Socks - みる会図書館

1. UNIX MAGAZINE 1998年7月号

連載 / 遠隔オフィスとの接続ー② 図 10 Netscape Navigator の Socks の項目タイア図 11 バケットはケートウェイを越えて送れないホスト 1 手勒で 1 ・ロキシき定例バケット LAN ゲートウェイ Socks の設定次ではじまるドメインま加キシサ篁使月ない ) バケットファイアウォールネットワークインターネット項目の制こはマ ( 入れて下ホスト 2 Socks は、日本電気の Networking Systems Labo- ホスト 3 ratory カ鯛発、保守している、ファイアウォール 2 を、越える " ためのクライアント・サ→ヾー型ソフトウェアです。図 11 のように、インターネットと LAN のあいだに Web プラウザの Netscape Navigator や lnternet Ex- ファイアウォールがあり、、、ゲートウェイ・マシン " でつ plorer の、、プロキシ " の設定で、、、 socks " の項目を目にながっているとしましよう。以下のホストは、いすれもしている方も多いでしよう ( 図 10 ) 。ゲートウェイと通信 ( バケットの送受信 ) かできます。 1998 年 5 月の時点の Socks の最斤バージョンは、・ LAN 上のホスト 1 socks5 vl. 0 reIease5 ・ファイアウォール上のホスト 2 で、以下の Web ページからプログラムやドキュメントを・インターネット上のホスト 3 無賞で入手できます。しかし、インターネット上 ( ファイアウォールのネット http://www.socks.nec.com ワークも含む ) のホストから LAN 上のホストに宛てたパケットは、セキュリティを守るためにゲートウェイか破棄 Socks の、ご利益 " は、ファイアウォールを越えられるします。結果として、インターネット上のホストは LAN ことだけではありません。インターネットにつながってい上のホストへバケットを送れません。ても、互いのファイアウォールカ魔して直接通信できな逆に、 LAN 上のホストからインターネット上のホストい LAN 上の計算機どうしの通信も可能にします。さらにへ宛てたバケットも、同様にゲートウェイか破棄するため暗号化ライプラリを組み込めば、通信のセキュリティを守に届きません。ることもできます。これでは LAN 上のホストからインターネット上の資原 Socks の仕組みにアクセスできないのでとても不便です。 Socks は、このような問題を鮹肖しつつセキュリティを守れるソフトウェ Socks は、 TCP/IP または UDP/IP で通信するアです。 UNIX の基本的なアプリケーションの多くに対応してい Socks を使用するときは、ゲートウェイ上てサーバーますが、万能ではありません。また、利用するにはアプリプログラム (sockd) を動かしておきます。ファイアウォーケーションにちょっとした細 T が必要です。このあたりのルを越えてインターネット上のホストと通信したいアプリ事情を王早してもらうために、 Socks のイはみをお話ししケーションは、 S 。 cks サ→ヾーに対して相手先のホストやておきます。サーピスを指定し、接続と通信の中継を要求します。 2 この場合のファイアウォールは、 IP フォワーディンク・欟皀を停止させ Socks サーバーは、あらかしめ設定されている情報にた UNIX マシン上で新川させるアプリケーション型のファイアウォールです。従って、相手先ホストとの通信を中継したり要求を拒否し 52 UNIX MAGAZINE 1998.7

