VPN - みる会図書館

1. UNIX MAGAZINE 2003年11月号

連載 /UNIX Communication Notes— 図 4 VPN ルータを使っての中継インターネット VPN ルータ 1 ( 163.221.1 / 24 ) ネットワーク 1 ロ VPN 0 VPN ルータ 2 : ノヾーチャ丿レ丿レータ ( 163.221.2 / 24 ) ネットワーク 2 ロネットワークインターフェイスネットワーク 1 三 ( 163.221.1 / 24 ) 図 5 VPN ルータによるレイヤ 2 拡張ネットワーク 1 ( 163.221.1 / 24 ) VPN ルータネットワークインターフェイスネットワークインターフェイスネットワーク 2 インターネット ( 163.221.2 / 24 ) : VPN ルータ暗号化 VPN 1 つ目は、 VPN ルータ間での暗号化である。これによって、誰が盜聴しているか分からない安全でないインターネットを経由しても、トラフィックを守れるという考え方が生まれた。これか暗号化 VPN であり、そのための技術として積極的に提唱されたのが IPsec である。 IPsec には、通信をおこなう両者のあいたて、暗号鍵をどのように交換するかという間題があった。しかし、 VPN での使い方なら、事前に VPN ルータを設定して暗号鍵をケえることも運用上の問題として鮹夬できる。そこで、鍵交換プロトコルが IETF で正式に決定される以前から、 54 ロ 163.221.1.153 VPN の旧ノヾーチャ丿レネットワークインターフェイス IPsec を用いた VPN 機能はひろく使われていた。 5 端末に対するレイヤ 2 拡張もう 1 つ、ひろく使われたバリエーションが、ネットワーク間を仮想的につなぐのではなく、端末をネットワークに参加させる機能である。たとえは、図 5 の構成は、ネットワーク 1 ( 163.221.1 / 24 ) に対して、インターネット経由で遠隔地にある端末を仮想的に接続させるというものである。いってみれば、この図の VPN ルータは、データリンクを端末 ( 163.221 .1.153 ) までイ反想的に延長する機能を提供するようなものである。 UNIX MAGAZINE 2003.11

