ネットワーク - みる会図書館

1. UNIX MAGAZINE 1998年3月号

今月は、前回示したセキュリティ・ポリシーに従って、ては、できるかぎり抽幻勺に主しておく」と説明しまし FWTK ファイアウォールの、、セキュリティ・プラン " をたが、セキュリティ・プランではホストやプログラムなど作成します。そして、 FWTK の設定と重川御裔忍をおこなの具イ勺な名称をどんどん書きます。そのセキュリティ・うための工竟を作り、プログラムを起動してみます。いやプランに従ってイ 1 璞を進めれは、誰が作っても同しファイあ、どきどきしますね ( せーへん、せーへん ) 。アウォールができるくらい日寉に書きます。以降では、 FWTK を用いたファイアウォールのセキュ - セキュリティ・プランリティ・プランの例を紹介します。いよいよファイアウォールを本翻勺に構築していくわけどこに設置するかですが、その前に、もうすこし考えなければならないこと誰の机の上に置こうとか、どのラックに入れようとかがあります。いうことではありません。ネットワーク的な位置のことで「前回、考えすぎて、もう頭がヘろへろやがな」す。まあまあ、そう言わすに。もうすこしだけ・・ます、ホスト名やサーバー名を列挙し、ファイアウォーます、ネットワークとファイアウォールの完成予想図ルで、、守るもの " と、、守らないもの " を明確に区別します。を描きます。そして、その完成予想図が本来の目的を寒見言 t 算機は、ファイアウォールの内部ネットワークに接続すするために適しているか、かっセキュリティ・ポリシーにるグループと、外部ネットワークに接続するグループに分沿ったものかを詔面しましよう。この竹喋を怠ると、効果か 2 つのネットワークカそきるはすです。そして、そ的なファイアウォールか構築できない ( 穴のあるファイアの 2 つのネットワークに FWTK のファイアウォール・ウォールを作ってしまう ) 可能性があります。次に、現在ホストを接続します。のネットワークの状態を正確に把握し、ファイアウォーこでは、次の 2 つの点に注意してください。ルの完成にいたるまでの作業引 1 画を立てます。これを怠ると、時間や労力を馮置いしてしまうかもしれません。 1. 組織内のユーサーにサーピスを提供するサーバーと外部作りながら、、ここはこうしたらええんかな " などと考えのユーサーにサービスを提供するサーバーは、同一の計たり、、、やつばり、ああしとかなあかんのやろか・算機十で運 . 用すべきではありません。このような運用形迷いながら作っていると、たいして効果のないファイア態はたいへん危険です。内部サービス用のサーバーは内ウォールを作ってしまったり、竹喋の効率か落ちてしま部ネットワークに接続する計算機上で、外部サーピス用います。ーは外部ネットワークに接続する計算機上 . で、のサーノヾこのようなことを防ぐために、セキュリティ・プランというように別々に運用します。たとえば、個人の机 ( ファイアウォールの構築引測 ) を作ります。前回とりあの上にある日常作業用の言 t 算機で Web サーバーを運げたセキュリティ・ポリシーでは、「ホスト名などについ用し、これを組織外に公開しているような場合は、このファイアウォールの作り方白崎博生 17 UNIX MAGAZINE 1998.3

