Visual Nexus Secure Transport
概要/製品説明
(日本語版)
2005/10/18
第2版
はじめに
お問い合わせ
製品の一般的な情報
Visual Nexus 製品サポート情報: http:// www.visualnexus.com/jp/support.htm
※製品に関する技術的サポートの提供方法などについては、ご購入の代理店にお問い合わせください。
Visual Nexus Secure Transport
概要/製品概要
(日本語版)
2005/02/25
第
1 版
2005/10/18
第2版
Ver3.0-1 対応
発行日: 2005 年 10 月 18 日 発行元: トーメンサイバービジネス株式会社 〒108-0075 東京都港区港南 2-11-19 大滝ビルはじめに
ごあいさつ
この度は、「Visual Nexus」を導入していただき、誠にありがとうございます。
Visual Nexus は、離れた拠点間を高品質の映像と音声でリアルタイムに結び、ビジネスコミュニケーションのス ピード向上とコスト削減を実現するシステムです。
本書は、Visual Nexus の管理者ガイドです。Visual Nexus のシステム設定、管理、運用の際にお読みください。 なお、製品に関する技術サポートの提供方法などについては、ご購入の代理店にお問い合わせください。また、 製品の一般的な情報については、下記 URL をご覧ください。
Visual Nexus 製品サポート情報: http://www.visualnexus.com/jp/support.html
本書について
本書の位置づけ
Visual Nexus リリースノート (システム管理者向け)
Visual Nexus のインストール CD の構成や、Ver3.0 の改善点、制限 事項、既知の問題について記載しています。
↓
Visual Nexus Secure Transport 概要
/製品紹介
Visual Nexus Secure Transport の製品概要について記載してい
ます。(本書) ↓ Visual Nexus 管理者ガイド (システム管理者向け) Visual Nexus の概要、サーバのインストール方法、システム設定、 管理設定、注意点などについて記載しています。 ↓ Visual Nexus コマンドリファレンス (システム管理者向け)
Visual Nexus Telnet Interface で使用可能なコマンドについて記載 しています。 ↓ Visual Nexus ユーザセットアップガイ ド(一般ユーザ向け) Visual Nexus クライアントのインストール方法、セットアップ方法 などについて記載しています。 Visual Nexus ユーザ操作ガイド (一般ユーザ向け) Visual Nexus クライアントの基本的な操作方法、注意点などにつ いて記載しています。
表記について
本書で使用している記号
ハードウェアやソフトウェアへの損害やエラーの発生を防止するために 遵守しなければならない情報を記載しています。 特定のテーマに関する補足情報を記載しています。はじめに
本書で使用している表記
メニュー、アイコン、 ボタン、タブの操作 [ ]で囲んで表記します。 (例)[キャンセル]ボタンをクリックします。 キーボード上のキーの操作 < >で囲んで表記します。 (例)<Alt>キーを押します。 ディレクトリ、メニューの 選択 [メインメニュー名]−[サブメニュー名] (例)[プログラム]−[Internet Explorer]を選択します。 参照先 別冊は『 』、参照箇所は「 」で囲んで表記します。 (例)「本書について」を参照してください。表示画面などについて
表示画面などは、操作の一例として掲載しているため、ご使用の端末に表示される画面とは異なる場合もありま す。商標について
• Visual Nexus、Visual Nexus ロゴは、トーメンサイバービジネス株式会社の商標です。
• Microsoft、NetMeeting、Windows、PowerPoint は、米国 Microsoft Corporation の米国およびその他の国に おける商標または登録商標です。
• Intel、Pentium、Xeon、Celeron は、米国 Intel Corporation の米国およびその他の国における商標または登 録商標です。
• SONY は、ソニー株式会社の商標です。
• Polycom は、米国 Polycom, Inc.の米国およびその他の国における商標または登録商標です。 • Red Hat は、米国 Red Hat, Inc.の米国およびその他の国における商標または登録商標です。 • Linux は、Linus Torvalds の商標です。
• その他、本書に記載されている会社名、製品名は、それぞれ各社の商標または登録商標です。
版権/注意
• 本書の内容の一部または全部を無断で複写転載することを禁じます。 • 本書に掲載の内容および製品の仕様などは、予告なく変更されることがあります。 • 本書の内容は万全を期して作成しておりますが、万一ご不明な点や誤り、記載もれ、乱丁、落丁などお気づ きの点がございましたら、弊社までご連絡ください。目次
目次
ごあいさつ... 3 本書について ... 3 本書の位置づけ ... 3 表記について... 3 表示画面などについて... 4 商標について... 4 版権/注意 ... 4 目次 ... 5 Secure Transportの概要... 6 1.1. どのような製品か ... 6 1.2. 誰に必要か ... 6 1.3. どのような場合に必要か... 6 Secure Transportの構成... 7 2.1. 概要... 72.2. Secure Transport Client の利用形態... 8
2.2.1. パーソナルクライアント ... 8 2.2.2. グループクライアント ... 8 Secure Transport の特徴 ... 9 3.1. 特徴一覧... 9 3.2. 以前のバージョンとの相違点 ... 9 Secure Transport の製品仕様... 11 4.1. 製品仕様... 11 Secure Transport のライセンス管理 ... 12 5.1. ライセンス管理 ... 12 Secure Transport の配置 ... 13 6.1. 企業 – 社内ネットワーク内に設置 ... 13 6.2. ホスティングあるいはサービスプロバイダでの利用... 14 Secure Transport の利用概要... 15 7.1. 利用概要... 15 7.2. ファイアウォール・ルール ... 16 7.2.1. 使用ポート及びプロトコル... 16 7.2.2. デフォルト設定時のクライアント側ファイアウォール・ルール... 16 7.2.3. サーバ側ファイアウォール・ルール ... 17
1.1.
どのような製品か
1
1
S
S
e
e
c
c
u
u
r
r
e
e
T
T
r
r
a
a
n
n
s
s
p
p
o
o
r
r
t
t
の
の
概
概
要
要
1.1. どのような製品か
Visual Nexus Secure Transport は、IP ネットワーク上で、FW や NAT を越えて音声・映像、及びデータコミュ ニケーションを実現させるためのシステムです。
このシステムは、ITU-T が勧告した H.323 プロトコル及び T.120 プロトコルに準拠した音声・映像及びデータ通 信の FW/NAT 越えをサポートします。
将来的には、SIP プロトコルへの対応も予定しています。
1.2. 誰に必要か
Visual Nexus Secure Transport は、音声・映像会議をサービスとして提供するプロバイダや、複数の LAN ネッ トワーク内の端末同士、あるいは LAN ネットワーク内の端末と WAN 上にパブリック IP を持つ端末同士で音声・ 映像通信を行いたいユーザのためにあります。
1.3. どのような場合に必要か
Visual Nexus Secure Transport は、WAN を介した複数の LAN ネットワークを持つ企業ユーザなどで、VPN な どを利用していない、あるいは音声・映像などのリアルタイム通信には適さない VPN しか利用してない企業ユー ザなどが対象となります。
Visual Nexus Secure Transport を使用する典型的な例は以下になります。 ・VPN を利用していない企業の本社、支社、工場間の接続
・自宅、あるいは出先からの接続 ・複数の異なる組織間の接続
2.1.
