッチ表 を情報コンセント単位で整理できる. 4.4 管理インタフェース 管理者が IP アドレスの利用状況や不正利用端末の情 報を確認できるように管理インタフェースを作成した. 一方で,エッジスイッチから各室の情報コンセント間 管理インタフェースは,Perl および PHP で記述した をハブなどでカスケード接続している場合が考えられ Web アプリケーションにより実装している.本システ ム内に Web サーバを立ち上げ,管理者は Web ブラウ る.この場合,端末の利用室を詳細に特定することは困 難である.しかしレイヤ 2 スイッチが保持する vlan を 共有する部屋数と,当該ポートから分岐している部屋数 は,後者の方が一般的に少ないため,端末位置を絞り込 ザを用いて本システムにアクセスすることで IP アドレ スの利用状況や不正利用端末の情報を確認できる.管理 インターフェースでは,組織内に存在する各学部や棟ご とに IP アドレスの利用状況を確認できるほか,無許諾 む切り分け作業には適していると言える. で利用されている IP アドレスや利用室を移動している 4.3.2 IP アドレス,複数端末で利用されている IP アドレスを 確認できる.管理インタフェースの例を図 4 に示す. ユーザの端末情報 4.1 節で述べた IP アドレスの利用位置特定による各 IP アドレス利用者の端末情報である.本システムでは, 収集したユーザの端末情報を蓄積し管理インタフェース 5 動作検証 でユーザの端末情報を確認可能にした.各情報は,エッ 本研究では,3.1 節で述べたネットワーク環境におい ジスイッチの認証機能,パッチ情報および DNS 逆引き て本システムを動作させ,IP アドレスの利用位置の把 - 85 - 図- 4: 管理インタフェース 握や無許諾で利用されている IP アドレスの検出,利用 室を移動している IP アドレスの検出,複数端末で利用 されている IP アドレスの検出,IP アドレスの利用申請 時と利用状況が異なる IP アドレスの検出が可能である ことを確認した. 実際に本システムで収集されるユーザの端末情報の 例を図 5 および図 6 に示す.次に,本システムで収集さ れる情報のうち主要な項目について述べる. • Authentication 時 図- 5: 情報例 1:Authentication – Framed-IP-Address =利用端末の IP アドレス – Calling-Station-Id =同端末の MAC アドレス – NAS-IP-Address =スイッチの IP アドレス – NAS-Port-Id =同スイッチのポート番号 は,各情報を組み合わせる必要がある.MAC アドレス や,通信開始・終了などいくつかの情報は分散しているた – Acct-Session-Id =認証 ID め,本システムでは,Authentication および Accounting の情報を組み合わせて利用する. • Accounting 時 – Acct-Session-Id =認証 ID – Calling-Station-Id =利用端末の IP アドレス – Acct-Status-Type =通信の開始・終了 – Acct-Session-Time =通信時間 – Timestamp =接続開始・終了時刻 6 運用評価・考察 本章では,本研究と関連研究の比較評価および考察を おこなう. RADIUS サーバは AAA モデルをサポートしており, 6.1 運用評価 これに基づいて収集される情報は Authentication(認証), Authorization(承認),Accounting(認証後の継続利用) 本システムでは,4 章で述べた動作検証の内容により, に分けられる.4.3.2 項で述べた端末情報を構成するに 下記の項目が検出および確認可能である. - 86 - 番号 原因内容 発生件数 1 端末 NIC 不良 3 2 3 IP アドレス設定ミス 端末内アプリ設定ミス 5 3 4 5 6 不正利用による IP アドレス競合 2 7 2 7 8 実際にループ発生 室内ハブに起因 頻繁な挿抜の繰り返し 不明 3 1 表- 2: 「つながらない」原因 (2014 年 4,5 月) なされた場合など,組織外からの問い合わせ事項には, アクセス時刻や IP アドレスが含まれている.