は、、、インスペクト・エンジン " と呼はれるようになりま した ( 図 6 ) 。 カーネルのなかで動くインスペクト・エンジンは、通信 やプロトコルの内容を監角財斤します。そして、通信の 状態に合わせてフィルタルールを追加したり削除できる機 能をもちました。つまり、通過するバケットを個別にヾ てフィルタリングする ( ステートレス ) のではなく、それ までの通信内容から導き出した通イ謡大態 ( ステート ) をも とに制御ルールを重加勺に生成するわけです。 ステートフル・インスペクションを用いたファイアウ ォールは、バケット・フィルタリングとプロキシーの長所 をあわせもっています。必喫なバケットだけか通過できる ので咼いセキュリティ・レベルが実見でき、ノヾフォーマン スもよく、クライアントやサーバーにファイアウォールを 意識させない透顳勺な通信路を提供できます。 たとえは、 TCP 接続を中継する場合、最初にインスペ クト・エンジンがその接続の許可 / 拒否を判断します。許 可すると判断した場合は、サーバーからクライアントへの 応答バケットを許可するフィルタルールを追加します。そ の後もインスペクト・エンジンは、中継するデータを監視 し続けます。そして、 TCP 切断要求があると、さきほど 追加したルールを削除します。 FTP などのように、逆方向からの接続があるプロトコ ルについても、インスペクト・エンジンか通信内容を監視 し、適切にフィルタルールを追加したり削除するので、ク ライアントとサーバーはファイアウォールの存在を意識せ すに通信できます。 一方、 UDP のように接続がない通信の場合についても、 要求バケットに対する応答バケットを許可するルールが追 加されます。ところが、 UDP には明示的な、、切断 " があ りません。そこで、通信力一定日判り以 E ないルールを自動 的に削除することでこれに対処します。 こう説明するといいことすくめのようですが、欠点がな いわけではありません。 バケット・フィルタリンクのファイアウォールでは、 ルータを起動しても、その前後で TCP セッションが切 れることはありません。ルータを起動している最中はデー タカヾ充れないので、そのあいだはセッションか周まったよ うになりますが、しばらく待てばもとどおりになります。 ところが、ステートフル・インスペクション型のファイア UNIX MAGAZINE 2001.1 個人の常時接続環境を考える ( 7 ) ウォールは、カーネルのなかにセッションの状態を記慮し ているため、再起動づ - るとそれらがすべて失われてしまい ます。つまり、 TCP セッションが切れてしまうのです。 これで何が困るのかというと、各ューサーに 「ファイアウォール、再起動してもいい ? 」 と訊いてまわる必要が出てきます。たとえは、あるユーサ ーカ吠きなファイルをダウンロードしている最中にいきな り、、ぶちっ " と切断すると、そこまでにかかった時間か無 駄になってしまうでしよう。かといって、いっ終るか分 からない竹喋を待ち続けるのも大変です。ああ、どうしよ う、あちらを立てればこちらが立たす・・・・・・と悩んでいる あいだに再起動すること自体を忘れてしまうかもしれませ ん。 ステートフル・インスペクションでは防げない攻撃もあ ります。たとえば、コネクションを盗聴し、始点 / 終点 IP アドレスとポート番号をうまく偽造すれば、偽のバケット をそのコネクションに差し込む ( 潜り込ませる ) ことがで きます。事実、 TeInet のコネクションを横から奪う、、コ ネクション・ハイジャック " という攻撃ではこの手法が使 われています。 このような攻撃はファイアウォールの守備範囲外なの で、ファイアウォールでは防げません。この場合は、 IPsec や ssh 、 SSL などの暗号技術を用いて防御します ( 暗号技 術に関する話題はこの特集の趣旨から外れるので、これ以 上の説明は省略します ) 。 ところで、ステートフル・インスペクションて気になる のは、プロキシーがカーネル内に移動しても、プロトコル ごとに専用のプログラムが必要になるのではないかという ことです。つまり、 Telnet を角財斤するプログラム、 FTP を解析するプログラム、 HTTP を角財斤するプログラム、 ・・のように、プロトコルの数だけ専用のインスペクト・ 工ンジンを作らなけれはならす、カーネルのなかに移動し たことで、かえって開発しにくくなったのではないかとい うことです。 しかし、 Check Point カ習寺許をもつインスペクト・エ ンジンは拡張性に優新しいアプリケーションやサーピ スを容易に追加できるように作られているそうです。おそ らく、このインスペクト・エンジンの実装がステートフル・ インスペクション技術のなかでもっとも重要な部分なので 19
