アドレス - みる会図書館

1. UNIX MAGAZINE 2004年11月号

2 牛手集ネットワーク・トラブレの基礎知識図 23 しないネットワーク上の DNS サーバーへの問合せ linux$ host myhost . astec ・ CO ・ jp 192.168.20.100 connection timed ; no be linux$ 図 24 ICMP Network Unreachable メッセーシ医同ロファイルの綟集 ) キャプチャ 0 モニタオプション 0 ワークスペース・ウインめヘルプ⑧、凵圍凶ロ目面朝」ー島住」」↓」も副 132.168.20 」 00 DNS 。 0 ID 引 333 C 僕 : 0 T : 0 NAME:myhost.astec. CO. ル宛先に届かない・砂 ASTEO Eyes - [ キャプチャテータく ne し oute ℃〉 ] リ 0 2.188.10.100 DNS の問合せに対する工ラー通知宛先ネットワークにバケットが届かなかったことを示す工ラーい 32. 8. 間 . 川 0 ICMP 「 Type = きい n ion Unreachab!e. C0d 蔘 0 日 132. 8.0.1 4 nt t レ引 Message r0t80 3 Destination lhreachable 0 Netvork 花 & ct' 慮 b 0 畑 f ( な ) ネットワークに届かない 4 20 トⅵミ ) ( ト” r ) IP 改「十 64 bits lnternet ProtocoI r 引 4 (IPv4)T Version ル 8 r ーに一トネットワークへの経路がない・ Type フィールド : 宛先アドレスか有在しないときと同も、 ICMP でエラーが通知されます。じ Destination UnreachabIe メッセージ図 22 のネットワークでは、以下の条件が成り立つもの・ code フィールド : ネットワークに到達できないことをとします。意』未する Network Unreachable ・ルータ 1 のデフォルトルートはルータ 2 に向いている。となっています。・ルータ 2 は 192.168.20.0 のネットワークか有在しないことを知っている。 hping プログラムこの状態で、ホスト A から存在しないネットワーク上の DNS サーバーへ向けて host コマンド 2 を用いて問合せをネットワークの状態を調べる目的でノヾケットを送るとき実行すると、図 23 のような結果になります。出力されたは、 ping や telnet などのコマンドがよく使われます。メッセージから、サーバーに接続できなかったことが分か ping では ICMP バケットを送ることで、バケットの配ります。送状況やエラーの様子力蔀寉認できます。また、 telnet では図 24 は、このときに流れたバケットです。指定した TCP のポート宛にバケットを送り、接続状態を調べたり、 TCP のアプリケーションの簡単な動作確認を 1. DNS の問合せバケットがホスト A ( 192.168.10.100 ) するために使えます。からホスト B ( 192.168.20.100 ) へ向けて送られていしかし、これらのコマンドはもともとネットワークの状る。麒を調べるためのプログラムではないので、送信するバケータ 2 ( 192.168.0.1 ) からホスト A へ ICMP メッ 2. ルットについても次のような制約があります。セージが返されている。・ ping は ICMP の Ech0 Request バケットしカ言でルータ 2 カ芍反す ICMP バケットは、きない。 2 Linux などで、 DNS サーバーに問し哈わせてホストを検索するコマンド・ telnet はテキスト以外のデータを送るのが難しい。です。第 1 引数には検索したいホストを、第 2 引数には DNS サーバー・ ping や telnet では UDP バケットが型できない。を推定します ( どちらも、 IP アドレスまたはホスト名で指定 ) 。、一三ロ 114 UN 工 X MAGAZINE 2004. 11

