ファイアウォール - みる会図書館


検索対象: UNIX MAGAZINE 2003年6月号
15件見つかりました。

1. UNIX MAGAZINE 2003年6月号

連載 1 Zaurus with Linux 01 図 3 tcpdump で SL-Zaurus を Sniffer 代わりに フォント凸出巨をこここ二 : こ : : 〕 : : 三」 # t.cp 血 -n 21 : 51 : 4i.4888 宿 2.1 e. 3.10 % 〉 1 . 1 . 例 2.23 : P 91215283 : 912152 ( 2 ) 3 ck 3 フ 4 フ 139849 wtn 5849 く nop, nop, い nesta 139 6 50 4 フ 2 ) ( ) 21 : 51 : 41. 9549 1 . 1 . e. 2.23 》 1 . 1 . 0.3.10 : P 1 : 3 ( 2 ) ack 2 y;n 5 2 く mp , い nesta 448 139 6 ) ( ) Ctos 0x10) う : 41.494 フ 1 . 1 . 例 3.1025 ) 1 . 1 胡 . 6.2.23 : . ack 3 Ytn 40 守 )OP , 「 , 1 的 386 448 〉 (DF) 21 : 51 : 41.4 % 8 1 .168.6.2.23 ) 1 . 1 . 6.3.10 % : P 3 : ( 2 フ ) æk 2 Htn 5 フ <n op,nop.thestamp 449 139 6 ) ( ) Ctos 1 の 21 : 51 : 41.499 フ 1 . 1 . e. 3.10 % 〉 1 . 1 . 6.2. : . ack ytn 40 く「 , nw , t [ 文献 ] tmestanp 1 的フ 548 4 (DF) 21 : 51 : 42. 圏 % 1 フ 192.1 3.10 % ) 192.1 砥 6.2.23 : P 2 : 3 ( 1 ) ack *tn ae く , 「 , 艷 s レ 139526 団 85449 》 ( ) 引 : 51 : 42. 9 フ 43 192.1 . 0.2.23 〉 192.1 . 6.3.10 : P : 31 ( 1 ) æk 3 wtn 5 フ <n [ 1 ] 林靖、西尾信彦、 Mobile PRESS 編集部「 Linux サウル op,nop,ttnestamp 548 88 13 26 ) ( ) ttos 脈 1 の 21 : 51 : 42. 41 192.1 . 3.16 % 》 192.1 砥 e. 2. : . ack 31 Yin <nop,nop,t ス SL-A300 に迫る」、 MobiIe PRESS 2002 年秋号 tnestamp 13 % 26 855 > ( ) 8 packets recetved by 升は卲 e ackets 朝叩 p by kernel [ 2 ] 林靖、ヤマケン、関口哲司、小島良介、 ichitokumei 、 塾言団 ! ロ 2151 Kenji 、乃オ皀成、ひだか・たかひろ、 Mobile PRESS 編 集部「 Linux サウルスパワーチューニング」、 MobiIe ま活力せることも重要なポイントではないかと思います。 PRESS 2003 年春号 次回からは、他の UNIX マシンとの連携やコンパイル [ 3 ] 「パーソナノレモバイルツール SL-A300 カタログ」 のための開発工竟の作り方、そしてファイルシステムの構 [ 4 ] 「パーソナルモバイルツール SL-B5()0 取扱説明書」 造および / etc ディレクトリの下の各種設定ファイルなど [ 5 ] 「パーソナルモバイルツール SL-C700 取扱説明書」 について説明する予定です。 [ 6 ] 今朴」義幸「ポスト PC 日罸にのキーワード『エンべデッド』の すべて」、 Design Wave Magazine 2001 年 6 月号 [ 7 ] Don Libes 、 Sandy RessIer 著、融奇俊博訳『 Life with UNIX 』、アスキー、 1990 年 SL-Zaurus に関する情報は、インターネット上でたく [ 8 ] Eric S. Raymond 編、福崎俊博訳『ハッカーズ : 灯辛典改 さん公開されています。なかでも、とくにお薦めなのは 言鳶用跖、アスキー、 2002 年 、、文市の小箱茶至です。このページは、 SL-Zaurus に [ 9 ] 西田亙「 Linux システム縮小イな 1 画 ( 1 ) : BusyBox による Linux 基本工竟の構築」、インターフェース増刊 Embed- 関する情報のホータルサイトといってもよいでしよう。 ded UNIX vol.l 、 2002 年 11 月 これまで、インターネット上の情報に上交すると、卆信ま [ 10 ] 「ノヾーソナルモノヾイルツール SL-C700, B500 アプリケー や籍で提供される情報はあまりありませんでしたが、 ションマニュアル」、 pp. 283 ー 284 20 http://www.ayati.com/ ・ 6 月 3 日発売 ! 白崎博生著『実践セキュリティ 頼れるファイアウォールを作る の春に何点か発売されています。 UNIX マシンとしてだ けではなく、 PDA としての活用方法をとりあげたものが 多いようです。 ( いしじま・だい大に反イ : い匚産支術総合研究所、 はやし・はるひさ女各工業大学 ) 勺ーミナル 参考情報について 【目次から】 1 章常時接続って何 ? 基本的な用語 / 現在の常時接続事情 / 常時接続は嬉しい ? / 常時接続時の危険性 2 章攻撃の手法 スキャン / TC 円旧への攻撃 / アプリケーションへの攻撃 3 章ファイアウォールの基礎知識 セキュリティ対策は必要 ? / セキュリティ対策とポリシー / ファイアウォール / ファイアウォー ルを構成する要素 / ファイアウォール構築のポイント / script Kiddie 4 章ファイアウォールを作ろう ( ルータ編 ) 端末型接続と LAN 型接続 / プロトコル / RTA55i で作るファイアウォール / フィルタリング 機能 / フィルタ設定の操作手順 / DMZ を作る / 攻撃検知機能 ・ A5 判、 288 ページ 5 章ファイアウォールを作ろう (Linux 編 ) ・ ISBN 4-7561-4296-6 端末型接続と LAN 型接続 /netfilter/netfilter の仕組み /iptables/ipchains との互換 ・ 2 , 800 円十税 ASCII 性 / フィルタリング・ルールの設定 / アドレス変換の設定 / iptables の設定例 / ipchains UNIX MAGAZINE 連載中から好評だった「いつでも /ipchains の設定例 使えるインターネット」に大幅加筆し、単行本化。セ 6 章攻撃されたときの対処 キュリティについての基本的な考え方から、信頼でき セキュリティ動向を知る / 相談するところ / 連絡先アドレスの探し方 / 攻撃か事故かを冷 るファイアウォールの安価な作り方、そして攻撃され 静にみきわめる / 消さないで、そのログ / 典型的な対応 / ケーススタディ / やってはいけな た際の対処まで、例を挙げながら丁寧に解説します。 し、こと 株式会社アスキー 〒 1 60 ー 8584 東京都新宿区信濃町 34 J 日信濃町ビル営業局電話 (03) 5362-3300 実 自崎い生 ドセキュリ - アイ 160 UNIX MAGAZINE 2003.6