2. UNIX MAGAZINE 1998年7月号

たりします。連載 / 遠隔オフィスとの接続ー② UNIX MAGAZINE 1998.7 て隔てられた 2 つの LAN があり、、、ゲートウェイ 1 " と図 12 のように、インターネットからファイアウォールにも、もうすこし機能をもっています。 Socks サーバーは、前項で説明した基本的な重川乍のはか Socks を利用した LAN の接続 Socks プロトコルを使えるようになります。関数にそのまま置き換えるだけで、アプリケーションがの通信処理で使ういくつかの関数を Socks ライプラリの Socks 化のイ乍喋は簡ヒできます。これを使えば、通常さいわい、 Socks ライプラリか提供されているので、労力が必要になってしまいます。弱点の 1 つで、まともに匿に取り組もうとすると大変な、 Socks 化 (Socksified)" と呼びます。これは Socks の部分を書き換える必要があります。このような改造を、ンは、 Socks プロトコルを理解できるように通信処理のこのため、 Socks サーバーに接続するアプリケーショ 9. ( 続く ) に telnetd のリプライを Socks プロトコルで返す。 8. Socks サーバーからホスト 1 の Telnet クライアントリプライを TeInet プロトコルで返す。 7. ホスト 3 の telnetd から Socks サーノヾーに telnetd のロトコルで接続する。 6. Socks サー / ヾーからホスト 3 の telnetd に TeInet プに Telnet のリクエストを Socks プロトコルで送る。 5. ホスト 1 の Telnet クライアントから Socks サーバーに telnetd のリプライを Socks プロトコルで返す。 4. Socks サーバーからホスト 1 の Telnet クライアントリプライ ( 応答 ) を TeInet プロトコルで返す。 3. ホスト 3 の telnetd から Socks サーバーに telnetd のモン ) に TeInet プロトコルて接続する。 2. Socks サーバーからホスト 3 の telnetd (TeInet デーの Socks サーノヾーに Socks プロトコルで接続する。 1. ホスト 1 の TeInet クライアントからゲートウェイ上ときは、以下のようなプロセスで処理されます。 11 の、、ホスト 1 " から、、ホスト 3 " へ TeInet て接続するあいだは、 Socks プロトコルで涌信します。たとえば、図接続を要求するアプリケーションと Socks サーバーの図 12 Socks サーパー携ホス bl ファイアウォールネットワークファイアウォールネットワークゲートウェイ 1 インターネットケートウェイ 2 、、ゲートウェイ 2 " 上では socks サーバーカ鍾力いているとします。このとき、 Socks サーバーに相刊則の LAN の IP アドレスを設疋しておけば、 Socks サーバーどうしを叫秀させ、、、ホスト 1 " と、、ホスト 2 " のあいだの通信を中継することカきます。たとえば、ホスト 1 とホスト 2 のあいだの処理は、以下のようなプロセスで進みます。ホスト 2 4. ゲートウェイ 1 の Socks サーバーは、ホスト 1 にホスサーバーに送る。クエストを送り、リプライをゲートウェイ 1 の Socks 3. ゲートウェイ 2 の Socks サーバーは、ホスト 2 ヘリトをゲートウェイ 2 の Socks サーバーに送る。されている情報にしたがって、ホスト 2 宛のリクエス 2. ゲートウェイ 1 の Socks サーバーは、あらかじめ設定スト 2 宛のリクエストを送る。 1. ホスト 1 からゲートウェイ 1 上の S 。 cks サーバーにホこの機能を利用すれば、一重のファイアウォールを飛ト 2 のリプライを返す。 ☆ フィスから本ネト NFTP することができます。ひ越えて本社から ) 鬲オフィスへ Telnet したり、〕鬲オ設定ガ去、失員炎などを紹介します。しようか。次回は、もっと具イ勺な Socks の利用力法や Socks の機能の概要は、だいたい理早していただけたで 53 ( あらい・みちこ ASTEC)