本システ 図- 6: 情報例 2:Accounting ムによって,当該 IP アドレスが当該時間帯に稼働して いた端末の MAC アドレス,利用室,および過去の接続 履歴を検索することによって,不正利用したユーザを追 • IP アドレスの利用位置の把握 跡する. • ユーザによる IP アドレスの設定ミス • 無許諾で利用されている IP アドレス 本システムの機能では当該ユーザを特定できない.し • 利用室を移動している IP アドレス • 複数端末で利用されている同一 IP アドレス • 複数 IP アドレスを使う同一端末 (MAC アドレス) • IP アドレスの利用申請時と利用状況が異なる IP ア ドレス かし,MAC アドレスなどにおいて, “ 前身がない物証 ” など,現実の犯罪捜査での攪乱のような行為が確信的 になされない限り,プロキシサーバなど,各種サーバの ログと連動することによって,相当の絞り込みが可能で ある. 和歌山大学システム情報学センターでは,本システム 本システムは,ユーザがネットワークへ接続した後の を導入・運用開始以来,エンドユーザからの「つながら IP アドレスの利用状況の確認等,事後対策として機能 ない」に対して,各部局に出向く回数が激減した.一年 すると考える.さらに,ネットワーク運用上のインシデ を通じて,もっとも問い合わせの発生する時期の一つで ント・レスポンス(緊急対応)の観点から,障害発生時 ある 4,5 月において,当センターの窓口対応を越えて に管理者に対して迅速な対応が求められることを考慮 筆者らが対応した件の内訳を表 2 に示す. 原因番号 1,2,3,4 については, 「つながらない」端 すると,本システムは有用である. 本システムは,2011 年より運用を開始し,これを継 末の IP アドレスあるいは端末の利用室を基に本システ 続している.従来,固定 IP アドレスを払い出す有線接 ムで検索し,IP アドレスが適切であれば,ユーザが「つ 続では,当該 IP アドレスが継続して利用されているか ながらない」と体感したアプリケーションの設定につい を能動的に調査することが困難である.職員の異動退 て問い合わせる.利用履歴から Start/Stop が数分単位 職などにより,当該 IP アドレスが部局内で使い回され で不定期かつ頻繁に発生していれば,NIC の不良が疑 ていたり,返却されずに放置されるケースは後を絶たな われる.一方で,固定間隔で頻繁に繰り返す場合は,昨 い.一時的な端末の持ち込みにおいて,ping などの生 今の NAS などにみられるチーミングが考えられる. 原因番号 5,6,7 において,当該室における他端末 存確認によって未使用の IP アドレスを無断で使用し, これを継続するケースもある.何より,IP アドレスを の利用履歴を参照することで,室内で接続を集約する 同時に重複して利用する場合,経路制御を実施するルー ハブや,情報コンセントへの頻繁な挿抜が疑われる.前 タ上の ARP テーブルには,通信中の端末のみが表示さ 者において,基幹および支線ネットワークの高速化と端 れるため,重複利用している隠れ端末を能動的に検索で 末の高性能化にともなって,スループットのボトルネッ きない問題が従来より存在していた. クは室内ハブにシフトしている.加えて,エッジスイッ 本システムでは,上記のような利用形態が起こりうる チにおけるループ回避の設定として,ストーム制御を施 環境下において,新たな利用制限や認証をユーザに課 している場合,ポートが一時的に自動遮断されるため, すことなく,不正利用した端末を検出できる.組織外の 室内全体が不通となる.当該室全体の利用状況を把握し 掲示板への不穏当な書き込みが組織内ユーザによって た上で,ポートの Speed/Duplex を確認し,ハブに原因 - 87 - があるか切り分けられる.後者において,レイヤ 2 ス 起こす可能性がある.したがって,RADIUS サーバの イッチのポートにケーブルを挿すと,スパニングツリー 冗長化は必須である.複数のサーバからの情報を,本シ のラーニングなどで数十秒の遅延が発生する.この時間 ステムのデータベースにマイニングして格納するなど, を待てずに挿抜を繰り返すと,スイッチはループ発生と 冗長化にともなう対策を講じる必要がある. 類似の状況と判断する.これらのケースでは,エッジス イッチ内のログやポートの状態を確認することで切り分 けが可能である. 