2. UNIX MAGAZINE 2003年6月号

特集 SunScreen 3.2 Solaris 9 でファイアウォールを作る 長原宏治 TeInet 、 FTP 、 HTTP (HTTPS) 、 SMTP の各プ ロトコルについて、コンテンツ・フィルタとの j 叫が・可 能なフロキシー機能をもっている。フロキシーはアプリ ケーション層でトラフィックを中継するプログラムで、 ューサー認証を強化するだけでなく、内部の IP アドレ スを隠蔽する効果もある。 ・ VPN (Virtual Private Network) SKIP (SimpIe Key-management for lnternet Pro- tocol) または IPsec/IKE による暗号イは支術を用いて、 セキュアな VPN を構築できる。暗号イ支術は、 Sun- Screen か稼動している複数のマシンを 1 台の管理ス テーションで制御する目的でも使用される。 ・ステノレスモード 通常のファイアウォール・システムは一重のルータとし て動作するが、 SunScreen には、ネットワーク・イン ターフェイスがそれ自体の IP アドレスをもたす、一一・種 のプリッジとして動くモードがある。マシンがサービス を受け付ける IP アドレスをもっていないため、セキュ リティが強化されるだけでなく、ネットワークをサプ ネットにうリする必要がないので IP アドレスを有効に 活用できる。ステルスモードに対して、通常の IP アド レスをもつモードを、、ルーティング・モード " と呼 ・ HA (High Availability) 構成への対応 HA 及とは、予備のマシンを用意しておき、下カ中の マシンがダウンしたら、その処理を引き継ぐ仕組みであ る。これに対応することで、 SunScreen システムの信 頼性は大幅に矼 E する。 ・ CMG (CentraIized Management Group) への対応 CMG とは、マスターマシンの設定内容を自重加勺にセカ ンダリマシンにコピーする機能である。これによって、 SunScreen とは何か SunScreen は、バケットレベルでアクセス制御をおこ なうファイアウォール・システムである。 SoIaris8 でも機 能制限版の SunScreen 3.1 Lite カリ用できたが、 Solaris 9 からはすべての機能が使える SunScreen 3.2 が付属す るようになった。 SunScreen には次のような機能がある。 ・ステートフノレのノ、ケットフィノレタ 送信元および宛先の IP アドレスをもとに、バケットの 破棄と通過を柔軟に設定できる。 IP アドレスと UDP/ TCP のホート番号にもとづく単純なバケットフィル タではなく、各セッションの内容を解釈して管理する ステートフルなエンジンを内蔵しており、 FTP のデー タ・コネクションや RPC など、ホート番号カ加勺に 変化するプロトコルにも対応している。 ・ NAT (Network Address Translator) バケットに付けられた IP アドレスを重加勺に変更するこ とで、プライベート・アドレスを使用しているネット ワークからインターネットにアクセスしたり、 ISP や ネットワークの変更によるリナンバー ()P アドレスの 付けなおし ) を最小限に抑えることができる。また、組 織内のネットワーク構造を隠蔽する刻保もある。 れ対 m のアドレス変換をおこなう重加勺な構成にも対応 しているが、 NAPT (Network Address Port Trans- lation) はサホートしていないため、多数のフライベー ト・アドレスを少数のグローバル・アドレスに変換する 場合はポート番号の衝突が発生するおそれがある。 プロキシー 38 UNIX MAGAZINE 2003.6

