サービス - みる会図書館

1. UNIX MAGAZINE 2000年8月号

連載 / 遠隔オフィスとの接続ーのフレツツ・オフィスのま売方式図 1 るようになります。もちろん、 ISP にもこれまでどおり接 - SOHO ダイヤルアップフレツツ・アイアクセスポイント N 幵地域旧網プロバイダ 10Mb s Ethernet NTT のビル内に設置ィーサネット型接続 128Kbps/1.5Mbps 専用線企業ネットワーク専用線型接続 - フレツツ・オフィスのちはどもうスです。フレツツ・オフィスについては、すこし詳しく説明します。サービス或の拡大試験サービスのときは、東京 23 区と大阪 33 市かサービス孑当蠣或でした。本格サービス開始後は順次サービス提イ期也域を拡大していくようですが、第 1 弾として 7 月に表 1 のよ或でサーピスカ始されます。また、 8 月にもサービス提 0 は也域の拡大が予定されています。今後の情報については、次の URL も参考にしてください。・ NTT 東日本のサービス孑当期或 http://www.ntt-east.co.jp/teigaku/index.html ・ NTT 西日本のサービス孑当蠣也域 http://www.ntt-west. CO. jp/ipnet/ip/index. html フレツツ・オフィスは、企業ネットワークを NTT のよ或 IP 網に接続して、フレツツ・アイから利用できるようにするサービスです。従来の IP 接続サーピスの接続先は、 NTT と接続している特定の ISP に限定されていました。したがって、 SOHO から自分たちの会社や糸哉のネットワーク妾続フレツツ・オフィス UNIX MAGAZINE 2000.8 する際には、フレツツ・アイ ()P 接続サービス ) は利用できませんでした。フレツツ・オフィスは、ー翻; の ISP に限られていた、フレツツ・アイからアクセスできるようにするサービスを普通の企業にも提供するものです。フレツツ・アイのューサーは、 ISP に接続するのと同しように、フレツツ・オフィスの契約を結んた企業のネットワークにも接続でき続できます。接続方式フレツツ・オフィスには、ります ( 図 1 ) 。・専用線型守売・イーサネット型接続次の 2 不鶤頁の接続方式があ専用線型接続は、名前のとおり、企業内の ( プライベート ) ネットワークを専用線で地域 IP 網に接続する方式です。この方式で鮟続する場合は、 IP 網とネットワーク間の速度が専用線の速度に制限され、 128Kbps または 1.5Mbps のどちらかになります。ィーサネット型接続は、 NTT のピル内にサーバーを置き ( ハウジング・サーピス ) 、そのサーバーとル或 IP 網を 65

2. UNIX MAGAZINE 2000年8月号

前回話題にした NTT の「 IP 接続サーヒ、ス」が、いよいよ本格サービスに移行します。今回は、最初に IP 接続サービスについてお話しし、続けて予告していたヤマハのダイヤルアップ・ルータとの奮闘の本期兼を紹介します。 IP 接続サービス試験的に実施されていた IP 接続サービスが、 2000 年 7 月 1 より本格サーピスに移行します。何事もなければ、皆さんがこの記事を読むころには、本↑勺なサーピスの提供柔軟 (Flexible) ・フレンドリー (FriendIy) ・定額料金 (Flat) りました。、、フレツツ " は、 IP 接続サービスの正式名称は、フレツツ・アイなどもアナウンスされました。・新しいサービスの開始・サーピス名称の決定これと同時に、カ台まっているでしよう。だそうです。の F と LET'S IP Service! を組み合わせた、 FLET'S" 1 日判月については、本稿の執筆比 : ではまだ、予定 " になっていましたす。アナウンスによると ISDN の、、 I ( アイ ) " だということで、、アイ " のはうは、、 EYE " かと思ったのですが、 NTT の遠隔オフィスとの接続荒井美千子 SOHO からの接続 ( 2 ) 「フレツツ・アイ」にな表 1 7 月から新たにフレツッサービスがキ当共される士或北海道宮城県埼玉県千葉県神奈川県東京都静岡県愛知県石川県京都府兵庫県岡山県広島県爰県福岡県熊本県鹿児島県河劇県相 P 晃市仙台市浦和市、大宮市、与・野市千葉市横浜市、川崎市武蔵野市、三鷹市、調布市、狛江市静岡畆ー尉公市名古屋市翁尺市京都市神戸市岡山市広島市松山市福岡畆北ル、 l•l 市熊本市鹿児島市那覇市、名護市 64 なお、すでに IP 接続サーピスを利用している場合には、自重加勺にフレツツ・アイに切り替わります。フレツツ・アイのサーピス内容と料金は前号て紹介した IP 接続サービも始まります。「フレツツ・オフィス」本↑勺なサービスの開始にあわせて、新たに、新サービススと同じなので、説明は省略します。 UNIX MAGAZINE 2000.8 ワークをフレツツ・アイから利用できるようにするサービスであるのに対して、フレツツ・オフィスは企業のネット net Service Provider) に接続するための定客斗金サービフレツツ・アイが自宅や SOHO などから ISP (lnter-

