キャリア・グレードNATでは,一つのグローバル・アドレスを複数ユーザーで共有します。そのため,インターネット接続事業者(プロバイダ)は,NATのログを管理することが必須になります。悪意あるユーザーが,キャリア・グレードNAT環境下から外部サーバーへ不正アクセスを試みた場合などに,それを追跡できるようにしておく必要があるからです。NATを導入してプライベート・アドレスでインターネット接続サービスを提供しているケーブルテレビ会社では,古くからNATのログを管理しています。
不正アクセスに関連するプロバイダの対処に関しては,「プロバイダ責任制限法」により法制化されています。同法で,プロバイダはログを管理することが規定されています。そのため日本国内では,プロバイダによるログ管理は既に一般的ですが,海外では必須ではないケースも多くあります。筆者が北米の通信機器ベンダーのエンジニアにプロバイダによるログ管理の話をしたら,怪訝(けげん)な顔をされた覚えがあります。
システムの負荷が高いキャリア・グレードNATのログ管理
NATのログを管理し始める前には,ログに記録する項目(内容)について十分に検討する必要があります。そしてNATのログから,不正アクセスの痕跡といった諸問題を解析できるようにしておかなくてはなりません。筆者は以前プロバイダでオペレータをしており,何度か不正アクセス対処のためにインターネット接続のログ分析をしたことがあります。いずれのケースでも,ログに記録されている項目で不足することなく分析することができました。「ログを分析し始める段になって初めて,不足している記録項目に気付く」という事態は避けなくてはなりません。
それではここで,筆者が開発に携わったキャリア・グレードNATシステムのログ項目を見ていきましょう(図1)。このログには,以下に挙げる項目が記録されています。
(1)セッションに使うポートを割り当てた(または割り当てを終了した)日時
(2)キャリア・グレードNAT装置のグローバル・アドレスとポート番号
(3)キャリア・グレードNAT装置がユーザーに割り当てたプライベート・アドレスとポート番号
(4)ユーザーからの通信のあて先であるグローバル・アドレスとポート番号
(5)(3)を割り当てたユーザー名,そのユーザーが使っているポートの数など
このログに記録された通信において,キャリア・グレードNAT装置は,(1)にある日時に(5)で示されたユーザーに対して(3)にあるプライベート・アドレスとポート番号を割り当てたことがわかります。そしてこの(3)には,(2)に示されたグローバル・アドレスとポートを対応させ,NAT変換を行ったことが記録に残っています。(3)を割り当てられたユーザーがキャリア・グレードNATを介して通信したのは,(4)に記録されたグローバル・アドレスとポートを割り当てられたサーバーだった,ということになります。
図1で示したログは,ネットワークバリューコンポネンツが開発し,独自に実装したものであることに注意してください。キャリア・グレードNATは現在インターネット・ドラフト(標準化に向けた議論が進んでいる)の段階ですが,ドラフト仕様書の中にはログについての記述はありません。
多数のユーザーの通信に対して多数の項目を管理しなければならないため,キャリア・グレードNATにおけるログの生成は,従来のログよりも高い負荷がキャリア・グレードNAT装置やログを取得・管理するサーバーにかかります。筆者はオペレータをしていた頃,ネットワーク機器のログ生成機能を有効にすることで高負荷状態に陥ったケースを何度も経験しています。キャリア・グレードNATにおいて同じ問題が発生する可能性はさらに高くなります。ネットワーク機器やログを記録するシステムは,従来よりも生成に負荷がかかるログを作らなくてはならないことを考慮して性能を検証し,選定する必要があります。
次回は,キャリア・グレードNATによって変化するネットワーク構成の一例として,マルチキャストがどうなるかを見ていくことにします。
ネットワークバリューコンポネンツ ニュービジネスチーム