2. UNIX MAGAZINE 2003年11月号

た NetWorId 十 lnterop 2003 Tokyo でも、セキュリティ嬲里製品でもっとも展示が多かったのは、 SSL VPN だったのではないだろうか。 SSL VPN のアイデアは、暗号化とエンドユーザーの識別に、 SSL のもともとのメカニズムを最大限利用しているところにある。しかし、 SSL VPN は頓挫する可能性もある。 SSL によってトラフィックを暗号化して守り、かっ PKI 証明書でエンドユーサーの認証もおこなうのだが、当然のことながら既存のサーピスとの統合か滸題になるであろう。現犬では、 WWW や電子メールなどのサービスには SSL VPN の機能を組み込めるようになっているが、インターネット上のすべてのトラフィックを対象にできるかどうかはかなり疑問である。とはいえ、 UNIX のユーサーにとって、この SSH と SSL/TLS は親しみやすいメカニズムであることは間違いない。山も丘は、こオ LJ ユ外にも VPN に類するものカ俐用できるようになりつつある。その 1 つは PPTP である。れは、 UNIX だけではなく、 Windows や Mac OS X などのシステムでも使えるところか魅力である。もう 1 つの一甫は、 IPsec を用いた VPN であろう。これは、遠 : 鬲地にある支社との通信などをインターネット経由で安全に利用するといった場合に利用できる。最近は、 Cisco や NetScreen などのネットワーク機器べンダーが、 IPsec をベースとした VPN システムを提供している。私が所属する奈良先立斗 ! 判支術大学院大学では、さまざまな企業や組織とのリエゾン業務のために、東京オフィスを運営している。このオフィスと大学のキャンパス・ネットワークとのあいだの通信は、 NetScreen 製の VPN 製品を用いて暗号化され、キャンパス・ネットワークの工竟を東京に延長したような構成になっている。それでは、 VPN についてもうすこし詳しくみていくことにしよう。 VPN とは何か VPN は、基本的にはトラフィック・トンネリングの技術である。図 3 は、通常の TCP/IP による通信を示したものである。そして、エンドノードの識別は IP で用いられる IP アドレスと、トランスポート層てイ吏われるポート番号によって識別される。連載 UNIX Communication Notes—O UNIX MAGAZINE 2003.11 図 3 通常の TCP/IP によるミ面言ロアプリケーション層トランスポート層ロアプリケーション層トランスポート層さて、 IP で使われるバケットである IP データグラムをアプリケーションとして運ふ機構があったとしたらどうなるだろうか。図 4 は、 2 つのネットワークを VPN で中継する機構を示したものである。たとえば、私たちの大学のネットワークは旧い表現でいえはクラス B 相当の 163.221 / 16 というアドレス空間を用いて構成されている。このアドレスについては、 / 16 で経路情報をインターネット内に広告しているので、仮に 163.221.2 / 24 というネットワーク 2 をキャンパス・ネットワークから離れたところに構築しても、適正にルーティングしてくれるわけではない。そこで、 VPN ルータを 2 台使い、この 2 台があたかも 1 台のルータとして機能するような構成を考えよう。ネットワーク 2 ( 163.221.2 / 24 ) から外部に出る IP データグラムを、なんらかのガ去でそのまま運び、ネットワーク 1 の VPN ルータ 1 でその IP データグラムを復元する。逆に、ネットワーク 1 からネットワーク 2 に対してのトラフィックもいに処理することにする。そうすれば、あいだにインターネットが介在していても、仮想的に 2 つのネットワーク ( 163.221.1 / 24 と 163.221.2 / 24 ) は直結されているようにみえる。これが VPN のおおもとの考え方である。つまり、インターネットを使ってネットワークを才長することになる。だからこそ、 VPN は Virtual "Private ” Network と呼ばれているのである。さまざまなパリエーション VPN の基本的な機能は、隣接しないサプネットどうしを相互接続するためのものである。このアイデアは 1980 年一麦半に提唱され、その後さまざまなアイテアカ咐け加えられた。 53

