企業ネットワークでブロードバンド回線の利用が増えている。ブロードバンド回線は頻繁に輻輳が発生する。輻輳時に破棄されるパケットには偏りが生じる点に注意が必要だ。

 企業ネットワークにおいて安価なブロードバンド回線の活用は欠かせない。帯域確保型ではないが専用線と比べてコストを抑えられるため、拠点間を接続するインターネットVPN(仮想閉域網)などで利用するケースが増えている。

 ただし、ブロードバンド回線は、中継ネットワークの混雑(輻輳と呼ぶ)が頻繁に発生する。ネットワークが輻輳状態にあるとき、パケットのフラグメント化(断片化)がトラブルの引き金になることがある。今回はトラブルの具体的な事例を紹介しながら、問題解決のポイントを解説する。

拠点追加時にVPNが不通

 A社はIPsecを使ったインターネットVPNを構築し、自社で運用している。本社に1000回線(拠点)を収容できるVPNゲートウエイを設置し、接続する各拠点にVPNゲートウエイを導入。収容済みの拠点は徐々に増え、約200拠点に達しようとしていた。

 ところがある日、本社と新しいX拠点を接続したところ、既に接続済みの拠点で本社とVPN通信ができなくなった。時を同じくして、X拠点で実施していた開通前のフィールドテストで期待したスループットが出ないという報告も上がってきた。本社のVPNゲートウエイのログを確認すると、「Overlapping Fragment Attack」を検知したという警告が表示されていた。

 一般にネットワーク機器が通信パケットを中継する際、データの大きさがMTU(Maximum Transfer Unit)と呼ばれる最大転送容量を超えると、フラグメント化して転送する。分割されたパケットのIPヘッダーにはIP-Identifier(以下、IP-Id)が加えられる。そして、受信側のネットワーク機器が同一のIP-Idを持つパケットを集めて元のパケットに復元する。

 Overlapping Fragment Attackは、最初に正常なフラグメントパケットを送り、後から同じIP-Idを持つパケットで上書きするというものだ。後送するパケットに不正コードを埋め込んで攻撃する。

 攻撃を検知した時刻はVPN通信ができなくなった時間帯と同時刻であり、ゲートウエイの負荷も高くなっていた。この状況から、当初は外部からOverlapping Fragment Attackを受けたことで本社のVPNゲートウエイの負荷が高くなり、十分にパケットを中継できなくなってしまったことが通信断の原因と考えられた。

図 A社におけるトラブルの概要
新たな拠点を接続した際、他の拠点でインターネットVPNが通信断に
[画像のクリックで拡大表示]

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら