ネットワーク - みる会図書館

1. UNIX MAGAZINE 2004年1月号

特集安全なネットワーク「盗まれて困るようなデータはない ! 」などと胸を張っても未がないことがお分かりいただけたでしようか。基本は“外、内、 DMZ ” 外部に公開するサーバーは、誰からどのようにアクセスされるか分かりません。もちろん、不正に侵入される可能性もあらかじめ考慮に入れておく必要があります。万一侵入されたときも、内部ネットワークのホストが影響を受けないように DMZ (DeMilitarized zone) ネットワークを設け、外部からアクセスできるサーバーはかならず DMZ に接続します。 DMZ とは、日本語では緩衝地帯もしくは非武装地帯などといわれますが、、、外部でも内部でもない第 3 のネットワーク " のことです。もうすこし難しく表現すると、、、第 3 のセキュリティ・ポリシーをもつネットワーク " です。じつは、 DMZ がどの部分のネットワークを指すのかは曖味端末で、人によって定義が違ったりする混乱を招きやすい用語です。たり、不必要に大きな範囲で許可しなければならなかったこのネットワークは、インターネットからのアクセスをりします。しかし、ステートフルなバケット・フィルタリ制限しているので外部ネットワークではありません。かとング機能をもっファイアウォールを使用すると、このルーいって、内部ネットワークへの自由なアクセスも許さないルも簡潔に謎できます。ので内部ネットワークの一部ともいえません。このようなインターネットから DMZ への内向きコネクションにつ構成は、外部からのアクセスを許しつつも、 DMZ からほいては、外部に公開するサーバーのプロトコルのみ許可し、かのネットワークへのアクセスを制限することができるたその他はすべて拒否します。め、公開サーバーを設置するのに適しています。前述の、、サーバーホストに侵入されても内部へ被害がおフィルタポリシーよぶのを防ぐ " ということは、言い換えれば、公開サーバーホストを内部への侵入の足掛かりにさせないということで DMZ を図 1 のように構成した場合、インターネットとす。そのためには、 DMZ から内部ネットワークへの接続内部ネットワークとのあいだのフィルタリング・ルールは、もすべて拒否します。ただし、リモートアクセス・サーバー DMZ を設けていないときと同様に考えます。つまり、から内部へのアクセスも禁止すると、こには組織の基本的なネットワーク使用ポリシーを適用します。多くの場合は、内部からインターネットへの外向き「リモートからアクセスでけへんリモートアクセス・サーのコネクションは、、デフォルト許可 " の方針で言妬 t し、拒否バーなんて、未ないやんか」するルールを追加していけばよいでしよう。反対に、インターネットから内部ネットワークへの内などと言われるでしよう。だからといって、リモートアク向きのコネクションは絶対に許可してはいけません。しかセス・サーバーから内部ネットワークへのアクセスをすべし、外向きに張ったコネクションの戻りバケットは許可すて許可するのはたいへん危険です。現実には、 DMZ からる必要があります。単純なフィルタリング・システムでは、アクセス可能な内部ホストは少数に絞り、さらに特定のプこの、、戻りバケットを許可するルール " の記述が面倒だっロトコルだけを許可するルールを譿定します。図 1 DMZ ネットワークの構成例インターネット三ー DMZ ネットワークロロロロファイアウォール内部ネットワーク公開サーバー 44 UNIX MAGAZINE 2004. 1