概要
2
2
S
S
e
e
c
c
u
u
r
r
e
e
T
T
r
r
a
a
n
n
s
s
p
p
o
o
r
r
t
t
の
の
構
構
成
成
2.1. 概要
Visual Nexus Secure Transport は、ITU-T が勧告した H.323 プロトコル及び T.120 プロトコルに準拠した音声・ 映像及びデータ通信の FW/NAT 越えをサポートします。
Visual Nexus Secure Transport は、クライアントーサーバ形式のソリューションです。 クライアントおよびサーバは複数の FW や NAT を超えてお互いが通信を行います。
Secure Transport のクライアントとサーバ間には、FW/NAT 装置をまたがった専用のコミュニケーションパス が作成されます。
全ての H.323 / T.120 通信はこの専用コミュニケーションパスの中を通過します。
このため、FW/NAT には、Secure Transport のクライアントとサーバ間の専用コミュニケーションパスの通過 許可だけを与えればよいことになります。
Secure Transport の専用コミュニケーションパスの通過許可は、非常にわずかな許可(設定)を与えるだけで十 分です。場合によっては全く FW ポリシーを変更する必要さえありません。
2.2. Secure Transport Client の利用形態
Secure Transport サーバは、一般的には、パブリック IP アドレスを付与する必要があり、接続する全ての Secure Transport クライアントから見える(接続可能)必要があります。
Secure Transport Client は、プライベート IP ネットワーク内に配置します。
もっとも単純なケースは、プライベート IP ネットワーク内からパブリックネットワークへの接続です。 - 図1中の path (1)
異なるプライベート IP ネットワーク内の Secure Transport Client 同士の接続。 - 図1中の path (2)
Secure Transport サーバを並列で追加すれば、より大規模な接続にも対応可能です。 - 図1中の path (3)
2.2. Secure Transport Client の利用形態
Secure Transport Client には2つのの利用形態があります。 ・ パーソナルクライアント
・ グループクライアント
2.2.1. パーソナルクライアント
パーソナルクライアントは、H.323 ソフトウェアと Secure Transport Client が同一端末内に存在する時の利用形 態です。
PC 端末上で動作する VIsual Nexus Endpoint のようなアプリケーションと同じ PC 内に設置して利用するのが 一般的です。
Ver3.0-1 からは、Visual Nexus Endpoint をインストールすると、パーソナルクライアントが自動的にインストー ルされます。
2.2.2. グループクライアント
グループクライアントは、H.323 端末あるいは、別の PC に設置された H.323 ソフトウェアから利用する形態で す。 同じプライベート IP ネットワーク内の複数の端末の接続を1つのグループクライアントで処理させることが出 来ます。 同じグループクライアントに接続された端末間同士の通話は、Secure Transport サーバを経由せずに直接行いま す。3.1.
特徴一覧
3
3
S
S
e
e
c
c
u
u
r
r
e
e
T
T
r
r
a
a
n
n
s
s
p
p
o
o
r
r
t
t
の
の
特
特
徴
徴
3.1. 特徴一覧
z Firewall 及び NAT を越えた H.323 / T.120 通信機能を提供します。 z クライアントとサーバ間の専用コミュニケーション通信に使用するポートを設定出来ます。 デフォルトでは TCP/80 を使用します。 大多数のファイアウォールは特別な許可を与える必要がありませ ん。 z クライアントは、メインサーバのほかに代替サーバを指定できます。 メインサーバがダウンした場合、自動的に代替サーバへと接続を切り替えます。 z ライセンスはライセンスサーバで集中管理されます。 複数のサーバを並列で稼動させるのが容易です。特別な管理は不要です。 z サーバへの接続はアカウント及びパスワードの認証が必要になります。 z 映像・音声及びデータ通信を AES 256bit で暗号化させる事が出来ます。 z WWW ブラウザベースでサーバ管理を行えます。 − サーバ設定、アカウント管理、状態監視 z クライアントを自動的にアップデートする機能があります。 新バージョンのクライアントモジュールをサーバからダウンロードし、自動的に update します。3.2. 以前のバージョンとの相違点
以前のバージョンの FW/NAT Option 製品との主な違いは以下になります。 z サーバ OS が、Windows サーバから Linux サーバへと変更になりました。 z サーバクライアント間の専用コミュニケーションで使用するポート及びプロトコル(TCP or UDP)を選択 できるようになりました。 デフォルトで TCP / 8081 を使用します。 z 全てのメディアデータを暗号化します。 以前の製品はデータ通信を暗号化しませんでした。3.2.