3. UNIX MAGAZINE 2003年6月号

UNiX Contents 2003 / 6 特集 38 SunScreen 3.2 Linux で RAID 109 プログラミング入門 134 長原宏治 SoIaris 9 でファイアウォールを作る ・・・大下秀怜 ミラーティスクからのブート " 今泉貴史 整列アルゴリズムの基礎 連載 UNIX Communication Notes ・・・・・山口英 電子図書館への道 ( 1 1 ) v6 の実装・・・・・・島慶ー 旧セキュリティの出力処理 JavaServer Pages ・・・・・・荒井美千子 カスタムタグの検査 Red Hat し inux のツールたち・・・・・・横垣駿雄 BJ Print FiIter for Linux Zaurus with Linux ・・・・・・石島悌、林治尚 Linux で活用する SL-Zaurus Let's PIay with UN ー X ・・・・・・四本淑三 A Minimum Computer Life 70 101 153 176 新連載 COVER, CONTENTS DESIGN ・ MORIYA, KAZUO (AUDREYTHE DESIGN) ILLUSTRATION ・ KANOKO

4. UNIX MAGAZINE 2003年6月号

筐体は 1.5RU サイズで、 I/F は 10Base T/100Base TXX 48 と mini—GBICx 2 。 経路制御用プロセッサは PowerPC ( 500 MHz) で、 512MB の SDRAM 、 4MB の TCAM (Ternary Content AddressabIe GbE レイヤ 2 / 3 スイッチ 米 Foundry Networks (TeI 03-3507 ー 5641 : ファウンドリーネットワークス ) は、 マルチサーピス Gigabit Ethernet スイツ チ「 FastIron Edge 12GCF 」の販売を開 始した。 I/F は 10 / 100 / 1000Base T x 12 (Auto アライドテレシス (Tel 0120 ー 860442 ) は、 IPsec 構築用の暗号 / 圧縮ポードを組 み込んだルータ、、 S 〃シリーズの販売を開 始した。 既存の企業向けプロードバンド /ISDN 暗号 / 圧縮ポード付きのルータ •WatchGuard 価格は、プロードバンド対応ポートと ロロ 0 を組み込んだ製ロ COM AR061 」または「同 AR011 V2 」 に 3DES 対応暗号 / 圧縮ポード「 Centre ルータ、℃ entreCOM AR" ファミリー •ATi ケット転送速度は 17.5Mppso sFlow に 応。スイッチング速度は 34.56Gbps 、パ をもち、 IEEE802. lw / 802. lx などに対 機能 ( 経路制御ワ。ロトコルは RIP 、 OSPF) GBIC を備える。レイヤ 2 / 3 スイッチング MDI/MDI—X 対応 ) 。アップリンク用の •Foundry MBGP 、 MSDP 、 IGMP などをサポー 3176 ) 、 PIM Sparse/Dense 、 DVMRP 、 コルで IPv6 に対応する。 sFlow (RFC 17.5MPPS0 BGP などの経路制御プロト Memory) を内蔵。スイッチング容量は 大規模ネットワーク用ファイアウォール 米 WatchGuard TechnoIogies (Tel 03 ー 5771 ー 0282 : ウォッチガード・テク ノロジーズ ) は、ファイアウォール装置 「 Firebox V200 」の販売を開始した。 ステートフル・ノヾケットフィルタリン グなどによるファイアウォール機能と、 PKI 、 IPsec 、 PPTP 対応の VPN 機能を もつハードウェア。スルーブットは、ファ イアウォールが 2Gbps 、 VPN (3DES 時 ) が 1.1Gbps で、 40 , 000 本の VPN ト •Sun Fibre ChanneI ティスクアレイのエントリモテル サン・マイクロシステムズ (Tel 03 ー 5717 ー 5033 ) は、 Fibre Channel 対応ディ スクアレイ「 Sun StorEdge 3510 FC 」 の販売を開始した。 1 つの筐体に最大 12 台の Fibre Chan- neIHD を内蔵できるディスクアレイ ( 1 筐 体で最大 1.7TB ) 。サーバーとの接続用の Fibre ChanneI ポートは最大 8 。 RAID UNIX MAGAZINE 2003.6 コントローラは最大 2 つで、 RAID コン トローラをもたない JBOD モデルもある ( JBOD モデルを 2 台増設して 5.3TB のシ ステムを構築可能 ) 。電源と冷却装置は二 重化。 RAID コントローラ障害時のフェ イルオーバーが可能。筐体はラックの 2U サイズ。 AC 電源モデルと、 NEBS Level 3 認定の DC 電源モデルを用意。 NEWS ト。電源 ()C または (C) はホットスワッ プ可能。 価恪はオープンプライス。 よるトラフィック監視が可能。筐体は 19 inch ラックの 1.5U サイズ。 参考価格は 172 万 7 , 000 円から。 ISDN などに対応する拡張スロットをも つ「 CentreCOMAR410SV2 」が 99 , 800 円、拡張スロット X2 の「同 AR720S 」が 243 , 200 円、最大 6 枚の拡張モジュール を内蔵できる「同 AR740S 」が 362 , 900 円。暗号 / 圧縮ポードなしの「同 AR410 V2 」は 7 月 31 日までキャンペーン価格 ( 49 , 800 円 ) で販売する。 ンネルと 500 , 000 同時セッションをサポ ート。 DDoS 、 SYN flood などの各種攻 23 電源 ) 。 デルが 372 万円 ()C 電源 ) / 387 万円 (DC 価格は、 RAID コントローラ x 1 のモ dows NT 4.0 / 2000 Servero 4.3.3 / 5. IL 、 Red Hat Linux 7.3 、 Win- (Sun LX50 ) 、 hp—ux 11.0 / 11i 、 AIX 対応 OS は、 Solaris 8 / 9 、 Sun Linux ◆を 価格は 1 , 170 万円。 57.2cm 、重量は 24.9kg 。 外形寸法 (HxWxD) は 17.8X43.2x ットワーク I/F は 1000Base SXx20 負荷分散やフェイルオーバーが可能。不 撃に対する防御職能をもつ。 2 台使用して、