6.2.2 MATT との比較 表 2 の件数において,ループ発生のうち 1 件 (室内配 2 章で述べた MATT は SNMP で情報を取得しなが 線確認) を除いて,他のすべてを遠隔で切り分け,ユー ら,端末の位置をコアスイッチからエッジスイッチの ザへの指示で解決した. ポートまでトレースバックする.一方で,本システムは エンドユーザから見た「つながらない」に対して,当 エッジスイッチから直接 RADIUS サーバに情報を送信 該端末の利用状況や,同室内における他の端末の利用状 する.統括的な端末の利用履歴やエージング時間の解 況などをユーザから聞き出すことは,運用管理におけ 消を鑑みると,本システムの利便性は極めて高いと言 る情報収集の定石である.しかし,十分な情報が収集で える. きない場合,当該端末を直接調査する必要があるなど, しかし,前項に加えて,後項のように本システムは現 管理側に高い負担が発生する.結果,IP アドレスの設 時点でエッジスイッチのベンダが制限されるなど,リス 定ミスなども含め,問題の調査と解決の非効率さが解消 クも存在する.端末の位置を特定するだけであれば,組 されてこなかった.本システムは,この調査と解決に必 織の規模によっては全端末に対する定常的な MATT の 要な情報収集が質と量ともに拡張されており,さらにエ 運用でカバーできるが,本システムのような利用履歴 ンドユーザの利便性を損なうことなく,結果的に管理側 は取得できない.運用上の利用目的を明確にした上で, の負荷を軽減していると言える. 組織の規模およびリスクと照らし合わせながら運用の 効率化を図る必要がある. 6.2 考察 5 章で述べた動作検証の内容から本システムにおいて, IP アドレスの利用位置の把握や無許諾で利用されてい 6.2.3 他ベンダの機器を利用した動作検証 現在 Cisco 社製の Catalyst スイッチで本システムが る IP アドレスの検出,利用室を移動している IP アド 動作することを確認した.他ベンダの機器においても, レスの検出,複数端末で利用されている IP アドレスの ネットワーク認証機能を有している場合が多いため,こ 検出,IP アドレスの利用申請時と利用状況が異なる IP れらの検証を進めていく必要がある. 一部国内ベンダにおいては,ほぼ同等の情報を収集で アドレスの検出が可能であることを確認した. しかし,本システムには運用管理上の課題が存在す きる一方で,エッジスイッチの MAC アドレステーブル る.今後,大規模なネットワーク環境における動作検証 から外れる,すなわち本システムでの Stop 時刻のログ や他ベンダーの機器を利用した動作検証,IPv6 アドレ を得られないケースがあり,当該ベンダへフィードバッ スへの対応が必要であると考える.次に,これら運用管 クを提供している. 理上の課題について述べる. 6.2.4 6.2.1 大規模なネットワーク環境における動作検証 エンドユーザへの配慮 確に動作可能であることを確かめる必要がある.特に RADIUS サーバの停止によって,エンドユーザの接 続断が発生する可能性について前述した.さらに,不正 利用のある・ないに関わらず,全端末の位置情報と利用 チーミングなどを許容するには,膨大なログを効率よく 履歴を収集する本システムは,接続時間が明確になるこ 保存する必要がある. とで,ユーザのプライバシ保護が懸念される.本システ 本システムが大規模なネットワーク環境においても正 さらに,2 章で述べたように,本システムは既存研究 ムではユーザ本人を特定できないが,ホスト名とユー である MATT の問題点であったエージング時間を解消 ザに強い関連が認められる場合,類似の懸念が考えら している.しかし,ネットワーク認証機能を流用するた れる. め,RADIUS サーバとの通信断によってエッジスイッ これらに対して,本システムの利用責任の明確化と担 チの挙動が不安定になる.すなわち,ユーザ認証自身を 当者の配置など,ポリシおよびプロシージャの策定など 必要としない本システムにおける RADIUS サーバの停 でカバーするよう検討すべきである. 止が,全学の有線接続しているユーザの接続断を引き - 88 - 6.2.5 参考文献 IPv6 アドレスへの対応 2011 年 2 月に IANA(Internet Assigned Numbers Authority)は,新規に割り振りできる IPv4 アドレス の在庫が無くなったことを発表した [8].