セキュリティ - みる会図書館

1. UNIX MAGAZINE 1999年2月号

Cornp アソシェーション (IPCA) と、 IPCA て利用される折衝手法のいくつかを定義している。 IPComp のバケットは、 IP ヘッタのあとに IPComp ヘッダか読く形式となっており、それに続いて元のペイロードかⅱ引されたかたちて含まれる。 RFC2393 でばイと暗号化についても言及しており、 IPsec との ; 叫秀も視野に入れている。 RFC2394 旧 Payload Compression Using DEFLATE DEFLATE アルゴリズムを利用した旧ペイロード圧縮 fo. 、 R. Pereira IPComp において DEFLATE 月アルゴリズムを利用する方法を定義している。、、広報 (lnformational)" として 1998 年 12 月に公開された。 DEFLATE は、 PKZIP や gzip て利用されているフリーな日引アルゴリズムで、現在ひろく普及している。 RFC2395 旧 Payload Compression Using LZS LZS アルゴリスムを利用した旧ペイロード圧縮 fo. 、 R. Friend 他 IPComp において LZS ) 三詹宿アルゴリズムを利用する方法を定義している。、、広報 " として 1998 年 12 月に公開された。 LZS は、 Hi / fn で開発されたスライディング・ウインドウ型の一行縮プロトコルである。詳細は ANSI X3.241- 1994 で定義されている。 IP 関連 ( 一般 ) RFC2469 A Caution On The Canonical Ordering Of Link-Layer Addresses リンク層アドレスの票勺な川に関する警告 fo. 、 C. Burton 他 ARP や爾架索 ( ND ) のような、リンク層アドレスを含むプロトコルにおける正規形式表現に関連した警告である。、、広報 " として 1998 年 11 月に公開された。 ARP や ND にはリンク層アドレスを含むデータフィールドか存在する。正しい相々漣用のためには、受信側がこのようなフィールドからこれらのビット列を抽出して正しく解釈できることを、送信側でイ正しなけれはならない。たいていの場合、このようなフィールドは、、規形式 (canonical form)" となっている。しかし、 LAN アダフ。タについてはこれらのフィールドの利用に関する一貫性は 142 イ正されておらす、個別の実装でピット列を反転するといった処理が必要なのか伏である。 RFC2469 の目的は、正規形式か要求されていても非正「彡式となってしまうようなケースを本黶色するための実装上の手助けをすることである。 IP セキュリティ関連 (AH/ESP/ 鍵配送 ) RFC2401 Security Architecture for the lnternet Pro- tocol 旧におけるセキュリティ・アーキテクチャ PS. 、 S. Kent 他 ( RFC1825 置奐 ) IP (lnternet Protocol) におけるセキュリティ機能全体のアーキテクチャを定義している。現在の状態は、、標準イ是唱 " である。 RFC1825 を置き換える RFC として 1998 年 11 月に公開された。 RFC2401 では IPv4 と IPv6 の双方を扱っている。 IP 層におけるセキュリテを冓のあり方から、柤墳こ通信するための信にまで触れている。以下の田については、個々の RFC を参照することか望ましい。・セキュリティ・プロトコル群 : AH ( 認証ヘッ夘、 ESP ( カプセル化セキュリティ・ペイロード ) セキュリティ・アソシェーション健管理 : IKE ( インターネット鍵交換 ) 、 ISAKMP ( インターネットセキュリティ・アソシェーションおよび鍵管理フ。ロトコル ) 暗号化およひ認証に用いられるアルゴリズム RFC1825 からの変更点は 12 章にまとめられている。各を以下に示す。「 RFC2401 で定義されているアーキテクチャは、 RFC 1825 とくらべてかなり変更されている。しかしその大部分は細部と構成に関するもので、基本的な部分は変わっていない。 RFC2401 では仕様に適合させるために細部を詰めており、 SPD と SAD 、 SA 選択を導入した。新しい AH と ESP はこれらの点で前バージョンと異なっている。 AH と ESP の組合せにおいて、 PMTU 管理をサポートするための要求仕様カ噺たに追加された。さらに、米国政府の SP3 セキュリティ・プロトコル、 swIPs セキュリティ・プロトコルとして提案されている ISO/IEC UNIX MAGAZINE 1999.2