2. UNIX MAGAZINE 2004年1月号

連載 /UNIX Communication Notes ーー 0 図 3 VPN ルータを用いたレイヤ 2 拡張 (SSH 、 PPTP など ) ロネットワーク 1 ( 163.221.1 / 24 ) インターネットロ 163.221.1.153 VPN ルータその他のパッケージ VPN ルーターインターフェイスネットワーク FreeBSD 用に開発されたパッケージだが、残念ながらに MPD (Multi-line PPP Daemon) も有名である。 PPTP を利用するためのパッケージは、 Poptop 以外 NetBSD には移植されていない。いたい ) 。から導入できる ( 言田は、上記のページなどを参照してもら最新バージョン ( 執筆時は 3.14 ) は、 FreeBSD の ports ・ http://www.dellroad.org/mpd/ MPD に関する情報は、下記の URL で得られる。いであろう。サーバーを構成する場合は、 MPD の導入を検討してもよ理も高速である。 FreeBSD べースのシステムで PPTP netgraph という機能を用いて実装されており、 PPP の処に導入できる。 MPD は、 FreeBSD の特徴の 1 つである FreeBSD ではパッケージが用意されているので、簡単方法、もう 1 つは遠隔地にある 2 つのネットワークを仮想は、端末に対して VPN によってネットワークを拡張する 11 月号で、 VPN の 2 つの実現方法を説明した。 1 つのが IPsec である。 VPN について述べるうえで、もう 1 つ忘れてならない IPsec UN 工 X MAGAZINE 2004. 1 VPN の旧ノヾーチャ丿レネットワークインターフェイス的に同一のネットワークとして運用するというものである。図 3 ~ 4 に、それぞれの典型的な構成方法を示す。前者の代表例が SSH や PPTP などによるアクセスであり、後者のイ弋表例が IPsec を用いたネットワーク拡張である。 IPsec とは何かもともと、 IPsec はネットワーク層のプロトコルである IP におけるセキュリティ拡張機能として定義された。 IPsec は IPv4 ではオプションだが、 IPv6 では必須実装機能となっているため、 IPv6 でのセキュリティ機能強化の中心的な存在となっている。 IPsec では、・トランスポート・モード・トンネルモードという 2 つのモードが考えられてきた。トランスポート・モードは、インターネット上の任意の 2 つのホスト間での通信を暗号化によって保護するための機構である。これは、各工ンドノードに IPsec が実装されていなけれは利用できないこともあり、これまでのところはあまり普及していない。トンネルモードは図 4 に示したような考え方で、 IPsec を用いて遠隔地の複数のネットワークを仮想的に統合し、さらに、それらのネットワーク間の通信を暗号化して保護しようというものである。 VPN は、 Virtual Private 67

3. UNIX MAGAZINE 2004年1月号

図 3 構築するネットワーク構成インターネットファイアウォール ADSL モデム DMZ ネットワーク ( 192.168.0.0 / 24 ) ロメールサーバー Web サーバー FTP サーバー SSH サーバー PPTP サーバー内部 DNS サーバー・ PPPoE (PPP over Ethernet) の糸村崙・バケットのフィルタリング内部と DMZ 用の NTP サーバー・ DMZ 用の DNS サーバー PPPoE の終端は、ファイアウォール・ホストではなく、プロードバンド・ルータでおこなうという選択肢も考えられますが、 1 つにまとめても問題はないのでこのようにしました。ただし、 PPPoE の終端はそれなりに負荷のかかる処理のようなので、十分に速い CPU の PC が用意できなければ分離するほうがよいでしよう。なお、今回の環境では CPU が Celeron 560MHz の PC を使っていますが、これまでとくにイ ; 合は感じていません。ですから、、、十分に速い " といってもその程度です。バケットのフィルタリングについては、ステートフルなバケット・フィルタリングをおこなうため、 (ipchains ではなく ) iptables を使用します。今回のファイアウォールは、 DMZ からほかのネット内部ネットワーク ( 192.168.1.0 / 24 ) 端末 UNIX MAGAZ 工 NE 2004. 1 特集安全なネットワークワークへの接続はデフォルト拒否、インターネットへの SMTP のみ許可する方針で設定します。そのため、 DMZ ネットワークのホストに対して DNS と NTP のサービスを提供します。 OS のインストール Red Hat Linux のインストール手川頁の詳細は説明しません。途中でファイアウォールの設疋について訊かれるところがありますが、そこでは、、 N 。 firewall" を j 尺してください。基本的には、必要最低限のパッケージだけをインストールします。ただし、プログラムをコンパイルするための GCC と、 OpenSSH のパッケージはインストールしておきましよう。ファイアウォールでは、 X ウインドウ・システムやドキュメント・ツール、ネットワーク・サーバー類は不要です。ただし、調子に乗って削りすぎると依存関係・・といわれることもあります。 1 つ削りそこねたからどうこうというものでもないので、「よっしや、なにがなんでも削ったるで」と根を詰めるほどの必要はありません。 OS のインストールが終ってシステムが起動したら、次のコマンドを実行して開いているポートを調べます。 netstat —an 最初の段階では、 22 番 (ssh) と 123 番 (ntp) だけカ畤受け状態になることを目指して、ネットワーク・サービスを停止していきます。ネットワーク・サービスを提供するデーモンプロセスは、ディレクトリ /etc/rc?. d の下にあるスクリプトから起動されます。よって、こから不要なスクリプトを消去すればよいのですが、 Red Hat Linux では該当するファイルを rm や mv で消すのではなく、 chkconfig というツールを使います。現在の設疋内容を確認するには、図 4 のようにプションを指定します。ファイアウォール・ホスト上では、 sshd と named 、 ntpd 以外のネットワーク・デーモンは停止します。よって、 xinetd は不必要なので、次のコマンドを実行し、プート時に xinetd を起動しないようにします ( オプションの意未は、 chkconfig のマニュアルを参照してください ) 。 # /sbin/chkconfig ——level 345 xinetd off —list オ 47