・ロ・ 0 特集 いつで使える 個人の宀時接続環境を考える ( 白崎博生 ロ小型ファイアウォール専用機 この特集では、これまでに ISDN ルータや Linux カ ーネルのバケット・フィルタリングの機能を利用してフ ァイアウォールを構築するガ去を紹介してきました。しか し、 ISDN ルータにせよ Linux カーネルにせよ、ノヾケッ ト・フィルタリングはどちらかというと、、おまけ " 的な機 能であり、それを使いこなすための設疋は簡単とはいえま せん。さらに、勉強しなければならないこともたくさんあ ります。 やっとの思いて勉強を終え、「さあ、フィルタルールを 書くぞ」という段になっても、フィルタがすらすらと書け るわけではありません。その複雑さと煩わしさは、前回ま でに紹介した設定例からも分かると思います。 「あったほうがええのは分かるねんけど、面倒なんはかな わんなあ。なんかこう、ネットワークにつないだら、ささ さっとファイアウォールになってくれるもんがええなあ」 そうなると、やはりファイアウォール専用機です。なん 12 といっても、、専用機 " なので、箱から取り出したとき、い や、買ったときからファイアウォールです。 、、ファイアウォール専用機 " と聞くと、なんだかひどく高 そうなイメージがします。しかし、それはいくつかの有名 な ( かっ、より大規模なネットワーク用の ) ファイアウォ ールの話です。 SOHO 工韆竟での使用を前提とした、それ ほど高価ではない ( かといって安くもありませんか ) 製品 もあります。 たとえば、 ・ SonicWALL SOHO ・ WatchGuard SOHO などが代表的なところでしようか。 自作ファイアウォールと専用機の違い 今回は、ファイアウォール専用機を紹介します。 最初に、自作ファイアウォールと専用機の違いについて 説明しておきましよう。 1 http://www.watchguard.com/products/soho.html 1 UNIX MAGAZINE 2001.1
自作ファイアウォールの特徴は、次のような点にあり ます。 ・作るのに手間がかかる。 ・レポート機能も自分で作る。 ・簡単なレポーティンク饑能がある。 ・ネットワークの設定だけでファイアウォールか作れる。 って、かゆいところに手が届きます。 一方、ファイアウォール専用機は、、専用 " というだけあ ・退役したらはかの用途に流用できる。 UNIX MAG AZIN E 2001 ユ のような日未なものではなく、 「セキュリティ・レベルが上がります」 れる利点を説明できなけ川まなりません。それも、 ろである場合には、ファイアウォールの設置によって得ら ューザーがいたり、あるいはお金の出戸励ゞどこか別のとこ とくに必要ないでしよう。しかし、ネットワークに複数の 1 人しかいないネットワークであ川ま、このような報告は 報告すること ( レポーティング ) も重要です。ューサーが ファイアウォールにとっては、どのくらい働いたかを を読むというノ、一ドルはかなり高く、その未では状況は タよりもマシかもしれません。しかし、 L ⅲ ux のカーネル コードにアクセスできるので、理屈のうえでは ISDN ルー 性もあります。 Linux カーネルを利用する場合は、ソース があると、完全なファイアウォールとして機能しない可能 育 tJ 淡上のことはできません。さらに、 ISDN ルータにバグ には、当然のことながら、 ISDN ルータに備わっている機 は、 ISDN ルータを使ってファイアウォールを作る場合 しも満足できる結果か得られるとはかぎりません。たとえ ることが長所になりそうな気もします。しかし、かならす 自分で作るのであれば、好きなようにカスタマイズでき に勉強が必要なところは同しようなものです。 イアウォールとして動き始めます。ただし、使いこなすの 方、専用機は IP アドレスを言立するだけで、すぐにファ たり、実験したりするために相当な手間がかかります。 ードをタイフする量が多いのはもちろん、その前に勉強し です。