【図解】セキュアな管理ネットワーク構成〜アウトオブバンド(oob)管理の薦め, マルチホームの注意点〜

管理ネットワークの種類

管理ネットワークとは一般に、主に [ ssh , rdp , snmp , syslog ] 等の管理者のみが必要とするネットワークプロトコルを通信させるネットワークのことを指します。

管理ネットワークには 2つの方式があります。1つ目は『インバンド(in-band)方式』で、一般ユーザへのサービス提供に使うネットワークに相乗りさせる構成です。2つ目は『アウトオブバンド(out-of-band)方式』で、管理専用のネットワークを使う構成です。

インバンド管理とは

インバンドの管理ネットワークでは、管理者と一般ユーザは論理的に接続されたネットワークにいます。

基本的なアクセス制御により、ある程度は攻撃への耐性を持つことができますが、運用中のミスにより欠陥が出来やすく、情報漏洩などの重大インシデントに繋がりかねません

アウトオブバンド管理とは

アウトオブバンド(oob)管理ネットワークでは、サービス提供するネットワークと管理ネットワーク用の機器が分離された環境を言います。

分離はハードウェア的に分かれていたほうが望ましいですが、最近では VRF という NW 論理分割により作ることもできます。

構成例を以下に示します。

VM には vNIC を2つ作ります(物理サーバで実現したいなら NIC が2系統必要)。そして Windows Firewall や firewalld は vNIC 毎にプロファイルやゾーンを分けます。一般ユーザへのサービス提供側には ssh や rdp, snmp 等の管理系プロトコルアクセスは許可しません。

場合によっては、サーバ本体へのルーティング設定も必要です。具体的には、管理ネットワークを L3スイッチでルーティングさせる構成の場合です。

サーバの管理ネットワーク側 vNIC には DGW を設定してはいけません。DGW を2つ付けるとどちらの NIC から送信すべきか分からず、通信が不安定、もしくは疎通できなくなるからです。

必要に応じて個別スタティックルートを加えます。例えば以下の例だと 10.1.1.0/24 への Static ルートとして NextHop=10.99.0.254 や 10.99.1.254 を加えます。

なお、Windows のスタティックルート設定は以下を、

【route add/delete/print】コマンドでWindowsルーティング設定 〜Default Gateway/Static Route〜
【route add/delete/print】コマンドでWindowsルーティング設定 〜Default Gateway/Static Route〜
デフォルトゲートウェイとは デフォルトゲートウェイ(Default Gatew...

Linux のスタティックルート設定は以下を参照下さい。

【nmcli】オプション一覧~デバイス名変更,ステータス確認,ip/dns/デフォルトゲートウェイ設定~
【nmcli】オプション一覧~デバイス名変更,ステータス確認,ip/dns/デフォルトゲートウェイ設定~
CentOS7 以上では Network Manager を積極的に使ったほうが...

サーバのアウトオブバンド管理用NIC

最近の物理サーバのマザーボードにはアウトオブバンド管理用の NIC が搭載されてます。これは通常の OS へのアクセスではなく、メーカ独自のハードウェア管理ソフトへのアクセスが可能となります。

この機能は、リモートから OS の操作ができたり、OS がハングアップしたもしてもハードウェアの状態が見れたり、電源の ON/OFF (つまり OS のshutdown/start) ができたりします。

呼び名はメーカによってまちまちで、HP であれば iLO (読み方:アイロ、アイエルオー)、Dell であれば iDRAC (読み方:アイドラック)、富士通であれば iRMC、NEC であれば BMC と呼ばれます。

管理ネットワークを構成する上での注意点

プロキシ経由での https コンソールアクセスを意識する

コンソールアクセスは管理 PC が存在するセグメントをしっかりと定義し、そこからのアクセスのみを許可します。

サーバ間でのコンソールアクセスは極力避けるべきです(必要があれば最小限に)。被害が広がるケースもあります。

例えば最近は Web コンソールも増えています。一般ユーザがプロキシサーバ経由で裏からコンソール画面を表示させる、ということも起こりえます。

Active Directory のドメインコントローラのマルチホーム

ドメインコントローラのマルチホーム(NIC が2つ以上ある)構成においては、管理ネットワーク側のセグメントの vNIC の IPアドレスを DNS に登録させてはいけません。

Active Directory ではドメインコントローラの負荷分散は DNS ラウンドロビンで実現しています。クライアントからは管理ネットワークにアクセスできないように構成しているので、ラウンドロビンで管理ネットワーク側の IP アドレスが返された場合はタイムアウトを待ち、その後に別の IP アドレスを使ってドメインコントローラへアクセスすることになるため、ログインに時間が掛かったり、通信エラーが出たりするなどの弊害が出てきます

DNS への登録をさせない設定等の対処法については、以下サイト等を参考にして下さい。

https://support.microsoft.com/ja-jp/help/272294/active-directory-communication-fails-on-multihomed-domain-controllers

シェアする

  • このエントリーをはてなブックマークに追加

フォローする