2. UNIX MAGAZINE 1998年3月号

連載 UNIX Communication Notes ・管理竹喫に伺髄するイ 1 璞 ( 竹業報告など ) にはどのようなものがあるか誰が作成するか管理ポリシーは、基本的にネットワーク環竟に関連のあるすべての人が受け容れられるものでなくてはならない。したがって、その作成にあたっては、さまざまな立場の人びとの協力を得るべきである。たとえは、ネットワーク管理者の都合だけを優先して、「サーバーの管理作業は毎週月曜日の午前中におこなう」と決めたとしても、毎週月曜日にサーバーが使えないのでは、ユーザーから不の声が上がるのは必至である。「管理竹璞に必喫な機材は速やかに購入する」というポリシーを決めても、予算の決定、執行に責任をもつ管理耳祠意しなければ、とうてい実現できない。したがって、さきほども述べたように、すくなくともューサーとネットワーク管理者、管工叫哉といった立場の人たちが協力して作成すべきであろう。里ポリシーの書き方ネットワーク竟の規模、構成や、組織によっていろいろな書き方があるだろう。管理ポリシーの書き方には、・・でなけれはならない " というルールはない。ただし、以下に述べるようにいくつかの点に注意する必喫がある。 1. 書けることから書く最初から完璧なものを作ろうとしても、なかなか思いどおりには書けないものである。管理するネットワークの莫が大きければ大きいほど、検詞すべき項目は多くなるので、なおさらである。それに、完璧さを目孑尉 - あまり、いつまで経っても管理ポリシーができないのでは本未転倒であろう。誰もカ断等できる必要なことから順次言当していけは、竹喋もスムースに進むはすである。とりあえす全体を書き上げて、多くの人たちの意見を参考にしながら、必要に応して追加したり、削除したりするのがいいだろう。このような段階的な手順を踏めば、管理ポリシーの質を上げることかでき、同時に多くの人たちの意見を央することもできる。 14 2. システムやネットワークの構成か変化しても、できるかぎり変更が少ないような言当主を心掛けるたとえば、システム構成を示す具一勺な製品名やソフトウェアのバージョン、管理者の名前などを書き入れてしまうと、なんらかの変更が生しるたびに書き換えなけれはならなくなる。管理ポリシーは、いかなる立場であれ、ネットワークエ竟にかかわるすべての人にとって、管理に関する考え方の本罇余をなすものである。したがって、ネットワーク環竟にかかわりのあるすべての人に正しく理解されるようにしなけれはならない。しかし、管理ポリシーか頻繁に変更されるようではなかなか理解は得られないだろう。したがって、システム、ネットワーク、ソフトウェアなどか変史されても、管理ポリシーの書換えが少なくてすむ記にすべきである。かといって、書換え箇所が少なくなるようにと、あまりに抽象的に言当すると、わけの分からない莫早なものになってしまうので、適度の具体性も必要である。 3. 将来の変更も視野に入れるといった管理ポリシーを掲げることは理にかなっていしないこと」「各ューザーは、作成したファイルをできるかぎり放置用するワークステーションについて、ることも必要になる。たとえば、大学の研究室て共同利ときには、管理ポリシーにユーザーの努力目標を言己す 4. 実現 - 可能なことを言当主するるおそれがある。れなかったり、主内容があまりに古くて役立たなくなある。変更しにくくすると、現実の竟との整合性がとえて、管理ポリシーを変更できるようにしておくべきでシーも書き換えなけれはならない。このような事態に備ムやネットワークが大きく変わった場合は、管理ポリしないように努力したとしても、管理対象であるシステは作るべきではない。たとえば、できるかぎり変更が生いったん決めたら、二度と変えられないようなルールステーションはほとんど使われなくなってしまう。努というような極端なポリシーを設定すると、そのワーク「各ューサーは、ファイルを作成してはならない」る。しかし、 UNIX MAGAZINE 1998.3

3. UNIX MAGAZINE 1998年3月号

画像や音声情報などのマルチメディアがネットワーク上でやり取りされるようになったため、ネットワーク上のトラフィックは飛躍的に増大し、高速ネットワークの必要性は高まるばかりです。増大・複雑化するトラフィックに対応するための様々なソリューションが登場して ■高速ネットワークに対応するソリューションいます ATM ネットワークカードには 622bps の製品も登場 ATM(AsynchronousTransferMode) の技術はもともと WAN ideA 「 ea Net work 、広士同 ) においてマルチメティアサーヒスを提供する B - ISDN ( B 「 0 a s b a n d a s p e c t s 0 f ー SDN 、広帯域 S D N) サービスを実現するためロ T U - T で標準化されました。これを企業やキャンパスネットワークの L A N ( Local A 「 e a N e t w 0 r k ) で利用するために T h e A T M Fo 「 u m で T M L A N の規格の標準化か進められています。 T h e ATM Foru m カ琺見定しているインターフェースには通信事業者が提供する公衆網の A T M スイッチとユーザの A T M スイッチを相互接続するバブリック U N Ⅱ P ubli c Use 「 - N e t w 0 「 k t e 「 f a c e ) や AT M スイッチと AT M ポードを内蔵したコンビュータを相互接続するためのプライベート U N Ⅱ P r i v a t e Ca 第① U se r - t'&t w 0 「 k t e r f a c e ) 、 ATM インターフェースを持たないルータなどの装置を ATM - LAN と接続するための ATM - D X Ⅱ A T M D a t a e X c h a n g e ー n t e 「 f a c e ) などがあります。このうちプライベート U N ーの伝送速度は 2 5 M b p s 、 5 2 M b p s 、 1 0 0 M b p s 1 5 6 M b p s 、 6 2 2 M b p s となっています。 AT M ネットワークと既存の L A N を接続するために規定しているのカエ A N 工ミュレーション ( LLANE) と一 P over ATM です。 LAN 工ミュレーションは MAC アドレスを A T M アドレスに変換する方式です P overATM'tl P を ATM ネットワークで扱えるように一 P バケットを ATM セルに一 P アドレスを AT M アドレスに変換する方式です。 A T M - L A N は高速バックポーンを構築するソリューションの一つです。コンピュータに内蔵する ATM ネットワークカード ( N ー C ) は現在は 1 5 5 M b p s の製品が主流ですが 62 2 M b p s の製品も登場しています。朝れ 3. Copyr«htCANON コ 996-1 的 7 AII Rghts R ・当物・′ ed. カルにできるなど豊富な機能を持つ。 PX 、 Appl eTa ー k などの設定が PC 上でグラフィ紙切れやトナーの容量不足、 TCP/I P 、一 PX/S 管理やプリンタ管理を統一的にマネージメント。用されているすべてのプリンタに対してネットワーク従来の双方向通信とは異なり、ネットワークに接続ネットワークプリンタのマネージメントソフト。 ■キヤノン販売 NetSpot を NetSpot ー管理者モードテシゞイス ( 0 ) 表示 ) 設定 ) ヘルア但 ) 6 個のテ。イス L ー 930 NetHawk W—LS k F—LS EO . SEONet Mt 〕〔に L605 工 VI .51 ( 6050 ) LBP—740 、 - に CT C ー 550 〕刊正 - F L 日 P -7 託ー弋 H ョ F—LS 同ロ