3. UNIX MAGAZINE 2000年8月号

・ロ・ 0 特集えるの一いつで個人の , 宀時接 . 環境を考える ( 象地域もひろがりつつあります。 4 月に名古屋めたりつ半年はど前、この特集の第 1 回 ( 2000 年 2 月号 ) でく通信の設立が発表されたはか、いくつかのプロバイダ「インターネットへの接続にはお金がかかります」と書き (ISP) が ADSL サービス窈当期目始を発表しています。ました。そして、いまもインターネットへ妾続にはお金がかかります。しかし、この半年のあいだに接続料 - 金が - ドこの調子で安い常日喆妾続サービスがどんどん広まり、ついでに通信速度ももっともっと速くなってくれると嬉しいがったり、割安なサービスを利用でき制或か拡大されたりと、本としては、安くなる " 方向に進んでいます。ですれたとえば、 2 月号て紹介した NTT 東日本と NTT 西さて、前回の特集では、インターネットをいつでも好き日本の、、 IP 接続サーピス ( フレツツ・アイ ) " では、 5 月なだけ使える常日妾続カ固人にも手の届くところまできた中旬に接続料金 ( 月訒が 8 , 000 円から 4 , 500 円に引き下ことと、常日判妾続によって得られる利点を紹介しました。げられ、サービスを提供する地域も拡大されました 1 。 IP さらに、常日罸妾続によって発生するセキュリティ上の間題接続サービスの言田は、次の URL を参照してください。点について説明しました。インターネットはイ叫リなだけではありません。何も疑わ・ NTT 東日本の尾 b ページない純真無石な心て利用すると、思わぬ事故に遭う場合も http://www.ntt-east.co.jp/teigaku/ あります。・ NTT 西日本の Web ページ全世界の膨大な人か利用しているインターネットには、 http://www.ntt-west.co ・ jp/ipnet/ip/ 当然のことながら悪い人もいます。彼らは、昼夜を分かた一方、 ADSL によるインターネット接続サービスの対すせっせと、、悪事 " を企んでいます。つまり、インターネ 1 6 月中 ) 点では、東京者市外局番 03 或と反府の市制施彳赭随ットに接続している計算機はすべて、こういった、、悪事 ' ( 市外局番 0743 および 0736 のル或は除く ) が対象ですが、 8 月からはの被害を受ける可能性があるのです。河や首など全 80 都市に拡大されるようです。 34 UNIX MAGAZINE 2000.8