4. UNIX MAGAZINE 2004年1月号

図 2 危険なネットワーク構成内部ネットワークロ公開サーバー端末インターネットロロロ一方、内部ネットワークから DMZ へのアクセスはすべて許可してもよいでしよう。もし可能であれば、 DMZ から外部への接続は拒否するほうがよいと思います。これは、サーバーホストがほかのサイトへの攻撃の踏み台として悪用されるのを防ぐためです。ダメな言十とその理由ときどき、図 2 のような構成で公開サーバーを内部ネットワークに接続しているのをみたり、同様な構成を紹介している文献をみかけることがあります。このようなネットワーク構成は、、、手軽でお金がかからない " というメリットとともに紹介されることが多いのですが、ルータでフィルタリングするか否かにかかわらず、たいへん危険なので絶対にマネしてはいけません。たとえ公開サーバーを安全に構築したとしても、危険であることに変わりはありません。この構成では、さきほど述べたセキュリティの基本方釣・が考慮されていません。つまり、いったん公開サーバーへ侵入されると、内部ネットワークへのアクセスを食い止められなくなってしまうのです。攻撃者の立場からみると、たとえばサーバーホスト上で root の権限を奪ってから、 UN 工 X MAGAZ 工 NE 2004. 1 特集安全なネットワークネットワーク上に流れるパスワードを盗み、それを使ってほかのホストヘログインするという一連の攻撃が容易におこなえます。「内部ネットワークでも、リモートログインには SSH を使うてるから大丈夫 ! 」という人でも、ファイルの転送には FTP を使っていたりしないでしようか。内部ホストへの侵入は、パスワードの覗き見によるものだけでなく、そのホストで動いているサーバープロセスへの攻撃によっておこなわれる場合もあります。したがって、ワームが内部ネットワークの計算機に侵入することもありえます。これまで安全だといわれていた Apache ですら、 root で侵入できるセキュリティ・ホールが発見されました。最近は、 SSH にも定期的にセキュリティ・ホールが発見されています。もはや、放っておいても 100 % 安全といえるようなサーバーはありません。もう一度書きますが、糸寸に公開サーバーを LAN にキしてはいけません。リモートロクインファイアウォール・ホストにリモートログインするときは、たとえ LAN 内からであっても、通信を暗号化しない telnet や rlogin などは使わす、 SSH を利用しましよう。また、ファイアウォール・ホストヘログインできるユーザーを制限し、アカウント管理も厳しく運用すべきです。インターネットからファイアウォール・ホストへのリモートログインは禁止します。 SSH だったらよいということもありません。外部からのアクセスはすべて禁止、カ源則です。もちろん、原則は守らなければいけません。しかし、緊急事態が生じたときには、原則を曲げざるをえないこともあります。たとえば、ホストの管理者力外出中に緊急の保乍業が必要になっても、出先からログインできなければお手上げです。このようなときは、インターネットからのログインに利用するホストをあらかじめ決めておき、その IP アドレスからの接続だけ許可するフィルタを設定します。ただし、の IP アドレスは、 ( PPP 接続で動的に割り当てられるような ) 誰カ駛うのカ吩からないようなものではいけません。 45