自作の場合は、設定ファイルを書くためにキーポ 両者のもっとも大きな違いは、、、作るのにかかる手間 " ・ハズレを引いたら、につちもさっちもいかない。 個人の常時接続環境を考える ( 7 ) 「これこれしかしかの攻撃が〇回ありましたが、すべて防 御しました」 のようなレポートがあれは理想的です。そうすれば、 「そうかそうか。やつばり買っておいてよかった。うん うん」 と糸断等してもらえるでしよう。 そこまでいかなくても、すくなくとも拒否したバケット のサマリーぐらいは必喫です。自作ファイアウォールの場 合は、こういったレポーティングのイ督はみも自分で作らな け川まなりません。 ファイアウォール専用機の欠点は、はかの用途に使えな いことです ( 当り前ですか ) 。 ファイアウォール専用機は、けして安くはありません。 意を決して清水の舞台から飛び降りたのに、着地したとこ ろが底なし沼だった・・・・ということもありそうです。そ んなとき、 PC であればほかの用途に転用できますが、フ ァイアウォール専用機の場合はお手上げです。髜面な専用 機なら、試用サービスがあるかもしれません。しかし、私 の知るかぎりでは、 SOHO 環境用の小型の製品について そのようなサービスを提供しているところはないと思いま す。さらに、 SOHO 竟用の専用機は情報も少なく、事 前に十分に評価したり判断できるだけの情報を収集するの も難しいのか実情です。これは、いかんともしがたい欠点 といえます。 SonicWALL SOH010 今回は、米国 SonicWALL ( 図 1 ) の「 SonicWALL SOHOIO 」 ( 以ード、 SOHOIO と略します ) を紹介しま す。 ・・と胸を張って高らかに宣言しようとしたのです が、この製品を手に入れたあとて新しい機種がもにされた らしく、執筆時点では SonicWALL の Web サイトに SOHOIO のページがみあたりませんでした。米国のイン ターネット通販ショップもいくつか覗いてみたのですが、 どこも新しい機種しか扱っていないようです。このぶんで は、日本でも遠からす販う冬了になりそうです ( もっとも、 日本ではまた新機種は販売されていないようですか ) 。 そこで、以下では SOHOIO の簡単な紹介を通して、 、、ファイアウォール専用機ってこんなもの " というアウト 13
個人の常時接続環境を考える ( 7 ) ログ ヴ表示ぉ卩グ設定 図 2 HTTP のアクセス先 URL ・ Web インターフェイスで設定・管理 ・レホーティンクオ幾育皀 ・ Web コンテンツ・フィルタリング . ューサ、一ごとのフィルタ設定 (Web コンテンツ、 から内部へのアクセス ) ・警告の通報 外部 丁タ取集 丁ータ表示 現在のサンプル時問 : 0 日 . 0 時 . 1 分 19 秒 データ収集停止 0 00 8h00- 0. に凵 リフレッシュ これらの機能に加えて、 VPN オプションを購入すると、 VPN ルータとして利用することもできるそうです。 以、 -1 : の特徴について、もうすこし詳しく説明します。 ステートフル・インスペクション SonicWALL は、ノヾケットのフィルタリングに、、ステ ートフル・インスペクション " という技術を利用していま す。ステートフル・インスペクションといえ XFirewall- 13 、 Firewall-1 といえはステートフル・インスペクショ ンです。そして、 SonicWALL SOHOIO は、小さいな がらもファイアウォールのもっとも物楚となる部分には、 Firewall-1 と同し技術を用いています。 ステートフル・インスペクションについては、あとで詳 しく説明します。 、 veb インターフェイスによる設定・管理 SOHOIO の設定インターフェイスは、 Java をサポー トする web プラウサでおこないます。つまり、 Java ア プレットです。といっても、 Java アプレットて書かれて いるのはログインする部分だけで、認証を j 面茴すれば、そ の後はただの CGI のようです。 ログインするプログラムが Java アプレットで書かれて いるのは、パスワードが平文でネットワーク上を流れるの を防ぐためだそうです。 