5. UNIX MAGAZINE 2003年6月号

特集 SunScreen 3.2 ションを流れる PORT 命令や PASV 命令を解釈し、 データ・コネクションに使われるポート番号を把握す る。各ステートエンジンは、 1 つの識別情報 ( バケット 種別やポート番号 ) といくつかのパラメータをとること ができ、それによって動作を調整する。 ・アドレス 1 つ、もしくは複数の IP アドレスを定義する。 1 つ の IP アドレスを示す、、ホストアドレス " と、アドレス 範囲または CIDR 形式のサプネットで連続する IP ア ドレスを示す、、アドレス範囲 " 、それらを用途などでグ ルーフ化した、、アドレスグループ " の 3 不頁がある。 ・スクリーン SunScreen のファイアウォール機能を実装したマシン を表す。パラメータとして、ルーティング・プロトコル の有無や使用するネームサービスの不鶤頁、 HA や CMG の構成、 SNMP の構成パラメータなどがある。 ・インターフェイス SunScreen のファイアウォール機能を実装したマシン のネットワーク・インターフェイスを表す。インター フェイスの種別には、ルーティング・モード、ステル スモード、管理用、 HA 構成のハートピート用、無効の 5 不鶤頁がある。パラメータには、ログや SNMP アラー トの有無 ICMP への応答方法などがある。 ・証ューザー (AuthUser) 山い 個人の言日帯長を定義する。パラメータには、認証去 ( パスワード、 RADIUS 、 SecurID) やユーサーの本名 などがある。認証情報は、管理者やフロキシーユーサー としてログインするときに使用される。 フロキシーユーザー プロキシーを利用するユーサーを定義する。認証ューサ ・オプジェクトと結び付けられて、プロキシーを通 過する権限の有無を確認するために使う。複数のプロキ シーユーサーをグループにまとめることもできる。 ・その他 時刻によって有効 / 無効が切り替わるルールを定義する ための、、時刻オプジェクト " 、 HTTP プロキシーを通 過できる Java アプレットを定義するための、、 Jar 署 名オプジェクト " と、、 Jar ハッシュ・オプジェクト SMTP フロキシーの通過を許可する、、メールリレー オプジェクト " と禁止する、、メールスバム・オプジェク ト " 、 SKIP および IKE で使う、、証明書オプジェク 、 IPsec のキーを手作業で交換するときに使用する IPsec キーオプジェクト " 、 VPN を定義する、、 VPN オプジェクト " などがある。この特集では、これらのオ プジェクトはとりあげない。 表 1 定義済みのサービス ( ( * ) 付きのサービスはステートエンジンに対する独自のパラメータカ甘旨定されている ) サービス名 ah archie aut h automount B ackweb biff bootp cert ificate d iscovery chargen CoolTalk CU See Me daytime daytime-udp discard discard- udp dns echO echo- ud p esp 40 ステートエンジン iptunnel ud p tcp iptunnel udp tcp tcp 、 d ns udp tcp udp tcp ud p-d atagaram tcp 、 udp-datagram tcp udp udp udp-datagram udp pmap-tcp 、 pmap-udp 、 rpc-tcp 、 rpc-udp 識別情報 IP 51 Port 1525 ( * ) Port 113 RPC # 300019 Port 370 ( * ) Port 512 (broadcast) Port 67 (broadcast) ( * ) Port 1640 ( * ) Port 7 Port 7 Port 53 Port 9 Port 9 Port 13 Port 13 Port 19 Port 7648 ~ 7652 Port 6499 ~ 6500 、 13000 UNIX MAGAZINE 2003.6 IP 50

