SC 翡 好評発売中 ! 実践セキュリティ ーー頼れるファイアウォールを作る 図 18 ポート・フォワーディングの言諚例 アドレス変換設定ーアドレス変換テーブルの追加 グルーブ 「 i 三新規ーーー 工アステーションの WAN P アドレスマ WAN 側Ⅲアドしス 0 N ー X 0 全て 0 ICK4P プロトコル ( WAN ( 、任意 TCP/UDP 宀ロ博出一 セキュリ - アイ プロトコル番 号 手設定 手動設定「市 5 ーー - ーー TCP/UDP 任意のポート : 任意の TCP ポート 任意のポート : 2 LAN 側Ⅲアドレス プロトコル (LAN 側 ) ルールを追加 ・白崎博生著 ・ A5 判、 288 ページ ・ ISBN 4-7561-4296-6 ・ 2 , 940 円 ( 税込み ) S ロー 本書は、日本でトップクラスのセキュリティ技術者 によるファイアウォールの構築・運用指南書であり、 ネットワーク・セキュリティの本質を理解するため の第一級の解説書でもある。本質が分かっていれば、 日常的に起こるさまざまな問題にも容易に対処でき る。これからファイアウォールを構築する人はもち ろん、運用に携わっている人にもぜひ一読をお勧め する。 ( 奈良先端科学技術大学院大学山口英 ) 【目次から】 1 章常時接続って何 ? 基本的な用語 / 現在の常時接続事情 / 常時接続は嬉し い ? / 常時接続時の危険性 2 章攻撃の手法 スキャン / TCP / 旧への攻撃 / アプリケーションへの攻撃 3 章ファイアウォールの基礎知識 セキュリティ対策は必要 ? / セキュリティ対策とポリシー / フ ァイアウォール / ファイアウォールを構成する要素 / ファイ アウォール構築のポイント / Script Kiddie 4 章ファイアウォールを作ろう ( ルータ編 ) 端末型接続と LAN 型接続 / プロトコル / RTA55i で作るフ ァイアウォール / フィルタリング機能 / フィルタ設定の操作 手順 / DMZ を作る / 攻撃検知機能 5 章ファイアウォールを作ろう (Linux 編 ) 端末型接続と LAN 型接続 / netf ⅱ te 「 / ne 廿ⅱ ter の仕組み / iptab 厄 s / ipchains との互換性 / フィルタリング・ルールの 設定 / アドレス変換の設定 / iptables の設定例 / ipchains/ipchains の設定例 6 章攻撃されたときの対処 セキュリティ動向を知る / 相談するところ / 連絡先アドレス の探し方 / 攻撃か事故かを冷静にみきわめる / 消さないで、 そのログ / 典型的な対応 / ケーススタディ / やってはいけ ないこと 株式会社アスキー 〒 1 02 ー 8584 東京都千代田区九段北ト ] 3-5 日本地所第一ビル 電話 ( 03 ) 6888 ー 5500 ( 営業局 ) しる 図 19 第各工ントリの言綻例 ルーティンクの追加 アドレス石イ應ーー 宛先アドレス サブネットマ 255.25512 & 0 スク グトウェイ 19216802 メトリック ルールを追加ー 閉しる 「おかしいなあ。登録したはすやのに、アクセスできひん と悩まないように、製品のマニュアルなどをよく読んでか ら作業にとりかかりましよう。 サーバーホストのバックアップ サーバーホストを運用していると、どんな方法でディス クのバックアップをとるのがいいのだろうかと煩悶するこ とになります。 大きなサーバーホストなら RAID 1 や RAID 5 などの 構成にし、 「 RAID は信頼性カ皜いから、バックアップはせんでもえ えやろ」 などと公言できますが、今回のようなノート PC では RAID は使えません 2 。 ディスクのバックアップは、処理中にファイルが書き換 えられないようにサーバープロセスを停止しておこなうの カましいのですが、そんな理想を追求していると、面倒 なオペレーションがさらに面倒になります。 2 そもそも、ほとんどの 2.5 インチのハードディスクは、 24 時間 ; 当蒲力が イ描正されていませんが・・ 41 UNIX MAGAZINE 2005 . 12

図 17 /etc/rc. d/rc. local を変更する 5 , 9 # want tO d0 the fu11 Sys V style touch /var/lock/subsys/local + sh /etc/rc . d/rc . firewall 書き換えたら、 # /etc/init . d/sshd restart としてサーバープロセスを再起動します。 init stuff . 以上の作業を Web サーバーホスト上でもおこないます。 そして、 web のコンテンツを用意し、以下のコマンドを実 行します。 # chkconfig ——level 345 httpd 0 # /etc/init . d/httpd start こまでの作業が終ったら、内部ネットワーク上のほか の端末からアクセスできるか、テストしてみましよう。 バーチャルマシンにアクセスするには、以下の経路を登 録する必要があります。 # route add -net 192.168.128.0 / 17 gw 192.168.0.2 ssh コマンドでログインできるか、 Web プラウザでペー ジが表示されるかといった点を確認します。もし、まった く反芯がなかったら、 Xen のドメイン 0 ゲスト OS 上で 以下のコマンドを実行し、再挑戦してみましよう。 # echo 1 > /proc/sys/net/ipv4/ip—forward それでもダメだったら、ドメイン U のゲスト OS の問 題かもしれません。 sshd や httpd が正しく起動されてい るかを確認してください。 ファイアウォールのセットアップ 末尾のリスト 1 に、前述の言妬 t 方釗・に沿って作成したフ イルタの設疋ファイルを示します。この内容のファイルを /etc/rc. d/rc. firewall として用意してください。 次に、 /etc/rc. d/rc. local を図 17 のように編集し、ド メイン 0 のゲスト OS の起動時にフィルタが登録されるよ うにします。 なお、フィルタを書くときは慎重なうえにも慎重を期し、 間違えたり途中で混乱して迷子にならないように、ゆっく りと落ち着いた気分で臨みましよう。