レポーティング機能 この機能がデフォルトで用意されているのは、専用機の UNIX MAGAZINE 2001.1 3 http://www.checkpoint.com/products/firewall-l/ 位 25 の URL ( のホスト部 ) を表示します ( 図 2 ) 。 ファイアウォールを通過した HTTP 通信のうち、 . HTTP のアクセス先 URL ができます。 SOHOIO では、次の 3 不鶤頁のレポートを生成すること 長所の 1 つです。 上 図 3 ログ IP アドレスごとの甬信量 192 168.0.3 , 0 、 014 「 192.168 0.2 「イ 1 ! 「 ; アドレスー M パイト = リつしッシュ ↓ , ポートを表示「「ラ下「こをあ薯新直甬ーコ データ取集停止」 -2 2 上」 現在のサンプし時問 : 0 日 . 3 時 . 51 分 . 36 秒 「グ定 = ーート グ表示、 ・鴟ア データ取集 丁ータ表示 近のアダルト系ページなどに置かれている *. exe ファイル があるほうがいいのはいうまでもありません。しかし、最 しかです。その意味で、これらをフィルタリングする機能 ログラムをローカルで実行するため、危険羅があるのはた Java や ActiveX は、リモートからダウンロードしたプ 防いだり、 HTTP から c 。。 kie をフィルタリングします。 るのを制限したり ( 図 5 ) 、 Java や ActiveX などの流入を 有害な情報を含む web ページにユーサーがアクセスす 、 Veb コンテンツ・フィルタリンク します ( 図 4 ) 。 上位 25 のサービス ( プロトコルとポート番号 ) を表示 ファイアウォールを経由した通信のうち、通イ言量の多い ・サービスごとの通信量 数を表示します ( 図 3 ) 。 のうち、通信量の多い上位 25 の IP アドレスとバイト ファイアウォールを経由してアクセスしたクライアント ・ IP アドレスごとの通信量 15
CNR 関連 UNIX MAGAZINE 2001 ユ 義している。、、歴史的 (Historic)" として 2000 年 11 月 IPsec の AH ヘッダにおける鍵付き SHAI の利用を定 Hist. 、 P. Metzger 他 ( RFC1852 置奐 ) SHAI を用いた旧認証 IP-MAC: インターリープ・パディングをおこなう鍵付き lnterleaved Padding (IP-MAC) RFC2841 Authentication using Keyed SHAI with セキュリティ関連 ーヨ殳名を URL に適用したサービスの実例 いての言義 ーヨ殳名空間の適用範囲、名前解決欟冓の分散 / 統合につ 刀ヾ ーヨ殳名の名前空間の例、名前空間の系財寺モテルの例窈是 ・ CNRP の最終的な目標の設定 ル ) の定義 一般名解決機構で用いる CNRP ( 一般名解決プロトコ RFC2972 のおもな内容を以下に示す。 ている。 が、 CNR ではより一殳化された形式を扱うことを想定し スへの変換をおこなう DNS とよく似た発想のシステムだ よびその構築を提案している。ドメイン名から IP アドレ 算機カいやすい形式への変換ー冓である CNR の定義お 名 (Common Name) と定義したうえで、一殳名から計 RFC2972 では、人間か扱いやすい形式の識別子を一イ殳 として構成されている場合もある。 とって扱いやすいものではなく、計算機カうことをⅱ財是 れている。しかし、これらの識別子はかならすしも人間に およて月としては、 URI や URN 、 URL などか規定さ 量は刻一刻と増加している。このような資源を示す識別子 インターネット上には膨大な資源が存在しており、その して 2000 年 10 月に公開された。 解決機構 ) の背景と目標について論している。、、広報 " と 名前を鮹夬するための汎用的な機構である CNR ( 一殳名 人間か記應しやすい表杉式を名前として使用し、その 旧 fo. 、 N. Popp 他 →殳名解決のコンテキストと目標 olution RFC2972 Context and Goals for Common Name Res- RFC ダイジェストー に公開された。 RFC1852 を置き換えている。 て公開している。証明書要求の文去日を定義している。 RFC2985 と同様、 RSA の PKCS イ兼を RFC とし を置き換えている。 年 11 月に公開された。 