PR

村嶋 修一氏 ライプ IT技術統括部長

RIPを止めて不要なアクセスを制限

 社としてのセキュリティ・レベルは,基本的にそれぞれの社内で決めることだ。ただ,今回はパートナシップということもあり,一定水準のセキュリティを両社の相互協定で確保する方法をとった。具体的には相互接続用のルーターの管理を統一することにした。

 両社はいずれもLAN内のルーターのルーティング・プロトコルとしてRIPを使っていた。このまま,相互接続用のルーターにもRIPを使うと,業務提携している部署のサブネットとは無関係の部署のサブネットから,お互いの会社のLANにアクセスできるようになってしまう。このため,両社とも相互接続用ルーターのWAN側のRIPを無効にすることを取り決めた。

図1 A社とB社の間で構築したエクストラネット
A社の卸した製品をB社が販売するため,両社の関係部署のネットワークを専用線で接続した。セキュリティ対策として,まず相互接続用ルーターのRIP(routing information protocol)を無効にすることで,他社の人間が関係する部署間以外の部分にアクセスできないようにした。さらに,パケット・フィルタリングの設定で,余計なマシンやアプリケーションから別会社へアクセスできないようにした。これらの設定で,たとえ物理的には一つのネットワークでも,かなりの程度のセキュリティを確保できる。
 WAN接続はNumberedにし,WANのネットワークIDは192.168. 0.0/24とした。WANのルーティングはスタティック・ルーティングで運用することにした。

通信相手も制限しセキュリティ強化

 さらに,両社は,相互接続用のルーターの機能を利用し,通信する両端のセグメントやマシン,そして利用するサービスを制限してセキュリティを強化した。

 まずB社は,A社あてのルーティング・テーブルに,接続目的のサーバーの172.16.33.24/32だけを設定した。一方,A社ではB社あてのルーティング・テーブルにクライアントに割り振った10.0.21.32/27だけを設定。これで想定しているマシンあて以外のパケットがWANに流出することはない。

 さらに,セキュリティを高めるために,パケット・フィルタリングを仕掛けた(図1[拡大表示])。これで指定した通信端末以外,またNotesサーバー/クライアント以外のアプリケーションを使った通信は通らなくなる。

 以上の設定で,A,B両社はエクストラネットを問題なく運用するためのセキュリティを,ルーターの機能だけで確保することに成功した。