2. UNIX MAGAZINE 2004年11月号

文房具としての図 1 システムの概要連載 07 データベース用プライベート・セグメントはできません ( アドレスもプライベート・アドレスを利用しています ) 。なお、バックエンドからサーバー・セグメントに延びる線は、バックエンドのメンテナンス用です。のネットワークを通じて、外部のホストからデータベースにアクセスすることはできないようになっています。フロントエンドがいつばい図 1 からも分かるように、たくさんのフロントエンドが用意されています。フロントエンドの数カ寸曽えれば、ある程度までは負荷は軽減されます。それはいいのですが、数カえれば管理がたいへんになります。図 1 の構成は今年のものですが、 2003 年の N 十 I で運用したシステムも、これとほば同じような構成でした。 OS はすべて NetBSD で、フロントエンドは現地に入ってからインストールを始めました。 Web サーバーとして利用者からのリクエストをさばく必要があるため、 Apache などのアプリケーションもインストールしました。フロントエンドの構築に必要な作業はこれだけですが、昨年は 5 台のフロントエンドを用意したので、上記の作業を 5 回繰り返したわけです 2 。ふだん NetBSD で生活しているとインストール作業にも飽きていますし、黙々と 5 台ぶんのインストール作業をしていると、すべての構築が終ったころにはもう疲労困憊です。 2 dd でコピーすればいいやん、と思う方もいるかもしれませんが、プレードサーノ←を利用したので、手間はどちらも同じようなものでした。 HTTPS アクセスサーバー・セグメント L2 負荷分散負荷分散装置バックエンドフロントエンテータベースアクセス UNIX MAGAZINE 2004. 11 しかも、インストールが終ればそれでおしまいではありません。 web サーバーはすべて同じコンテンツをもたなければならないので、 TTS 自体のコードも 5 台のサーバーにインストールする必要があります。このコードはまさに開発途 - ヒで、現地での利用者からのリクエストに応じてどんどん改善されていきます。そしてもちろん、コードを書き換えるたびに 5 台のサーバーにコピーして回らなければなりません。 2003 年の N 十 I はこうして過ぎ、「もうコピーして回るのはいやや ! 来年はなんとしてでも楽するで。しかも、ちょっとぐっとくる方法でやるんや ! 」と固く心に誓ったのです。自由なフロントエンドその後、案の定そんな誓いなどあっさり忘れ去っていたのですが、今年の N 十 I の開催が近づくにつれ、コピーを繰り返す去年の自分の姿カ胡畄裏によみがえってきました。「あかんあかん、今年はなんとかせんと、また不自由なフロントエンドに縛られて、コピーだらけで疲労困憊の日々や」そこでます、何ができると楽なんだろうということをじっくり考えてみました。コンテンツのコピーはしたくない今年のシステムは心機一転、 PHP53 で一から書き直したものです。そのため、去年と同様、現地での変更や改善が頻繁に発生することが予想されました。去年のままだと、同じようにコンテンツのコピーが頻発してしまいます。また、あとで説明するように、会期中にフロントエンドカ寸曽減する可能性もあります。このような事態にも、うまくコンテンツの一貫性を保てるような方法が必要です。インストールの手間はできるだけ減らしたい現地に入ってからのインストール作業も大変です。とくに、プレードサーバーを利用するので、あらかじめハードディスクを用意していくことはできません。また、ハードディスクを取り出すのもすこし面倒ですから 4 、 dd してハードディスク・イメージをコピーするといった方法も避け 3 N 十 I の会期カ冬った時点で RC3 でした。 4 雹甬の PC でも面倒といえは面倒なので、手間は変わらないのかもしれませんが・・ 95