RFC2314 で定義された第 1.5 版 書要求幻士様の第 1.7 版である。、、広報 " として 2000 RSA 研究所の PKCS シリーズの N 。 .10 である、証明 fo. 、 M. Nystrom 他 ( RFC2314 置奐 ) PKCS # 10 : 証日月求文ラ却士様第 1.7 版 Specification Version 1.7 RFC2986 PKCS # 10 : Certification Request Syntax るディレクトリ・アクセスの ; 叫秀を扱っている。 開するものである。おもに公開題音号および LDAP によ RFC2985 は、 RSA の PKCS 仕様を RFC として公 れた。 第 2.0 版である。、、広報 " として 2000 年 11 月に公開さ N 。 .9 である、〕尺オプジェクト・クラスおよひ属性型の RSA 研究所の PKCS ( 公開鍵暗号標準 ) シリーズの fo. 、 M. Nystrom 他 版 PKCS # 9 : i 尺オプジェクト・クラスおよび属イ第 2.0 tribute Types Version 2.0 RFC2985 PKCS # 9 : Selected Object CIasses and At- 項目に応じた田な挙動を述べている。 RFC2979 ではファイアウォールの要求事項を整理し、各 な文書はなく、そのために問題が発生する例もみられる。 ている。しかしファイアウォールの挙動に関する標準的 い、現在はファイアウォールを用いた防御力ヨ勺となっ ではセキュリティの重要性か増している。それにともな インターネットがひろく利用されるにつ各サイト れた。 て言義している。、、広報 " として 2000 年 10 月に公開さ インターネットで使用されるファイアウォールについ fo. 、 N. Freed インターネット・ファイアウォールの轣と要求事項 Firewalls RFC2979 Behavior of and Requirements for lnternet 用いた認証の状態を変更している。 ていた AH において、 SHAI-IP-MAC アルゴリズムを RFC2841 は、 RFC1852 で、、実験的 " として定義され 153
個人の常時接続環境を考える ( 7 ) ー鋼第・・物・・・第第第意第第参を第鋼第ー・・物・・第物強第・第第第第第第鋼第第物第物・第・第物ー澱・第第義第第物参を宿物・・第第・・・第 図 10 ルー丿レの言諚 ビス第加 アクセス 新規ネットワークアクセスルールの追加 作ロ許可ロ禁止 Ethernet 始アドレス 4 許可 1 禁止 現在のネットワークアクセスルール デフォルト デフォルト ユニビュー 図 12 Telnet を禁止したルール ( 192.168.0.1 だけ許可 ) ・鴟ア 許可 禁止 3 禁止 ー 4 禁止 7 許可 2 1 Telnet Teln e t デフォルト デフォルト デフォルト LAN LAN WAN LAN 192.168. 圧 1 ONAN) 朝 DMZ LAN 1 1 ェ L AN 終了アドレス 1 LANJ 先 図 11 内部からルータへの Telnet アクセスを許可 新規ネットワークアクセスルールの追加 作色許可ロ禁止 終了アドレス Ethernet 問始アドレス UNIX MAGAZINE 2001.1 ルールを j 助日します。 レスが 192.168.0.1 だとすると、図 11 のように定義した アクセスのみ許可するルールを」助日します。ルータのアド の設定ができなくなります。そこで、内部からルータへの ままではルータへのアクセスも拒否されてしまい、ルータ とえば、 SOHOIO の外側にルータがあるとすると、この から外部へのアクセスがすべて拒否されてしまいます。た 明します。さきはどの設定では、ファイアウォールの内部 ふたたび、 TeInet コネクションを例に操作について説 右側にある小さなゴミ箱の絵をクリックします。 一方、ルールを削除したい場合は、各ルールの表示行の ルーノレが表示されます。 を変更してからこの画面に戻ってくると、変更を斑央した の、、サーピス " の画面に移動して LAN アウトなどの設定 べて許可されるルールか表示されています。ここで、図 8 クションはすべて禁止 ( 拒否 ) 、外向きコネクションはす す。