4. UNIX MAGAZINE 1998年3月号

ーレのハードウェア障害への対応り Telnet 、 rlog ⅲ、 FTP などのプロキシー・サービスをューサーごとに制限する場合は、 FWTK のプロキシーサーバーに接続したときにユーサー認証をおこなうように設定します。つまり、 FWTK のアカウントはプロキシーサービスの利用を許可するユーサーに与えます。ただし、計算機やネットワークを単位としてユーザー認証を省略することもできます。たとえば、ファイアウォール内部の計算機から外部の言算櫞、は誰でも TeInet できるが、外部から内部へは FWTK のアカウントをもつューザーしかできないといった設定が可能です。こでは、アクセスポリシー ( 2 月号 53 ページ参照 ) に従ってアカウントを発行するユーサーをリストアップし、それぞれのログイン名とアカウントの不頁を決めます。アカウントの発行は厳しく制限すべきです。正当な理由をもつューザーに対してのみ発行し、そのアカウントには必要最小限の権限を与えます。さらに、アカウントの発行状況 ( 現在、誰がアカウントをもっているか ) をつねに把握しておかねばなりません。 UNIX のアカウントと FWTK のアカウントの違いを正しく理解し、日用寉に区別して発行してください。そして、イ腰になったアカウントは速やかに削除します。意 1 アカウントを 1 つ発行するごとに、セキュリティ・ホールも 1 つ増えると考えるべきです。いくら万全と思われるセキュリティ対策を施しても、推測しやすいパスワードを設定するといったユーサーの不注意によって侵入される危険性は無見できません。 1 つのアカウントが 1 つの不注意に、 1 つの主意が 1 つのセキュリティ・ホールにつながる、と肝に銘しておきましよう。 FWTK のアカウントは、プロキシー・サーバーの利用を許可したユーサーに対して発行します。このときのユーサー認証のガ去は、認証ポリシー ( 2 月号 54 ページ参照 ) に従って決定します。そして、 FWTK のアカウントをもっューザーには、ネットワーク上での盜聴の危険性を寸分に理解してもらいましよう。 UNIX のアカウントは、ファイアウォールを管理するューサーに対して発行します。このときのユーサー認証のガ去も認証ポリシーに従って決定します。 UNIX のアカウントの発行はとくに厳しく制限すべきであり、 FWTK ( び青通したユーザーだけに限定したはうがいいでしよう。 UNIX MAGAZINE 1998.3 ファイアウォールのサーピス停止は、困った事態を惹き起こします。ファイアウォールの内部ネットワークが、外部のネットワークから遮断されてしまうのです。「ネットワークカ砌れたら、侵入者は入ってこれへんし、これでセキュリティは元璧や」間違っても、そんな言い逃れをしてはいけません。袋叩きに遭います。そこで、可能なかぎり矢可間て復旧できるように、交換用部品を備えたり、ハードディスクのバックアップをとるスケジュールなどを決めておきます。もちろん、スケジュールに沿って実行することが大切なのはいうまでもありません。電子メールの中継ファイアウォールの内部から外部へあるいはその逆に外部から内部へのメール中継を許可する場合は、 FWTK の smap と smapd を利用します ( これらのプログラムについては、いすれ説明します ) 。外部から内部の計算機へのメールは、すべてファイアウォール・ホストに酉己医するように設定します。これは、 DNS の MX レコードや系目系哉のメールサーノヾーの成疋ファイル (sendmail.cf など ) を適切に設定することで実現できます。このとき、系騰哉のネットワーク管理者に変更許可をもらうのはもちろん、変更予定日も正しく伝えておきましよう。次に、ファイアウォール内部のユーザーのメールをスプールするためのメールスプール・サーバーを構築します。サーバーにする計算機を選び、メールのスプールサーピスを提供するための設定をおこないます。ファイアウォールの内部から外部へのメール中継は許可するが、外部から内部へのメール中継は許可しない場合、内部のユーサーがメールを読む手段を提供する手だてを考えなけれはなりません。これには、次のようなガ去があります。・ファイアウォール内部から外部のメールサーバーに対して POP でアクセスする。・ファイアウォール外部のメールサーバーにログインする。 19