4. UNIX MAGAZINE 2000年8月号

資料請求で PRESENT!! 簡単 ! 便利 ! リスト遊び一日 nacs で学ぶ L の世界一物本物を物手間要らず ! ! ャ 1 ℃日 —Emacs で学ぶ Lisp の世界一 (I)PC UNIX の日本語処理と設定ー電ゞ F 資 W ラ = 子 A を料 W メ X 請 W ー求。 ~ サ請求者リスト広告主お問い合せ先資料請求サービスをご利用いただいた方の中から抽選でいずれかの商品をプレゼントいたします。 ( なお当選者の発表は、商品の発送をもって発表にかえさせていただきます。 ) ASCII 資料請求方法資料請求してプレセントをもらおう www.ascii. CO. jp/powerad/ Powe 「 AD のサービスページ www.asc ⅱ .00. jp / powe 「 ad / ヘアクセスしてください。記入フォームが表示されますので、画面の注意事項にしたがって記入してください。電子メールで入手 ! 電子メールでも資料請求サービスが受けられます。メールアドレスにメールを送信してください ( 送信していただくメールには、何も記入する必要はありません ) 。自動返送される記入フォームの注意事項にしたがって必須事項をご記入いただき、指定のメールアドレスにご返送ください。 FAX で入手 ! 3 裏面の記入用紙をコピーしてご記入下さい。色の濃いボールペン等でハッキリとご記入ください。資料請求カードで入手 ! 4 広告資料請求番号は各ページの下欄に記入してあります。広告資料請求カードはご面倒でも全項目にご記入ください。記入もれがある場合、資料をお届けできないことがあります。〒 1 51-8024 東京都渋谷区代々木 4-33-10 株式会社アスキーマーケティング部 TEL : 03-5351-8200 を気気 ASCII 広告資料請求サービスシステム rqst•powerad@ascii.co.jp 資料送付 F A X : 0 3 - 5 3 3 7 - 1 4 7 5 資料請求サービスシステムに関するく五十音順〉 ADVERTISEMENT CONTENTS 表 10 , 11 数理システムダイジョブ・ドットコム表 4 , 12 13 高岳製 f 万 18 WRQ 14 ①日囀算化学サービス 36 日ネットマネージジャパン 45 のヒューリンクスぶらっとホーム 25 20 プラットホームファクトリー 15 マクニカ 22 ①ユニテクス・ジャ / ヾン ⑦アイ・エイ・アイアステック・プロダクッィー・エム・ティ忠テクノサイエンス / CTC テクノロジーウインドウ Ott オライリー・ジャパンのケープル・アンド・ワイヤレス IDC コナミコンピュータダイナミックス 9CSK/ トーメンサイバービジネス・イーイージエス 32 CD 9 4 1 1 ーっ 4

5. UNIX MAGAZINE 2000年8月号

・ OS 強固なシステムを作りやすい OS を選びます。とくに、外部から特殊なバケットを受信するとシステムが停止したり、再起動したりするような DoS (Denial of Ser- vice : 運用妨害 ) 攻撃に弱いものを選んではいけません。 OS として不安定なものも避けるべきです。攻撃によって異常な状態になったのか、自身のバグで異常状能になったのかの区別がつかないからです。とはいっても、不れな OS はできるかぎり避けたほうか賢明です。管理者が、自分できちんと管理できる自信のある OS を選びましよう。・サービス構成サービスを提供する対象や内容を区別し、それぞれの組合迂に適した構成にします。たとえば、組織の外部に提供するサービスと内部に提供するサービス ( サービスの提供対象が異なるもの ) は、けして同し言算機十に構築してはいけません。管理者権限 (root 特権 ) で実行されるサーバープロセスについては、そのような権限か不要なものに入れ替えたりします。さらに、提供するサービスに不要なサーバープロセスは停止し、可能であれは、里するファイルやプログラムも削除します。また、動作しているプロセスと LISTEN ( 接続要求待ち ) 状態で開いているポートを定期的にチェックし、想定していないプロセスやポートを発見したら警告を発するようなプログラムを動かしておくとよいでしよう。ここ数年、ひろく使われている攻撃プログラムのなかには、攻撃に成功したときにネットワーク・サーバーを仕込むようなものか数多く見受けられるからです。セキュリティ・パッチ要寒ホストで使用している OS やプログラムに対するセキュリティ・パッチは最優先て当てます。 . アカウント管理本当に必要なアカウントのみ作成し、不要になったアカウントはただちに削除しましよう。さらに、管理者の知らないアカウントカ鮓成されていなに守らなけ川まなりません。そのためには次のような頁に注意し、厳格なセキュリティ対策を施します。 UNIX MAGAZINE 2000.8 個人の常時接続環境を考える ( 2 ) いかをつねに注意します。ここ数年、ひろく使われている攻撃プログラムには、攻撃に成功したときにアカウントを作成するものがたくさんあるので、かならず定期的にアカウントデータをチェックしてください。テュアルホーム・ホスト 2 枚のネットワーク・カードを備え、それぞれを異なる 2 つのネットワークに接続した言算機が、、デュアルホーム・ホスト (dual-homed host)" です。なかには、 3 枚のネットワーク・カードを備えているものもあります。このような複数のネットワーク・デバイスをもつ算機は、 IP フォワーディンク機能を用いてルータとして利用することが多いのですが、この機能を停止して、ファイアウォールとして使うこともできます。現在市販されているようなファイアウォール製品がなかったころは、細織内のネットワークとインターネットとのあいだにこのような計算機を設置し、この引算機 - ヒで発行するアカウントを制限してアクセスを制御していました。たとえは、内部からインターネット上の FTP サーバーにアクセスしたいときは、いったんデュアルホーム・ホストにログインし、そこから ftp コマンドを実行していたのです。すいぶん面倒に思えますが、私自身の経験からいうと、いまのようにインターネットに頻繁にアクセスする必要もなかったのでとくに不岡は感しませんでした。要寒ホストの場合と同様、デュアルホーム・ホストでも厳格なセキュリティ対策を施します。バケット・フィルタリングルータに送られてきたバケットのうち、ある条件を満たさないバケットを破棄したり、逆にある条件を満たすパケットを通過させたりする仕組みを、、バケット・フィルタリング (packet filtering)" といいます。ここでいう、条件 " には、次のようなものがあります。始点 IP アドレス始点ポート番号終点 IP アドレス・終点ポート番号プロトコル (TCP 、 UDP 、・ ICMP の不頁 ICMP など ) 43