6. UNIX MAGAZINE 2003年6月号

特集 SunScreen 3.2 図 1 SunScreen の各磁皀の系 SunScreen アプリケーション 暗号化 発信元アドレスの変換 外部 ネットワーク フィルタ CP UDP NAT 宛先アドレスの変換 復号 また、 Web プラウサと Java アフレットによる管理ツー ルも提供されているが、 ( すくなくとも私の環境では ) 動 作カ坏安定だったため、とりあげないことにした。以下で は、ローカルマシンのコンソール、もしくは telnet や ssh でリモートマシンからログインし、 root としてコマンドを 実行できる工竟を前提に説明する。 SunScreen マシンの設定作業が省力化できる。 SunScreen では、多くの機能を組み合わせてアクセス 制彳卸を実現する。ただし、設定竹喫をおこなう際には各機 能が適用される順序を頭に入れておく必喫がある。 SunScreen の各機能の関係を図 1 に示す。この図の なかで、とくに注意してほしいのは NAT の適用順序で ある。フィルタルールは、 NAT 機能を併用している場合 も、、変換前の " アドレスに対して適用さ暙号化によっ てカフセル化される元のバケットには、、変換後のアドレ スか書き込まれる。この関係をよく理解しておかないと、 ルールを設定しても意図とは異なるルーティングがおこな われるといった事態になりかねない。逆にいえば、ルーテ イングカ噫図どおりに機能しない場合はこの順序を思い浮 かべ、 SunScreen を通過するときにアドレスがどうなっ ているかを考えなおすとよい。 この特集では SunScreen のすべての機能はとうてい紹 介しきれない 1 ので、以下の基本的な項目に絞って設疋例 を示しながら説明していく。 ・インストール 管理コマンドの褪旡要 ・フィルタルールの作成と適用 ・ NAT ルールの作成と適用 フロキシーの疋 SunScreen はリモートマシンから管理することもでき るが、それには SKIP または IPsec/IKE の設定が必要 なので、今回はローカルマシン上で管理作業をおこなう。 1 ・付属のマニュアル (PDF 形式 ) は英文で、すべてのマニュアルをーす ると 1 , 200 ページを超える。 : ラま月リリースでは、ぜひとも日本語に盟沢 してはしいものである。 管理概念 ます、 SunScreen を用いてファイアウォールを設疋す る際のコンポーネント ( オプジェクト ) について解説する。 SunScreen では、オプジェクトに属生をなえたり、複 数のオプジェクトを嬲里づけることで、ファイアウォール を通過させる / 破棄するバケットを制彳卸する。 ・サーヒ、ス ネットワーク・サービスの内容を定義する。すなわち、 サービスと、それが使用するプロトコルにもとづいた 、、ステートエンジン " を対応づける。 SunScreen では多 数の一勺なサービスがあらかしめ定義されており、は とんどの場合はこれらの定義済みサービス・オプジェク トを使用するだけで用が足りるはずである。また、複数 のサービスをグルーフ。化した、、サービスグループ " を利 用することもできる。定斉みのサービスとサービスグ ループの一一覧を表 1 ~ 2 に、各サービスて利用されるス テートエンジンの概要を表 3 に示す。 ステートエンジンとは、プロトコルの特徴をフログラム として実現したものである。たとえは、 tcp ステート工 ンジンは TCP のスリーウェイ・ハンドシェイクを理解 するし、 ftp ステートエンジンはコントロール・コネク 39 UNIX MAGAZINE 2003.6

