第13回 ケーススタディ
Download
Report
Transcript 第13回 ケーススタディ
2004年度
情報システム構成論
第12回 Case Study:
西尾研究室ネットワーク構築
西尾 信彦
[email protected]
立命館大学
情報理工学部 情報システム学科
ユビキタス環境研究室
要求定義/解決法決定(1)
• Webページは独自に提供したい
– WWWサーバ構築決定
• メールサーバも独自に提供したい
– メールサーバ構築決定
• メールサーバは重要なので出来る限り止めたく
ない
– メールサーバの多重化決定
• 各自のHome(ファイル置き場)はどのホストから
でも利用できるようにしたい
– NFSの利用決定
要求定義/解決法決定(2)
• メールの本体(メールボックス)はどのホストからでも利
用可能にしたい
– 各自のHomeにメール本体を格納したい
– Maildir形式メールボックスの利用決定
• どのホストでも同じアカウント情報(ユーザ管理)を利用
したい
– ディレクトリサービスの利用
– Unix系端末が大多数であるため、Active Directoryは却下
– NIS、もしくはLDAPの利用決定
要求定義/解決法決定(3)
• 今後作成するアプリケーション(ユビキタス
系の)でも同じアカウント情報を利用したい
– NISはUNIX系のログイン情報以外では利用
しにくい
– アプリケーションで利用する場合、ログイン情
報以外のものもディレクトリサービスに格納し
たい
– NISが却下され、ディレクトリサービスには柔
軟性のあるLDAPを利用することに決定
要求定義/解決法決定(4)
• データ(Homeの)は非常に重要であるため、物
理的障害対策も入れたい
–
–
–
–
NFS用ホストにRAIDを導入することに決定
信頼性向上用ではないRAID0は却下
RAID1はディスク利用効率から棄却
RAID0+1かRAID5の二択となるが、RAID5搭載
NASが存在したため、RAID5の導入を決定
• NASはNFS以外のアクセスを許したくない
– NAS自体にファイアウォールがない
– NAS用にファイアウォールのホストの設置決定
要求定義/解決法決定(5)
• 今後多くのマシンが導入され、アドレスが足りなくなる
(RAINBOWグローバルなIPアドレスは8つ)ことは目
に見えているので、始めから対策を立てておきたい
– とりあえずは、NAPTとプライベートネットワーク
(192.168.0.0/16)を利用することに決定
– 将来的に順次IPv6に移行予定(予定は未定)
• 内部ネットワーク(プライベートネットワーク)ではIPアド
レスではなくホスト名を使いたい
– DNSサーバ構築が決定
要求定義/解決法決定(6)
• 内部ネットワークにはノートPCなど、動的に追
加されるホストが多いため、動的IPアドレス割り
振りを利用したい
– DHCPサーバ導入決定
• 内部ネットワークは外部から守りたい
– ファイアウォールの導入
• ノートPCはもちろんWireless
– Wireless Access Pointの導入(802.11gで統一)
– もちろんWirelessは暗号化
• WEPの導入
構築決定サーバ一覧(1)
• 外部向けサーバ(いわゆるDMZに設置)
–
–
–
–
WWWサーバ
メールサーバ
緊急時用メールサーバ
LDAPサーバ
• 外部にアプリケーションを設置する可能性があるため
(普通は内部ネットワークのためのサーバとなる)
– NFSサーバ
• WWW,メールなど(外部サーバ)でも利用するため
• アクセス制御用ファイアウォール設置(NAS自身にない
ため)
– ルータ(NAPT)用ホスト
• 内部ネットワークと外部ネットワークを結ぶ
構築決定サーバ一覧(2)
• 内部向けサーバ
– DHCPサーバ
– 内部用DNSサーバ
– ルータ(NAPT)用ホスト
• ファイアウォール付き
– Wireless Access Point
• WEP付き
要求定義から作ったネットワーク図
ルータ-FW
WWW
mail
緊急用
mail
LDAP
NFS-FW
NAS
DHCP
DNS
WAP
各学生ホスト
本ネットワークの高負荷ポイント
Performance Bottleneck
• 全員(全ホスト)がアクセスしファイル転送する
ことになるNAS
• NASを保護しているファイアウォール
– NASを使うホストは内部ネットワークにも外部
ネットワークにも,さらにRits外部にも多数存在
• 内部ネットワークと外部ネットワークへの接
続を全て引き受けるルータ兼NAPTホスト
高負荷ポイント
ルータ-FW
WWW
mail
緊急用
mail
LDAP
NFS-FW
NAS
DHCP
DNS
WAP
各学生ホスト
負荷の分散
• NASが外部ネットワークに所属しているため、
ファイル転送トラフィックがルータとNFS-FWに
かかってくる
• 内部ネットワークは直接NASと通信可能にする
• NASに二つEthernet Cardを持たせる
– たまたま2つGbEのNICをもっているNAS(RAID5)で
あった
– 応用問題:もし2つNICがついてなかったらどうしま
すか?