6. UNIX MAGAZINE 2000年8月号

これらの要素を組み合わせれは、 1 つの電子メールアドレスを構成できる。 RFC2848 The PINT Service ProtocoI: Extensions to SIP and SDP for 旧 Access to Telephone Call Services PINT サービス・プロトコル . 舌サービス用の旧アクセスに用いる SIP および SDP の拡張 PS. 、 S. Petrack 他インターネットと PSTN ( 一一般公衆網 ) ネットワーク間の発呼 / 着呼シグナリングを扱うための PINT (PSTN/ lnternet lnternetworking) サーヒ、ス・プロトコルを規定している。現在の状態は、、標準化へ窈是唱 " である。 2000 年 6 月に公開された。 RFC2543 で定義された SIP ( セッション開始プロトコル ) は、音声通話の発呼シグナリング用のプロトコルである。 SDP ( セッション言己プロトコル ) は、セッションに関するさまざまな通知やセッションへのキ粤をおこなうプロトコルで、 RFC2327 で定義されている。インターネットと一般公衆網は、それそれ通信に関するルールが異なるため、直孑妾続することはできない。しかし、あいだに通信の仲立ちをするサーバーを置くことで、別々のネットワークに属する端末間の通信が可能となる。 RFC2848 て : 規定されている PINT サービス・プロトコルは、インターネットと一般公彡得罔間の相坊凾信をおこなう際に必要な機能を提供する。 RFC2848 では、 SIP 2.0 と SDP を拡張して PINT サービス・プロトコルを構築している。 PINT サービスでは、 PSTN ネットワークとインターネットの両方に接続された PINT サーバーが必要だが、このサーバーを仲介することで、インターネットから一般公衆網内の端末への音声乎やデータ通信、 FAX 送信などが可能となる。 SNMP/MIB 関連 RFC2819 Remote Network Monitoring Management lnformation Base リモート・ネットワーク監ネ明 M 旧 Std. 、 S. Waldbusser ( RFC1757 置換 ) ( 別称 . STD 59 ) SNMP (Simple Network Management Protocol) で利用される管理情報オプジェクトである MIB (Man- agement lnfomation Base) について規定している。現在の状態は、、標準 (Standard)" である。 RFC1757 を置 UNIX MAGAZINE 2000.8 RFC ダイジェストーき換える RFC として 2000 年 5 月に公開された。 STD シリーズ (STD 59 ) としても公開されている。地理的に離れた遠隔ネットワークを保守、管理する場合、ネットワーク自体を利用すれば効率がよい。そのためには、さまざまな機材や資源を統一的に管理できるようにすべきである。 SNMP はこのような目的を実現するためのプロトコルで、機材や資源の情報をオプジェクト単位で管理する。このオプジェクトを MIB と呼ぶ。 RFC2819 では、この MIB について定義している。具イ勺には、 MIB を利用した遠隔ネットワーク管理の目標として以下を規定している。・オフライン操作・起こりうる事態の監視・障害の検出と報告管珊帯長の直化管理欟冓の多重化 MIB は、これらの目標を達成できるように言されたオプジェクトである。以下に示すオプジェクトのグループか規定されている。・ Ethernet の状態・ Ethernet の状態の履歴・フィノレタ相磨妾続情報・ホスト情報のソート・ホスト情報キュリティ上の大きな問題となる。 RFC2819 ではこの点また、ネットワークの管理情幸肋黯に外者に漏洩するとセする MIB 変数について言田に定義している。いる。 RFC2819 では、オプジェクトの各グルーフ。カイ苻トワークの管理を過不足なくおこなえるように考慮されて義されている。 MIB 変数の不頁は多岐にわたるが、ネッ各オプジェクトごとに、 MIB 変数と呼はれる変数カ綻・イベント・バケットの耳石囚みについても論している。 143