3. UNIX MAGAZINE 2003年11月号

連載 . / UN Ⅸ Communication Notes クはしつくり処理するものだ。私は、ときどきこれを、、検トラフィック・マーキング疫構造をもつファイアウォール " と呼んだりしている。ところで、トラフィック・マーキングを実施して高速ににアクセスするトラフィックのうち、その素姓か明らかな 1 つは、外部のインターネットから組織内ネットワーク通過させるべきトラフィックとは、どのようなものであろものである。うか。 52 フィックの分劼ゞできる。とくに、 IP データグラムの・ハードウェア機能により、高速かつ小さな負荷でトラントは次の 2 点に集約される。が、トラフィック・マーキングで考えるべき重要なポイこれ以外にも、いろいろな条件を考えることができる流入させても大丈夫だと判断している。の意味で、まとめて設置してあるのなら、茁妾トラフィックを能であり、かっ - ト分にテストされたものといえるであろう。そて挙げた IP 電話機の場合、パッケージ化されたものなら単機こなわれていることが大前提である。たとえは、上記て例としフィックを受信するシステムは、十分なセキュリティ管理がお検詞する必要がある。外部から無条件で流入させてもよいトラただし、その他の P2P 型サーピスについては、慎重に注意 1 るだけでトラフィックを流入させてもよいだろう。ネットワーク本に対しては、終点 IP アドレスを言叫面すしよう。その場合、 IP 電話機カ材妾続されているレイヤ 3 トワークに VLAN 機能を使ってうまく設置されていたと IP 電話機があったとする。それらは、同一のレイヤ 3 ネッあるいは、糸目織内ネットワークに分散配置されている実現でき、高速で遅延も小さい。かどうかは、ハードウェア・フィルタリングの処理としてとなる。流入してくるトラフィックがこの牛を満足するいる VPN ルータ・各トラフィックの始点 IP アドレスが、支に設置して・ VPN トラフィックよう。この場合には、 VPN (VirtuaI Private Network) で実現しているとしたとえは、本支店間の通信をインターネットを経由するペイロードの部分をみすに処理できるマーキング去がよい。・セキュリティ管理面から考えて、通過させても十分安全だと判断できるトラフィックである。、、ちょっと危険かもしれない " と思われるトラフィックでも、転送先でな UNIX MAGAZINE 2003.11 ことは現実にはほとんどない。ネットワーク内のネットワーク機器で書換えが発生するようなある。もちろん、 ISP の内部のシステム、さらには自分たちのらの清報を偽造し、 IP データグラムのヘッダに埋め込めるのでダはイされているわけではない。悪意あるユーサーは、これきない。これまでに何回も説明したが、 IP データグラムのヘットラフィックか安全かどうかを判断するのは、あまりお勧めで始点 IP アドレス、終点 IP アドレス、ポート番号だけで意 2 半から今年にかけて数多く出てきている。 6 月に開催され、、 SSL VPN" という名称を冠した製品が、 2002 年後最近になって、 SSL/TLS を用いたシステムが登場し 1 つになるだろう。ションしか使わないのであれば、 SSH の利用し尺肢ののように扱うことができる。少数の限定されたアプリケーのサービスについては、あたかも VPN を使っているか (port forwarding) という機能ももっているため、特定って保護するために作られた。さらに、ポート転送機能いて交換されるパスワードや処理結果などを暗号化によ SHell) が示すとおり、もともとはリモートアクセスにおも頻繁に使うツールである。 SSH はその名称 (Secure SSH は多くのシステムて力しており、我々がもっと扱うこともできる。や SSL/TLS などを紹介したが、これらは VPN としてさきほど、トラフィック・マーキングの一例として SSH VPN ているといえるだろう。きほど述べたファイアウォールの 4 番目の題も解決しガ去で内部にアクセスできるようになるという意味で、さを別途用意しなけれはならない。しかし、外部から適切なれらのガ去では、かならす内部ネットワーク側にサーバー手法としては、 SSH 、 SSL/TLS 、 VPN などがある。これらの条件から考えられるトラフィック・マーキングなっていれば大きな間題はない。んらかの処理をおこない、再度謌・ヾられるような構造に