7. UNIX MAGAZINE 2003年6月号

NEWS ELNIS テクノロジーズ (Tel 03-5821 ー 5914 ) は、米 Zone Labs のエンドボイン ト・ファイアウォール、、 Zone Labs ln- tegrity" シリーズの販売を開始した。 ポリシーにもとづいたセキュリティ設 PC 集中管理型ファイアウォ 定をエンドユーサー ( リモートユーサーや 社内ューザー ) 用 PC に一括して適用し、 各 PC の連用状況を集中管理する。ウイ ルス定義ファイルを更新済みの PC にの み接続を許可したり、利用可能なアプリ •ELNIS ール •websense インターネット・アクセス制限ソフトウェア 米 Websense(Tel 03 ー 5322 ー 1335 : ウェ プセンス・ジャパン ) は、従業員のイン ターネット・アクセスを管理するソフト ウェア「 Websense Enterprise V5 」の 販売を開始した。 内部ネットワークから特定の URL への Web アクセスのはか、ピアツーピア・ア プリケーションやインスタント・メッセー ジなどの利用を制限する。複数サイトへ の一元的なポリシーの配布、ファイルタ イプによるダウンロードの制限、複数の アクセス可能リストの利用などが可能。 プロトコルやポート単位での制限のはか、 アドオン・モジュールを利用して帯域蝠 •HOLON Cygwin べースの X サーバー・ソフトウェア ホロン (Tel 03 ー 5282 ー 5101 ) は、 Win- dows 用 UNIX/Linux 互換環境「 X on Windows 2 X Server Edition 」を販売 する。 Cygwin をベースとし、日本語環境を 強化したバッケージ。 400 以上のソフト ウェアを」求。・付属の X サー ・ソフ トウェア X-Win32 を利用することで、 •SYMANTEC ゲートウェイ用電子メールウイルス対策製品 シマンテック (Tel 03 ー 3476-1426 ) は、 電子メール・ゲートウェイ用ウイルス対 策ソフトウェア「 Symantec AntiVirus for SMTP Gateways 3.1 」の販売を開 始した。 SMTP サーバーで送受信される電子 メールのトラフィックを監視し、添付ファ イルやメール本文内のウイルスの検出、除 去、管理者への通知などをおこなう。新 バージョンでは、 SPAM メール対策機能 を強化し、管理者が作成するプラックリ ストやホワイトリスト、第三者が提供す る SPAM リスト (DNSBL 、 MAPS) 、メ ールの件名やファイル名の指定などによ "dobe PDF 作成・閲覧ソフトウェア 米 Adobe Systems は、 PDF 作成・閲 覧ソフトウェア、、 Adobe Acrobat 6.0 〃 20 シリーズの販売を開始した。 MS Office に加え、 lnternet ExpIorer 、 ケーションの制限や添付ファイルの検閲 などがおこなえる。グループ、ユーサー IP アドレスごとにルールを設疋できる。 サーバーとクライアントのソフトウェ アから構成さオ L 、最 / 」寸冓成は 25 ューザー ライセンス。 価格は、 1 ライセンスあたり 10 , 600 円 ( 25 ~ 199 ライセンス時 ) 。 の最適化もできる。新バージョンでは、動 作可能なアプリケーションをクライアン ト単位で管理するツールやレホーティン グ機能を追加。 対応 OS は、 Solaris 2.6 / 7 / 8 / 9 、 Red Hat Linux 7.1 ~ 8.0 、 Windows NT 4.0 Server ( SP6a ) / 2000 Server (SP2) で、 各種ファイアウォール、プロキシー・ハー ドウェアなどとともに動作可能。 GUI アプリケーションをルートレスモー ドで実行できる。 X サーバーは X—Win 32 Pro へのアップグレードが可能。 対応 OS は、 Windows 98SE/Me ( 動 作に一部制限がある ) 、 Windows NT 4.0 ( SP6 ) / 2000 / XP 。 価格は 14 , 800 円。出荷は 6 月中旬。 るプロッキングが可能。 対応 OS は、 Solaris 7 / 8 (SPARC) 、 Windows NT 4.0 Server ( SP6a ) / 2000 Server (SP2)0 価格は、 Web ゲートウェイ用ウイルス 対策ソフトウェア「 Symantec Web Se- curity 2.5 」との組合せで、ライセンス単 価が 6 , 500 円 ( 10 ~ 24 ライセンス時 ) 。 MS Project/Visio 、 AutoCAD からの PDF ファイル作成に対応した。複数のフ ァイルから 1 つの PDF ファイルを生成し たり、 MSVisio や AutoCAD のファイル UNIX MAGAZINE 2003.6 印刷用の色分解 / プレフライトが可能。す をレイヤ付きで PDF に変換できるほか、