5. UNIX MAGAZINE 1998年3月号

連載 UNIX Communication Notes— 1 1 7 つまり、今日のネットワーク管理者は、以下のような業務をおこなうことを求められている。・ UNIX マシンからノヾーソナル・コンピュータまで、多様なシステムを管理対象とする。・急増する管理豫の機器を把屋し、十分な管理をおこなわなけれはならない。・ネットワーク環境を前提とした業務か増えたため、ネットワークを安定的かっ安全に運用しなければならない。・ネットワーク・ユーサーか技ヤ勺な知識を有することを前提とした管理はできない。これは、前述のようにコンヒュータやネットワーク技術に疎いユーサーが急増しているからである。このような状況の変化にともない、ネットワーク管理者カリ用する技術も大きく変わり始めている。そこで、今回から数回にわたり、ネットワーク管理に関するツールや手ネットワーク管理とは法を紹介していく。さらに、ネットワーク管理にともなうイ 1 璞を、次の 5 つに、ネットワークの状態を糸財寺する作業」「接続されているシステムカ財は圧に円滑に通信できるようワーク管理の定義が一化した。準化か積極的に進めらその過程で次のようなネット 1980 年 ( 鷺変半からは、ネットワーク管理プロトコルの標理についてさまざまなアイデアを提案してきた。とくにこれまでに、多くの研究者・技術者がネットワーク管従来のネットワーク管理ます、ネットワーク管理とは何かを考えてみよう。のカテゴリーにう頁した。 UNIX MAGAZINE 1998.3 ト転送レートやエラー発生回数などのデータを収集し、ルータやスイッチなどのネットワーク機器から、バケッ的には、以下のような作業が含まれる。く機能するように機器を設定・管理するイ 1 喋である。具体ネットワークの運用状態を把握し、ネットワークが正し ( 1 ) 里 (configuration management) ネットワークの運用状態を孑当屋する竹業 ( ー搬に、、モニタリング (monitoring)" と呼ばれる ) 収集したデータにもとづくネットワーク構成の最適化 ( ネットワークの利用目的によって、最商化の対象は異なる ) 収集したデータにもとづくレポートの作成 ( 2 ) 障害褌里 (fault management) ネットワークで発生した障害の原因を特定し、その障害を除去する竹璞である。障書カ起きると、ネットワーク管理者は、・発生した障の原因ク寺定・ネットワーク内のほかの部分に景彡響を莎えないように、障害の原因となっている部分をう隹する・障書の原因の除去といった竹業をおこない、通常のネットワーク運用状態に回復させる。、、ネットワーク管理 " と聞いて多くの人が田い浮かべるのはこの「ド業であろう。 ( 3 ) 性能里 (performance management) 管理しているネットワークにおいて、ネットワークの設言判に目標とした性能が達成されているかどうかを調べ、間題があれは必要な対策を講しる。これには、次のような作業がある。・ネットワーク機器のバケット処理数などのモニタリングによる、ネットワークの利用率やエラー率の訓・ネットワークへの負荷が : 則値より高くないか、エラー率か高くなりすぎていないかク寉認・ネットワーク言 11 こ想定していたスルーブットなどの性能が、達成できているかの石忍・ネットワーク性能が目標値を一 FI 可っていた場合、改善策を検帋ける。さらに、その有効性をシミュレーションやシステム角財斤によって確認 ( 4 ) アカウント褌里 (account management) ューサーが適正にネットワークを使うために必要な管理である。具ー勺には、次のような作業がある。・ネットワーク資源の利用状況に関する情報の収集・必要に応してネットワークの利用制限を実施 ( 特定のューサーやシステムによるネットワークの濫用を防ぎ、 11