4. UNIX MAGAZINE 2003年11月号

連載 UNIX Communication Notes—O ク・マーキングの手法を使って角夬できると述べた。そして、芋点では、トラフィック・マーキングとして VPN を使うのか現実的な解決方法だと思っている。もちろん、将来的にはフローラベルなどの仕掛けを使うことも考えられるかもしれないが、現在のところは具イ勺なシステムはないようである。 VPN をうまく使えは、 4 番目の課題である外部からの安全なアクセスの間題も鮹夬できる。この意味で、トラフィック・マーキングとして VPN を使うのは悪くない考えである。残る 2 つの問題だが、 2 番目の P2P などの新型アプリケーションとの相性問題については、一勺な角夬はなかなか難しい。さきはど例に挙げた、ファイアウォールを使いながら、 VoIP を既存のネットワーク基盤にうまく統合するといった角夬方法は、芋点では寸分に現実的なものといえるだろう。しかし、その他の P2P サービスに簡単に適用できるとは思えない。 P2P 型アプりケーションの問題は、端末のセキュリティ管理か不十分なところで P2P 型アプリケーションを使うと、そこからウイルスカイ受入したり、無用のトラブルに巻き込まれる点にある。これを防ぐには、 P2P 型アプリケーションを使うシステムでは万全のセキュリティ管理をおこなったうえで、外部からのアクセスを許可こで、いま一度考するといった鮹夬方法が考えられる。えてもらいたいのは、本当に P2P 型アプリケーションを運用する必要があるかどうかである。よく考えれば、それはど強い必要性がない場合もある。必要性とセキュリティ管理の手間とをよく検討し、運用体制を決めるしかない。最初に挙げた、内部を安全と仮定してよいのかという間題については、決定才丁といえるような角夬ガ去はない。基本的には、次のようなことを直におこなうしかないであ・ネットワークを分割し、それぞれで分割統治を徹底する。組織内にファイアウォールや IDS を設置するなど、分割統治を実施したあとも、内部でも守る構造の導入力坏可欠である。・個々のシステムのセキュリティ管理を徹底する。とくに、ネットワーク伝播型ウイルスやワーム (worm) 56 に侵入されても大充行しないように、ウイルス対策ソフトウェアの導入や、使用するアプリケーションの綣一、バージョンアップなどをおこなう。・定型業務をおこなう部門では、事前設定もせすに Win- dows XP などが搭載されたシステムを安易に渡さなし ) 定型業務をおこなう部門には、できるかぎり Web などのシステムをうまく使って、定型業務専用のシステムを提供する。・電子メールなどのサービスを安易に使わせない。・セキュリティ対策についての社員教育を徹底する。・システム監査を定期的におこない、システム運用上の間題がないかをつねに石忍する。管理対象であるネットワークの内部に悪意をもつューサーがいる場合、あるいは、ウイルスなどか流行しても有効なネットワーク構造については、まだまた験討が必要であろう。今回は、現在のファイアウォールが直面する限界について解説し、次町弋ファイアウォールの必要性を述べた。さらに、次世代ファイアウォールカ黝夬すべき課題のうち、いくつかは VPN の利用によって効果的に角夬できるのではないかということを示した。次回は、 UNIX システムを使って自分自身で VPN サーピスを構成するガ去について説明する。 ( やまぐち・すぐる奈良科判支術大凝完大学 ) ☆ UNIX MAGAZINE 2003.11

5. UNIX MAGAZINE 2003年11月号

連載 /UNIX Communication Notes—O この機能を提供する代表的なプロトコルが、 PPTP (Point-to-Point Tunneling ProtocoI) である。 PPTP のクライアント機能は、 Windows 2000 / XP や Mac OS X に標準で用意されている。 PPTP には端末認証の機能もあり、 PPTP サーバーにアクセスする端末を制限することができる。したがって、外部のインターネットから組織内のネットワークにアクセスする財冓として利用している組織も増えている。しかし、 PPTP は Microsoft か発したシステムであり、これに対抗する Cisco は L2F と呼はれたプロトコルを使っていた。そこで IETF での標準イゞおこなわれ、山辭冬的に L2TP (Layer 2 Transport ProtocoI) が開発されて、 RFC2661 としてまとめられた。 L2TP に対応したシステムも、去も丘ではすこしすっ提供されるようになってきた。しかし、 L2TP では暗号化を含む標準化はおこなわれなかったため、 IPsec と組み合わせて使うといった、運用上の取扱いに注意が必要との孑商もある。 ) ネットワークに対するレイヤ 2 拡張さらに大胆なことに、遠隔地のネットワークのトラフィックをインターネットを用いて中継する、ネットワーク・レベルのレイヤ 2 拡張をおこなう機器も登場している。いうなれば、、、インターネットを利用したリモートプリッジ " である。も丘のネットワークのプロードバンド化にともない、レイヤ 2 のトラフィックを直接運は、うというアイデアも実現されている。 VPN システムを構成してみるいくつかのバリエーションのある VPN であるが、専用の機器を用意しなくても、 UNIX システムをうまく使って実現することができる。 VPN ルータを構成するためのオープン・ソフトウェアか供されているのである。次回は、具イ純勺なソフトウェアの使い方をみていくことにし続・ファイアウォールの課題さきほど、ファイアウォールの 4 つの譏題を紹介したが、次回は VPN に集中したいので、この言磊義を終らせて 3 番目のバケット転送性能問題については、トラフィッ UNIX MAGAZINE 2003.11 ネットワークとともに進化するシステム活用マガジン oftware es•gn B5 判・ 224 ペーシ定価 ( 税込 ) 970 円特集 0 Ⅱ月号ネットワーク印刷環境快適化計画キーワードは C PS / ロ PP 社内や研究室など組織内の LAN では , ネットワークプリンタは必需品です . 特集では , UNIX 系 OS と Windows サーバを対象とした , ネットワーク印刷環境を構築する方法を紹介します . 今回紹介するのは , 最近注目を集めている CUPS ( Comn 期 1 UNIX Pnnting S t51 ) および IPP ( lnternet P 「 inting ProtocoI) を使った最新のネットワーク印刷環境の構築方法です . このほか , ネットワークプリンタへのデータ送信のしくみなどを , ユーザが印刷時に躓くボイントを再確認しながら , 丁寧に解説します . れからの印刷環境のキーワード「 CUPS 」 rlPP 」をばっちり押さえた必読の特集です . 第 2 特集新連載 ◎未踏を歩く ◎ Linux でシャットアウト ! ゲートウェイウイルス対策のポイント一般記事 ◎ UML2.0 クイックプレビュー ◎ JCSP で学ぶプロセス指向【基礎編】好評発売中 ! ! ほか全国の書店 , または弊社ホームページでお買い求めください . http://www.gihyo ・ 00 ・ jp/ 血技術評諞社 55