8. UNIX MAGAZINE 2003年6月号

概要 Sun Microsystems の XDR ライプラリて才是ー共される xdrmem-getbytes() 関数に、 integer オーノヾーフロー がみつかった。この脆弱性は複数のアプリケーションに あり、これを悪用されると、リモートから任意のコード を実行される可能生がある。 Sun RPC に由来する XDR ライプラリは数多くのべ ンダーのアプリケーションて硬われているため、重大な セキュリティ間題につながりかねない。この脆弱生によ り、サービス不能攻撃や任意のコードの実行、機密情報 の漏洩といった事態カき起こされる可能がある。 たとえば、 rpcbind サーヒ、スのクラッシュや、 root 権 限での任意のコードの実行など、いくつかの景グ響か報告 されている。さらに、 Kerberos 5 のデーモン (kad- mind) をクラッシュさせ、秘密鍵などの機密情幸肋ゞ盗 まれるおそれもある。 この間題を発見した eEye Digital Security の研究者 らは、アドバイサリを発行して注意を喚起している 3 また、 CERT/CC は VU # 5168254 で、 CVE .Com/ mon Vulnerabilities and Exposures) は CAN- 2003 ー 00285 でとりあげている。 なお、この脆弱匪は vtJ # 1929956 と似ているが、まっ たく別物である。 影響を受けるシステム ・ Sun Microsystems のネットワークサーヒ、ス ・ライ プラリ (libnsl) ・ XDR/RPC をもっ BSD 起源のライプラリ ・ノレー チン (libc) ・ Sun RPC を含む GNU C ライプラリ (glibc) ファイル共有を停止するか安全にする。 強いパスワードを使う。 アンチウイルス・ソフトウェアなどの製品を使う。 出所不明なプログラムは実行しない。 ファイアウォールを導入する。 Ingress/Egress フィルタリングをおこなう。 CA -2003-09 Buffer Overflow in Core Microsoft Windows DLL 2003 年 3 月 17 日発行 概要 Windows 2000 のすべてのノヾージョンに含まれる Ⅵーⅲ 32 API ライプラリに ノヾッフア・オ ーーノヾーー・フローー の脆弱生がみつかった。 WebDAV を利用している IIS 5.0 サーバー上でこの脆生を悪用する攻撃がおこなわ れており、パッチを適用していないシステムでは、リ モートの攻撃者に任意のコードの実行を許すおそれがあ る。可及的速やかに Windows 2000 にパッチを適用 するか、 WebDAV サービスを停止すべきである。 脆弱な Web サーバーにアクセスできる攻撃者は、シス テムを完全に制御し、 Local System セキュリティの 範囲で任意のコードを実行することができる。これは、 単純に Web システムを破壊する攻撃より、はるかに深 刻である。 このアドバイザリは、 WebDAV の機能を有効にした IIS 5.0 サーバーを対象としているが、脆弱な Win32 API コンポーネントはほかの多くのアプリケーション で使われているため、これ以外の攻撃方法も考えられ る。 影響を受けるシステム ・ Windows 2000 ・べンダーからのパッチを適用する。 ・脆弱なサービスやアプリケーションへのアクセスを 禁止する。 3 http://www.eeye.com/htmI/Research/Advisories/ AD20030318. html 4 http://www.kb.cert.org/vuIs/id/516825 5 http://cve.mitre.org/cgi-bin/cvename ・ cgi?name=CAN- 2003 ー 0028 6 http://www.kb.cert.0rg/VⅲS/id/192995 ・べンダーからのパッチを適用する。 ・脆弱なサービスを停止する。 ・バッフアサイズを制限する。 CA -2003-10 lnteger overflow 1 Ⅱ Sun RPC XDR library routines 2003 年 3 月 19 日発行 174 UNIX MAGAZINE 2003.6

9. UNIX MAGAZINE 2003年6月号

SunScreen 3.2 図 15 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 図 16 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 特集 FTP プロキシーの禾 root@ns$ ftp 211.7.178.69 Connected to 211.7.178.69. 220 ー 220 Name 331 ー 331 Proxy : SunScreen FTP Proxy Version 3.2—fcs Username tO be given as く proxy—user> ) ' く FTP—server—host> Password tO be given as く proxy—password> ' @ ' く FTP—server—password> Ready. ( 211.7.178.69 : op ) : kame@192.168.1.47 Proxy : Authenticate & connect : Password needed tO authenticate 'kame' Password : kame@naisyo 230 ー Proxy: Authentication mapped ) kame ' tO backend user ) op Connecting tO 192 .168 . 1 .47 ( 192.168.1.47 ) ー done . Server: 220 blade FTP server ready. proxy : 0 Ⅱ ) OP Server: 331 Password required for op. Proxy: Supp1ying password t0 server. 230 Server : User op logged in . ftp> SMTP プロキシーの利用 root@ns$ mconnect 211.7.178.69 connecting tO host 211.7.178.69 ( 211.7.178.69 ) , port 25 connection open 250 blade. localnet He110 fire. localnet [ 192 .168 . 1.83 ] , pleased to meet you helo konnichiwa 220 blade. localnet ESMTP SendmaiI 8 . 12.2 + Sun / 8 . 12.2 ; Tue, 18 Mar 2003 01 : 47 : 04 + 0900 (JST) COnneCti011 open connecting t0 host 211.7.178.69 ( 211.7.178.69 ) , port 25 root@ns$ mconnect 211.7.178.69 Ⅱ 0 , spam ! bac OII 455 Sme11s like MAIL FROM : foo@wearethespammer. org 250 blade . localnet He110 fire. localnet [ 192 . 168.1.83 ] , pleased to meet you HELO konnichiwa 220 blade . localnet ESMTP Sendmai1 8 . 12 . 2 + Sun / 8 . 12 . 2 ; Tue , 18 Mar 2003 01 : 19 : 36 + 0900 (JST) 454 Re1ay refused RCPT TO: hiro@example ・ co ・ jp Sender ok 250 2 . 1 . 0 foo@ascii ・ co ・ JP ・ MAIL FROM: foo@ascii ・ co. jp 1 行目 : 重堺乍の確認には telnet コマンドでもよいが、行 単位の入力になるので、 SMTP サーバーと接続するた めの mconnect コマンドのはうか扁集できるぶん楽で ある。 4 行目 : 接続元アドレスのチェックカ鮗ると、プロキシー 経由でバックエンドのメールサーバーか応答する。 6 行目 : バックエンドのメールサーバーは、接続兀を Sun- Screen のマシンであると認識している。 7 ~ 8 行目 : 送信元アドレスとして mail-spam に登録し たドメイン名を指定すると、ステータスコード 455 で 接続カしられる ( しかし、このメッセージはなんとか UNIX MAGAZINE 2003.6 ならないものだろうか・ 9 ~ 18 行目 : 今度は、宛先アドレスとして mail-relay に 含まれないドメイン名を指定してみると、ステータスコ ード 454 で接続が閉しられる。 ログの活用 SunScreen のログ機能 ファイアウォールを言置したら、その活動ログを定期的 に調べ、攻撃やスキャンからネットワークか正しく防御さ れているか、また、不適切なトラフィックが発生していな いかなどを定期的にチェックすべきであろう。ログを検査 しているときに不適切なトラフィックが発見され、原因を 67