6. UNIX MAGAZINE 1998年3月号

UNIX Communication Notes 山口英ネントワーク管理ネットワーク管理の変遷 10 年はど前は、ネットワークといっても数台の UNIX ワークステーションと Ethernet からなる LAN がーイ殳的であった。当時のネットワーク管理にかかわる竹喋は、 JUNET の UUCP 接続を安定的に糸早し、電子メールと USENET ニュースの酉占医に目を光らせる程度であった。多くの UNIX ワークステーションは、はばスタンドアローン状態で漣用されており、ネットワークに依存する度合いはきわめて低かった。 1980 年代末になると、 NFS によるディスクや NIS ( 当時は (P) によるアカウントの共有が一ヨ殳化した。これにともない、ネットワーク管理者の仕事に NFS サーバーのディスクの保守や、 NFS クライアント側でのマウントポイントの管理、 NIS によるアカウント管理などか加わった。さらに、ネットワーク経由でのプリンタの共有が一 - ー - ・掬難勺になり、プリンタスプールの設定やフィルタの整備といった仕事も重視され始めた。とはいえ、ネットワークは現在とくらべるとごく小規模で、少数の管理者でも十分に対応できた。ところが 1990 年代に入ると、ネットワーク管理者の仕事が急激に増加した。その要因の 1 つは、多くの大学でのキャンパス・ネットワークの整備や、企業における糸目織内ネットワークの整備が急に進み、さらにインターネット接続がひろく普及したからである。ネットワーク管理者は、 UNIX システムだけではなく、ルータなどのネットワーク機器も管理する必要に迫られた。なかでも経路缶リ御は重要な業務となり、ネットワーク運用の安定性か強く求 10 められるようになった。 1990 年代半はになると、大きな変化か起きる。 Win- dows 95/NT や Macintosh などのネットワーク機能をもつパーソナル・コンピュータの大量導入である。これによって、ネットワーク管理者にとっては頭の痛い問題が生した。 1 つは、管理対象の大幅な増加である。それまでのネットワークでは、接続されているコンピュータの大部分は UNIX システムであり、管理業務の大半は UNIX を対象としたものであった。しかし、上記のパーソナル・コンヒュータ群の導入により、これらのシステムに特有な管理のノウハウも習得しなければならなくなった。接続される機器の台数も急激に増加している。たとえは、 100 台以上のシステムカ甘妾続されているネットワークを 1 人で管理するといったことが、現在では当然のようにおこなわれている。もう 1 つの間題は、ネットワークよューサーの質の変化である。それまでのネットワーク・ユーザーは、コンピュータ関連の技術者・研究者がはとんどで、その多くはコンピュータやネットワークの基礎知識をもっていた。したがって、ユーサーにみすから問題を鮹夬しようという姿勢があり、彼ら自身がネットワーク管理の能力をもっていることもしばしばであった。しかし、 1990 年代の半ば以降は、ネットワークやコンピュータ技術に関する知識のない人がシステムやネットワークを利用する状況が一鍛化しつつある。去も匠は、セキュリティというさらに頭の痛い間題も生じている。現在のインターネットでは、システムに対する不正アクセスや、情報の漏洩などへのセキュリティ対策をいかに施すかが重要な課題となってきた。そして、さまざまなセキュリティ間題に対処するために、新たな技術か積極的に導入されつつある。 UNIX MAGAZINE 1998.3