7. UNIX MAGAZINE 2000年8月号

AT M ACCESS 1.5M STANDARD 1.5Mbp 1.5M 5 ー ANDA 0 ◎。 5 5 5 世界品質で、繋ぎませんか。強力なバックポーンがあるからこそ提供できる、ケープル・アンド・ワイヤレス旧 C の高速インターネット接続サービス。新たに SLA ( 品質保証制度 ) も開始、高品質が要求される事業所でも、高いレベルでご満足いただけます。企業の生命線は、ケープル・アンド・ワイヤレス旧 C にお任せください。・毎月 11.5 万円で、 1.5M スタンダード。ケープル・アンド・ワイヤレス DC なら、非集線型の 1 .5N 加 s インターネット接続がスタンダードです。しかも驚きのこの価格。もちろん当社ネットワークオペレーティングセンターで 24 時間・ 365 日にわたり監視・障害対応しています。 * アクセス回線費用等が別途かかります。消費税は含まれておりません。最高の環境をお求めなら、 ATM アクセス。大容量・超高速インターネット接続が必要な企業に最適なのが、アクセス回線に ATM 専用線を利用した ATM アクセスサービスです。 0.5MbDS から最高 44M8S までフレキシプルに通信速度を選択できるので、必要なトラフィックを無駄なく確保。需要の伸びに応じた増設も簡単です。・ s し A により、高い信頼性を実現。これまでの高品質なサービスに加え、 A ( S 部 v e Level A 部 ee 肥 nt : 品質保証制度 ) の提供を開始。業界で初めて日米間の遅延時間を含む各種保証値・目標値を設定し、お客様のビジネスにとって益々重要となっているインターネット接続環境を高い信頼性と共に提供します。・新プロジェクト、つづく。「 L21NK TO cw 0.com 」 ` ペン実施中 ! 日本の通信の未来を拓くケーカいアンド・ワイヤレス IDC 株式会社 mail:ip-info@cwidc.com 0120-07-0061 ( 9 : 30 ~ 17 : 3 。平日のみ ) 詳しくは、下記 URL をご覧ください。 www.cwidc.com/um ACCESS

8. UNIX MAGAZINE 2000年8月号

うか。ただし、上司がそれを認めてくれるかどうかは分かりません。テフォルト許可か、デフォルト禁止かファイアウォールを設計する場合の基本的なポリシーは、次のどちらかです。・明カ苅勺に禁止されていないサーピスは許可する。・明カ前勺に許可されていないサーピスは禁止する。最初のポリシーでは、原則としてすべて許可し、「 x x はダメ、△△もダメ・・・・・・」というふうに規則を追加していきます。 2 番目のポリシーはこれとは逆で、原則としてすべて禁止し、「◎◎は OK 、〇〇も OK ・・・・・・」というふうに規則を追加します。どちらが安全かといえば 2 番目ですが、許可するサービスごとに規則を追加していかなければならないので手間がかかります。たとえは、許可するサービスに対応するプロキシー・サーバーを追加インストールしたり、プロトコルが通過できるようにバケットフィルタの規則を書き加えなければなりません。このとき、そのサービスに対応するプロキシーが用意されていないと、場合によってはお手上げになってしまいます。バケットフィルタを言当するときも、そのサービスをおこなう通信 ( どちらの方向にどのポート番号の通信があるか ) を熟知していないと正しいフィルタ規則は書けないでしよう。こうしたらええんかな。いや、このはうがよさそうやな " などと試行錯誤しているうちに、無関係 ( かっ危険 ) な通信を通過させてしまうおそれもあります。一方、最初のポリシーでは、危険と思われるサービスの通信を禁止する規則を追加していきます。基本的にそオ助、外のサーピスは通常どおりに使えるので、ユーザーからみ川まイリです。しかし、管理者はどのサーピスが危険なのかを正確に把握していなけれはなりません。つまり、管理者が知らない危険には対処のしようがないのです。状況に応して両者を併用する方法もあります。たとえは、インターネットと DMZ とのあいだはデフォルト許可、 DMZ と内部ネットワークとのあいだはデフォルト禁 - 止、そして、インターネットと内部ネットワークのあいだはデフォルト禁止という設定も可能です。 UNIX MAGAZINE 2000.8 SC 翡 7 月 21 日発売 ! Java プログラミング・ノート国際化と日本語処理 CAFE BABE ava 国際化と日本語処理プログラミング・ノート ( A 第第・ A 第第 S ロー・風間一洋著・ A5 判、 312 ページ・ ISBN 4-7561-3481-5 ・本体 3 , 000 円十税 UNIX MAGA 刀 NE に好評連載中の「 CAFE BABE ー Java プロクラミング・ノート」第 1 弾。 Java による日本語処理、さらには国際化プログラミングに必須の知識を数多くのサンカいプログラムを示しながら平易に解説する。真の意味での "Write Once, Run Anywhere" 目次からを目指すプログラマーに最適の 1 冊。 1 章 2 章 3 章 4 章 5 章 6 章 7 章 8 章 9 章 10 章 1 1 章 12 章付録 Java はどんな言語か国際化と地域化 Unicode ロケー丿レ工ンコーティングタイムゾーンリソース / ヾンドルフォーマット出力と解析文字列の比較テキストの境界解析インブットメソッド文字の表示 Unicode プロック / ロケール一覧 / 工ンコーティング名一覧 / タイムゾーン D 一覧 / ユーロ通貨記号への対応株式会社アスキー 49 電話 (08) 535 ト 8194 出版営業部〒 1 51 ー 8024 東京都渋谷区代々木 4 ー 33 ー 1 0