10. UNIX MAGAZINE 2003年6月号

特集 SunScreen 3.2 SunScreen をインストールすると、それに関連したプロセ の構成内容、とくにプロキシーの利用の有無によって関連プロ スがいくつも実行されることに気つ、くはすである。 SunScreen SUnSC 「 een のプロセス 05 : 14 . 0 : 00 セスの数は変化するが、今回の例に挙げたマシンでは次のよう になる。 op@exp$ ps —ef lgrep screen root root root て 00t root nobody 237 238 236 2583 279 284 1 1 1 1 1 282 apache —httpd. c onf nobody 285 282 apache—httpd. conf root 282 1 apache—httpd. conf root 2584 1 282 nobody 2846 apache—httpd. conf 0 20 : 30 0 20 : 30 0 20 : 30 0 03 : 23 0 20 : 30. 0 20 : 30 0 20 : 30 0 20 : 30 0 03 : 23. : 41 ・ 40 : 39 : 39 : 39 : 06 pts/l 0 : 41 : 41 ・ 14 ? ・ 06 pts/l 各プロセスがどのような働きをするのかは、 ドキュメントが ないのて推測するしかない。 SunScreen 本来のバケット・フィ ルタリング機能はカーネルに組み込まれるので、ユーサープロ セスはプロキシーや補助的なものばかりのはすである。 自明のことだが、 GUI 管理ツールを使わないのなら httpd を動かす必要はないし、リモートマシンから設定作業をしない autll user_narne 言心燾正・コふーーヨガーー とを示す。 securid : SecurID を用いてユーサー認証をおこなうこ とを示す。 radius : RADIUS を用いてユーサー認証をおこなうこ 名”・証ューサー 説明 : アカウントに関する説明。 を利用できる。 義されていない場合は、パスワードなしでフロキシー ー認証をおこなうことを示す。 オプジェクトで定義したパスワードを用いてユーサ このフィーノレドカゞ定 proxyuser add グループ名 GROUP ・プロキシーユーサー・グループの追加 FTP ログイン名。 FTP アカウント : バックエンドのサーハーにおける UNIX MAGAZINE 2003.6 proxyuser addmember グループ名メンノヾー名 フロキシーユーザー・グルーフ。へのメンノヾーの追加 前 ( 255 文字までの英。 グループ名 : プロキシーユーサー・グループに付ける名 のなら、 Java 工竟て動作している ssadm. Server も不要なよ うである。 VPN を使っていない場合は、 ss-ipsecd を止めて しまってもよいような ファイアウォールとして使うマシンが多くのサーバー機能を 兼ねることはあまりないはすなので、 SunScreen の機能に絞っ てぎりぎりまでチューニングしてみるのもおもしろそうである。 グルーフ名 : メンバーを追加するフロキシーユーサー グルーフの名前。 メンバー名 : グループに追加するメンバーの名前。 ・フロキシーユーサー・グルーフからのメンバーの削除 proxyuser deletemember グノレーフ名メンノヾー名 /usr/lib/sunscreen/lib/ss—timed /usr/lib/sunscreen/lib/ss—ipsecd /usr/lib/sunscreen/lib/ss—logd ・ 00 /usr/lib/sunscreen/proxies/smtpp 」 ava com. sun. sunscreen. internal . ssadm. Server ・ 00 /usr/apache/bin/httpd —f /etc/sunscreen/httpd/ ・ 00 /usr/apache/bin/httpd —f /etc/sunscreen/httpd/ ・ 00 /usr/apache/bin/httpd —f /etc/sunscreen/httpd/ ・ 00 /usr/lib/sunscreen/proxies/ftpp /usr/apache/bin/httpd —f /etc/sunscreen/httpd/ 0 . 0 . 0 . 0 . 0 ・ 04 ・ 00 : 00 0 . 0 . 0 . 0 . ・ 00 グループ名 : メンバーを削除するプロキシーユーサー グノレーフ。の名前。 メンバー名 : グルーフから削除するメンバ ・フロキシーユーサーの削除 proxyuser delete ユーサー名 ューサー名 : 削除するプロキシーユーサー、またはプロ キシーユーサー・グルーフ。の名前。 SMTP プロキシーの樂イ乍 SunScreen カ甘是供する SMTP プロキシーは、糸籠外 ーの名ⅱⅱ。 うえで細織内のメールサーバーに中継する。アクセス制御 からの SMTP トラフィックのアクセス制御をおこなった は、以下の手順でおこなわれる。 59