6. UNIX MAGAZINE 2003年11月号

UNi Contents 2003 / 11 27 Broadband SoIution Showcase プログラマーが自宅で使う UN Ⅸ 88 沖本忠久中屋鋪恭子プロードバンド・ネットワークの設計と運用 Web ブラウサ、文書の整形、プリンタの接続 UNIX Communication Notes ・・・・・・山口英 VPN の活用 Pe 活用のヒント今津英世 relaytcp ( 2 ) 新・倉敷芸術科学大学のネットワーク構築・・・・・・小林和真 GR2000-2B による旧 4 / 旧 v6 デュアルスタック ( 7 ) 旧 v6 の実装・・・・・・島慶ー旧 6 モビリティ ( 2 ) プログラミンク・テクニック・・・・・・多治見寿和 locate コマンド ( 4 ) JavaServer Pages ・・・・・・荒井美千子 Struts ( 4 ) Red Hat し inux のツールたち・・・・・・横垣駿雄 xinetd UN Ⅸ便利帖・・・・・・宮下健輔 phpWebSite Zaurus with し inux ・・・・・・林治尚、石島悌ディレクトリ構造 49 57 69 74 107 131 166 174 COVER, CONTENTS DESIGN ・ MORIYA, KAZUO (AUDREYTHE DESIGN) ILLUSTRATION ・ KANOKO

7. UNIX MAGAZINE 2003年11月号

2003 年 1 1 月 1 日発行 ( 毎月 1 回 1 日発行 ) 第 18 巻第 11 号通巻 205 号昭和 63 年 9 月 5 日第三種郵便物認可 UNiXTI! ・調査ツールとしての Web プラウサプログラマ - が自宅で使うリ NIX ・コンテンツ配信ネットワーク・エンコーディングの手法・プロードバンド時代のネットワーク設計 Broadband SoIution Showcase 特集 NetWorId 十獗te′00 2003 Tokyo バグを回避するための経験的手法プログラマーの理想と現実プートローダ boot 1 F ′ eeBSD のプートプロセスをる WWW コンテンツの管理リ N Ⅸ便利鮎 xinetd の仕組みと基本的な使い方 Red Hat し inux のツールたちファイアウォールの限界と VPN UNIX Communication Notes ーー TCP の通信を中継するプロッラム Pe 活用のヒント・プリンタの接続・文章を整形するためのツール