改善後ネットワーク図
ルータ-FW
WWW
mail
緊急用
mail
LDAP
NFS-FW
NAS
DHCP
DNS
WAP
各学生ホスト
高負荷が解消された
ルータ-FW
WWW
mail
緊急用
mail
LDAP
NFS-FW
NAS
DHCP
DNS
WAP
各学生ホスト
その他の改良点
• 緊急時用Mailサーバが常時遊んでいるの
はもったいないため、他サーバと共有
– WWWが緊急用メールサーバを兼任するよう
に設定
• NASのデータは物理的障害にも耐えうる
が、壊れている状態から復旧するまでは利
用できなくなる
– 別にもう一つバックアップ用NASを用意する
最終的なネットワーク図
ルータ-FW
WWW
緊急用mail
mail
DNS
NFS-FW
NAS
Backup用NAS
DHCP
LDAP
WAP
各学生ホスト
実際には...
• DMZ(外部ネットワーク)に,
– TV会議用ホストを設置
• 内部ネットワークに,
– Linuxクラスタ (IBM BladeCenter)
– ソフトウェア開発用CVSサーバ
– アドホックモード用無線基地局を設置
• 10.0.0.0/8のプライベートネットワーク
– WAPとDHCPは同一ホスト
• 有線ネットワークは可能な限りGbE接続
• 無線ネットワークは802.11gと11bを分割
メールサービスの要求定義
• 複数のホストから同時に自分のメールを利用す
る必要がある
(ノートPCと据え置きホスト,etc)
– IMAP4rev1を採用
• メールサーバを多重化する
– メールボックスはNFS上に置く
– NFSを利用するため、メールボックスはMaildir形式
• セキュリティは出来る限り確保する
– IMAP over SSL, SMTP over SSL, SMPT Authの利
用決定
ファイアウォール設定一覧(1)
• ファイアウォールが必要なホストは5つ
– ルータ,WWW/緊急用Mail,Mail,LDAP,NFS-FW
• ルータ兼NAPT
– 内部から外部へのIPマスカレード(POSTROUTINGで
フック)
– 外部から内部への接続は、TCP接続確立済みのも
のは通す、それ以外は拒否(SYN:× ACK: ○)
– ルータへのアクセスは内部からのSSH(22)のみ許可
• WWW/緊急用Mail
– HTTP:80, HTTPS:443, SSH:22, IMAP:143,
IMAPS:993, SMTP:25, SMTPS:465
ファイアウォール設定一覧(2)
• Mail
– IMAP:143, IMAPS:993, SMTP:25, SMTPS:465, SSH:22
• LDAP
– LDAP:389, LDAPS:636, SSH:22
• NFS-FW
– 外部ネットワークからNASネットワークへの接続:TCP接続
確立済みのものは通す
– 外部ネットワークからNASネットワークへの接続:NFS(2049)
をメインNASへ転送(バックアップへは送らない)
構成手順
• 該当ネットワークで出ている要求をまとめ
る
• 各要求について、実現法を決定する
• ネットワーク上のボトルネックを検出し、対
策を立てる
• 機材や資金などと相談して、マシン構成を
考える
• 各種ソフトの設定を行う
さて...
• 現状の西尾研究室ネットワークで足りない
ものは何でしょう?
練習問題 (#1~#3)
1. Switching Hubを利用したネットワークは単なる
Hubを利用する場合と比べてセキュリティ上ど
のような利点がありますか?
2. IP層ではパケットは何まで届けるのが使命です
か?
3. IP層でパケットが途中でロストした場合、IP層は
何をしますか?
4. MACアドレスとIPアドレスとの対応をとるプロト
コルは何ですか?
5. 上記のプロトコルではまず何キャストをしてそ
の応答を何キャストで受けとるでしょう?
6. 立命がJPNICからもらっているIPアドレスのクラ
スは何ですか?
7. ホストアドレスがNビットあったときいくつのホス
トにアドレスを配れますか?
8. サブネットマスクがMビットのときホストはその
サブネットにいくつですか?
9. ルータが自分の経路表にないアドレス宛てのパ
ケットを配送するアドレスを何といいますか?
10. AS内のルーティングプロトコルを一ついいなさ
い。
11. IPv4のIPアドレスは約いくつありますか?
12. IPアドレスの枯渇問題への解決策を2つあげて
ください。
13. プライベートIPアドレスには3つのネットワークア
ドレスごとに用意されていますが、それぞれ何
によって使い分けるでしょう?
14. プライベートIPアドレスを振られたホストのインタ
ネットアクセスは何によって実現されるでしょ
う?