5. UNIX MAGAZINE 2004年1月号

otice ・ 1 / 2004 lnter BEE 2003 / 林ロ真 11 月 19 日 ~ 21 日の 3 日間、千葉の幕張メッセで、写真 1 lnter BEE 2003 国内最大級の放送機器展 lnter BEE 2003 (lnterna- tional Broadcast Equipment Exhibition 2003 ) [ 1 ] が開催されました。音響機器や映像・放送機器に関連する企業を中心とする 620 社が、幕張メッセの 6 つのホールを使った会場にプースを構えていました。 lnternational" と謳っているだけあって、日本以外の 26 カ国からもべンダーが参加しています。今年の lnter BEE の展示の主力は、従来と同じく映像・音響機器です。北米で開催されている NAB (Na- tional Association of Broadcasters) と比較すると、写真 2 昜風景ネットワークと放送を融合させる試みはほとんどみられません。以下では、かなり苦労してみつけたネットワーク関連の展示のなかから、目についた製品をいくつカ齠介します。ネットワーク映像伝送装置必要としますが、後者では圧縮後の比較的小さなデータを伝送するため、より狭いネットワーク帯域でも利用でインターネットを利用した映像中継システムは、イベきます。ントや遠隔会議、遠隔講義、医療分野などで利用され始 i-Visto HDTV システムめています。龝医業界でも、 IP ネットワークを前提としたシステムカ嶝場し、報道番組や龝医局間の素材伝送な HD (High Definition) の非圧縮映像を IP で伝送すどに使われるようになってきました。る HD over IP の製品として、 ~ 日甬イ言機 [ 2 ] が NTT ネットワークを利用した映像伝送は、大きく分けるとネットワークサービスシステム研究所と共同で開発した次の 2 つのアプローチがあります。「 i-Visto インターネット HDTV ビデオスタジオシステム」 ( 写真 3 ) を展示していました。・映像信号を圧縮せず、そのままネットワークで伝送する方式 HD MPEG-2 TS over IP ・ MPEG-2 TS (Transport Stream) などのプロト HD MPEG-2 TS over IP の製品紹介の一環として、コルを用いて圧縮した映像を伝送する方式日本ビクター [ 3 ] と IBE[4] のプースを会場内光ファイ前者では高画質を保持したままイ星延で伝送できますバーおよび NTT の B フレツツ回線の両方で結び、プーが、後者では圧縮・展開にかかる負荷のために多少の遅ス間での HD 映像伝送のデモンストレーションがおこな延が生じます。逆に、前者は膨大なネットワーク帯域をわれていました ( 写真 4 ) 。 34 UN 工 X MAGAZ 工 NE 2004.1