3. UNIX MAGAZINE 2004年11月号

図 4 stunnel 経由での telnet アクセス $ t elnet 127.0.0.1 110 Trying 127 . 0 . 0 . 1 . Connected tO mars . Escape character iS + OK IIJ POP3 Server (mbox ・ iij4u ・ or. (p) starting ・ quit + OK Pop server at mbox. iij4u. or. 」 p signing off . Connection closed by foreign hOSt . コマンド行は root の権限で実行する必要がある。所有者が root のプロセスでないと、 25 番や 110 番ポートなど、 1024 未満のポートでは接続を待っことができないからだ。 Cygwin にはそのような制限はないので、単純に上記のコマンド行を実行すればよい。ためしに、このようにして起動した stunnel に telnet コマンドで接続すると図 4 のようになる。 mbox. iij4u. or. jp は POP3 over SSL のサーバーたが、 SSL 非対応の通常の POP3 サーバーであるかのようにみせていることがよく分かる。図 3 の設定ファイルを利用している場合、バックグラウンドで動作している stunnel のプロセス ID が /var/run/ stunnel-pop3smtp. pid に保存される。この stunnel を終了させるには、次のコマンドを実行する。 $ kill ( cat /var/run/stunne1—pop3smtp. pid ( 「 stunnel の働き」の項で述べたように、メール・クライアントではメールサーバーとして 127.0.0.1 を指定する。つまり、 POP3 サーバーは 127.0.0.1 の 110 番ポート、 SMTP サーバーは 127.0.0.1 の 25 番ポートと設定する accept = 127 . 0.0 . 1 : 25 accept = 127.0.0.1 : 110 図 3 の設疋ファイルでは、のである。 134 その場合、 stunnel は他ホストからの接続も受け付ける。 IP アドレスやホスト名を指定しないことも可能である。上記の 2 行を、、 accept=110" や、、 accept=25" として、 stunnel には自ホストから接続できれば十分である。アントから SSL でメールサーバーと通信することだから、けない。この記事の目的は SSL 非対応のメール・クライを使っている stunnel は自ホストからの接続以外は受け付という IP アドレスを指定しているので、この設疋ファイルく 21669.1094615077@mbox. iij4u. or. jp> 図 5 Windows XP SP2 で表示される警告このプ 0 りラムをプ 0 ゥりし読けますが ? 名前 (N) : stunnel 発行元の和月できます。と・のプ「ラをい蜊多解 0 き齒示を・ま去 Windows XP SP2 では、他ホストからの接続を受け付ける stunnel を初めて実行したときに、図 5 のような警告が表示される。その場合には [ プロックする ] をクリックすればいいのだが、最初から、、 accept = 127.0.0.1 : 110 " としておけば、このような警告は表示されない。 HTTP プロキシー経由次に、 HTTP プロキシー経由でのメールサーバーへのアクセスについて考えてみよう。もうすこし詳しく書くと、以下の条件がすべて満たされている場合である。・メール・クライアントを動かすコンピュータから SSL 対応のメールサーバーに直 4 妾続することはできない。・ HTTP プロキシーカ坏リ用できる。・ HTTP プロキシーは SSL 対応メールサーバーに接続できる。この場合には、 connect3 というプログラムを利用する。 connect はソースコードで配布されていて、 UNIX と Cygwin のどちらでも簡単にコンパイルできる。以下の説明では、 connect コマンドが /usr/local/bin/connect にインストールされているものとする。さらに、 HTTP プロキシーのホスト名は proxy ・ example. jp で、ポート番号は 8080 と仮定する。 3 http://www.taiyo ・ CO ・ jp/-gotoh/ssh/connect. html セキュリティ・要なをコンビ 1 タを保護するため、このプ 0 歩ラムの麌能の一部 Wtndows ファイアウォール 0 プ 0 クされ ( しはす。 UNIX MAGAZINE 2004. 11