3. UNIX MAGAZINE 1998年7月号

連載 / 遠隔オフィスとの接続ー② 図 8 ミ面言費の比較グラフ通信費 ( 単位 : 1 , 0 開円 ) 公衆回線 ( 遠距離 ) 2()0 / 公衆回線 ( 中距離 ) 150 1 開インターネット上でのバケット己医図 9 バケット送信機算計算機 - 専用線 ( 遠距離 ) - 専用線 ( 中距離 ) ー公衆回線 ( 近距離 ) - OCN 工コノミ - 専用線 ( 近距離 ) 一日の平均通信時間 ( 単位 : 時間 ) 計算機計算機 50 15 10 5 計算機計算機バケット受信 VPN 通信の秘密を守るために、 VPN ではイ反想ネットワーク・ルータ ( 専用ハードウェア ) の機能を利用するを構成する計算機どうしがお互いに暗号化したデータを送の 2 つのガ去があります。ります。データを暗号化していれば、たとえバケットを傍、、少ない出費 " と、、柔軟な構成 " を合言葉に、こでは、受されても通信内容力弱れることはありません。おもにフリーのソフトウェアを使うガ去を紹介します。ルータのなかには、 VPN 機能を備えたものがありま誤解されては困るのですが、、、少ない出費 " イコールす。これを使えば、マニュアルに書かれているとおりの、、低コスト " とはかぎりません。さまざまなソフトウェア設定で VPN を構成できます。ソフトウェアによる VPN の機能を理解し、目的や用途に応して使いこなすのは大変機能としては、今回紹介する Socks があります。です。そのための人件費などを考えると、ルータを購入し・・このように紹介をすると、 VPN はかならす構築たはうが勺にみ川ま低コストかもしれません。する必要があるものなのかと思う方もいるでしよう。しかし、インターネットを介して LAN をつなぐからといっキーワードは VPN て、かならすしも VPN が必要なわけではありません。たとえば、秘密を守らなくてもよいファイルを anony- インターネットを利用して LAN をつなぐにあたり、キ mous FTP でダウンロードするだけなら VPN は不要でーワードを掲げておきましよう。それは、す。また、既存の Web サーバーにユーザー認証のための VPN (VirtuaI Private Network) 設定を用意して、情報を特定のユーザーだけに Web 経由てす。で提供できればすむこともあります。 VPN はその名のとおり、イ瓦想的な (Virtual) 秘密の守 j 鬲オフィスとの接続竹喋を始める前に、られた (Private) ネットワーク (Network) のことです。・何をしたいのか VPN は、複数の言 t 算機やネットワークがつながってい・そのために必要なアプリケーションは何かるインターネットのようなネットワークのなかで、特定の・通信の秘密はどの程度守る必要があるのか計算機やネットワークだけをイ見想的につなぎます。通信はイ瓦想ネットワークに属している計算欟だけでおこなわれを考えて、用途に合った手段を選んでください。ますが、そオけどけでは通信の秘密は守れません。 VPN に属している計算機どうしの通信は、インターネ VPN を実現する Socks ット上の計算様 ) あいだを、バケット単位でバケツリレー ) 鬲オフィスとの孑を助けるソフトウェアにはさまざのように受け渡されます 9 ) 。このガ去だと、仲介してまなものがありますが、とりあえす試していただきたいもいる計算機上でバケットを拾い集めて冓成し、通信内容のに、、 Socks" があります。を盜聴することカ新 J 能なのです。 51 UNIX MAGAZINE 1998.7

4. UNIX MAGAZINE 1998年7月号

連載 / UN Ⅸ知恵袋ー⑩ 図 10 ssh-agent の出力 B シェル系の場合 $ ssh—agent $ ssh-agent C シェル系の場合 ech0 Agent pid 3517 ; SSH-AGENT-PID=3517 ; export SSH-AGENT-PID ; SSH-AUTH-SOCK=/tmp/ssh—keiichi/agent—socket—3516 ; export SSH-AUTH-SOCK ; setenv SSH-AUTH-SOCK /tmp/ssh—keiichi/agent—socket—3570 ; setenv SSH-AGENT-PID 3571 ; ech0 Agent pid 3571 ; 図 11 ssh-add C)* 式 ssh-add [-p] ト 1 ] [-d] [-D] 記 e 浦 - 川 e 定するシェルコマンドを生成します。なお、図 10 は例として引用するために eval 命令を実行していませんが、のようにすると、デーモンプロセスだけが残ってしまい、実際には環竟変数か第殳定されないので注意してください。 ssh-agent コマンドのスイッチを解説します。 ssh-agent を終了します。終了するのは、環境変数 SSH-AGENT-PID てオ旨定されたプロセス ID をもつ ssh-agent です。 SSH-AGENT-PID は、 ssh-agent コマンドを実行したときに SSH-AUTH-SOCK と同時に設定されます。強制的に C シェル形式の竟変数設定コマンドを出力します。 ssh-agent コマンドがシェルの判別に失敗する場合に指定します。強制的に B シェル形式の環竟変数設定コマンドを出力します。秘密鍵の登録ェージェントか起動したら、次に鍵を当求します。鍵の登録には ssh-add コマンドを使います。とくに指定しなければ、 $HOME/. ssh/identiy で示される秘密鍵を登録します。図 11 に書式を示します。各スイッチの意味は以下のとおりです。 UNIX MAGAZINE 1998.7 パスフレーズを標準入力から読み込みます。現在求されている鍵の一覧を表示します。登録されている鍵を消去します。消去する鍵は記 e れ - 川 e て指定します。当求されているすべての鍵を消去します。図 12 にコマンドの実行結果を示します。 ssh-add コマンドで鍵を登録すると、以後 ssh や scp を予するとき ( ンヾスフレーズを訊いてこなくなります。鍵の操作 SSH で用いる RSA の鍵は ssh-keygen コマンドで作成しました。 ssh-keygen は、鍵の作成のはかに、パスフレーズ、コメント、鍵ファイルク普号アルゴリズムの変更ができます。 ssh-keygen の書式を図 13 に示します。ます、鍵の生擲に使うスイッチを説明します。 -b bits 鍵のビット数を指定します。最短のイ直は 512 です。デフォルトは 1 , 024 です。 -f 記 e 〃 le 鍵を保存するファイルを指定します。デフォルトは $HOME/. ssh/identity です。・ -N 2 佖 s 夘ん r e パスフレーズを指定します。 67

