permit - みる会図書館

1. BSD magazine No.7 プログラミングをはじめよう! ; ファイアウォールを考える

表 5 ボリシー定義バケットフィルタと各 Se Ⅳ e 「 / Rooute 「に設定するアクセス管理、およびバケットフィルタによって残された記録の監視程度の労力何を守るのか ? 誰から守るのか ? どのような方法で守るのか ? どのくらいの期間守るのか ? どのくらいの労力で守るのか ? バケットフィルタポリシー図 5 のネットワークにおける、 Router および Server 、各機器が提供するサービス。ただし、 te 「 min 引が接続されているネットワークは、必要最小それぞれのサービスを提供している間バケットフィルタ。基本的に default deny po ⅱ cy で守る。ネットワークへの不正侵入者限の保護しか行わず、 te 「 min 引の管理者に任せる。・ lnterface ISP-R any any N et-A Net- B any any any any any any any any any any any any any source ℃ MP 旧灯 C P any any IP/TCP IP/UDP IP/TCP IP/UDP IP/TCP IP/UDP 旧灯 C P any any any any IP/U D P any Protocol ・ lnterface Net-A-R source any any Net-B N et-A-a Net-A-a Net-A-b Net-A-b Net-A Net-A-R any pany any Net-A Net-A any Protocol ℃ MP 旧灯 C P any IP/U D P IP/U D P IP/U D P 旧灯 C P any any any any any any IP/U D P any ・ lnterface Net-B-R source P 「 0t0C0 ー any any any any any any any any any any any any any any any any src po src po any any HTTP domain domain any any any any any any any any any any any any any any any any any any src po dest any any any any Net-A-a Net-A-a Net-A-a N et-A-a Net-A-b Net-A-b Net-A-b Net-A-R Net-B-R ISP-R N et-B N et-B any dest any any any any any any any Net-A- R Net-A N et-A- R N et-B- R ISP-R Net-B N et-B any d est any any any Net-A-b Net-A Net-A- R Net-B-R ISP-R any any dest po any any any HTTP HTTP domain domain domain domain smtp any any any 6000-6063 any any any any any smtp any any any any any dest po any く 1023 6000-6063 any any any any any ssh pop3 any any dest po 杙 any 023 FIag Estab Estab FIag Estab FIag any any Net- B Net- B Net- B any any any Net-B any 110 ℃ MP 旧灯 C P any IP/TCP IP/TCP any any any any any policy permit permit deny deny permit permit permit permit permit permit permit deny deny deny deny perm it deny policy perm it perm it deny perm it permit permit permit permit permit deny deny deny deny permit deny policy pe rm it pe rm it deny permit perm it deny deny deny permit deny memo ℃ MP はすべて通す TCP で通信か確立 (Establish) している場合のすべての TCP 通信は許可旧 P 側から Net - B が送り元のバケットが来るはずがない旧 P 側から Net - A が送り元のノヾケットが来るはずがないーとの DNS 関係の通信はすべて許可 name サーバーとの DNS 関係の通信はすべて許可 h 叩 ( Web ) サーバーとの h 叩での通信はすべて許可 name サー/ ヾ ℃ MP はすべて通す memo Net-A 以外のネットワークと Route 「との通信は不可 smtp サーバーの smtp ポートへのアクセスはすべて許可必要に応じて記録をメールによって残す以上で許可されたもの以外のすべての通信は禁止。特権ポート以外のポートへの UDP によるアクセスは許可 Net-B への X Window System で利用する可能性のあるポートへのアクセスは禁止 TCP で通信が確立 (Establish) している場合のすべての TCP 通信は許可 MP はすべて通す memo 必要に応じて記録をメールによって残す以上で許可されたもの以外のすべての通信は禁止。特権ポート以外のポートへの UDP によるアクセスは許可 Net-B への X Window Sys m で利用する可能性のあるポートへのアクセスは禁止 Net-A 以外のネットワークと Route 「との通信は不可 Route 「と Net - A の間のすべての通信は許可 smtp ポートを利用した外部とのすべての通信は許可 Net - A 側から Net - B が送り元のバケットが来るはずがない必要に応じて記録をメールによって残す以上で許可されたもの以外のすべての通信は禁止。端末がつながっているセグメント (Net-B) からのすべての通信は許可 Net-A 以外のネットワークと Router との通信は不可 Net-B からの ssh ポートを利用した通信は許可 Net-B からの pop3 ポートを利用した通信は許可 Net-B 側から Net - A が送り元のバケットが来るはずがない TCP で通信か確立 (Establish) している場合のすべての TCP 通信は許可 BSD magazine 2001 NO. 7