4. UNIX MAGAZINE 2004年11月号

連載 / ネットワークとセキュリティすでに導入済みであるものとします ) 。られたら、 MySQL の root パスワード ( 下記の例ではまず、 MySQL にログインします。パスワードを求め 1. MySQL にログインする $ gzip —d contrib/snortdb—extra ・ gz れるファイルをあらかじめ展開しておいてください。なお、データベースを設定する前に、追加の構造が含ま 2. データベースの作成 $ mysql —u て 00t —p mysql mysql) を入力します。 UNIX MAGAZ 工 NE 2004. 11 必要となるので、よく確認したほうがよいでしよう。パスワードは、のちほど Snort や BASE を設疋する際になお、 MySQL に設定したデータベース名やユーザ名ー最後に MySQL に権限の設定を反映し、終了します。 mysql> EXIT; mysql> FLUSH PRIVILEGES ; 5. 設疋の再譴囚み 'my-password' WITH GRANT OPTION ; TO snort@localhost IDENTIFIED BY , ・ mysql> GRANT ALL ON snort-db. * - ( 誌面の都合上、で折り返しています。以下同様 ) 。し、パスワードとして、 my-password" を設定しますデータベース snort-db 上にユーザー、、 snort" を作成 4. アカウントの作成 mysql> SOURCE . /contrib/snortdb—extra mysql> SOURCE . /contrib/create—mysql しれません。め、 snortdb-extra の言ムみにはやや時間がかかるかももとにデータベースを設疋します。ファイルが大きいた次に、 snort のアーカイプに含まれているファイルを 3. データベースの設疋 mysql> CONNECT snort—db ; mysql> CREATE DATABASE snort-db ; です ) 。ます ( 、、 mysql>" は MySQL コンソールのプロンプト作成します。そして、作成したデータベースに接続し MySQL に、、 snort-db" という名前でデータベースを Snort の言又疋データベースの設疋が完了したら、 Snort を利用するための設疋をおこないます。 Snort の設定項目はきわめて多こでは必要最小限の設定のみ説明しま岐にわたるため、す。成疋ファイルは snort. conf で、さきほどコピーしたサンプルを編集します。今回もエデイタとしてⅵを利用する前提で進めるので、ほかのエデイタを使っている方は適宜読み替えてください。 # vi /usr/local/etc/snort/snort . conf 44 行目付近・変更前 var HOME-NET any ・変更後 var HOME_NET [ 10.1.1.0 / 24 , 192.168.1.0 / 24 ] まず、 HOME-NET 変数に監彳寸象とするネットワーク・セグメントのネットワーク・アドレスを CIDR 表記で誌定します。複数のセグメントを監視する場合には、、、「と ] のあいだに各アドレスを、、 , " ( カンマ ) で区切って指定してださい。上の例では、 10.1.1.0 / 24 と 192.168.1.0 / 24 を監ネ寸象としています。 Sn 。 rt の多くのシグネチャでは、インターネットと内部ネットワークを区別するために HOME-NET 変数を利用しています。 HOME-NET を正しく設定することで、内部から外部へのアクセスと、外部から内部へのアクセスを区別することができます。 109 行目付近・変更前 var RULE—PATH . /rules ・変更後 var RULE—PATH /usr/local/etc/snort/rules 次に、 Snort のシグネチャ・ファイルがあるディレクトリを絶対パスまたは相対パスで指定します。この例では、 /usr/local/etc/snort/rules にシグネチャ・ファイルをコピーしています。 454 行目付近 ( 図 2 ) 最後に、 Snort が検知したセキュリティ・イベントの出カ先を指定します。今回は MySQL データベースにセキュリティ・イベントを格納するため、図 2 の例のように 83