5. UNIX MAGAZINE 1998年7月号

NEWS 価格は、 EN106TP が 8 , 800 円、同 524 トをもつ。 EN524 はラックマウントがが 46 , 800 円。可能。同時に、 NETGEAR ファミリーの既外形寸法 (HXWXD) と重量は、 EN 存のハプ、スイッチ製品の価格を改定し 106TP が 2.8 x 15.8 x 10. lcm で 0.4kg 、た。値下げ率は平均 14 % 。同 524 が 4.3X33 x 20.3cm で 2.3kg 。 3 ) ハードウェア・べースの IP ノヾケットフォワーディング、ノレーティング ATM スイッチ 4)PerVC キューイン久 PerFlow キューイングなどの QoS 制御 tual Circuit) 、多階層 PNNI (Private 日本電気 (Tel 03 ー 3798 ー 6307 ) は、 5 ) CPU 、スイッチ、電源を二重化 Network—Network lnterface) 接続、 IP ATM スイッチ「 ATOMIS 16 」の販売外形寸法は 180X60X60Cm 、重量はバケット処理、 VPN などのサービスを提を開始した。 300kg 以下。供。 OC-3c で 48 回線まで収容おもな特徴は以下のとおり。価格は 1 , 980 万円 ( 基本構成、 OC-3c 2 ) 3 種のモジュール (1.8Gbps 、 7.5Gbps 、 1 ) ATM (OC—3c/12c) PVC (Permanent MMF カード、 4 回線 ) から。システム拡張モジュール ) から構成 Virtual Circuit)/SVC (Switched Vir- ストア & フォワード。 MAC アドレスは 8 , 000 、ノンプロッキング・スイッチ。価格は、 FastStream Switch EZ ー 208 EZ ー 208 が 10Base TX8 、 EZ ー 216 がが 128 , 000 円、同 EZ ー 216 が 178 , 000 円。 10Base Tx 16 。両機種とも 10Base T/ 初年度販売目標は 2 モデル合計で 5 , 000 100Base TXx2 ( 自動切替え、カスケード接続、アップリンク対応 ) 。転送方式は 20.3cm 、重量は 2. lkg 。価格は 328 , 000 円。 ◆ EN106TP 、同 524 I/F は 10Base T x 6 ( EN106TP ) / 24 ( 同 524 ) 。いすれもアップリンク・ポー •NEC ■住友電工 1 0 / 1 OOMbps スイッチ住友電気工業 (Tel 03-3423 ー 5335 ) は、 10Base T/100Base TX スイッチ「 Fast Stream Switch EZ ー 208 」「同 EZ ー 216 」の販売を開始した。・ A 引 1 0 / 1 OOMbps スイッチ 100Base TX ( 自動切替え ) x 24 、 3726 がアライドテレシス (Tel 0120 ー 860442 ) 可能 ( 8312 は MIB 、 FTP にも対応 ) 。 10Base T/100Base TX ( 自動切替え、は、 10Base T/100Base TX スイッチアップリンク対応 ) 、 10BaseTX240 拡価格は、 CentreCOM 8312 が 178 万「 CentreCOM 8312 」「同 8118 」「同 8124 」円、同 8118 が 348 , 000 円、同 8124 が 498 , 張スロット数は、 8312 と 3726 が 1 、 8118 「同 3726 」を販売する。が 2 。 8312 のルーティング・プロトコ 000 円、同 3726 が 278 , 000 円。 8312 が 10Base T/100Base TX ( 自出荷時期は、 8118 が 8 月初旬、 8124 がルは、 IP 、 IPX 、 RIP 、 OSPF 、 IP フィ動切替え、 IP/IPX 用レイヤ機能に対応 ) 7 月下旬、 3726 が 7 月中旬。 8312 は出荷ルタ、 BOOTP 、 DHCP など。 SNMP 、 X12 、 8118 が 10Base T/100Base TX Telnet 、 Web プラウサなどによる管理が済み。 ( 自動切替え ) X16 、 8124 が 10Base T/ •NE キャッシング専用テパイスグ専用ハードウェア。 I/F は 10Base T/ 日商工レクトロニクス (Tel 03 ー 3544 ー 100Base TX ( 1000 のみ全二重に対応 ) 。 8475 ) は、米 CacheFlow の Web キャッシング・デバイス「 CacheFIow 1000 」専用 OS の、℃ acheOS" により、オプジェ「同 100 」の販売を開始した。クト単位でのキャッシング、 DNS キャッ能。 SSL 、 C00kies 、 SOCKS 、 FTP に HTTPI.0/ 1.1 対応の Web キャッシンシュの構築、ディスク使用の効率化が可 11 UNIX MAGAZINE 1998.7