2. UNIX MAGAZINE 1999年2月号

Bookshelf 『 Pe リソースキット UNIX 版』『情報アーキテクチャ入門』・ Nathan Patwardhan 、 Braian Jepson 、・ Louis Rosenfeld 、 peter MO ⅣⅢ e 共著 EIIen Siever 、 David FutatO 、 Clay Irving*R 著・篠原稔和監訳・收之瀬みどり、長谷川智可訳・山本浩、イエローレーベル訳・オライリー・ジャパン・オライリー・ジャパン・ B5 判変型、 228 ヘージ・ B5 判変型、 247 + 318 ヘージ・ 2 , 300 円・ 15 , 000 円・ 1998 年 12 月 31 日・ 1998 年 11 月 20 日 Perl や CPAN などのインストール、 JPL の使い方などを情報アーキテクチャという観点から Web サイトの構築解説した「 Perl ユーティリティガイド」、 CPAN を用いたについて解説した書。情報アーキテクチャの概要、組織化プログラミングを説明した「 Perl モジュールプログラミンされた情報構造の構築法、ナビゲーション・システムやラグ」、 CPAN モジュール群や JPL 、各モジュールのリファべリング・システム、検索システムの設計法、サイト構築レンス・マニュアル (HTML) を収録した CD - ROM で構にあたって考慮すべきさまざまな要素、制作工程の概観、成。 Solaris 2.5 (SPARC 版 ) 以上、 Linux 2.0 以上に対応。実例紹介などの章で構成。『 TCP / 旧ネットワーク管理第 2 版』『入門 bash 第 2 版』 0. ツ UNIX EDITION 信報アキテクチャー入門 Perl ウエプサイトとイントラネットの第・ 0 宿を 0 REILLY TCP/IP 門ネットワ - ク管理第 2 版・ Cameron Newham 、 Bill Rosenblatt 共著・ Craig Hunt 著・村井純監訳・安藤進訳・ QU 旧 U LLC 訳・オライリー・ジャパン・オライリー・ジャパン・ B5 判変型、 341 ページ・ B5 判変型、 612 ページ・ 5 , 800 円・ 3 , 200 円・ 1998 年 11 月 28 日・ 1998 年 9 月 19 日第 1 版の内容を最近の情報に合わせて改訂し、新技術な bash の全般的な解説書。 11 章構成で、 bash の概要、コどに関する記述を追加。基礎編、応用編、参考資料編に分マンドヒストリ機構、環境のカスタマイズ、シェル・プログラミングの基本、フロー制御、コマンド行オプションとかれ、 TCP / IP とサービスの概要、ネットワーク運用に必要な各種ソフトウェアの設定手順とトラブル・シュー変数、入出力、プロセスの操作、デバッグ、管理者向けのティングやセキュリティ対策、情報収集法、重要なコマン情報、入手法とシステムへのインストールなどを扱ってドのリファレンスなどを紹介。いる。『プログラミング言語 C 十十第 3 版』『 UNIX & インターネットセキュリテイ』 ~ 義ー第をまコロク等ミング言語第 3 版 UNIX & インターネットセキュリティ・ Simson GarfinkeIsGene Spafford 共著・ Bjarne Stroustrup 著・山口英監訳・谷口功訳・長尾高弘訳アジソン・ウェスレイ・ / ヾブリッシャーズ・ジャ / ヾン・オライリー・ジャパン・ B5 判変型、 944 ページ・ B5 判、 1 , 031 ページ・ 7 , 500 円・ 7 , 000 円・ 1998 年 12 月 31 日・ 1998 年 11 月 30 日 UNIX システムのセキュリティ機能を詳細に解説し、コ 1 ~ 3 章では C + + 言語とサポートするプログラミング・ンピュータを保護するための設定・管理法を紹介。 6 部 ( 26 スタイル、 C + + 標準ライプラリの概要を述べ、 4 ~ 9 章で章 ) 構成で、セキュリティ・ポリシーの重要性、セキュリ組込みデータ型と基本機能を紹介。 10 ~ 15 章は C + + にティに関連する基本的な項目や各種機能、技術の解説、セよるオプジェクト指向プログラミング、ジェネリック・プキュリティを高めるための具体的な設定や対処法、ツーログラミング、 16 ~ 22 章は C + + 標準ライプラリ、 23 ~ ルの紹介などに分かれる。 25 章はソフトウェアの設計、開発の問題を扱っている。 140 UNIX MAGAZINE 1999.2