5. UNIX MAGAZINE 2004年11月号

連載 /Red Hat Linux のツールたちドでは XDMCP カ吏えないようなので 10 コマンドを利用した例を紹介します。こでは rsh rsh コマンドを使うには、クライアントに rsh サーバー (/usr/sbin/in. rshd) をインストールし、アクセスを受け付けるように設定する必要があります。 rsh サーバーは rexec サーバーと同じパッケージ (rsh- server ー 0.17 ー 21. i386. rprn ) に含まれているので、 rpm コマンドでインストールします。 rexec サーバーと同様、 rsh サーバーは xinetd 経由で走」されるため、 rexec サーバーを肩勠にする方法と同じく、 xinetd の rsh サーバーに関するサービス起動設定ファイル (/etc/xinetd. d/rsh) を編集し、、、 disable=yes" となっている行を、 disable=no に書き換えてから xinetd を再起動します。さらに、 rsh によるアクセスを受け付けて X クライアントを起動するユーザー ( ここでは hayao ) のホーム・ディレクトリに . rhosts というファイルを作成し、 rsh の実行を許可するホストのホスト名または IP アドレスを指定します。私の場合、 VM- ware のホスト OS ( 192.168.1.1 ) で rsh を実行するので、 . rhosts ファイルには以下の 1 行を言当します。 192 . 168. 1 . 1 なお、 rsh を実行するホストのユーザー名と、 rsh を受け付けるホストのユーザー名が異なる場合は、上記の行にユーザー名を加える必要があります。たとえば、 rsh を実行するホストのユーザー名が yokogaki であった場合、 . rhosts rsh [ ー 1 user] host command 一方、 rsh は以下のように実行します。 192 .168.1.1 yokogaki には次のように言杢します。 190 ーメッセージが /tmp/XWin. 10g に出力されます。 CP イ吏用時は—multiwindow オプションは使えない " という意床のエラ dow) と XDMCP オプション (—query) を両方孑彳定すると、、 XDM- 10 XWin. exe の実行・時にマルチウインドウ・オプション (—multiwin- トホストのユーザー名を指定します。ユーザー名が異なる場合は、 -l オプションに続けてリモー引用符で囲みます ) 。ローカルホストとリモートホストの字列です ( コマンド文字列に空白が含まれる場合は、二重ス ) 、 command はリモートホストで実行するコマンド文 host はリモートホストのホスト名 ( または IP アドレー十リとして、ホスト OS ( 192.168.1.1 ) の bash 端末で rsh を実行し、ゲスト OS ( 192.168.1.10 ) にアクセスして hostname コマンドを実行してみましよう。 hayao@hostos $ rsh 192 .168 . 1 . 10 hostname fedora hayao@hostos アクセスに成功すると、ゲスト OS で hostname コマンドが実行され、この例のようにゲスト OS のホスト名 (fe- dora) が表示されます。もし、、 permission denied" というエラーか表示された場合は、 . rhosts ファイルの設疋をよく確認しましよう。なお、 FC2 の場合、 . rhosts ファイルに対して所有者以外の書込み権限が設定されていると、のエラーが表示されます。 rsh をさきほどの startxwin. bat から起動し、クライアントのホーム・ディレクトリにある . xsession ファイルを実行したければ、 startxwin. bat で xterm を起動している部分 ( 150 行目 ) を削除し、ファイルの末尾に次の 2 行を追加します。 xhost + 192. 168. 1 . 10 run rsh 192. 168. 1 . 10 " DISPLAY = 192. 168. 1 . 1 : 0 , /home/hayao/. xsession" 最初の行では xhost コマンドを実行し、 X サーバーへのアクセス許可リストにクライアント ( 192.168.1.10 ) を加えています。さらに、次の行で rsh を用いてクライアントの . xsession ファイルを実行しますが、環境変数 DIS- PLAY に X サーバーの IP アドレスとスクリーン番号 ( 末尾の 0 ) をセットしています。上記の例では Cygwin の run コマンドで rsh を実行していますが、これは startxwin. bat が rsh コマンドの終了を待たないようにするためです。こうしておけば、 startxwin. bat の実行にともなって表小されるコマンド・プロンプトのウインドウがすぐに消えてくれます。変更後の startxwin. bat を実行すると、クライアントの . xsession ファイルが実行され、このファイルに記述された X クライアントが起動されるはずです。 X クライアントと Windows アプリケーションのあいだで日本語を含む文字列のコピー & ペーストも、問題なくおこなえるようです。 UNIX MAGAZINE 2004. 11