8. UNIX MAGAZINE 2003年11月号

策などの機能をもつ。オプションの Ad- vanced Manager と Event Manager による一元管理 ( ポリシー設定、ログ収集、レポート作成、アラート設定 ) が可能。 LiveUpdate 機能により、ウイルス定義ファイル、 IDS 更新ファイル、 URL リスト、 VPN クライアント更新ファイルなどを自動ダウンロードできる。スルーブットの異なる 3 モデルを用意。ステートフル・インスペクション型ファイアウォール / VPN ( AES ) のスルーブットは、「 Syman- tec Gateway Security 5420 」が 95M bps/30Mbps 、「同 5440 」が 680Mbps / 80 Mbps 、「同 5460 」が 730Mbps/90Mbpso 外形司・法 (HXWXD) は、 5420 が 4.5 ( 1 U ) X43.8 X43.8cm 、 5440 と 5460 が 8.9 ・ Network AppIiance 工ントリレベルのストレージ・システム米 Network AppIiance (Tel 03 ー 5251-3710 : 日本ネットワーク・アプライアンス ) は、統合ストレージ・システム「 FAS250 」「同 270 」「同 270C 」の販売を開始した。 NAS または iSCSI 型 SAN 環境用の工ントリレベルの製品で、 270 、 270C は Fibre ChanneI にも対応。ネットワーク・プロセッサは Broadcom の SB1250 (650MHz)0 対応プロトコルは、 iSCSI 、 ■旧 M 300GB カートリッジ使用テーフドライフ日本アイ・ヒ、一・エム (Tel 0120 ー 041992 ) は、テーブドライプ装置「 IBM 3592 TotaIStorage 工ンターフライズ・テープ・ドライプ」の販売を開始した。容量は 1 カートリッジあたり最大 300 GB ( 1 / 3 データ圧縮時は 900GB ) 、データ転送速度は最大 40MB/s ( 圧縮時 ) 。ホストとの I/F は 2Gbps Fibre Channe10 長期保存専用の WORM (Write Once Read Many) 対応テープ・カートリッジ、・クワンティ、ヌリテレコム、ユニアデンクスクワンティ (Tel 06 ー 4803 ー 8630 ) 、ヌリテレコム (TeI 03 ー 3512 ー 2882 ) 、ユニアデックス (Tel 03 ー 5546 ー 4102 ) は、「 Linux セキュリティホール・パッチ自動適用ソリューション」の販売を開始した。 Linux バッチ提供システムクワンティのパッチ自動適用工ンジン「 QIoc Engine 」とヌリテレコムの統合運用管理ツール「 Net—ADM 」を叫 OS やアフリケーションのノヾッチファイルのダウンロード、複数のサーバーに対する •Canon 環境規制準拠の A3 判カラー複合機キヤノン (Tel 0570 ー 019000 ) は、カラーデジタル複合機「キヤノン C010r image RUNNER iR C6800N 」を販売する。複写 / プリンタ / スキャナ機能が標準、 FAX / 電子メール機能などはオプション。電子機器への有害物質の使用を禁止する UNIX MAGAZIN E 2003.11 EU の竟規制、、 RoHS 指令ク ( 2006 年 7 月施行 ) に準拠。高耐久性ドラムを使用したプリントエンジンにより、複写速度 ( モノクロ / カラー ) は 68PPm/15.5ppm (A 4 判 ) 。解像度は 9 , 600dpi 相当 x600dpi 、用紙サイズは最大 33 X48.3cm 、給紙は 4 , NEWS ( 2U ) X43.8 X 61cmo 価格は、 Symantec Gateway Security 5420 が 563 , 000 円から、同 5440 が 126 万 3 , 000 円から、同 5460 が 196 万 3 , 000 円から ( いずれも 50 ノード。ファイアウォール、 VPN 機能のみ ) 。 CIFS 、 NFS 、 HTTP0 データ容量は、 250 が最大 ITB 、 270 と 270C が最大 4 TBO 270C はクラスタリングに対応。外形寸法 (HxWxD) はいすれも 13.3 ( 3U ) X44.7 x 50.8cm 、重量は 35.8kg ( 最大 ) 。参考価格は約 300 万円から。カートリッジを 2 つの領域に分割して使用するカートリッジ・セグメンテーション技術、低容量のカートリッジなども開発の予定。外形寸法 (HXWxD) は 9.5X19.8X 46.7cm 、重量は 5.7kg 。対応 OS は、 AIX 、 Linux 、 Windowso 価格は 480 万円から。構築サーピスを含む ) から。 gine 、 Net—ADM 、コンサルテーション、ノ、 Qloc En- 価格は 200 万円 ( 5 サートワーク管理などの機能が付属。の動 ( 大況の確認、プロセス / ポート / ネッケージ管理には RPM を使用。サーへの通知などを自動的におこなう。パッパッチの適用、適用状況の監視、管理者 1 21 ージ記述言語が UFR 、 PostScript3 ( オ 700 枚 ( 最大 8 , 700 枚 ) 。プリンタ部は、ペ