3. UNIX MAGAZINE 1999年2月号

・ロ・じ 3. ESP の処理 3.1. ESP ヘッダの位置 3.2. アノレゴリズム 3.3. 帯域タレヾケットの処理 3.4. 帯域内バケットの処理 4. 検証 5. ま樹処にあたっての要求事項 6. セキュリティに関する考察 7. RFC1827 からの変更点 RFC2407 The lnternet Security Domain of lnter- pretation forlSAKMP ISAKMP Ⅲセキュリティ DO Ⅱ旧 sec DO り PS. 、 D. Piper ISAKMP における IP セキュリティ DOI ( 解釈ドメイン ) を定義している。現在の状態は、、標準化への提唱 " である。 1998 年 11 月に公開された。 RFC2408 で定義されている ISAKMP のフレームワークは、 DOI に伺髄する交換、ペイロード、処理ガイドラインて構成されている。 DOI は、 ISAKMP を利用したセキュリティ・アソシェーション ( SA ) 折衝憫連のプロトコルをまとめるのに使われる。 DOI を共有するセキュリティ・プロトコルは、共通の名前空間からセキュリティ・プロトコルおよひ部号化トランスフォームを尺し、鍵交換プロトコル識別子を共有する。また、 SA およひ識別 (ldentification) ペイロードを含む DOI 仕様ペイロードデータのコンテンツの解釈を共有する。 ISAKMP は、 DOI の定義にあたって以下の事項を要求している。・ DOI 特有のプロトコル識別子用の名前付け機構を定義する。状態 (Situation) フィールド用の角得 ( を定義する。・適切なセキュリティ・ポリシー群を定義する。・ DOI 特有の SA 属性 ( 第Ⅱフェーズ ) 用の文法を定義する。・ DOI 特有のペイロード・コンテンツ用の文法を定義する。・必要であれば、付加的な鍵交換タイプを定義する。 UNIX MAGAZINE 1999.2 RFC ダイジェストー・必なら、付加的な通知メッセージタイプを定義する。 RFC2407 では、これらの IPsec を利用して IP バケットの情報の認証や保全蹶機密性を提供する際に要求される事項について詳述している。また、 IP が ISAKMP を利用して SA 折衝をおこなう実例を挙げながら、 IPsec DOI を定義している。 RFC2408 lnternet Security Association and Key Man- agement Protocol (ISAKMP) 旧 AKMP : インターネットセキュリティ・アソシェーションおよび鍵里プロトコル PS. 、 D. Maughan 他インターネット上でセキュリティ・アソシェーション (SA) の確立と暗号鍵交換をおこなうためのプロトコルである ISAKMP を定義している。現在の状態は、、標準化ヘク片是唱 " である。 1998 年 11 月に公開された。 ISAKMP は、 SA プロトコルと鍵管理プロトコルから構成される。前者は、 SA の折衝、確立、更新、削除をおこなう。後者は、インターネット・本に対する公開鍵の生成や、プライベート・ネットワーク用の秘密鍵の要求を扱う。 ISAKMP は認証および鍵交換用フレームワークを提供するだけで、認証や鍵交換を定義するものではない。また、多くの鍵交換樹冓をサポートできるように、鍵交換樹冓に依存しない言 t となっている。 RFC2408 で定義される内容は以下のとおりである。・通信をおこなう対向の認証処理・ SA の生成と管理多匙に成手法・ ( サーピス不能攻撃や系お区し攻撃などによる ) 脅威の緩 RFC2409 The lnternet Key Exchange (IKE) IKE : インターネット鍵交換 PS. 、 D. Harkins 他インターネット上での鍵交換プロトコルである IKE を定義している。現在の状態は、、標準化への提唱 " である。 1998 年 11 月に公開された。 IKE は、 IPsec DOI 用の AH や ESP などにおけるセキュリティ・アソシェーションの認言ⅱ鍵を得るために用いられる鍵交換プロトコルである。 ISAKMP ( RFC2408 ) 145

4. UNIX MAGAZINE 1999年2月号

の NLSP 、 SNMP および SNMPv2 におけるセキュリ RFC2401 の目次を以下に示す。ティの成果などから、多くの概念が導入された」 3.3. IPsec の利用範川 3.2. IPsec の重川 3.1. IPsec とは ? 3. システムの各 2.2. 警告およひ前提 2.1. 目標 / 指釗・ / 要求 / 間題に関する説明 2. 言気 1 指針 1.3 勵吏文書 1.2 対象読者 1.1 概要 1. 導入 4. セキュリティ・アソシェーショ 4.1. 定義と守備範用 4.2. セキュリティ・アソシェー 4.3. セキュリティ・アソシェーションの結合 4.4. セキュリティ・アソシェーション・データーベース 4.5. セキュリティ・アソシェー 4.6. SA および健管理 4.7. セキュリティ・アソシェーションとマルチキャスト 5. IP トラフィック処理ションの屮材く糸吉合 5.2. 帯域内 IP トラフィック処理 5.1. 帯域外 IP トラフィック処理 8.3. セキュリティ・アソシェーション・データベース 8.2. 機密陸の一貫性チェック 8.1. セキュリティ・アソシェーションと情報機密性のでの利用 8. 情報フロー・セキュリティをサポートしているシステム 7. 検証 6.1. PMTU/DF 処理 6. (IPsec に史する ) ICMP 処理ンションのオ幾育皀の MLS 付加属性 8.6. セキュリティ・ゲートウェイの MLS 処理 8.5. MLS ネットワークにおける帯域外処理ステッフ 8.4. MLS ネットワークにおける帯域内処理ステッフ 9. 性能 UNIX MAGAZINE 1999.2 RFC ダイジェストーの 10. 準拠にあたっての要求事項 11. セキュリティに関する考察 12. RFC1825 からの変更点 RFC2402 旧 Authentication Header AH コ P 認証ヘッタ PS. 、 S. Kent 他 ( RFC1826 置換 ) られてはいたが、 RFC2402 では AH の標準信 : 様とな・トンネルモード AH については RFC1826 でも触れれるようになった。・ IPv4 と IPv6 の双方における AH 配置の例か胱示さ 0 ・ AH か除外する IPv4 ヘッダフィールドの詳細を規定日埆寉化された信は以下のとおりである。ことか挙げられる。か含まれるようになった新たに OFFSET フィールドと FLAGS フィールド・ ICV の調面から除外される IPv4 ヘッダフィールドにして MD5 や SHA-I を用いた HMAC に変更されたる。セキュリティ上の理由で、暙号化アルゴリズムと・デフォルトのアルゴリズムには相互運用性が必要であれた送が必彡発頁となり、その定義は RFC2402 に統合さ・サービス反復攻撃に対・応するためのシーケンス番号の配具勺な変更点としては、ことである。 AH の基本的な規定はそのままである。・糸碚に関する規定を追加し、信様を明確にするの定義は他の RFC でおこなう ) ・ AH の完全なフレームワークを提供する ( アルゴリズム変更された。変史の目的は、 RFC2402 では、 RFC1826 からいくつかの重要な点がに褪刪各を示す。 7 章に、 RFC1826 からの変更点が記されている。以下 AH の言岩田については他の文献を参照してはしい。年 11 月に公開された。唱 " である。 RFC1826 を置き換える RFC として 1998 ヘッダ ) を定義している。現在の状態は、、標準化への提 IP に認証機構を導入するために用いられる AH ( 認証った。 143