以前のバージョンとの相違点
z 複数の映像チャネルを持った通話もサポートします。
データの流れない映像チャネルが NAT テーブルから削除されないよう、KeepAlive を送信して NAT テー ブルを保持する機能を持っています。 z パフォーマンス及びスケーラビリティが改善されています。 z パーソナルクライアントとグループクライアントが同一のプログラムになりました。 設定で利用形態を変更します。 z 端末間の P2P 通信も暗号化できるようになりました。 z サーバの登録最大ユーザ数 100 という制限はなくなりました。
4.1.
製品仕様
4
4
S
S
e
e
c
c
u
u
r
r
e
e
T
T
r
r
a
a
n
n
s
s
p
p
o
o
r
r
t
t
の
の
製
製
品
品
仕
仕
様
様
4.1. 製品仕様
サポートプロトコル H.323 / T.120
サポート OS サーバ: RedHat Enterprise Linux 3, RedHat Enterprise Linux 4, Fedora Core 4 クライアント: Windows2000, WindowsXP Firewall/NAT 越え H.323 / T.120 通信の中継機能 -- クライアントはプライベート IP ネットワーク内に配置 -- サーバは DMZ、データセンターなどに配置 FW/NAT に対しては、使用ポートに対する outbound のみ許可をあたえる必要 があります。 中継プロトコルとして TCP / UDP を選択可能。(制御通信は TCP のみ) セキュリティ サーバへの接続はアカウント及びパスワードの認証が必要です。 映像・音声・データ通信が暗号化されます。
AES ( CBC or EBC ) で鍵長を 128, 192, 256 bit から選べます。 最小サーバスペック
Intel Pentium III, 4 or Xeon 1.2GHz processor
512 MB RAM
100Base-TX NIC
100MB disk space
パフォーマンス、 クライアント及びサーバ処理による遅延 – 8msec 以内
単一サーバで、384kbps の場合 120 コール ( dual Processor system) サーバを追加する事で、全体処理台数を増やすことが出来ます。
5.1.
ライセンス管理
5
5
S
管
S
管
e
e
理
理
c
c
u
u
r
r
e
e
T
T
r
r
a
a
n
n
s
s
p
p
o
o
r
r
t
t
の
の
ラ
ラ
イ
イ
セ
セ
ン
ン
ス
ス
5.1. ライセンス管理
Visual Nexus Secure Transport は同時アクセスライセンスを使用しています。
Secure Transport を通過して同時に通話している数が、消費するライセンス数になります。
ライセンスは Visual Nexus Meeting Server が提供するライセンスサーバで集中管理されますので、Secure Transport サーバは何台設置しても構いません。 例えば、50 ライセンス持っているならば、1台のサーバで同時に 50 ユーザが通話する事が出来ます。 サーバを複数台にした場合は、サーバ全体で同時に通話できる数が 50 ユーザになります。 その場合、各サーバへの配分に制限はありません。 クライアントのインストール数にも制限はありません。 また、Secure Transport のサーバ – クライアント間の接続にはライセンスは消費しないので、サーバ- クライ アント間の同時接続には制限はありません。 ただし、サーバで認証されたクライアントしかサーバへは接続できません。
6.1.
企業 ‒ 社内ネットワーク内に設置
6
6
S
S
e
e
c
c
u
u
r
r
e
e
T
T
r
r
a
a
n
n
s
s
p
p
o
o
r
r
t
t
の
の
配
配
置
置
Visual Nexus Secure Transport は企業ユーザやサービスプロバイダの利用に適しています。企業ユーザは Visual Nexus Secure Transport サーバを企業ネットワーク内に設置することも、データセンタに設置する ことも出来ます。 サ ー ビ ス プ ロ バ イ ダ は 、 Secure Transport サ ー バ を 、 デ ー タ セ ン タ に 設 置 す る こ と も ア ク セ ス ポ イ ン ト (Point-of-Presence)に設置する事も出来ます。 全てのケースにおいて、クライアントはプライベートネットワーク内に配置されます。
6.1. 企業 – 社内ネットワーク内に設置
ここでは、以下の図に書かれているような企業の DMZ 上に配置する場合について説明します。 GateKeeper などは、Secure Transprort サーバと同じセグメントに設置されます。この配置では、企業 A の支社 や 工場の端末からサーバへアクセスする場合はそれぞれの社内ネットワーク内部に 設置したグループ・クライアントを使用します。
通常、パーソナルクライアントは、SOHO ワーカやホットスポット利用者などが使用します。
6.2.