9. UNIX MAGAZINE 2003年11月号

NEWS とのデータ互換性がある。動作ミ環境は、 OS が Windows 2000 / XP シンクライアント米 Sun Microsystems は、シンクライアント「 SunRayIg 」の販売を開始した。 I/F は、 10Base T/100Base TX 、 USB x 4 、スマートカード・スロット。オプショの PCO *oundry aris などのアプリケーションにアクセス 24bit カラー ) 。ネットワーク経由で S01- ラフィックスは最大 1 , 920X1 , 200 ( 2D 、ンで、マイク、カメラの取付けが可能。グ •Sun 価格は 298 , 000 円 ( プロトコル・モニ企業向け無線 LAN システム米 Foundry Networks (Tel 03 ー 3507 ー 5641 : ファウンドリーネットワークスジャパン ) は、企業向け無線 LAN システムの販売を開始した。既存の同社製スイッチを使用し、統合型の無線 LAN を構築できる。 IEEE802.11 a/b/g/a-Turbo 準拠のアクセスポイント「 IronPoint 200 Access Point 」、集中管理 / 設正 / レポート・ソフトウェア「 lron View Network Manager ー lronPoint Edition 」、レイヤ 2 / 3 スイッチ Fastlron Edge 用のソフトウェア・アップグレードで構成。アクセスポイントとスイッチの ; 叫により、セキュリティの集中管理、プラグ & プレイ設定、レイヤ 3 でのローング、 PoE (Power over Ethernet) をサポート。 IEEE802.11i ( 無線 LAN セキュリティ ) / f ( アクセスポイント間の通信フロトコル ) / e ( MAC レイヤ QoS ) などに対応の予定。価格は、 IronPoint 200 Access Point が 111 , 000 円、 IronView Network SONICWALL 無線 LAN 対応セキュリティ機器米 SonicWALL (Tel 03 ー 5573 ー 4701 : SonicWALL 日本オフィス ) は、セキュリティ・アプライアンス製品「 SonicWALL SOHO TZW 」の 10 ューザー版の販売を開始した。既存の 25 ューサー版と同し筐体を使用。 I/F は、 WAN 側が 10Base T/100Base TX 、 LAN 側が 10Base T/100Base TX 、無線 LAN ( IEEE802.11b 用の外付けダイバーシティ・アンテナが付属 ) 。ファイアウォール、 IPsec VPN ( スルーブットは 3DES で 20Mbps) 、無線 LAN から有線 LAN へのアクセスを禁止するゲストサービスなどの機能を備える。ユ •SYMANTEC ファイアウォール・アフライアンスシマンテック (TeI 03 ー 3476 ー 1426 ) は、ファイアウォール・アプライアンス製品 Symantec Gateway Security 5400 〃シ 20 リーズの販売を開始した。 Symantec Enterprise Firewall をベースとしたステートフル・インスペクショター、 TCP/IP フロー解析対応版 ) から。価格は 138 , 000 円。 cm 、重量は 640g 。外形寸法 ( HxWxD ) は 4.1X23X16.8 ーサー数は 10 、同日妾続数は 6 , 000 。の予定。ェア・アップグレードの提供開始は 12 月アップグレードが 140 , 000 円。ソフトウ 000 円、 FastIron Edge 用ソフトウェア・ IronPoint Edition が 280 , M a nager lronPoint 200 Access Point cm 、重量は 1.8kg 。外形寸法 (H x W x D) は 18 >< 5 x 18 2 ) 上で動作 ) が必要。 (Solaris 8 ( 2 / 02 ) 、 Solaris 9 (update できる。 Sun Ray Server Software UNIX MAGAZINE 2003.11 タリン久 IPsec 準拠の VPN 、 SPAM 対検知、ウイルス対策、コンテンツ・フィルン型のファイアウォール、侵入防止、侵入