5. UNIX MAGAZINE 1999年2月号

UNIX Communication Notes 山口英ネットワーク管理 ( 12 ) アカウント管理ホスト・セキュリティの保全策と、ネットワーク竟固有の対策の両方が必要になるかのスタンドアローンでの UNIX の運用時に求められる対テムは、標準でネットワーク機能を備えているため、従来す場合にもそれなりの手間がかかる。去も丘の UNIX シス UNIX システムでは、最低限のセキュリティ対策を施ネットワークを利用する / しないにかかわらず、 UNIX ますホスト・セキュリティの保全方法から考えてみる。こでは、をネットワーク・セキュリティの保全と呼ぶ。らだ。ー殳に、前者をホスト・セキュリティの保全、後者目標 14 上記の目標を実現するためには、何を実行しなければならないか氏限の条件として一 1 記の 3 つに絞って考えていく。こでは大部分の UNIX システムに共通するしにくいので、ればならないだろう。しかし、サイト固有の事情などは一 - 搬化て変わる。ポリシーによっては、より多くの条件を満たさなけもちろん、これらの条件はセキュリティ・ポリシーによっ注意 1 低限の目標とする。こでは、上記の 3 つの条件をセキュリティ保全の最・権限のないユーザーが、システムの運用状態を変更しな・システムか管理者の意図どおりに動く竟を構築する。・あるユーサーの行動が他のユーサーに景斧与・えない。必要がある。システムにおけるセキュリティ保全は以下の条件を満たす・アカウント管理ファイルとファイルシステムの設疋・個人工竟の設定を適切におこなわなければならない。今回は、管理について角見する。アカウント管理 UNIX でのセキュリティ管理の第一歩は、アカウントューサーを特定するためにアカウントを作成し、適切なパスワードを設定して運用することである。アカウントの作成 UNIX を利用するときは、どのような場合でもユーザ・アカウントはかならす作るべきである。たとえは、ラップトッフ PC に UNIX を入れて使用する場合、 PC の所有者はそのシステムの唯一のユーサーであり、同時に管理者であることが多い。このようなときに、ユーサー・アカウントを作らす、管理者用のアカウント root を耐妾使うューサーもいるかもしれない。しかし、これは間違った考え方である。かならず、ユーサーごとに割り当てられたアカウントを作成しなけれはならない。 root (UID/GID = 0 / 0 ) は特別なアカウントである。 root にはなんの制限もなく、ファイルの生成・削除、プロセスの生成・消去が自由におこなえる。したがって、不注意によって重要なシステムファイルを消してしまったり、それまでの定を無効にしてしまうことがある。これらの事故を防ぐためにも、通常は犲在のないユーサー・アカウントを使い、本当に root 特権が必要なときだけ su コマンドを実行して root の権限を入手するようにすべきである。 UNIX MAGAZINE 1999.2