2. BSD magazine No.7 プログラミングをはじめよう! ; ファイアウォールを考える

2 アイアウォりレを考える・ヘッダに格納されている情報以外の情報を元にした制御は行えないことである。情報通信を行う場合、やり取りされる情報は通常バケット単位に分割されることを考えると、バケットの情報からだけでは、情報全体を利用した制御が不可能であるのは当然であろう。そろそろバケットフィルタの挙動を例を挙げながら説明しよう。図 4 におけるネットワークにおいて、 packet FiIter は Host-A/B から Host-Z に対するアクセスの制御を行うと仮定する。たとえば、 Host-A と Host-Z の通信はすべて許可し、 Host-B と Host-Z の通信はすべて却下するというポリシーを packet FiIter に記載する場合を考えてみ 0 前節で述べたように、 TCP/IP での通信は基本的に・ IP アドレスの組み合わせ・ TCP/UDP の場合、ポート番号の組み合わせで制御されている。したがって、今回のポリシーをバケットフィルタ (packet Fi1ter) に定義する場合、表 1 のような表を作成すればいいということになる。こで、バケットフィルタに通信の方向毎にポリシーを定義しなければならないことに十分に注意してほしい。一般に、 Host-A から Host-z に向かって通信する場合と H 。 st - z から H 。 st - A に向かって通信する場合では、意味が異なる場合が多いので、このように通信の方向毎にポリシーを設定する必要がある。では、通信方向によってポリシーを変えなければならない場合の例を挙げてみよう。 2001 No. 7 Host-A は web サーバーであり、 Host- B は p 叩 server であるとする。 H 。 st - Z は攻撃から守られなければならないので、 Host-A からの http バケットと Host - B からの p 叩バケット以外は Host-z に届かないようにしたいという状況だと仮定する。そのような場合のポリシー表は表 2 のようになる。このようなポリシーを作成すると、 Host-Z からバケットフィルタを通り Host-A 、 B にバケットを送ることは可能となるが、 Host-A からは http 以外のバケットおよび、 Host - B からは pop3 以外のバケットは通らなくなる。なおこの例では、ホストを単位にポリシーを決定したが、もちろん、ネットワークやサプネットワークを基本単位としてポリシーを記載することもできる。このようなポリシーをどのように設定するかに関しては、利用するツールによって異なる。利用する場合には、それぞれのマニュアルを参照していただきたい。バケットフィルタは、通常インターフェイス単位で設定する。たとえばイーサネットインターフェイスだったりシリアルインターフェイスだったり、トンネルインターフェイスだったりすこまで見てきたポリシーの設定る。にインターフェイスの概念を加えることにしよう。表 3 のようにインターフェイス毎に設定をすることで、通信の方向の見通しが良くなったり、各インターフェイス表 1 ホリシー例 1 送り元ホスト Host-A/lP-A Host-Z/lP-Z Host-B/lP-B Host-Z/lP-Z 送り元ホスト Host-A/lP-A Host-A/lP-A Host-A/lP-A Host-Z/lP-Z Host-B/lP-B Host-B/lP-B Host-B/lP-B Host-Z/lP-Z 送り元ホスト・旧 - a 側のインターフェイス設定 Host-A/lP-A Host-A/lP-A Host-A/lP-A Host-B/lP- B Host-B/lP-B Host-B/lP-B ・旧 - b 側のインターフェイス設定 Host-Z/lP-Z Host-Z/lP-Z 送り元ホスト表 2 ホリシー例 2 ( 通信の方向が重要になる例 ) Host-B/lP-B Host-Z/lP-Z Host-A/lP-A Hos ト乙旧 - Z 宛先ホストプロトコル IP/TCP IP/UDP any any 旧灯 C P IP/U D P any any 送り元ポート http http any any pop3 pop3 any any 表 3 ボリシー例 2 ( インターフェイスの概念を加える ) プロトコル旧灯 C P IP/UDP any 旧灯 C P IP/UDP any プロトコル any any 送り元ポート http http any pop3 pop3 any 送り元ポート any any ポリシー permit ( 許可 ) permit ( 許可 ) deny ( 却下 ) deny ( 却下 ) 宛先ホスト Host-Z/lP-Z Host-Z/lP-Z Host-Z/lP-Z H ost-A/lP-A Host-Z/lP-Z H ost-Z/lP-Z Host-Z/lP-Z Host-B/lP-B Host-B/lP-B Host-A/lP-A 宛先ホスト H ost-Z/lP-Z H ost-Z/lP-Z H ost-Z/ IP-Z Host-Z/lP-Z H ost-Z/lP-Z Host-Z/lP-Z 宛先ホスト宛先ポート any any any any any any any any 宛先ポート any any any any any any 宛先ポート any any ポリシー permit permit deny permit permit permit deny permit ポリシー permit permit deny permit permit deny ポリシー permit permit BSD magazine 107