図 10 の画面はデフォルトの状態なので、内向きコネ 画面の下部には、現在のルール一覧が表示されていま れてはいけません。 ルを追加した直後のルールの状態を図 12 に示 この図には、、 DMZ " のルールが表示されていま します。 このノレー と専用機との違いは理解していただけたのではないでしょ だけで終ってしまいましたが、自作のファイアウォール 予期せぬ事態に j 邑したため、ごく簡単に概要を説明した しました。新機種の発売 ( とおそらくは販売中止 ) という ォール専用機の例として SonicWALL SOHOIO を紹介 今回は、 SOHO 竟での使用を前提としたファイアウ 今回はこれでおしまい ルールカイ憂先されます。 * 印の付いた ) ルールよりも、 IP アドレスを指定している 同様に、 IP アドレスを指定していない ( 該当する欄に 定されているルールカ憂先されます。 つまり、、、デフォルト " のルールよりも、サーピスカ甘旨 先する。 2. 同じ優先順位のルールは、許可よりも禁止 ( 拒否 ) を優 1. 適用範用の狭いルールを優先する。 ます。 SOHOIO は、次のルールに従って順番を自動的に決定し 用順は、ユーザーが任意に指定することはできません。 上記で説明した SOHOIO のアクセス制御ルールの適 ルールの適用順 ではありません。もしかすると、バグなのかもしれません。 すが、この画面ダンプを撮った SOHOIO は DMZ モデル うか。 23 ( しらさき・ひろお IIJ)
UNiX いつでも使えるインタ - ネット VMware で UNIX 2001 年 1 月 1 日発行 ( 毎月 1 回 1 日発行 ) 第 16 巻第 1 号通巻 171 号昭和 63 年 9 月 5 日第三種郵便物認可 ユニックスマガジン MAGAZINE 特集 2001 。 880 円 個人の常時接続環境を考える ( 7 ) 小型ファイアウォール専用機 インストールとネットワ - ク 0 S によるバージョン管理 Samba のトラブル・シューティング 0 “ 0 ルーターー運用管理のための設定 CY i れのマウント機構
表 2 HTTP の言を許可するフィルタルール 方向始点アドレス終点アドレスプロトコル 内向き 内部 外部 内部 TCP TCP 始点ポート 1024 以上 80 終点ポート 80 1024 舅人 - E 個人の常時接続環境を考える ( 7 ) TCP フラグ SYN ACK るほどの機能ではありません。、、やはり付いてます " とだ け書いておきます。 ただし、 SOHOIO では IP masquerade を、、 NAT" 普通の NAT を、、 One-to-One NAT" と呼びます。これ も頭に入れておきましよう。 VPN オプションを購入すれは、 VPN も可能なようです。と はいえ、 SOHOIO のハードウェアでどの程度のパフォー マンスか得られるのかは疑問です。 ロステートフル・インスペクション ステートフル・インスペクションは、 Firewall-1 の開発 元である Check Point Software Technologies によっ て作られた、単純なバケット・フィルタリングではなく、 かといってプロキシーでもない、新しいファイアウォール 技術です。 以下では、ステートフル・インスペクションについて説 明します。ひさしぶりにお勉強の時間です。興未のない方 は読み飛はしてもかまいません。 バケット・フィルタリングとプロキシーについての知識 があれば、ステートフル・インスペクションも簡単に理解 できると思います。なぜなら、両方を足して 2 て割った ような機能だからです。 バケット・フィルタリングの限界 屯なバケット・フィルタリングの長所は、スルーフッ トの高さでした。反対に、短所は通信の、、状態 " を憶えて おくことができない点です。 プロトコルには、「〇〇を送ったら xx が送り返されて くる」というデータのやりとりがかならすあります。 たとえば、 「ホスト momotaro がサーノヾー kintaro へ HTTP の セッションを確立した」 とか、 UNIX MAGAZINE 2001.1 「ホスト momotaro がサーノヾー kintaro に DNS の間合 せ要求を送ったので、しばらくしたら kintaro から mo- motaro へ DNS の参照結果か送り返されてくるはすだ」 さらには、 「ホスト momotaro がサーノヾー kintaro へ FTP セッシ ョンを確立して PORT コマンドを実行したので、 kintaro から momotaro へ 20 番ポートへの接続があるはすだ」 といった情報かやりとりされます。