6. UNIX MAGAZINE 1999年2月号

テッノロン一のを Cook s 入門 SC 翡 Oracle8 標準 SQL ガイド OracIe8 テータベース入門 0 データベース入′ 1 インストール編インストール編第 4 版山田精一、菅原剛著 C. J. Date 、 Hugh Darwen 著 B5 判 / 356 ペーシ QUIPU LLC 訳本体価格 3 , 000 円 B5 判 / 516 ペーシ本体価格 6 , 000 円標準 RDBMS として、広く利用されている OracIe 。そさまざまな日 DB 製品の基本言語である SQL の公式の 0 「 ac テータヘースのインスト - ルから管理まで規格 SQ し 92 について詳細に解説し、 1995 年に追加をやさしく解説。つますきがちなインストールも一歩された SQ し CLI についても最新情報収録。また、ア一歩丁寧に解説します。これから 0 「 acle を始める人プリケーションプログラムから SQL を利用する方法に最適な一冊 ! についても詳細に解説。 0 「へ CL€ S Q L 標準規格準 SQ しガイド改訂第 4 版 PDF 版 1 , 050 円 ( 税込 ) で発売中 ! ! digital ascii く http:″www.arcs.ne.jp/da/〉でお買い求めいただけます。 Web テクノロジー Web テクノロジー Web セキティ当 web セキュリティガイド 0 Lincoln D. Stein 著株式会社クイック訳 B5 変型判 / 544 ページ Web のセキュリティの基礎知識から、セキュアサーバーの具体的な運用方法までを詳細に解説。ドキュメントの機密性、クライアントサイドのセキュリテイ、サーバーサイドのセキュリティ、 Web マスターシステム管理者必携の実践書。 Cookies 入門 Simon St. Laurent 著株式会社クイック訳 B5 変型判 / 400 ペーシ本体価格 4 , 800 円 cookie の概要やプラウザでの制御方法から、クライアントサイドでの cookie スクリプト、サーバーサイドでの cookie アプリケーションについて解説。さらに、 CGI, Active Server Pages 、 Java での cookie の応用についても紹介します Web サーバー管理 Lotus Notes LOtus NOtes 工ンサイクロへディア vol.4 インターネット / イントラネット編福田裕一著 B5 判 / 424 べーシ本体価格 4 , 500 円グループウェア構築ツールから Web アプリケーション開発ツールへと進化してきたロータスノ - ツ。ノーツやノーッドミノで Web アプリケーションを開発する方法を、製品 Q&A DB や営業履歴 DB などの実例とともにわかりやすく解説ハ c わ e Apache HTTP サーバの構築こかよういちろう著 A5 判 / 360 ページ /CD-ROM 付属本体価格 3 , 600 円 HTTP サーパソフトで最も大きなシェアを持つ Ap ache を使用して HTTP サーバを構築。 Apache のインストールからセキュリティ対策や P 「 oxy サービスをはじめとした運用管理についてわかりやすく解説。 Apache 本体および機能拡張モジュールなどを収録した CD - ROM 添付。新刊 L 鵬 N( え器工ンサイクロペプ 4 PC UNIX PC UNIX . カ 1 ク ) ミンク Linux プロクラミンク LinuxO MichaeI K. Johnson 、 Brik W. Troan 著株式会社クイック訳 B5 判 / 496 ページ本体価格 5 , 800 円今話題の Linux で利用可能なプログラミングッールの使用法や、プロセスモテル、ファイル操作、シグナル処理、各種ライブラリなどの広範な話題を豊富なサンプルを使って解説。この 1 冊で Linux プログラミングをすべて把握 ! 3 聞日 SD ソースコートシリース 0 カーネルソースコードの秘密 386BSD カーネルソースコードの秘密 William Frederic JO ⅱレ、 Lynne GreerJolitz 著吉川邦夫訳 B5 変型判 / 588 ペーシ本体価格 5 , 200 円 PC UNIX の先駆けである 386BSD のカ - ネルソースコードを開発者自ら詳細に解説。 CPU 固有のプリミテイプ、カーネル内部サービス、プロセスのライフサイクル、証明と特権など近代オヘレーテイングシステムの実装技術を余すところなく収録。企業内研修・引用によるカスタムメイト・ OEM 供給に関してのお問い合わせ先 . 法人営業担当 ( 03 ) 5351-8640 ・表示価格は消費税を含みません。・本製品は書店および書籍を扱っているパソコンショップでお買い求めください。・品切れの際は書店にてこ注文いただくか、通信販売をこ利用ください。・通信販売のお問い合わせ先株式会社アスキーイーシー電話 ( 03 ) 5351-8202 http://www.arcs.ne.jp/direct/ 386BSD 新刊を川第を・ 0