6. UNIX MAGAZINE 2004年11月号

時代の最先端をえ SC 翡 ORACLE MASTER 0 c MAST Bronze DBAI 0g 日本オラクル公式テキスト日本オラクルユニ / ←シティ執第による初※の公式テキストデータベース管理者の実力の指標、オラクルマスターに「 ORACLE MASTER Bronze OracIe Database 1 Og 」が加わります。本書はこの資格をとるために必要な「 Bronze DBA 1 Og 」の試験の概要、試験範囲の技術を解説したテキストです。たから、オススメします ( ①試験対策だけでなく、実践の技術もしつかり身につく ②試験内容と難易度がはっきり見えてくる ③セミナー講師陣の解説と模擬試験問題で独学に最適オラクル e ラーニング「プレミアム・ライプラリ」が無料体験できる日本オラクル株式会社オラクルユニバーシティ著 A5 判 / 368 ページ / CD - ROM 1 枚付属定価 2 , 940 円 ISBN 4-7561-4518-3 ※ 2004 年 9 月現在。自社調べ。データベース管理オラクル公式テキストシリーズロ B2 Version 8 新機能解説オフィシャルカイド Paul C. ZikopoulOS 、 George Baklarz 、 Dirk deRoos 、 Roman B. Melnyk 著 B5 変型判 / 424 ページ定価 7 , 140 円 DB2 Version 8 の新機能がわかる DB2 Version 8 では、パフォーマンスを高めたり、データベースの保守を容易にしたりするための機能が多数追加されました。本書は、これらの新機能を網羅的に解説する公式ガイドブックです。旧 M DB2 Version 8 新機能解説オフィンヤルガイド ISBN 4-7561-4541-8 第クル第遥チ・スト ! つつ完全合格シリーズ Bronze DBA10g 日本オラクル、 & 公式テキスト 2005 年版ソフトウェア開発技術者過去問題集 + CD - ROM 五十嵐聡十高度情報化利用技術研究会著 A5 判 / 464 ページ CD - ROMI 枚 ind 。 ws98 以上対応 ) 定価 2 , 940 円過去問から出題形式と傾向を見抜く ! 過去問題を徹底的に解くことと、企業研修講座で講師を務める著者の経験を活かした解説で、試験の出題形式と傾向がわかります。 CD - 日 OM に収録された「模擬試験問題」にチャレンジして、事前に弱点を見つけ強化することができます。昇全・第三 : : ・ドソフトウェア開発技術者過去問題集 + (I) ・ R ( 川新刊 ISBN 4-7561-4542-6 データベース管理完全合格シリーズゼロからはじめるネットワーク【書込式】 TC P/I P 短期集中ゼミ完全合格オラクルマスター Go 旧 Oracle9i Database 模擬問題集日本オラクル株式会社監修株式会社 CSK 教育サービス事業部編 A5 判 / 408 ページ定価 3 , 360 円オラクルマスター Go の受験に必要な 2 科目の要点をコンパクトにまとめました。オラクル認定講師である著者陣が選りすぐった予想問題約 300 問で、合格への近道が見えてきます。 0 「 ac 厄 Database 10g HTML DB 入門今野留以著 B5 判 / 176 ページ CD-ROM 2 枚付属定価 2 , 730 円インストールから実際の構築例までをはじめて HTML DB を使う人にもわかるような解説をします。 CD - ROM に Oracle Database10g fo 「 Windows などを収録。工クセルの表からダイレクトにコピー & ペーストできるなどの新機能などをすぐにお試しいただけます。オラクルマスター模擬問題集 DBA Ⅱ禁三・強門 13 “日一い」日ぃい重 . 日い ORACLE• DATABASE HTML ロ B 入門、 ! A4 変型判 / 128 ページ定価 1 554 円テクニカルエンジニア ( ネットワーク ) や CCNA 、ドットコムマスターといった資格試験に絶対欠かせない TCP / TP の知識を、クイズ感覚でバッチリ学べます。 ISBN 4-7561-4469-1 ISBN 4-7561-4491-8 ISBN 4-7561-4531-0 ゼロからはじめるネットワークセロからはしめる旧アドレスル - ティコを′アトしスーと「ー炉アトレ ) ルータ設定興践ド・これならわ・レス赴入・ルンアト : : 第′ 完全合格シリーズゼロからはじめるネットワークセロからはしめるー P 電話 0 ー P 6 ゼロからはじめる旧電話 & ー Pv6 ゼロからはじめる旧アドレス & ルーティング完全合格オラクルマスタ - Si ⅳ部 OracIe9iApplication Server 模擬問題集日本オラクル株式会社ネットワークマガジン編集部編長谷川大田代順子著 A4 変型判 / 192 ページ A5 判 / 384 ページ定価 1 , 764 円定価 3 , 675 円多くの図版とわかりやすい文出題傾向に基づいた充実の模擬章で旧アドレスとルーティン問題約問とわかりやすい解説で、グの概念や仕組み、実際の合格に向けた応用力効率よくを短設定をすばやく理解できます。期間で身につけることができます。 ISBN 4-7561-4492-6 企業内研修・引用によるカスタムメイド・ OEM 供給に関してのお問い合わせ先 . 法人営業担当 ( 03 ) 5362-3327 ・表示価格は消費税込みです。・本製品は書店および書籍を扱っているパソコンショップでお買い求めください。・品切れの際は書店にてご注文いただくか、通信販売をご利用ください。・通信販売のお問い合わせ先 . アスキーストア電話 ( 03 ) 3499-9300 http://www.ascii-store.com/ ・ ASC Ⅱの新刊・イベント情報を毎週お送りするメールマガジン A - Ma ⅱ . yom のお申し込みはこちらから http://www.ascii-store.com/a-mail/ 0 らはしめ第ントオラクルマスター模擬問題集 AppIication 「今 . ・入しても大丈☆為の■第を . 第・に優って・・しまー P 電話と一 Pv6 を - ネットワークの活用法か変わるプロトコルから第・朝 0 電第ー P 6 の第朴な問を第くー .0 ー・ 1 て物よ、ネットワークマガジン編集部編 A4 変判 / 192 ページ定価 1 , 764 円豊富な図版と詳細な解説で、今注目の日 p 電話」と冂 Pv6 」のプロトコルから利用方法までしつかり理解できます。 ISBN 4-7561-4378-4 ISBN 4-7561-4505-1