6. UNIX MAGAZINE 2004年1月号

連載 /UNIX Communication Notes UNIX MAGAZ 工 NE 2004. 1 が多い。原因を調べると、 PPTP 自体のトラフィックを拒否しる大学に PPTP でアクセスしようとしても、接続できないことは IPv4 と NAT との組合せで実現しているため、私の所属す 25Mbps のリンクを提供しているようだ。ところが、ほとんどゲートウェイから客室までは VDSL による 10Mbps またはくの場合、ホテルは直接 ISP のネットワークに接続しており、のインターネット・アクセスを提供するところカ寸曽えてきた。多最近、米国などのホテルでは、客室内からプロードバンドでよく検副する必要がある。については、組織全体でどのような方針をとるかを事前に題になることがある。したがって、 PPTP サーバーの設置しかし、細織内に PPTP サーバーが増えると管理上の問的には、内部ネットワークでのアクセスを制限するとよい。ポリシーを十分に考慮したうえで設計すべきである。一般きをどのようにアクセスさせるかは、糸哉のセキュリティ・は、図 1 の 1 ~ 3 に相当する。とくに、 2 の〃からさトラフィック・マーキングをおこなう上記の 3 つの地点簡単である。いれば、ルータなどでフィルタリングを言するときも対して特定のアドレスプロックから割当てをおこなって定のフィルタリングを施したい場合、それらのホストに組織内で、 PPTP 経由でアクセスするホストについて特当てるのがよい。ネットワークのアドレスプロックは、特定のものを割り・ PPTP 経由でアクセスするホストに割り当てる組織内アクセスさせてもよい。頼を置けるのであれば、組織内ネットワークに無制限にん、 PPTP 経由でアクセスしてくるユーザーに全幅の信へのアクセス制御をおこなってもよいであろう。もちろセスできないように糸各を静的に設疋したり、サービスポータルやグループウェア・サーバーなど ) にしかアクいは特定のネットワーク・サービス ( 組織内の WWW 変わる。たとえば、〃からは特定のネットワーク、あるするかは、その細織のセキュリティ・ポリシーに応じてからさきの内部ネットワークへどのようにしてアクセスのためのゲートウェイとして機能する。したがって、丑〃・〃〃は、外部から PPTP を介してアクセスするホストウォールそのものへの負荷カ減できる。ルの前段に設置した負荷分散器で処理すると、ファイアて実現できるので、 11 月号で紹介した、ファイアウォー図 1 PPTP トラフィックだけをバイバスさせる構造インターネット負荷分散器要素ファイアウォール企業内ネットワーク ( 内部 ① TCP/1723 、 GRE で Hp と通信 ② Hp(PPTP サーバー) VPN →非 VPN への変換 PPTP ノードへのゲートウェイ OPPTP ノード用のバーチャル・ネットワークているところもあるが、圧倒的に多いのは GRE の通過を許さないゲートウェイを使っているケースである。つまり、ホテルの NAT ゲートウェイが、 PPTP に必要なトラフィックを拒否しているのである。この問題を解決するには、ホテルに設置されている NAT ルータの言定を変えてもらうしかないが、これはそう簡単な交渉ではない。メールなどのやりとりは・商になっても、組彳物内ネットワークのサービスカ吏えないようなできの悪い PPTP (NAT ルータ ) の言定には、正直なところ腹立たしい思いをすることがある。やつばり暗号化は使いたいさて、前号で説明した PPTP の設疋では、 VPN の本来の長所である通信データの暗号化はいっさいおこなわれない。これは、たいへん悲しい状況である。 VPN の重要な機能の 1 つは、トンネリングを用いたネットワークのイ反想的拡張であるが、もう 1 っ忘れてはいけないのが通信の暗号化である。とくに、糸目織内ネットワークへのアクセスを前提とする VPN では、トラフィックの暗号化が強く求められる。容易に想像できると思うが、 VPN 上を流れる情報は、本来は糸目織外の人にはみせたくないものが多く含まれているからである。 65