7. UNIX MAGAZINE 1999年2月号

RFC ダイジェストーの表 1 今月紹介した RFC IP ( 圧縮 ) RFC2393 IPComp: IP ペイロード日プロトコル RFC2394 DEFLATE アノレゴリズムを利用した IP ペイロード日旨 RFC2395 LZS アルゴリズムを利用した IP ペイロード日 IP ( 一般 ) リンク層アドレスの標純勺な刪茅に関する警告 RFC2469 IP セキュリティ RFC2401 RFC2402 RFC2403 RFC2404 RFC2405 RFC2406 RFC2407 RFC2408 RFC2409 RFC2410 RFC2411 RFC2412 RFC2451 IP におけるセキュリティ・アーキテクチャ AH : IP 認証ヘッダ ESP および AH における HMAC-MD5-96 の利用 ESP および AH における HMAC-SHA-I-96 の利用 ESP における明示的衫琪月化べクタを用いた DES-CBC 暗号化アルゴリズム ESP : IP カフ。セル化セキュリティ・ペイロード ISAKMP IP セキュリティ DOI (IPsec DOI) ISAKMP : インターネットセキュリティ・アソシェーションおよび裔理プロトコル ESP CBC モード暗号化アルゴリズム OAKLEY : 健決定プロトコル IP セキュリティ勵里文書のロードマップ NULL 暗号化アルゴリズムと IPsec における利用 IKE : インターネット鍵交換クライアントによっては、 POP3 サーバーの機能を利用するための手動設疋オプションを用意している。従来、単純なプロトコルであるということが POP3 のきわめて重要な特徴であり、才長は少ないはうがよいと思われてきた。しかし去も匠では、セキュリティの矼 E など、いくつかの拡張が必要となってきており、状況によっては、その他のカ刻長も要求されるようになっている。そのような流れのなかで、サーバーの挙動を検出する手段の必要性か検討されてきた。 RFC2449 は RFC1939 を更新するもので、オプショナル・コマンド、拡張、無条件のサーバー挙動のサポートを通知するための機構を定義している。 RFC2449 では、初期の段階から定義されていた各種の機能のなかで、サーバーの実装によって異なってしまっている機能に加えて、 SASL 、 RESP-CODES 、 LOGIN-DELAY 、 PIPELINING 、 EXPIRE 、 IMPLEMENTATION などの新しい機能を扱っている。さらに・計算機か斤可能な形式で渡せるように POP3 ェラーメッセージを刻長・応答コード群の定義・ POP3 コマンドおよびその応答の ABNF 仕様の定義が含まれている。 UNIX MAGAZINE 1999.2 そ也 153 術である。、、広報 " として 1998 年 11 月に公開された。について説明している。これは AT&T/Lucent の特許技させ、バケット消失耐性か高い映像伝送をおこなう技僻て、重要な情報を伝達しているセグメントの信頼を 1 上 ) 御央像伝送をおこなっているビットストリームにおい fo. 、 M. CivanIar 他 AT&T によるエラー而對生の高い象イ鎹技術 Sion Technique RFC2448 AT&T's Error Resilient Video Transmis- 用いている。ている SCSP ( サーバー・キャッシュ同期プロトコル ) をバーのデータベース間の同期には、 RFC2334 で定義され分散化させるガ去を定義している。 LIS 内の MARS サー RFC2443 では、 LIS 内において MARS サービスを公開された。ガ去を説明している。、、実験的 " として 1998 年 11 月に単一の LIS の範囲内で MARS サービスを分散化する Exp. 、」 . Luciani 他 SCSP を利用した分散 MARS サービス RFC2443 A Distributed MARS Service Using SCSP

8. UNIX MAGAZINE 1999年2月号

理やセキュリティ・レベルとのインタラクションについての言磊義は、セキュリティ・アーキテクチャに関する文書に移管した。 RFC2403 The Use of HMAC-MD5-96 within ESP and AH ESP および AH における HMAC-MD5-96 の利用 PS 、、 C. Madson 他 ESP および AH において利用される鍵付き認証機構である HMAC-MD5-96 を定義している。現在の状態は、、標準化への提唱 " である。 1998 年 11 月に公開された。 HMAC ( RFC2104 ) は秘密臨忍言正アルゴリズムで、メッセージダイジェスト・アルゴリズムと組み合わせてメッセージの認証をおこなう。 HMAC-MD5 は、メッセージダイジェスト・アルゴリズムとして MD5 ( RFC1321 ) を利用したものである。 HMAC-MD5-96 は、 RFC2104 で定義されている HMAC-MD5 の鍵長を 96 ビットとしたものである。 RFC2404 The Use of HMAC-SHA-1-96 within ESP and AH ESR および AH における HMAC-SHA-1-96 の利用 PS. 、 C. Madson 他 ESP および AH において利用される鍵付き認朝財冓である HMAC-SHA-I-96 を定義している。現在の状態は、、標準化への提唱 " である。 1998 年 11 月に公開された。 HMAC-MD5-96 ( RFC2403 ) のメッセージダイジェスト・アルゴリズムを SHA-I に置き換えた方式を定義している。 RFC2405 The ESP DES-CBC Cipher AIgorithm With Explicit Ⅳ ESP における明示白刀期化べクタを用いた DES-CBC 暗号化アルゴリズム PS. 、 C. Madson 他 ESP の機訂尉寺機構として、 Explicit IV を用いた DES-CBC 暗号化アルゴリズムを利用する去を定義している。現在の状態は、、標準化へ窈是唱 " である。 1998 年 11 月に公開された。 DES-CBC はプロック型の対称型秘密鍵暗号化アルゴリズムである。 DES-CBC では明示的な初期化べクタ (Explicit (V) を必要とする。 RFC2405 は、ネ川月べクタ 144 を含んだかたちで DES-CBC により暗号化された ESP を構成する方式を定義している。 RFC2406 Ⅲ Encapsulating Security PayIoad (ESP) ES P : 旧カプセノヒセキュリティ・ペイロード PS. 、 S. Kent 他 ( RFC1827 置奐 ) IP における機生イ尉寺や転送元認証、区し攻撃防止に利用される ESP ( IP カフセル化セキュリティ・ペイロード ) を定義している。現在の状態は、、標準化への提唱 " である。 RFC1827 を置き換える RFC として 1998 年 11 月に公開された。 ESP の言田については他の文献を参照してほしい。 RFC1827 からの変更点は 7 章にまとめられている。以下に褪各を示す。「 RFC2406 には、 RFC1827 からのいくつかの重要な変更点が含まれている。 RFC1827 ではイ兼のタ朽投部分しか提供しておらす、トランスフォームを定義することで完全なものとなるようにされていた。これに対し、 RFC2406 では ESP の完全なフレームワークとコンテキストの定義を試みている。トランスフォームの増加は、 ESP の仕様をさらに完全なものとして再定義するきっかけとなった。すなわち、 ESP のコンテキストて提供されると思われるセキュリティ・サービスのオプションを含めている。したがって、以前トランスフォームに関する文書で定義されていたフィールドは、 ESP の基本イ士様の一にとなった。たとえは・、認証 ( や縄区し攻撃防止 ) のサポートはオプションて提供されるサーピスだが、そのために必要なフィールドは RFC2406 で定義されている。暗号化のためのパディング・サポートや次プロトコル識別用のフィールドもい犲兼で、これらのフィールド定義を含むバケットの処理が矛盾なくおこなわれるようになっている」 RFC2406 の目次を以下に示す。 1. 導入 2. ESP のノヾケット・フォーマット 2.1. セキュリティ・パラメータ・インデックス (SPI) 2.2. シーケンス番号 2.3. ペイロードデータ 2.4. ノヾディング 2.5. パッド長 2.6. 次へッダ UNIX MAGAZINE 1999.2