9. UNIX MAGAZINE 2000年8月号

いつでも使えるインターネットさないもの、まったく通さないものといったように、 3 種てなかなか理想どおりにはいきません。類のルールを設定する場合などがあります。・どこが弱点か分からないあるいは、 1 つの関所をうまくすり抜けられたとして弱点を自分でみつけるには、 OS やアプリケーションも内部の大切な部分までは被害がおよばないように、複数についての幅広く深い知ゞ必喫です。しかも、セキュの関所をうまく口して設置することもあります。たとえリティ重力旬は変化カ暾しいため、毎日のように新しいセば、内部ネットワークと外部ネットワークとのあいだにもキュリティ情報を収集しなけれはなりません。さらに、う 1 つのネットワークを用意し、外部から内部に入り込むすべての UNIX 、すべての Windows や Macintosh 、には、いったんそのネットワークに侵入しなけれはならなすべてのアプリケーションのセキュリテイ事情に精通いようにします。このように、侵入に必要なコストを上げしている人は ( たぶん ) いません。ですから、この事項ておくと、攻撃はより難しくなります。また、いすれカーをクリアするのはたいへん難しいのです。方の関所の設定を間違ってしまった場合のフェイルセーフ・たくさんありすぎるにもなります。毎日、セキュリティに関する新しいニュースがないかこのような関所を設けるのは、もちろん、、外部の攻撃かと注意し、パッチをこまめに当てたりして、 1 台の計ら内部ネットワークを守る " ためです。このように、外部算機だけに愛を注げば安全が保てるかもしれません。しの攻撃から内部ネットワークを守ることを目的として設置かし、 2 台、 3 台と増えてくるとそうはいきません。まされた関所やネットワーク全体力ワァイアウォールです。して、それぞれの計算機に違う OS が入っている場合には、「えーと、これはバージョン〇△だからこのパッファイアウォールの得失チを当てて・・・・・・」などと考えるだけで混乱してしまいファイアウォールを導入すると、サイトの内部と外部ます。とのあいだの通信を監視し、許可しない通信が入ってきた・そもそも、なおす手ヾないり、出ていくのを防げるようになります。通信を制御するセキュリティ・ホールが発見されてから、それを修正機能をうまく使えば、現在知られている多くの攻撃をファするパッチがリリースされるまで多少の時間がかかりまイアウォールで遮断できます。さらに、重要な情報カ吶部す。その間、使用を停止するなどの応急処置で対応するから漏洩することも防げます。ことはできますが、どうしても止められないサービスもところが、ファイアウォールの導入にはいくらかのコあるはすです。つまり、その、、危険な期間 " をどのようストがかかります。お金はもちろん、運用・管理の手間、に過ごすかカ墹題になります。ューサーにとっての商さカ噸なわれるといったこともコこうしてみると、ネットワークに接続されたすべての計ストの一にです。算機のそれぞれに安全対策を施すのは難しそうです。個々ファイアウォールを設置すると、それまで自由におこに対処するのか難しけれは、全部ひっくるめて袋のなかになっていた通信が制限されるようになります。たとえば、ぎゅぎゅっと詰めて、袋のロをきゅきゅきゅっと縛れはーにのサービスが使えなくなったり、サービスを利用するいいのではないでしようか。つまり、インターネットなどために特別な設定を j 助日するといった作業をおこなわなくの外部ネットワークと接続する箇所をまとめ、そこを通るてはなりません。製品によっては、数多くのサービスに対通信を集中的に監視するわけです。そして、そこに関所の応していたり、クライアント側の設定を変更しなくても使ようなものを設けて、、、許可された通信 " は j 面茴を許可し、える高機能なものもあります。しかし、これらは一殳に高ツ・午可されない通信 " はそこで遮析すればいいでしようけ価です。ファイアウォールを導入するときは、このような得失をこのような関所は、内部ネットワークと外部ネットワー天利にかけ、バランスのとれたものを選びましよう。さらクとのあいだに 1 つだけとはかぎらす、いくつ設けてもかに、導入後に必要に応して変更できるように、柔軟に作るまいません。たとえば、通過 / 遮断のポリシーが異なる関所を直列 2 段で設置し、 2 カ所とも通すもの、片方しか通ことも大切です。口一三 38 UNIX MAGAZINE 2000.8