そして、それぞれにつ いて現在の、、状態 " があるはすです。 ところが、バケット・フィルタリングでは、 IP バケット のアドレスや TCP のポート番号だけをもとに許可 / 拒否 を判断するため、これらの、、状態 " を把握できません。し たがって、バケット・フィルタリングを基本とするファ イアウォールでは、許可するアドレス空間やポート空間を 必要以日こ大きく設定しなければなりません。 たとえは、ファイアウォール内部からインターネット への HTTP アクセスを許可する場合には、表 2 のような ルールを記述します。 州旬きバケットは、、よし " としましよう。間題なのは内 向きのバケットです。 もし、攻撃者が UNIX システム上で root 権限をもっ ているとすると、任意のバケットを送り出すことができま す。たとえは、始点ポート番号が 80 で ACK ビットが セットされている TCP のバケットです。そして、終点 ポートも任意に選べるので、 始点ポート 終点ポート 80 80 80 80 1024 1025 1026 フラグ ACK ACK ACK ACK というバケットを次々と送信するのも簡単です。 これらのバケットはフィルタリングをすり抜け、内部 ネットワークに流れ込みます。 もちろん、これらのバケットは TCP コネクションを確 17
NEWS GR2000 全モテルで旧 v6 をサホート (2.4Gbps) 、 OC—12c ( 600 ・日立 日立製作所 (Tel 0463 ー 88 ー 8070 ) は、す べてのモデルで IPv6 に対応した日立ギガ ピットルータ、℃ R2000 〃の販売を開始し 小型ファイアウォール専用機 マクニカ (Tel 045 ー 476 ー 1960 ) は、米 RampNetworks のファイアウォール専 用機「 SecureRamp1700 」の販売を開始 Check Point Software TechnoIogies の「 FireWall—1 SmallOffce 」を組み込 Linux 使用の FA 用 PC 障害時のメモリダンプ、 OS トレースの 本語版 6.1 の「同 TL61SJ—A 」がある。 W25F/LX—TL60WJ—A 」、同 Server 日 語版 6.0 リミテッドエディションの「 HF— OS が TurboLinux Workstation 日本 使用モテルを追加し、販売を開始した。 MASTER HF—W シリーズクに Linux FA (Factory Automation) 用 PC 、 \FA 日立製作所 (TeI 03 ー 5295 ー 5143 ) は、 た。 OC—48c Mbps) などの回線で IPv6 が使用できる。 •macnica んだ小規模ネットワーク用ルータ。 I/F は、 WAN 側が 10Base TXI 、 LAN 側 が 10Base T/100Base TXx4 とコン ソール用の RS232C0 ルーティング・プ ロトコルは RIPO DHCP サーバー、 DNS サーバー、 NAT/PAT 、バケット・フィ ・日立 どのサービスを提供 ( 有償 ) 。 析、専用ハードウェアのドライバ開発な ション。 OS のインストール代行、障害解 ISAX 1 。 CD—ROM ドライプなどはオプ 空きスロットは PCIx2 、 PCI/ISAx3 、 I/F は、 PS/2 X2 、シリアル、パラレル。 MB ( 最大 768MB ) 、内蔵 HD が IOGBO CPU は Celeron ( 566MHz ) 、主記應が 64 はか、各種 RAS ( 高信頼陸 ) 機能をもつ。 1 U インターネット・サーバーを拡充 日本電気は、インターネット専用サー 、、 Express5800 インターネットアプ ライアンスサーバクシリーズを拡充した。 