これにより,今 [1] 田島浩一, 近堂徹, 岸場清悟, 大東俊博, 岩田則和, 西 後全世界で IPv6 アドレスの使用を推進されることが予 処理学会研究報告. IOT, [インターネットと運用技 想される.しかし,IPv6 アドレスへの対応にはいくつ 術], Vol. 2009, No. 21, pp. 265-270, 2009 村浩二, 相原玲二, “大規模キャンパスネットワー クにおける MAC アドレス認証の管理手法,” 情報 かの課題が存在する.主要な課題としては,組織内で利 用されているネットワーク機器が IPv6 アドレスのネッ [2] 三宅猛, 鈴木春洋, 北野文章, 村瀬晋二, 若山公威, 岩 トワーク認証に対応していない場合と IPv6 アドレスに 田彰, “ARP テーブルの集中管理による認証ネット 対応していない場合である.これらの場合,IPv6 アド ワーク上の不正接続検出と排除方法の提案,” 情報 レスへの対応は困難となるが,今後 IPv6 アドレスに対 処理学会研究報告. CSEC, [コンピュータセキュリ 応したネットワーク機器が市場で販売されることで解決 ティ], Vol. 2008, No. 21, pp171-176, 2008 できると考えられる. [3] 乃村能成, 入江正博, 谷口秀夫, “DHCP サーバを用 したがって,現在本システムでは IPv4 アドレスのみ に対応しているが,今後 IPv6 アドレスにも対応する必 いた利用者管理システムの提案,” 情報処理学会研 究報告, Vol. 2006, No. 61, pp. 31-36, 2006 要があると考える. 7 [4] 栗田弘之, 金子晋丈, 森川博之, 青山友紀, “セッショ ン層アーキテクチャにおけるフロー情報を用いた 通信資源管理機構,” 情報処理学会研究報告. MBL, おわりに 本稿では,組織内ネットワークにおける IP アドレス の不正利用など,ネットワーク運用上の潜在的な問題に ついて,これを明らかにするとともに,解決法および運 用評価を示した.既存研究のような ARP エージング時 間などに制約されず,端末の接続情報をエッジスイッチ から収集することで,過去の履歴を含めて不正利用の検 出や障害復旧の支援を可能とする事例を示した. 本研究では,エンドユーザが利用端末をネットワーク に接続した後の IP アドレスの利用状況を把握するなど 事後対策に重点を置き,組織内で利用されている全 IP アドレスの利用状況を監視して不正利用端末の検出お [モバイルコンピューティングとユビキタス通信研 究会], Vol. 2005, No. 47, pp. 31-36, 2005 [5] 徐浩源, 大山清, 志村俊也,“IP アドレス管理システ ムの開発と運用,” 学術情報処理研究誌, No. 8, pp. 79-82, 2004 [6] 吉田祐亮, 高山卓也, 川橋裕,“組織内ネットワークに おける不正利用端末検出および利用位置特定システ ムの構築,” 電子情報通信学会技術研究報告. IN, 情 報ネットワーク, Vol. 11, No. 245, pp. 37-42, 2011 [7] 續木涼太, 泉裕, 齋藤彰一, 塚田晃司,“組織内ネット よび利用位置特定システムを開発した.動作検証では, ワークにおける MAC アドレストレースバックシス IP アドレスの利用位置の把握や無許諾で利用されてい テムの開発,” 情報処理学会研究報告. DSM, [分散 る IP アドレスの検出,利用室を移動している IP アド システム/インターネット運用技術] Vol. 2005, No. レスの検出,複数端末で利用されている IP アドレスの 31, pp. 13-18, 2005 検出,IP アドレスの利用申請時と利用状況が異なる IP アドレスの検出の 5 項目について動作検証をおこない, 本システムが実際に動作することを確認した.加えて, 2011 年より和歌山大学システム情報学センターにおい て本システムを導入し,エンドユーザに新たな制限や認 証を課すことなく,柔軟な運用が求められる教育研究機 関での運用について報告した. しかし,本システムには運用管理上の課題が存在す る.今後,大規模なネットワーク環境における動作検 証,他ベンダーの機器を利用した動作検証,IPv6 アド レスへの対応をおこない,システムの有用性を向上させ る予定である. - 89 - [8] “IPv4 アドレスの在庫枯渇に関して” http://www.nic.ad.jp/ja/ip/ipv4pool/