3. BSD magazine No.7 プログラミングをはじめよう! ; ファイアウォールを考える

黻 2 アイアウォりレを考える・クライアントは、最終決定した方式での認証情報を含むリクエストを送信ユーザー認証機能を用いるには、サーノヾーの設定ファイル (socks5. conf) の auth 行でユーザー認証方式を指定し、さらに permit 行でそれぞれのルール毎の認証方式を決定する。リスト 3 に示す例では次のような処理が行われる。・ GSS-API に対応する SOCKS5 クライアントは GSS ー A 円での認証を行う・ GSS-API に対応しない SOCKS5 クラ , u , k イアントは、ユーザー名 / パスワード・ SOCKS4 クライアントは認証を行わないユーサー名 / バスワードサーバー側では、デフォルトで / etc / s 。 cks5. passwd に記述したユーザー情報を元に認証を行う。 socks5. passwd には、ユーザー名とパスワードを空白で区切って記述する。 permit u —b,user—c 192. 168.2. USer user—a user—b user—c secret—a secret—b secret—c もし、特定のユーザーのみに限定しト部にユーザー名をコンマで区切ってたい場合は、 permit 行のユーザーリスでの認証を行うマリスト 3 ユーザー認証 auth Ⅱ permit n,u,k ライアント 192. 168.2. 指定する。 SOCKS NS サーバー SOCKS での接続 (TCP) クライアント SOCKS 間の UDP ボート番号の交渉 (TCP) DNS のリクエスト (UDP) 図 2 UDP の中継 ( DNS リクエストの例 ) SOCKS の終了 (TCP) DNS のレスポンス (UDP) DNS 要求処理 (UDP) クライアント側では、ユーザー名とパスワードを環境変数に指定しておく。 % setenv SOCKS5—USER user—a % setenv SOCKS5—PASSWD secret—a GSS-API GS s -API 方式の認証を行うには、 SOCKS サーバークライアント共に GSS - API に対応させる必要がある。アプリケーションの例として、 SOCKS5 附属の rtelnet/rftp を利用するには以下のような手順を踏む。 Kerberos 環境・ SOCKS サーバー、クライアント共に Kerberos の環境を整える・ SOCKS サービス用のプリンシバルを K e r b e r 0 s データベースへ登録 ( SOCKS が使用するサービスプリンシバル名は lib / gss. c で変更できる。デフォルトは rcmd) SOCKS サーバー側・ SOCKS を configuure --with-krb5 でコンパイル後、インストール ( コンパイル過程の途中でつますくかもしれないが、手作業で修正するのも、それほど難しくないはずだ ) ・ SOCKS サーバー設定ファイルに記述 permit k ー 192 . 168.2. クライアント側・サーバー側と同様に SOCKS のクライアント環境をコンパイル、インスト・ kinit コマンドで信任状を取得 beros 環境へのログイン ) 2001 No. 7 BSD magazine (Ker 137