7. UNIX MAGAZINE 1998年3月号

連載 FreeBSD/—トー⑩ fxp0" は、 lntel の Fast Ethernet カード EtherEx- press Pro 100 / B である。、、 1 。 0 " は自分自身にデータが返ってくるルーフ。バック・デバイスで、対応するハードウェアをもたす、データはカーネル内だけて処理される。受け取ったデータは、それぞれのデバイスからカーネル内の仕分け処理を経てポート番号が対応するソケットのあるプログラムに渡る。ネットワークの場合はこのようにカーネルがデータの仕分けを制御するので、プログラムは自分の利用するデバイスをとくに意識する必要がない。ただし、ネットワーク・テンヾイスから滷鮟ネットワークのデータを読み書きする bpf (BerkeIey Packet Filter) は例外である。 bpf は、ネットワークに流れているデータを監視する tcpdump のようなプログラムて利用されている。 bpf はそれ自体疑イ勺なデバイスドライバとして働き、それぞれのネットワーク・デバイスに設けられた特殊な出入り口を通じてデータをやりとりすることかできる。また、 FreeBSD 標準の PPP ドライバ iij-ppp はユーサープロセスとして働くが、カーネル外にある未なネットワーク・デバイスと考えることかできる。カーネル内とのデータのやりとりにはトンネルデバイス (/dev/tun0 など ) と呼はれる孑鬮以デバイスを利用する。これにより、シリアル・インターフェイスにつないだモデムや、場合によっては既存のネットワーク接続を利用して、 2 点間のネットワーク接続を : 見することができる。 BSD カーネルのネットワークまわりがこのような特殊な構造になっているのは歴史的な事清による。 SystemV 系の UNIX では、テンヾイスまわりには STREAMS という冫冓か広く採り入れられている。ネットワーク・デバイスは特別扱いされていない。 STREAMS には、さまざまなレベルのモジュールを層状に組み合わせて処理がおこなえるという目立った特徴があり、ネットワーク・デバイスを自然に扱うことができる。ネットワークに関する処理は、ユーサーレベルのライプラリと、上層に位置するモジュールがおこなっている。単純な上交では、 STREAMS のような機構のはうが先練されているといえるだろう。 BSD のネットワークのデバイスドライバをいじっていると、処理のレベルの切分けがはっきりしない部分があるのに気づく。たとえば、個々のデバイスドライバて処理しなくてもいいはすの共通の部 80 分までコードに含まれるといったことだ。また、 TCP/IP のほか IPX や AppIeTaIk といったプロトコルによる切分けにも判然としない部分がある。こうした事のため、 BSD のネットワーク・ドライバは理解しづらい。 FreeBSD では、 BSD の世界で継承されてきたコードの堅実性を尊重しながらすこしすっ改良を加えているのが朋大である。このように、古いものと新しいものとのバランスをとりながら実用性の高いものを作っていくところに FreeBSD の特色があるといえるかもしれない。もちろん、これには限界がある。たとえは、現状ではネットワーク・デバイスを取り外したときの処理をおこなうコードを追加するのはかなり面倒である。きちんとモジュール化された層 : 伏の構成ならば自然に決まる、どのレベルでどのように変化を伝えていくかといったことか明確になっていないからである。 BSD はもともと重加勺に構成が変化する場合を前提に設計されていないので仕方がないとはいえ、今後モバイル・コンヒューティングなどへの本勺な対応が必要となるのでなんとかしたいところである。ネットワーク・デバイスを STREAMS として扱うのはきれいにみえる。しかし Solaris 2.6 では、ネットワークまわりは STREAMS では扱わなくなった。やはりなんらかの理由があるのだろう。テータの流れ次に、データの流れという観点からデバイスドライバを眺めてみることにしよう。基本的な部分はネットワーク・デバイスでもそオ LJ ユ外でも同しである。ます、データの流れは出力と入力とに分けることかて、きる。ごく単純化すると、デバイスドライバはカーネルからの出力をデバイスに、デバイスからの出力をカーネルに渡せばよいことになる。現実には、デバイスへのアクセスは物理的な牛に左右されるので、カーネルが必要としているときにタイミングよく入出力がおこなえるとはかぎらない。そこで、両者のあいだのタイミングを調整することが必要になる。例として Ethernet を考えてみよう。 Ethernet の帯域は毎秒 10Mbit と決まっている。さらに、他のマシンが送信していることを検出すると送信できないなど、さまざまな制約がある。一方、カーネルはそれよりもはるかに速 UNIX MAGAZINE 1998.3

8. UNIX MAGAZINE 1998年3月号

連載 UNIX Communication Notes—・への安全なアクセスを実現している。さらに、個人に対のような環境では、証明書を発行する CA の管理・運ロ 0 、・一クセスを効果的に制限するイ督はみか利用され始めたた証明書を発行し、各種ネットワーク・サーピスへのア先端的なネットワーク竟では、公開音号技術を用い CA (Certificate Authority) の運用視されている。増えたため、安全生の高い Web サーバーの運用は当然内ネットワークでは、 Web システムに依拠した業務がアクセス管理も実現できるようになった。去も匠の組織して暗号技術を利用した証明書を発行することにより、 ( 9 ) ユーサー竟備用も管理竹喋の範疇に含まれる。うかという引を立てるのもネットワーク管理者の仕事で何を知識として教え、どのように教育・啓発活動をおこなキュリティ上の問題発生を防止する効果がある。具ー勺にリケーションの謝巣作によるトラブルの発生あるいはセくる。技術に疎いユーサーか起こしがちな、ツールやアプでのセキュリティ意識を高める啓発活動も重要になって用するために必要な知識に関する教育や、ユーサーレベルシステムやネットワークが複雑化すると、これらを利 ( 10 ) ユーサー育と啓発る。ューザーの謝巣作によるトラブルを防止する意味合いもあある。セキュリティ保全の意味からも重要な作業であり、ワーク・ユーサーか業務に専じ、できるような竟の構築でうにする設定などの作業がある。基本は、これらのネットるいは、業務には不要なアプリケーション群を使えないよステムのセットアッフ。や業務に必要なツールの確保、あク管理者の仕事である。これには、ユーサーの利用するシ務でネットワークを使うューサーの環境整備もネットワーコンピュータ技術者やネットワーク研究者ではない、業管理ポリシーの策定ある。 UNIX MAGAZINE 1998.3 ment policy) の作成である。初に着手しなければならないのカ理ポリシー (manage- こまでに述べたネットワーク管理をおこなう場合、最管理ポリシーとは、管理対象のシステムやネットワーク竟をいかに管理するかを明確に規定した方針である。作成にあたっては、どのような管理作業が必要か、そして、竹喋をいかに進めるかを明記する必要がある。さらに、ネットワーク管理者だけではなく、管理に必要なコストの負担についての決定権をもつ管理ネットワークを利用するユーザーの三者が協力して作成すべきである。作成した管理ポリシーについては、管理ネットワーク管理者、ューサーか 1 司意し、かっ、それを遵守するという合意を得なけれはならない。管理対象の機器が数台しかなく、ネットワークも単一の Ethernet セグメントだけからなるような小規模なネットワーク環竟では、厳格なポリシーは不要と思われるかもしれない。しかし、その竟て暮らす人か複数いるのなら、その工竟をどのように管理するかの方針、すなわち管理ポリシーを決定し、利用者全員がその方針に従うようにしたはうがよい。それによって、管理作業の抜け落ちを防ぎ、ユーザーにとって使いやすい環境カ辭財寺できるようになる。一方、大莫なネットワーク竟では、管理竹喋に複数の人間か従事するのか普通である。このような場合、管理ポリシーを作成しておけは、各ネットワーク管理者が商切な竹喋をしているか、一 - ト・分な管理竹喋がおこなわれているかといった点について、つねにポリシーに照らして考えることができる。逆に、このような管理ポリシーがないと、ネットワーク管理者ごとに作業の質・量がは・らついたり、必要な作業カ皺け落ちた管珊本制を作ってしまうことがある。このように、規模の大小にかかわらす、管理ポリシーの作成は必頭の要件といえるだろう。管理ポリシーの内容管理ポリシーでは、すくなくとも次のような要素について具イ勺に言己主すべきである。・何を管理豫とするか・どのような管理作業をおこなうか管理竹喋の担当者、責任者は誰か・トラブルが発生した際に、どのような手順で対応するか・どこまでがユーザーの責イ嘛囲か 13