くれぐれも急いては 40 いけません。 リスト 1 のファイルを作成したら、次のコマンドを実行 してフィルタを登録してみます。 # sh /etc/rc . d/rc . firewall そして、以下の点を確認します。 UNIX MAGAZINE 2005. 12 ルータによっては、再起動を必要とするものもあります。 もらったりして、最終的なアクセステストをおこないます。 スが使えるところに出かけたり、外部にいる人に手伝って できる状態になっているはすです。公衆無線 LAN サービ ルータの設疋が終ったら、インターネットからアクセス AirStation での定例を示します。 る機器のマニュアルを参照してください。図 18 ~ 19 に ルータの設定方法は製品ごとに違うので、使用してい ・ 192.168.128.0 / 17 を 192.168.0.2 へ そして、次のエントリを糸各テープルに追加します。 ・ TCP の 80 番を 192.168.128.2 へフォワード ・ TCP の 22 番を 192.168.129.2 へフォワード 2 つです。 登録するポート・フォワーディングのルールは、以下の ットワークへの糸登各も追加する必要があります。 サーバーに転送するように設疋します。さらに、 DMZ ネ 静的なルールを登録し、インターネットからのアクセスを プロードバンド・ルータにポート・フォワーディングの プロードバンド・ルータのセットアップ クセスに関する定です。 上記のテストがうまくいったら、いよいよ外部からのア ・両サーバー間のアクセスは拒否されるか。 るか。 ・両サーバーからインターネットへのアクセスは拒否され ・両サーバー上で DNS の名前解決はできるか。 否されるか。 ・ Web サーバーから内部ネットワークへのアクセスは拒 ・その他のホストへの SSH ログインは拒否されるか。 の SSH ログインは可能か。 ・ SSH サーバーから内部ネットワークの特定のホストへ 月皀カ % ・内部ネットワークからサーバーへの SSH ログインは可

そして、もう 1 回、システムを再起動します。 システムがプートしたら、ふたたび、、 xm list " コマンド を実行します。今回は、 2 つのバーチャルマシンが自動的 に起動していることカ認できるはすです。 # xm list Name ld Mem(MB) CPU State Time (s) Cons01e Domain—0 0 251 0 127 0 127 0 て一 ssh 1 2 54.4 5 . 0 9601 9602 SC 翡 好評発売中 ! Linux ブートプロセス みる Linux の フトプロセスをみる ドメイン U ゲスト OS のセットアップ 2 つのゲスト OS 上で、サーバーのセットアップをおこ ないます。 ールに接続して root ユーザーでログインします。 以下のコマンドを実行し、 SSH サーバーホストのコンソ # xm CO 取 sole SSh じめ、以下の設疋を . bash-profile に追加しておくとよい おくと、ⅵカ駛えないなど、いろいろと不便です。あらか ターミナルの種別をデフォルトの、、 linux " のままにして TERM=vt100 でしよう。 UNIX MAGAZINE 2005. 12 PermitRootLogin Ⅱ 0 ↓ #PermitR00tLogin yes ように書き換えます。 的によろしくないので、 /etc/ssh/sshd-config を以下の によるアクセスができてしまいます。これもセキュリティ デフォルトの言では、外部から root ユーザーで SSH # passwd sirasaki # useradd sirasaki のアカウントを作成します。 ザーでログインするのはよろしくないので、一ヨ殳ユーザー 今後、ネットワーク経由でアクセスするとき、 root ユー > done > chkconfig $i off > /etc/init . d/$i stop rpcidmapd smartd ; do cpuspeed irqbalance acpid nfslock rpcgssd - xinetd cups isdn pcmcia apmd mdmonitor = 〉 # for i in autofs gpm netfs sendmail portmap - まず、不要なプロセスを停止します。 白第博生 ~ ハードウェアの一 00U のメモリ響第 ・ 32 cpu の鋼第・第 . 第込みと鋼外 0 癶ーのレ 0 アクセス . PC / AT アーキテクチャ ′フロッビがらのプ 0 グラムのロード セットアップ・発チン . 圧物カーネルの - 駅山 0 32 ルーチン ・載ーⅢからカー事ルスレッドの生歳第で に面 - b 引 0 、 0 れ 20 ユーサプロセス / を b 朝の・第 ) カーネルテパッ対 ASCII ・白崎博生著 ・ B5 判、 204 ページ ・旧 BN4-7561-4451-9 ・ 2 , 940 円 ( 税込み ) Linux カーネルがプートする仕組みを、コ ードを見ながら詳細に解説する。 CPU の 構造から、 Linux のプートローダとカーネ ルの動作、 init プロセスの起動までの道筋 をみていく。カーネルの「敷居」を低く する一冊。 目次から ハードウェアの制御ー - CPU のメモリ管理 IA -32 CPCJ の保護機能、割込みと例外 CPU のレ O アクセス、 PC / AT アーキテクチャ フロッピーからのプログラムのロード セットアップ・ルーチン、圧縮カーネ丿レの展開 sta 「 tup_32 ルーチン sta 「 t_ke 「 nel() と setup_a 「 ch() t 「 ap_init() 、 init_ 旧 Q() 、 time_init() 、 mem_init() 「 est ー init ( ) からカーネルスレッドの生成まで 電話 ( 03 ) 6888 ー 5500 ( 営業局 ) 東京都千代田区九段北ト 1 3-5 日本地所第一ビル 〒 1 02 ー 8584 株式会社アスキー カーネルデバッガ ユーサープロセス / sbin / init の起動 init() と do_basic setup() 39