新たに、 Web/ メールサーバー「 Ex- press5800/MailWebServer 」 (CeIeron 667MHz 、 HD 20GBX2 ( ミラー ) 、 100 Base TX >< 2 ) 、キャッシュ・サーバー 「同 CacheServer (Lite) 」 (Pentium III 850MHz 、 HD 20GB x 2 、 100Base TX X2 ) の販売を開始したはか、「同 Fire- ノヾ 8 wallServer 」では二重化ソフトウェア 、℃ LUSTERPRO for Linux" に対応さ せ、 VPN 機能を追加するオプション・ソ フトウェアの提供を開始。「同 LoadBal- ancer 」では SSL に対応させ、セキュリ ティ機能などを充実させた。 いすれも、 19inch ラックの 1 U サイ ズ。 OS は、 FirewallServer が Red Hat Linux 6.1 日本語版 (FireWall—1 V4.1 SP2) 、その他は TurboLinux Server 6.1 IPv4 over IPv6 、 IPv6 over IPv4 の IP トンネリング機能、 IPv6 用 MIB などを もつ。 価格は 190 万円から。 今後、 DSL や CATV 、携帯電話などの 分野でも IPv6 対応を進める予定。 ルタリング、 Proxy ARP などの機能を もつ。 Check Point のステートフル・イ ンスペクション技術を使用可能。管理は Web プラウサからおこなう。 外形 - 寸法 ( H xWxD) は 3.5 x25X 17.5 cm 、重量は 830g 。 価格は 128 , 000 円。 H ト W25F Ⅸ 0 、を省を ! 。員宿物宿りロ 価格はいすれもオープンプライス。 れも 15X40X45Cm で 13kg 。 外形寸法 (HxWxD) と重量は、いす UNIX MAGAZINE 2001 ユ 000 円。 が 725 , 000 円、同 LoadBaIancer が 670 , er が 458 , 000 円、同 CacheServer (Lite) 価格は、 Express5800/MailWebServ- 日本語版。
いつでも使えるインターネット 図 6 バケット・フィルタリン久プロキシー、ステートフル・インスペクション (a) バケット・フィルタリング (c) ステートフル・インスペクション アプリケーション層 アプリケーション層 丿レー丿レの設定 丿レールの設定 旧層 フィルタ 旧層 (b) プロキシー アプリケーション層 ロキシー ョヒを インスペクト - 工ンジン 旧層 立させることはできません。 TCP コネクションを確さ らクライアントへの ) FTP の逆向き接続もうまく処理す せる最初のバケットは、 SYN ビットがセットさ ACK ることができます。 ビットがリセットされていなけれはならないからです。 しかし、プロキシー・サーバーは、バケット・フィル それでは、侵入者にとって何か嬉しいのでしようか。ポ タリングと上交して格段 ( ンヾフォーマンスか落ちます。そ ートカいているか、閉しているかのスキャンかできるの して、基本的にプロキシー・サ→ヾーは 1 つのコネクショ ですにのように、 ACK ピットをセットしたバケットで ンか確立するたびに、新しいプロセスを生成します。その ポートスキャンする手法を、、 ACK スキャン " と呼ぶよう ため、パフォーマンスの差は同時に接続するコネクション です ) 。あるいは、 IP フラグメンテーションのバグへの攻 数か増えれは増えるはど大きくなります。 撃に利用することもできます。 そして合体 ! このように、バケット・フィルタリングを基本とした ファイアウォールでは、招かざるバケットの侵入を許して バケット・フィルタリングの間題は、フィルタルール しまうけ也があります。 を通信やプロトコルの状態に合わせて重加勺に変更できない ので、許可する範囲を、、大きめ " に設定しなければならな プロキシーの限界 い点でした。状態に合わせてルールを重加勺に j 助日したり削 プロキシー・サーバーの長所は、通信内容を解釈して接 除するには、プロキシー・サーバーのようなイ督はみが必要 続を中継するため、プロトコルの、、状態 " を手当屋できるこ になります。 一方、プロキシーの間題はパフォーマンスの悪さです。 そのため、必喫なポートのみを開いたり、接続カ鮗った それならは、カーネルのなかで動かせば問題を解決できる らポートを閉しることもできます。よって、 ( サーバーか はずです。こうして、カーネルに組み込まれたプロキシー 18 UNIX MAGAZINE 2001.1