4. BSD magazine No.7 プログラミングをはじめよう! ; ファイアウォールを考える

2 アイアウォりレを考える・サーバー環境 % make server # make server . 1nsta11 ・クライアント環境 % make clients # make clients . install ・ライプラリ環境 ( クライアント側はインストールしておいたほうがよい ) ( スタティックリンクライブラリ ) % make 1ib # make 1ib . install ( 共有ライプラリ ) % make shlib # make shlib . install SOCKS サーバーの設定設定ファイル SOCKS サーバーの設定は /etc/socks5. conf で行う。リスト 1 は、内部ネットワークからインターネットへの接続を行うための設定例である。図 1 のようなネットワークでは、この設定をベースとして、各サイトの環境に合わせてルールを適用してゆくことになる。インターフェイス複数のネットワークとの接続を持っ場合は interface 行で、ネットワークがどのインターフェイスの先にあるかを設定する。 interface に続いて、ホスト / ネットワークアドレス、ポート番号、インターフェイスアドレスの順で指定する。リスト 1 では、 192.168.2.0 / 24 、 192.168.3.0 / 24 は内部ネットワークとし、その他のネットワークは、インターネット側に存在することを指定している。アクセスコントロールアクセスコントロールは permit/deny 行で行う。デフォルトでは、すべての中継は禁止されており、許可したいルールを permit 行で指定する。明示的に禁止したいルールは deny 行で指定する。 permit/deny に続いて、条件となる 7 つの項目を指定する。・コマンド ( 通信の種類 ) k: GSS-API u: ユーザー名とパスワードによる n : 認証なし・認証方法 t: traceroute p: P1ng u : UDP b: bind C : connect ・始点アドレス [ 1 , 1024 ] : 1 ~ 1024 サービス名またはポート番号・始点ポート始点アドレスと同じ点アドレス client. example.jp: ホストそのものレス 192.168. : 192.168. で始まる IP アド 192.168.12. Ⅳ 255.255.255.0 : ネットべて . example ・ jp: example.jp ドメインす ( 1024-6000 ) : 1025 ~ 5999 始点ポートと同じ・終点ポートマリスト 1 socks5. conf ・ユーザーリストユーザー名 - " はすべてにマッチすることを意味する。また設定は上から順に読まれ、最初にマッチしたものが有効となる点に注意する。 SOCKS サーバーの起動 Iibsocks5. conf で行うか、または環境変 SOCKS クライアントの設定は / etc / SOCKS クライ、とトの設定 set SOCKS5_BINDINTFC 192.168.2.1 ( 設定ファイル ) socks5 —b 192 .168.2. 1 ( コマンドライン ) もしくは設定ファイル内で設定する。には、コマンドラインで指定するか、トワークインターフェイスを限定するまた、 SOCKS のために割り当てるネッのユーザーで起動するなど調整を行う。セキュリティを高めるには、 root 以外 TCP の 1080 番で待機状態となる。よりサーバーが起動すると、標準ではらは単純に実行するだけである。インストールされ、コマンドラインかきる。標準では /usr/local/bin/socks5 にト ) と inetd 経由で動作させることがで受け持つ。デーモンモード ( デフォル SOCKS サーバーは socks5 コマンドが auth interface interface interface permit permit 192.168.2. 192.168.3. 192 .168.2. 192.168.3. 192.168.2. 1 192. 168.2. 1 a. b . c . d 2001 No. 7 BSD magazine 135