9. UNIX MAGAZINE 1998年3月号

リスト 1 ネットワーク・インターフェイスの (a) FreeBSD ・ /etc/sysconfig の変更例 network_interfaces="edO edl 100 ” ifconfig—edO=" inet 192.168.1.100 netmask ifconfig—edl=" inet 192.168.255.1 netmask ifconfig—IoO=" inet localhost" defau1trouter="192. 168.1. 1 ” (b) BSD/OS 2.1 : /etc/netstart の変更例 255.255.255.0 " 255.255.255 . 0 ←使用するネットワーク・インターフェイスのリスト ←外側の IP アドレスとネットマスク ←内側の IP アドレスとネットマスク ( 追加 ) ← - ノレーフ。ノヾック iface=neO ipaddr=192.168.1.100 1 inkarg= " netmask = 255.255.255.0 defroute = 192.168.1. 1 ←外側のネットワーク・インターフェイス ← neO の IP アドレス ←デフォルトルート ← ne0 のネットマスク ← neO インターフェイスのリンクパラメータ # P1ace configuration commands for additional interfaces above , # before the loopback interface is configured. ifconfig nel inet 192.168.255.1 netmask 255.255.255.0 (c) BSD/OS 3.1 : /etc/netstart の変更例 ←内側の IP アドレスとネットマスク ( 追加 ) interfaces="neO pr imary= " neO " defroute="192. 168. 1 . 1 " # neO: ipaddr—neO="192.168.1.100 " netmask_neO="255.255.255.0 " 1 inkarg—neO= additiona1_neO= # ne 1 : ipaddr-ne1="192.168.255.1 " netmask ー nel = " 255.255.255.0 ” linkarg—nel= additional_nel= 使用するネットワーク・インターフェイスのリスト ←外側のネットワーク・インターフェイス ← nel インターフェイスのノ、ラメータ ← nel のネットマスク ← nel の IP アドレス ← ne0 インターフェイスのノヾラメータ ← neO のネットマスク ← neO の IP アドレス ←デフォルトルート目で OS をインストールしたときに割り当てたアドレス 192.168.1.100 を neO に設定しています。このインターフェイス (ne0) は、変ファイアウォールの、、外側のネットワーク " として設定イ乍業をおこないます。デフォルトルートも、同様に OS のインストール時に設定したアドレスです。ホスト名は、、 sugar. raccoon. doubutsu. co. jp に変更しました。前回インストールした 2 枚目のネットワーク・カード ( インターフェイス nel) に IP アドレス 192.168.255.1 を割り当て、今後はファイアウォールの、、内側のネットワーク " として設定作業をおこないます。もちろん、 192.168.255.0 / 24 がサイト内のほかのネットワークで使 22 用されていないことか前提です。 FreeBSD では ( リスト 1 ー a ) 、 network-interfaces のエントリで、 1 枚目のネットワーク・カードとループバック (loopback) のインターフェイス名か轂定されているリストに 2 枚目のネットワーク・カードのインターフェイス名を追加します。そして、 1 つ目のネットワーク・インターフェイスのアドレスの聢と同様に、 2 つ目のネットワーク・インターフェイスの設定を追加します。 BSD/OS 2.1 では ( リスト 1 ー b ) 、すでに iface のエントリに 1 枚目のネットワーク・カードのインターフェイス名が、そして ipaddr 、 linkarg 、 netmask の各工ントリに、インターフェイスに割り当てた IP アドレス、リン UNIX MAGAZINE 1998.3