10. UNIX MAGAZINE 2003年11月号

UNIX Communication Notes 山口英 VPN の活用由にアクセスできる竟が不可欠である。その意味で、外ファイアウォールの限界部のインターネットから内部ネットワークに対する通信に介在し、不必要な通信を阻止するファイアウォールの機能ながいあいだ、ファイアウォールは、セキュリティ対は、 P2P 型サーピスとはひどく相生が悪い。この相生の策の代表的手法として積極的に導入力離奨されてきた。セ悪さを角夬するには、現在のファイアウォールの構造を変キュリティ対策といえは、ますセキュリティ・ポリシーをえなければならないだろう。作成し、そのポリシーを具体化するためにファイアウォー 3 つ目の理由は、近年のプロードバンド・サービスの一ルを導入すべきである。これが、セキュリティ対策につ般化により、ファイアウォールに高いバケット転送能力いての解説の、、王道 " であった。私自身もこの 10 年間か求められるようになったことである。プロードバンド・というもの、折に触れてそういったことを舌してきた。しサービスの持性を活かしたサービス ( 動画配信サービスなかし、この連載でも何回か触れたように、従来のファイアどのストリーミング系サーピス ) をファイアウォール越しウォールは構造的な限界に達しつつあるのではないだろうに利用しようとすると、ファイアウォール自体に十分なパか。その理由はいくつか考えられる。ケット転送能力が必要になる。ところが、セキュリティます、 2002 年 11 月号でも述べたように、ファイアウ対策面での要望も数多くなってきているため、ファイアォールが、、内部性善説 " に立脚している点である。すなわウォールで実施すべきトラフィック検査の項目は増大の一ち、一殳に内側には悪い輩はいないはずだから、境界線で途をたどっている。その結果、セキュリティ管理の面で守れはよいという境界防衛 (border protection) の考えは遅延の大きな処理か数多く必要とされる一方、ユーサーを基本としているのである。現在では、ファイアウォー側では高いバケット転送能力カ球められるという矛盾したルを乗り越えて、糸辟哉内ネットワークに侵入するさまざま状況となっている。この間題を鮹夬するには、ます、現在な攻撃手法がある。また、情報漏洩防止といった、系目織のファイアウォールの徹底した高速化が必要になる。内にも悪事を働く者がいることを前提にしたシステムの構 4 つ目の理由として、ネットワークを使えば使うはど、築も求められるようになってきた。このため、ファイア細系トのインターネット側から組織内に蓄積された情報にウォールだけでは、セキュリティ管理の必要条件を満たアクセスしたい状況が多くなるというジレンマもある。たせなくなった。とえは、山も丘は手軽に持ち運べる情報機器がひろく流通している。 PDA ではちょっと荷が重いかもしれないが、軽 2 つ目の理由は、 P2P (Peer to Peer) 型サービスの量のラップトップ PC ならどこでも簡単に利用できる。登場である。 2003 年 7 月号でも述べたように、 P2P 型ホットスポット・サービスや、定額制の無線アクセスサーサーピスは徐々ロ匿しつつあり、 VoIP などを中心としピス (AirH ”など ) を使えば出先でも料金を気にせすにイて広範な普及も期待されている。公衆 VoIP 網を真にうまンターネットにアクセスできる。く機能させようと思ったら、外部のインターネットから内このような環竟を仕事で真剣に使おうとするならは、出部ネットワークに接続されている VoIP 端末に対し、自、ニ二ロ 49 UNIX MAGAZINE 2003.11