6. UNIX MAGAZINE 1998年7月号

連載 / UN Ⅸ知恵袋ー⑩ 図 8 scp の書式 scp [-prvBC] [-S at ん - to - ss ん ] ト 0 ss ん - 夘 0 れ司 [-p 0 ] [-c c ゅん e 司 [-i 記 e れ t 切 [user@]hostl : ] 川 e れ ame プ ... [[user@]host2 : ] 川 e れ ame2 図 9 ssh-agent C)* 式 ssh—agent C07 〃〃 ~ 0 れ d あるいは、 eval ( ssh—agent [-k] [—c ・一 0 ss ん -0 0 れ s たとえば、 host-a から test. txt をコピーする場合は、れます。くに指定しなければ、 $HOME/. ssh/identity が使わ秘密鍵の報をオ内しているファイルを指定します。と・—i を de れ t リジに含まれています。 fish 、 triple DES の 3 つの cipher が SSH のノヾッケー通信路ク音号アルゴリズムを孑定します。 idea 、 blow- —c cipher いる sshd と孑Æする場合のポート番号を指定します。リティ上の理由などで、 22 番ポート以外で待ち受けて sshd は通常 22 番ポートで待ち受けています。セキュ・ -P 20 ます。 ssh コマンド起重加のオプション・スイッチを指定し $ scp keiichi@host—a:test . txt test. txt 名と異なる場合、明示的にユーザー名を指定します。 host-a でのユーサー名がローカル計算機でのユーサー $ scp host—a:test. txt test . txt 次のように scp コマンドを起動します。ンドでファイルをコピーするときに、いちいちパスフレースフレーズの入力は煩わしいものです。とくに、 scp コマ鍵のセキュリティを高めるものと分かってはいても、パパスフレーズの自動入力たファイルをコピーします。す。正しく入力すると、暗号イし甬信路か確立さ指定し scp コマンドを起重丿けると、パスフレーズを訊いてきま 66 ズを入力しなければならないのばです。 SSH では、ユーザーの秘密鍵を保持するエージェント・プログラムによって、この煩わしさを鮹肖します。工ージェントの起動工ージェントを起動するコマンドは ssh-agent です。図 9 に書式を示します。 ssh-agent コマンドは、 ssh コマンドや scp コマンドと通信するためのソケットを作り、各コマンドからの秘密鍵取得要求を待ち受けています。 ssh は SSH- AUTH-SOCK という竟変数から ssh-agent の通信ソケットを取得します。ですから、 ssh などのコマンドを起動庁る前に、適切に環境変数か設定されていなけれはなりません。次の 2 つのガ去のどちらかを用いて設定します。・ ssh-agent のサフフ。ロセスとしてコマンド ( 通常はシェル ) を起重丿庁る。・ ssh-agent の出力を詔面する。前者のガ去を使う場合、たとえは次のようにコマンドを実行します。 $ ssh—agent tcsh tcsh が ssh-agent のサププロセスとして実行され、 ssh-agent か設定した竟変数を受け継ぎます。ふだん X ウインドウを使っているのであれば、 $ ssh—agent startx とす川まよいでしよう。後者のガ去を使う場合は、次のようにします。 $ eval ( ssh-agent サフフ。ロセスとして起動するコマンド名を与えすに実行すると、 ssh-agent コマンドは環竟変数を言定するためのシェルコマンドを出力します。図 10 に実イ列を示します。 ssh-agent コマンドは、ユーサーのシェルが B シェル系か C シェル系かを判別し、適切な書式で環竟変数を設 UNIX MAGAZINE 1998.7