10. UNIX MAGAZINE 1998年3月号

連載 UNIX Communication Notes そ也の注意事項管理ポリシーとそれに合わせたガイドラインを作成したら、残るのは実施だけである。ポリシーとガイドラインに沿って管理竹璞をおこなう場合は、次のような点に注意すべきである。・どのようなかたちであガイドラインどおりに管理作業がおこなわれているかどうかを石忍する手段を定めておく必要がある。たとえは、管理者グルーフ。内で定期的にミーティングを開き、柤にチェックする体制を作ってもよい。大莫な管理グループの場合は、管理竹喋を石忍する担当者を設けたほうがよい。さらに、障害復旧のための手順などについて定期的に石忍するのも重要だ。定められたイ乍喋を確実に実施するための仕掛けを考える必要がある。・ネットワーク管理をおこなう過程で、ガイドラインに不備があったり、管理ポリシーか大に合わないことカ吩かったら、ガイドラインの改訂や管理ポリシーの変更をためらってはならない。ホリシーやガイドラインをいったん作成すると、それを教条目三均に守ろうとする管理者も多い。しかし、伏に合わないものを使い続けるのは不合理である。そのような状況が生したら、改善に向けて積昀に努力すべきである。・教育・硎多ネットワーク竟を利用するユーサーを対象として定期的に硎多を実施する場合、各ューサーに硎タの参加を義務つ財るように明記することもある。その場合には、アカウント管理との整合性を保つようにじ掛けるべきである。今日のネットワーク里の管理竹喋のなかでとくに重要なのは、セキュリティ管理である。したがって、管理ポリシーの作成と並行してセキュリティ・ポリシー ( どのようにシステム / ネットワークを守るか ) の作成も進めるべきである。セキュリティ・ポリシーの作成方法については、前号の「ファイアウォールの作り方」 [ 1 ] で詳細に解説されているので、参考にするとよいだろう。管理ポリシーが決まったら管理ポリシーを作成し、ネットワーク管理者とユーサ、管理職の三者間で合意か得られたら、次は、管理ポリシーを基礎として管理竹喋のガイドラインを作成する。のガイドラインには、管理作業やイ乍業分担などを具ー勺に当する。ー搬に、ガイドラインは、ネットワーク管理者を対象としたイ乍業マニュアルとして言当する。このようなマニュア ◆ ルを用意しておけは、ネットワーク管理者がおこなう竹喋今回は、ネットワーク環竟の急漣な拡大につれて変化しの手順か明確になるだけでなく、管理者が代わったときもてきたネットワーク管理作業の内容について述べさらにスムースに業務の移管かできる。マニュアルの作成は面倒ネットワーク管理竹業の根幹をなす管理ポリシー、およびではあるが、作っておいて損はない。ネットワーク管理者ポリシーとの整缶生を保ったガイドラインの作成ガ去につか退職したとき、イ 1 璞ガイドライン ( マニュアル ) がなく、前任者がどのような竹喋をしていたかがまったく把握できいて説明した。次回から、ネットワーク竟の管理に利用できる具イ勺すに管理体制をゼロから作りなおすことはよくある。昔かな技術をとりあげ、その概要や導入ガ去などについて角見ら、、、転ばぬ先の杖 " ともいう。このようなガイドラインする。作成は、ネットワーク管理者に対して、、管理職 " の責任で ( やまぐち・すぐる奈良科 ! 物支術大完大学 ) 義務つ。けるべきである。管理ポリシーの一墻 ; は、一ヨ殳のユーザーに対しても適用 [ 赭文献 ] される。これは、一殳ユーサーを対象とした、、システム利 [ 1 ] 白崎博生「ファイアウォールの作り方 ( 4 ) 」、 UNIX MAG- 用マニュアル " の一にとして言当すればよい。 AZINE 、 1998 年 2 月号このように、ガイドラインの作成とは、管理ポリシーとの整合性を保ちながら管理作業の内容を具イ勺にしていくことである。一三ロ 16 UNIX MAGAZINE 1998.3