7. UNIX MAGAZINE 2004年1月号

IPv6 の実装旧 v6 モビリティ ( 3 ) 2003 年 11 月 10 日から 14 日にかけて、米国のミネアポリスで第 58 回 IETF ミーティングが開催されました。 MobiIe IPv6 に関する話題は 11 月 10 日の MIP6 (Mobility for IPv6) 分科会で議論されました。 MIP6 分科会は、 Mobile IPv6 の基本仕様の安定化や、不足している周辺仕様について議論するために新しく設立された分科会です。今回の会議では、以下のような項目カ論されました。・ MobiIe IPv6 の MIB (Management lnformation Base) ・ Mobile IPv6 Socket API ・遠隔相互接続テストを実現するための遠隔ネットワーク・ホーム・エージェント多重化のための俶兼・マルチホームの考察糸各最適化の条件の考察 MIB や Socket API に関する議論が前面に出ていることから分かるとおり、 MobiIe IPv6 は、仕様策定の段階から利用場面の考察の段階へ移行しています。事実、今回の会議では基本仕様についての議論はありませんでした。さらに、テスト・ネットワークの仕様や多重化の提案は、実装や運用面における関心力皜まっていることを意味しています。入りました。 IANA がモビリテイへッダにプロトコル番号 IETF ミーティングの期間中に嬉しいニュースが 1 つ今回から、 MobiIe IPv6 の固定ノードの処理の解説を IPv6 RFC の発行は秒読みの段階に入っています。を割り当てたのです。新しい番号は 135 番です。 MobiIe UNIX MAGAZINE 2004. 1 始めます。固定ノードの機能 Mobile IPv6 では、移動ノードの通信相手が Mobile IPv6 をまったくサポートしていなくても、問題なく通信できるように言妬されています。この特徴は、 Mobile IPv6 をインターネットに広める際に重要な意味をもちます。移動ノードと通信する可能性のある IPv6 ノードを、すべて Mobile IPv6 対応に更新しなければならないとしたら、 Mobile IPv6 は普及しないと思われるからです。ただし、この後方互撫性にはそれなりの代償がともないます。 Mobile IPv6 では、移動ノードとの通信にかならすホームアドレスカ駛われます。ホームアドレスは、移動ノードが本来属するネットワーク ( ホーム・ネットワーク ) 上のアドレスであり、移動ノードがどのネットワークに接続しても不変です。移動ノードは、自分の現在位置とホームアドレスの組を、つねにホーム・ネットワーク上で運用されているホーム・エージェントに通知しておきます。移動ノードと通信するノードは、移動ノードの現在位置にかかわらず、つねにホームアドレスと通信します。移動ノードがホーム・ネットワークから離れている場合は、ホーム・ェージェントカ玳理受信し、移動ノードの現在位置に転送します。逆に、移動ノードから j 当言されるバケットは、いったんホーム・エージェントに転送され、あたかもホーム・ネットワークから送信されたかのように処理されます。すなわち、移動ノードとの通信はかならずホーム・エージェント経由になります。この糸各は、移動ノードとホーム・エージェントのネットワーク的な距離が遠く、逆に移動ノードと通信相手の距離が近いほど無駄が大きくなります。すぐ近くにいる通信相手にバケットを送信するために、わ 97

8. UNIX MAGAZINE 2004年1月号

連載 /UNIX Communication Notes 図 4 VPN ルータを用いた中継 (IPsec など ) ロネットワーク 1 ( 163.221.1 / 24 ) VPN ルータ 1 ネットワークインターフェイスネットワーク 1 三 ( 163.221.1 / 24 ) 図 5 IPsec を有効にするオプションインターネット VPN ロネットワーク 2 ( 163.221.2 / 24 ) : / ヾーチャ丿レ丿レータ VPN ルータ 2 ネットワーク 2 インターフェイスネットワーク ( 163.221.2 / 24 ) : options IPSEC options IPSEC—ESP #opt ions IPSEC—DEBUG # IP security # IP security (encryption part ; define w/IPSEC) # debug for IP security Network という名前からも分かるように、プライベート・ネットワークのイ反想的な拡張という未合いをもっている。つまり、トンネルモードは VPN で当初から考えられてきたものといえる。このため、 IPsec のトンネルモード機能を実装した VPN ルータも数多い。私カ所属する奈良先端科・学肢術大学院大学情報科学研究科では、幅広い産学共同プロジェクトを推進しているが、在京企業とのより緊密な共同研究を推進するために、東京にリエゾンオフィスを設置した。その際、 IPsec を用いた VPN ルータを奈良キャンパスと東京オフィスの両方に設置し、キャンパス・ネットワークのイ反想的な拡張を実現し、東京オフィスでもキャンパス・ネットワーク内と同様のサービスおよび操作性を提供している。この種の VPN ルータとしては、早くから製品化していた NetScreen のものカ陏名だが、 Cisco Systems などの大手べンダーも VPN 機能をもつレイヤ 3 スイッチを販売している。 IPsec では、 2 つの重要な機能力甘是供される。 1 つは通信相手が誰であるかの特定、もう 1 つはデータが通信路の途中で改竄されていないかの確認である。これらの機能を提供しているのが、 AH (Authentication Header) と呼ばれるオ内へッダを構成する機構である。暗号化の処理は、 IPsec における ESP (EncapsuIated Security Pay- load) を構成する機構として実装され、さまざまな暗号化方式カ吏えるようになっている。 68 現在、 IPsec は IPv6 上での実装が進めら楸さまざまなプラットホームに IPv6 の機能とともに組み込まれている。もちろん、 NetBSD でも IPsec の機能力坏リ用できる。そこで、以下ではこの機能を用いた VPN の構成について考えてみよう。たとえば、図 4 を構成するゲートウェイ、そして VPN ルータ 1 ~ 2 を NetBSD で構成してみる。カーネルを作りなおす NetBSD 上での IPsec の実装は、 AH および ESP の処理についてはカーネルの内部で実装されている。 IPsec は、実祭には AH と ESP のほかに IKE (lnternet Key Exchange) と呼ばれる機能から構成される。 IKE は暗号鍵を自動的に交換する機能で、ユーザー空間で実装されている。今回の VPN の言屶では IKE の機能は使わないので、説明は省略する。未のある人は、 NetBSD の WWW サイトやオンライン・マニュアル racoon ( 8 ) を手、かりにするとよい。 IPsec の機能をカーネルに組み込むためのカーネル・オプションは、標準では有効になっていない。そこで、まずカーネルに IPsec 機能を追加する必要がある。それには、カーネルのコンフィギュレーション・ファイルを編集し、 IPsec 関連の 2 つのオプションを有効にする ( 図 5 ) 。 3 つ目の IPSEC-DEBUG は、 IPsec のカーネルコードをデバッグする際に使われていたオプションなので有効にしなくてもよい。 UN 工 X MAGAZINE 2004. 1