10. UNIX MAGAZINE 2000年8月号

個人の常時接続環境を考える ( 2 ) ノくターン 1 図 2 パターン 1 : インターネットと内部ネットワークのあいだに設置図 2 のようにサーバーを設置する場合、インターネットと DMZ とのあいだでは、パフォーマンスを考慮してバケット・フィルタリングでサーバーへのアクセスを制御するとよいでしよう。そして、 DMZ と内部ネットワークとのあいだにはプロキシー・システムを構築します。このとき、サーバー言算機のメンテナンスをおこなえるように、、、内部ネットワークからサーバー言 t 算機 , ぐログインできるように設定することがあります。このように内部から DMZ への接続を許可すること自体にはとくに間題はありません。しかし、、、サーー計算機から内部ネットワークへ " の接続は絶対に禁止すべきです。さらに余裕があれは、サーバー言 t 算機からインターネット側へのコネクションについても、サービスに無関係なものはすべて禁止するように設疋するといいでしよう。このように設定しておけば、たとえサーバー計算機に侵入されても、はかのサイトへの踏み台として悪用される危険匪を大きく減らせます。パターン 2 : ファイアウォールの 3 番目のネットワークに設置図 3 のような構成では、インターネットと DMZ とのロあいだの通信はプロキシー経由でおこない、サービスに必サーハ要な通信だけか流れるように設定すること ( つまりデフォルト禁旧が多いようです。もちろん、バケット・フィルタリングで制御する場合もあります。この友には、管理すべきファイアウォールの要素が少解です。安全だという本処は、ファイアウォールがインタないので、手間がかからないという長戸励ゞあります。しかーネットとサーバーとのあいだの通信をすべて見張っていし、ファイアウォールか停止するとすべてカ阯まってしまて、サーピスと無関係な通信を遮析してくれるから・・います。また、すべての通信が 1 台のファイアウォールということのようです。しかしパターン 1 の構成でも同を経由するため、パフォーマンスがそこで制限されるとい様のセキュリティ・レベルは実現できます。「これこれしかう間題もあります。じかの点については・・・・・」という限定的な評価であれば、パターン 1 と同様に、サーバー言算機から内部ネット優劣をつけられるかもしれませんが、全体としてどちらのワークへのアクセスを禁止し、さらに、サーバー計算機か構成か優オ L ているとはいえません。らインターネット側へのアクセスについても、サービスにパターン 3 : 内部ネットワークに設置関係のないものはすべて禁にするように設定します。稀に、図 4 のように公開サーバーを内部ネットワークところで、このような構成はパターン 1 にくらべてはるに接続している話を聞いたり、い膕な構成を紹介しているかに安全だといわれることがありますが、これは大きな誤インター不リト D M Z 山内部もーワへ 3 、サー艸ー / ヾターン 2 図 3 イ丿一リト QEN つアイアウォール内部ネもト、ワ , り ~ 51 UNIX MAGAZINE 2000.8