9. UNIX MAGAZINE 1999年2月号

ーディスク資源の消費一言 fr 算機の異常停止さらに、次のような害を受けることもあります。受けるー非難メールへの対応によって、精神的なダメージをー悪評がひろまるーメール酉当医サーバーの設疋の甘さを孑商される —SPAM メール発信者と早される・他サイトからの非難 —postmaster の作寺 = 間の浪費す、メールヘッダの From 行に自分のサイトのドメイ・実際は他サイトの計算機を悪用しているにもかかわらー精神的なダメージを受けるー悪評がひろまる受け取る —SPAM メールの発信者と早され、非難のメールをー大量のエラーメールを受け取るン名を使われる UNIX MAGAZINE 1999.2 ・ http://www.jpcert.or.jP/ⅲf0/97ー0001/ ー・ド記の URL から入手できます。っておこなわれたという報告が出ています。この報告は、日本でも sendmail に対する攻撃がきわめて ) 囲にわた JPCERT/CC ( コンピュータ緊急対応センター ) から、れることもあります。を盗まれたり、最悪の場合は言 fr 算機の管理者権限を盗まが悪用さオ L 、外部から侵入されたり、計算機十 . のファイルバー・プログラムに存在するセキュリティ上の弱点電子メール酉医プログラムへの攻撃こなうことて解決できます。プログラムを導入し、さらに不正中継を防止する設定をおこの出題は、不正中継を防止する機能をもつサーバー性があることに注意してください。なメールサーバーを起動した瞬間から攻撃される危険係です。とくに、現在はネットワーク経由でアクセス可能メール中継に利用されるサイトは送信元や送信先とは無関たとえ SPAM メールの宛先が海外であったとしても、この報告によると、攻撃は 1996 年末から 1997 年の年始にかけて、 sendmail の旧いバージョンである R5 を狙って無差別におこなわれたようです。この攻撃に使われたのはまさしく、、古典的 " な手法の 1 つで、 ( そんなものべあーるとすれ : の一一クフッカ→交の歴史の教科書に載うなものでした。もちろん、その攻撃への対策も以前から公開されていますし、現在ひろく使われている sendmail 8. x. x では成功しません。そのようなこともあって書状況の言岩田は明らかではありませんが、わざわざこのような手法が使われたのですから、その程度の攻撃にさえ対処できないサイトがあるのは間違いないでしよう。さらに、古典的ではあっても、依然としてそのような手法が利用さ変も使われ続けるであろうことは想像に難くありません。この件に関して JPCERT/CC が発行した「緊急のお知らせに関する届出件を見ると、日本のインターネットでも大規模な不正アクセスがおこなわれていることがはっきり分かります。これまでセキュリティに関心のなかった人たちに竹童を鳴らす意味では、よい教訓になったかもしれません。 sendmail については、こオ・し以外にも過去にいくつかのセキュリティ・ホールが発見されています。これらに関しては、米国の CERT/CC から下記の CERT Advi- sory が発行されています ( 1996 年以前のものは割愛しました ) 。なかには、攻撃に成功すると管理者権限が盗まれるものもあるので、旧いバージョンの sendmail を使用している場合は、これらの Advisory を読むことをお勧めします。・ CA-96.20. sendmail-vul ・ CA-96.24. sendmail.daemon. mode ・ CA-96.25. sendrnail-groups ・ CA-97.05. sendmail CA ー 98.10. mime-buffer-overflows sendmail のセキュリティ上の問題の大半は、 sendmail を引斤版にアップグレードすれは解決できます。電子メールの設定計画導入作業にとりかかる前に、いて引画を立てます。電子メール珥せ竟の設正につ 25