9. UNIX MAGAZINE 2004年1月号

安全なネットワリスト 1 iptables の言正 # ! /bin/sh PATH=/sbin: /bin: /usr/bin: /usr/sbin rmmod ip—conntrack—ftp modprobe ip—conntrack—ftp 100Se = 1 # # # ポリシーの初期設定 modprobe ip—conntrack—pptp # # 変数の定義 EXTERNAL_ 工 NTERFACE= " ppp0 " INTERNAL_INTERFACE="eth0" DMZ_INTERFACE="eth1 " # 外側インターフェイスの IP アドレス特集 PASV モードを通すために 100Se = 1 が必要 # PPTP 用 ( パッチが必要 ) # 外側インターフェイスの名前 # 内側インターフェイスの名前 # DMZ 側インターフェイスの名前 IPADDR= ' ifconfig $EXTERNAL—INTERFACE BCAST= ( ifconfig $EXTERNAL—INTERFACE ー \ # 外部ネットワークのプロードキャスト・アドレス —e d ( # 内部ネットワークのプロードキャスト・アドレス INTERNAL_BCAST= ( ifconfig $INTERNAL—INTERFACE ー \ # 内部ネットワーク・アドレスのマスク長 INTERNAL_MASK= ' /sbin/ifconfig $INTERNAL—INTERFACE ー \ # 内部ネットワーク・アドレス INTERNAL—LAN—X= ( netstat —rn ー grep $INTERNAL-INTERFACE ー \ grep $INTERNAL_MASK ー grep 0.0.0.0 ー cut -fl ¯d' , ( INTERNAL-LAN=$INTERNAL_LAN_X/$INTERNAL-MASK # DMZ ネットワーク・アドレスのマスク長 DMZ_MASK= ( /sbin/ifconfig $DMZ—INTERFACE ー \ # DMZ ネットワーク・アドレス DMZ_LAN—X= ' netstat —rn ー grep $DMZ-INTERFACE ー \ grep $DMZ—MASK ー cut —fl —d' , ( DMZ_LAN=$DMZ_LAN_X/$DMZ_MASK ANYWHERE="O . 0 . 0 . 0 / 0 " # # 以下の設定を実行しているあいだはバケットの転送を停止する ech0 0 > /proc/sys/net/ipv4/ip-forward # # すでに設定されているルールを消去する iptables iptables iptables iptables iptables —F —t nat -X ALOG —P INPUT DROP —P OUTPUT ACCEPT UNIX MAGAZINE 2004. 1 ーク① 57