15. 14の技術はどのような制約があるでしょうか?
16. それを改良した技術を何といいますか?
17. IPヘッダとTCPヘッダ,パケットのより内側に位
置するのはどちら?
18. TCPやUDPではパケットは何まで届けるのが使
命ですか?
19. Well-Knownポートの例を一ついいなさい.
20. UDPでパケットが途中でロストした場合、UDP
練習問題 (#4~#6)
1. DHCPで配布されるものは何ですか,4つ答えな
さい?
2. 無線LANでの通信路暗号化の手法?
3. Switching Hubのセキュリティ以外の利点は何
ですか?
4. Switching Hubを通したPacket Sniffingは可能
か?
5. IPsecの提供するような暗号化通信路生成方式
を何といいますか?
6. IPsecは不特定の通信相手とでも必ず暗号化通
信路を確立できますか?
7. IPsecを利用するとスループットはどうなります
か?
8. バッファオーバーフロー攻撃はTCP/IPを利用し
なれば防げますか?
9. プロトコル仕様に脆弱性が発見されたとき,そ
のプロトコルは使用禁止になりますか?
10. POPやIMAPは暗号化通信路を提供します
か?
11. APOPを利用すればメイルの内容は盗聴できな
いでしょうか?
12. ファイアウォールはウィルスを通さない機構で
ある?
13. 近年の分散DoS攻撃の代表例を一ついいなさ
い.
14. ファイアウォールの内側のホストはインタネット
にアクセスできますか?
15. 安価に構築できるファイアウォールは何型で,
何層で実装されるでしょう.
16. RAINBOW内のWebサーバへは何型のファイ
アウォールが適用されていますか?
17. ファイアウォール内ホストの外へのアクセスを
制限する例をあげなさい.
18. Linuxのnetfilterでのin-comingパケット防御は
どのhookポイントですか?
19. LinuxでのNAPTは何といわれていますか?
20. DMZにはどのようなホストを置きますか?
21. Unixでの代表的なリモートアクセスサー
バの暗号化通信路生成プロトコルは?
22. 上記プロトコルで他のサービスを支援す
る機能は何?
23. 一般にVPNで利用される通信路暗号化
方式は?
24. VPNでNAT越えをする方法はない?
25. SoftEtherは何層のVPNか?
練習問題 (#7~#11)
1. 従来のUnixでのユーザ情報管理ファイルは
何?
2. Rootでのログインは推奨されない.代りにどの
コマンドを利用するか?
3. NISのドメインとサイトのドメイン名は一致する
か?
4. NISの通信路は暗号化されているか?
5. NFSで各ホストから同じユーザ名でアクセスす
るには何を共通化しなければならないか?
6. NFSのセキュリティ機能を強化した分散ファイ
ルシステムの例をあげよ.
7. Webアクセスを拡張した分散ファイルシステム
8. インターネット上にP2Pが作るネットワークは
何?
9. すべてのP2P方式では中央サーバは存在しな
いか?
10. DNSの日本の大本はどこ?
11. DNSレコードでメイルの配送先を書くのは?
12. 家庭からのインターネット接続のようにIPアドレ
スが毎回変わる場合に対応できるDNSは何?
13. Sendmail, postfix, qmailなどは何とよばれる
か?
15. ユーザが多い場合にはどのメイル受信プロトコ
ルを用いるのがよいか?
16. 最近のユーザ認証するメイル送信のプロトコル
は何か?
17. チャレンジ-レスポンス認証で乱数を発生する
のはどちらか?
18. Webの通信路暗号化手法でよく用いられるもの
は何か?
19. 忙しいときほどシステムに不具合が生じる確率
が上がるというのは迷信か?
20. Unixでのバックアップは理想的には何モードを
利用すべきか?
21. 近年大容量化したファイルシステムのテープに
よるバックアップが流行らない理由は?
22. メイルサーバが停止していたときに到着したメ
イルはどうなるか?
23. ハードウェアでファイルシステムを多重化する
技術を何というか?
24. 上記で性能も向上する技術を何というか?
25. 上記の技術のみ適用した場合,性能向上と信
頼性との関係はどうなるか?
26. Webの動的コンテンツをクライアントサイドで支
援する技術の例をあげよ.
27. Servletはどちらの動的コンテンツ支援技術か?
28. CGIで最もよく利用されたプログラミング言語は?
29. 上記のペアに近年おきかわってきた技術は何
か?
30. この変化の原因をあげよ.
31. デファクトになりつつあるWebサービスの記述言
語をあげよ.
32. オブジェクト指向のRPCを何というか?
33. SOAPのスタブ生成に利用される技術は何か?
34. SOAPの通信ポートは何と何が利用されるか?
35. Webサービスの隆盛はインターネット上の何に左