5. BSD magazine No.7 プログラミングをはじめよう! ; ファイアウォールを考える

マリスト 4 socksl の socks5. conf # 192.168.1 / 24 は内部のネットワーク interface 192. 168.1. 192. 168. 1 . 1 # その他のネットワークはインターネット側に存在する 111 . 111. 111 . 111 2 2 2 . 2 2 2 . 2 2 2 . 2 2 2 ・インストールされた rtelnet/rftp.. ンドで通常通りの操作を行う soqKs 間の接続 ; ーコマ interface 111. 111. 111. 111 # 192.168.2.0 / 24 への通信は socks2 を中継 socks5 192.168.2. 222.222.222.222 # その他のネットワークとは直接通信するマリスト 5 permit permit # socks2 noproxy socks2 の socks5. conf 192. 168. 1 . # 内部ネットワークからの通信は許可ー 222.222.222.222 からの通信は許可 # その他のネットワークはインターネット側に存在する interface 192.168.2. 192. 168.2.1 # 192 . 168.2 / 24 は内部のネットワーク interface ー 222 .222.222.222 # 192.168.1.0 / 24 への通信は socksl を中継 socks5 192. 168. 1 . 111 . 111 . 111 . 111 # その他のネットワークとは直接通信する permit permit # socksl noproxy SOCKS2 ネットワーク SOCKS 1 192. 168 . 2 . # 内部ネットワークからの通信は許可 111 . 111 . 111 . 111 からの通信は許可 192 . 168.2 . 1 192 . 168. 1 . 1 図 3 SOCKS 問の接続 192 . 168 . 1 . 0 / 24 192 .168.2.0 / 24 企業や学校などで組織が地理的に分散しており、それぞれ個別にインターネットとの接続を行っている場合には、 SOCKS を用いて組織のネットワーク同士を相互に接続できる ( 図 3 、リスト 4 、 5 ) 。 socks5/noproxy 行には、宛先ホスト / アドレス、宛先ポート番号、接続先の SOCKS サーバーを順に指定する。なお、 SOCKS 間の通信路は平文のままなので、お互いでやりとりする情報には十分に注意を払う必要がある。クライアントとして Windows を利用する場合は、 runsocks と同じような機能を提供する s 。 ckscap を利用できる。 SOCKS5 サーバーと同様に、米国 NEC のサイトから入手できる。ー、おわ当ー : イせて実装を選択するとよいであろう。導入するサイトの目的や事情にあわライセンスで配布している。うソフトウェアがあり、 BSD と同様な Dante (http://www.inet.no/dante/) といその他の SOCKS5 の実装としては s 。 cks64- * ) からパッチを入手できる。 Proj ect(ftp ://ftp.kame.net/pub/kame/mi sc/ ぞれ、米国 NEC のサイトと KAME 士通研究所の 2 つの実装があり、それレータとしても利用できる。 NEC と富 NEC 版の SOCKS5 は IPv6-IPv4 トランス NEC 版の SOCKS5 を取り扱った。米国以上、よく知られた実装として米国 138 BSD magazine 2001 NO. 7

6. BSD magazine No.7 プログラミングをはじめよう! ; ファイアウォールを考える

要」なのかということが判断できなくなってしまう。これでは結局「今セキュリティが保持されているのか」判断できていないのと同じことであろう。さて、セキュリティに関する一般的な話はここまでにして、そろそろネットワークにおけるセキュリティのほうに話を移すことにする。一般にネットワークセキュリティ手法と言われているものは、基本的にはアクセス制御が圧倒的に多い。つまり、・許可された人にはアクセスを許す・そうでない場合、アクセスさせないようなポリシー ( と手法 ) を採用した許可されていないサービスはアクセスを拒絶する・そうでないすべてのサービスにアクネットワ 1 ク↓こお町やすキ ) ティ。セスを許可するようなポリシー ( と手法 ) を採用したりする。前者を default deny policy 、後者を default permit policy と言ったりするが、これらはバケットフィルタで実現させる場合が多い。この、バケットフィルタとはなんぞや ? ということを書く前にノヾケットフィルタを行うための基本概念である、「 TCP / IP における通信モデル」の話をすることにしよう。 TCP / IP の通信の基本は、通信モデルが End-To-End であることである。言い替えると、常に 1 対 1 の通信が成立することが TCP / IP の原則である。現在最も利用されている http ( web などで使われる通信プロトコル ( 手順 ) ) や smtp ( メールの受配送に使われる通信プロトコル ) などが、この 1 対 1 の通信モデルを利用している。これに対し、近年利用者が増えてきている Multicast などは 1 対多のモデルで TCP / 旧におけを、導信モデル。あると言える。以下では、 TCP 、 UDP を基にして説明することにする。図 1 と図 2 は 1 対 1 の通信モデルの例と 1 対多の通信モデルの例である。実際には、さらにこれらの状況が複雑に絡み合っている。図 3 において、たとえば、 CIient-1 、 2 、 3 は Radio サーバーから Multicast でラジオを受信している。また、同時に Client-1 は http server を利用して web をみており、 Client-3 は smtp サーバーを利用して Ma ⅱを送っているとする。 TCP/IP では、これらがすべて同時に起こっても通信が混乱したりすることはない。これは、各 Server/CIient には IP アドレスが割り振られ、どのホストとどのホストが通信しているのかが管理できるからであり、さらに複数の通信を行う際に、ポートという情報の出入口を利用しているからである。今回の図 3 の例では、・ Radi 。サーバーに割り当てられた IP アドレスのラジオ配送ポートから Server—A Server—B Network server-A と C1ient-A とは smtp で通信している Server-B と C1ient-B とは http で通信している C1ient—B 図 1 1 対 1 通信モデル C1ient—A 自分と関係無い通信は聞こえない。それぞれの通信は完全に独立しており、 104 BSD magazine 2001 NO. 7