ネットワーク監視基盤構築

PORTOFILIO
事例紹介

事例紹介

Security 01 / ネットワーク監視基盤構築

インターネット経由でお客様宅のネットワーク機器を監視する場合、固定のグローバルIPアドレスをお持ちであることが好ましいです。そうでない場合はグローバルIPアドレスの特定ができないため、監視には不向きです。DDNSを利用し、IPsecのメインモードでVPN網を構築する構成が考えられますが、監視基盤と直結のDDNSを用意する必要があります。運用面のリスク、コスト等の事情によりDDNSを用意できない事例がありました。とはいえ、他社DDNSを利用したのでは常時監視の保証ができません。そこで、IPsecのアグレッシブモードを用いてお客様側から監視基盤(固定グローバルIPアドレス)にアクセスさせる方法を採りました。お客様宅のネットワーク機器のループバックインターフェースに監視用IPアドレスを付与し、IPsecアグレッシブモードのセキュリティ的な懸念点を解消するため、XAUTHも併用しました。さらに安全性を高めるため設定方法も工夫し、IPsecのPSK値は誰の目にも触れないようにしています。