ホスティングあるいはサービスプロバイダでの利用
6.2. ホスティングあるいはサービスプロバイダでの利用
ここでは、ホスティングした場合の配置を説明します。 企業のホスティングと、サービスプロバイダの設置は同様の配置になります。 Secure Transport サーバの台数を増やすことで、スケーラビリティをアップさせることができます。 クライアントに代替サーバを設定すれば、フェイルオーバ機能を提供する事もできます。図 3 データセンタなどへの配置
7.1.
利用概要
7
7
S
S
e
e
c
c
u
u
r
r
e
e
T
T
r
r
a
a
n
n
s
s
p
p
o
o
r
r
t
t
の
の
利
利
用
用
概
概
要
要
7.1. 利用概要
図 4 FW/NAT 越えの方法
Visual Nexus Secure Transport の通信経路確立の基本的なコンセプトは以下になります。 ・ 全ての通信経路は、クライアント側からサーバに対して確立されます。
これは、一般的に「outbound initiated connections」と呼ばれます。
サーバからクライアントへのデータ送信は、Outbound connection によって確立された経路を利用して行わ れます。
この手順は、Firewall や NAT を越えて通信する際の一般的な手順です。
永続的な inbound 方向へのアクセス許可を必要としない上、不要なポートを空ける必要がないので、一般 的なセキュリティポリシと一致しています。
7.2.
ファイアウォール・ルール
・ Secure Transport サーバと Secure Transport クライアント間の通信経路は、非常に少ないポートに制限で きます、この通信のための FW/NAT ポリシーの追加は非常に少なくてすみます。
(H.323 や SIP などの通信は多くのポートを使用し、しかも使用するポートをランダムに決定するため、ファ イアウォールを間に設置し、適切なポリシーを設定する事は現実的には不可能です。)
全てのクライアント端末とサーバ間の H.323 / T.120 通信は、Secure Transport クライアントとサーバが中 継し、Secure Transport クライアント- サーバ間の通信経路のみを使用して通信されます。
・ Secure Transport は、公的にはユニークではない LAN 内のプライベート IP アドレスを持つ端末へのアクセ スを可能とするマッピングテーブルを保持しています。
このマッピングテーブルにより、H.323 用のアクセスアドレスは、各端末からは透過的に見えます。
7.2. ファイアウォール・ルール
7.2.1. 使用ポート及びプロトコル
Secure Transport サーバと Secure Transport クライアント間の通信に使用するポート/プロトコルは選択/設 定が出来ます。 ・ 制御用のチャネルは、TCP のみ使用可能で、使用ポート番号は任意に変更できます。 デフォルトでは、8081 番が使用されます。 ・ データ(映像・音声・データ)通信のチャネルは、TCP / UDP から選択でき、使用ポート番号も任意に変 更できます。 デフォルトでは、 TDP を使用した場合、TCP / 8081 を使用します。 UDP を使用した場合、UDP / 8081, 8082 を使用します。
7.2.2. デフォルト設定時のクライアント側ファイアウォール・ルール
以下の表は、クライアントからサーバへ接続するために必要なファイアウォール規則を説明しています。 TCP での接続(制御チャネル、データチャネル共に TCP)Protocol Source Port Source Address Destination Port Destination Address TCP 1024 – 65535 Client Address 8081 Server Address
