• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

1週間で学ぶネットワークの要点

小規模拠点へのADSL導入ノウハウ(3) 第4回

社員宅にもファイアウォールは必須
障害因子はアドレス変換にも潜む

岸塚渉・長谷川仁美 2003/09/19 日経コミュニケーション
出典:2003年4月28日号120ページ
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

NATトラバーサル導入後に問題発生

 だが,他の社員からもx氏と同じ問い合わせが続いたため,B社は思いきってNATトラバーサル機能を採用することにした。VPNクライアントとVPN装置に装備すれば,ユーザーがアドレス変換の有無を意識せずに使える。実際にNATトラバーサルの導入後は,問い合わせが大幅に減った。

 ところがある日,C社に出向中のy氏から,接続できないという連絡が入った。y氏は出向先のC社の社内LANから,インターネット経由でB社とVPN接続しようとしていた。

 IPsec通信を通すには,ファイアウォールにIPsec関連のプロトコルを通す設定が必要になる。例えば,鍵交換のISAKMP通信のためにUDPの500番ポートの通過を許可する。B社は事前にC社に対して設定変更を依頼しており,問題はないはずだった。

ポート番号を変更して解決

図3 社員の出向先企業のファイアウォールを通過できないためB社はVPN設定を変更
B社は新たに「NATトラバーサル」機能を活用することにし,VPNクライアントと本社のVPN装置に設定を施した。取引先のC社に出向している社員もVPNでB社に接続できるように準備したが,NATトラバーサルで使うポート番号のパケットがC社のファイアウォールを通過できない。そこで,ポート番号の設定を変更して対処した。
 B社とC社が共同で調査したところ,y氏のパケットがファイアウォールで遮断されていた。理由は,NATトラバーサルのカプセル化に使うUDPのポート番号。B社では「10000」を指定していたが,C社のファイアウォールは10000番ポートを遮断する設定になっていた(図3[拡大表示])。

 原因は特定できたが,C社にUDPの10000番ポートが通過できるように変えてもらうのは,セキュリティ上難しい。B社は検討を重ねて,NATトラバーサルで利用するポート番号をISAKMPと同じUDPの500番に変えることにした。

 NATトラバーサルはISAKMPと関連がなく,同じ500番ポートを使うのは好ましくない。ただし,運用上は問題がなく,C社と接続することを優先してこの方法を採用した。NATトラバーサルのポート番号変更後は,C社からも接続できるようになった。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る