10. UNIX MAGAZINE 1999年2月号

とともに用いら OAKLEY や SKEME などの鍵交換手法を内部で利用している。 SKEME は、 1996 年に IEEE のシンポジウムで発表された広い用途をもつ鍵交換手法で、匿名性、否認蹶高速な鍵更新を提供する。 RFC2410 The NULL Encryption Algorithm and lts Use With lPsec NULL 暗ヒアルゴリズムと lPsec における不堋 PS. 、 R. Glenn 他 IPsec において、何もしない (NULL) 暗号化アルゴリズムを利用するガ去を定義している。現在の状態は、、標準化への提唱 " である。 1998 年 11 月に公開された。 NULL 暗号化アルゴリズムは、暗号的にはなんの処理もおこなわないため、きわめて高速である。 ESP に NULL 暗号化アルゴリズムを組み合わせると、情報の機密性以外の ESP 機能 ( 認証、保全性 ) だけを利用することかできる。 RFC2411 旧 Security Document Roadmap Ⅲセキュリティ関連文ロードマップ fo. 、 R. Thayer 他 ESP や AH といった IP セキュリティ盟連文書のロードマップを示している。、、広報 " として 1998 年 11 月に公開された。 RFC2411 で扱う内容を示すために目次の概略を挙げる。 2. IPsec 里文書の相関係 3. 鑓連文書 4. アルゴリズム里文書における推奨事項 4.1. 暗号化および認証アルゴリズム 4.2. 暗号アルゴリズム 4.3. 認証アルゴリズム 5. セキュリティに関する考察 RFC2412 The OAKLEY Key Determination ProtocoI OAKLEY . 鑓プロトコル fo. 、 H. Orman IPsec て利用される鍵交換プロトコルの OAKLEY を定義している。、、広報 " として 1998 年 11 月に公開され 146 、一 0 OAKLEY は Diffie-HeIIman (DH) 鍵交換アルゴリズムと、共通秘密鍵を利用して鍵交換をおこなう。 RFC 2412 では、 OAKLEY がこれらのアルゴリズムを用いて鍵交換をおこなう手法 ( 、、モード " と呼ばれる ) を定義している。各鍵交換カ甘是供するサービス ( 鍵に対する完全な先行機生、同一お夐、認証など ) についても詳述している。 RFC2451 The ESP CBC-Mode Cipher AIgorithms ESP CBC モード暗号化アルゴリズム PS. 、 R. Pereira 他 ESP で CBC モードの暗号化アルゴリズムを利用するガ去を定義している。現在の状態は、、標準化への提唱 " である。 1998 年 11 月に公開された。すべての対称型プロック暗号化アルゴリズムには、状態、鍵長、低機密性鍵、プロック長、ラウンドといった共通窈罸生および変数が存する。 RFC2451 では、 ESP て坏リ用される Blowfish 、 CAST-128 、 3DES 、 IDEA 、 RC5 といったプロック毖部号化アルゴリズムについて、れらの変数を日寉に定義している。 IPv6 関連 RFC2450 Proposed TLA and NLA Assignment Rules TLA および NLA の割当て方式に関する提案 fo. 、 R. Hinden IPv6 のアドレス割当てにおける TLA ID (Top-LeveI Aggregation 、識別子 ) および NLA ID (Next-Level Aggregation 識別子 ) の割当てガ去について説明している。、、広 ll" として 1998 年 12 月に公開された。 IPv6 は IPv4 とくらべて広大なアドレス空間をもち、アドレス・アーキテクチャも大きく異なる。 RFC2450 は、 IPv6 のアドレス割当てについて、技術的 / ポリシー的な面から考察している。 RFC2460 lnternet ProtocoI, Version 6 ( 旧 v6 ) Specifi- cation 旧 v6 仕様 DS. 、 S. Deering 他 ( RFC1883 置換 ) 次世代 IP である IPv6 を定義している。現在の状態は、標準化の草稿 (Draft Standard)" である。 RFC1883 を置き換える RFC として 1998 年 12 月に公開された。 IPv6 の言田については他の文献を参考にしてほしい。 UNIX MAGAZINE 1999.2