10. UNIX MAGAZINE 2004年1月号

特集安全なネットワークあくまでも、使用者を特定できる IP アドレスを、、決め打ち " で指定します。間違っても、インターネット全体からアクセスできるようにしてはいけません。さきほども触れたように、 SSH のサーバー・プログラムにもいくつかのセキュリティ・ホールがみつかっています。、、 SSH を使うてるから、糸鰊寸に安全や " などと過信するのは勿です。リモートアクセスと VPN 冒頭で述べたとおり、最近は ADSL 回線も驚くほど安くなり、誰もが当り前のように自宅からインターネットに常日妾続しています。となると、自宅から会社のメールサーバーに接続してメールを取り込んだり、会社の計算機にログインしたくなります。現在、このような目的には SSH を使うのが一般的だと思います。しかし、 Windows で SSH を利用しようとするとアプリケーションをインストールしなくてはなりませんし、ポートフォワードなどの設定もそれなりに面倒です。そこで、 Windows ユーザーには PPTP (Point-to-Point Tunneling Protocol) による VPN (Virtual Private Network) サービスを提供するのがよいでしよう。こで注意してほしいのは、、、リモートアクセス・サービスはセキュリティ・レベルを下げる " ということです。セキュリティ対策のうえでは、外部からはいっさい内部にアクセスできないようにするのか理想です。しかし、理想だけでは現実は乗り切れません。そこでリモートアクセス・サーバーを設置するわけですが、それでも、、、リモートアクセス・サービスを提供するとセキュリティ・レベルは下がる " ことは憶えておきましよう。リモートアクセス・サーバーを設置する場合は、どこに置くかをよく考えなければいけません。 PPTP についていえば、どこからどこに VPN を張るかということです。便利さを優先させるなら、ファイアウォール・ホストで SSH と PPTP のサーバーを動かそうと考えるかもしれません。つまり、ファイアウォールとリモートアクセス・サーバーが仲よく同居するわけです。しかし、このような構成にすると、 SSH や PPTP のサーバー・プログラムに外部から侵入できるようなセキュリティ・ホールが発見された場合、即座に内部ネットワーク全体が脅威にさらされることになります。したがって、ファイアウォール・ホストとリモートアクセス・サーバーを同居させてはいけません。 46 一方、 DMZ に設置した場合は、内部ネットワークとのあいだにファイアウォールがあるため、フィルタリングにある程度は内部ネットワークを守れるようになります。このように構成したときも、リモートアクセス・サーバーから内部ネットワークへのすべてのアクセスを許可よって、ファイアウォール・ホストには、以下の機能をもたせるファイアウォール・ホストの構築ます。公開サーバーなどの残りのホストについては次回に紹介し今回は、ファイアウォール・ホストの構築手順を紹介し、とで、 1 台のホストにすべてを任せることにしました。は楽になります。しかし、、、とりあえすは様子見 " というこ ( つまり 1 ホスト 1 サーバーで ) 運用するほうが管理作業では、それぞれのサーバーには専用のホストを割り当ててのホストですべての公開サーバーを運用します。私の経験バーも Red Hat Linux 9 で構築します。今回は、 1 台を使っています。同様に、公開サーバーと内部 DNS サープタをもつ L ⅲ ux マシンです。 OS は、 Red Hat Linux 9 ファイアウォール・ホストは、 3 つのネットワーク・アダなネットワークを構築することになりました。こまでに述べた設計方針により、結果的に図 3 のようネットワークの構築るからです。への侵入、 DMZ から内部への侵入が同じ手法でおこなえキュリティ・ホールがみつかった場合に、外部から DMZ ホストで同じサーバー・プログラムを利用していると、セロトコルは、別のものを使うほうがよいでしよう。両方のリモートアクセス・サーバーから内部ホストに接続するプからリモートアクセス・サーバーに接続するプロトコルと、さらにセキュリティ的な理想をいえば、インターネットに保守管理をおこなう必要があります。こまめキュリティ・パッチカ咄たらすぐに適用するなど、できる内部ホストのサーバー・プログラムについては、セさらに、リモートアクセス・サーバーとそこからアクセスロトコルによるアクセスだけを許可するようにしましよう。してはいけません。特定の内部ホストに対して、特定のプことにします。 UNIX MAGAZ 工 NE 2004. 1