7. UNIX MAGAZINE 2004年11月号

連載 / ネットワークとセキュリティ ) 日 A : 洋い : 議川 Mtc " に 0 ⅳ " 一刈” アドレス Q) ht い〃。物山” / ト” - 物 . “ 0 0 郎・ 0 看ゞ圄富つ齢、發、“入りを。方イル場集叩表示お知こ入り ( ツール (I) ヘルフ図 7 、 veb 経由でアクセス図 8 データベース乍成にカアドレス 0 / わ”。′い” . 物 - ” , 平オ第フルの毅第 0 表示お知こ入りツ、 - ルへ井プ BASE Ope む on DB Setup DescrlptIOn BASE 、。 DB Setup S•ørch S い山 5 Create8AXAG BA 阯い 0 ー A00 ーー曲地対を物日ー D 日の 3 蘚 01128ASE 朝 00 ツ町 ( h dex ・を ( 0 on A 聞を第ⅵ・いい Sn 20 讎町液い 5 0f ー hequen [Loaded ⅲ 0 “ 000d 可 997 ( K ” Jo ⅸ Based 叩 AC/D bY Roman Danyiiw ) 以下に、 Apache の実効ユーザー名が、、 apache の例を示します。 chown apache : apache /var/www/ . htpasswd chmod 600 /var/www/ . htpasswd Web 経由でのアクセス 5 : 0 をツ ( ・ー甲ー 0 既 ! S ( をツ 00 ・すを Operation 日 AS ど tab 5 Description A 聞ーい N05 を・ ! 2S2 代ー第「 : 代物を日 SE 社 10 む On 誂 Se ch ⅲ d ・内 00 謝 ) A 聞引れ xe い 0 せ S れ 0 代 0 日 0 が朝 1 にい he s 研物叩 1 聞 d lyi 的協 ( 0 簡鯲“ d “ 0 h 日 ASE Additional p ・「 m 一 i02 Status D リ、ト OONE " の場合第 d 日ロ 0 supsm A れ p 的 ( 山 0 一町扣 0 ツ・可 2 を om 物砂 d ab ”砂なお物朝引 00k 叩 0 h 衂ヨ S 0 1 Tra 日円 ofil ・ by 円 090 引 T 物第・ w ⅲ dow:[2 事 09 ・ 15 157 1 引ヨ 2004 ・ 09-1602485 Da ba : 0 臧 0 に 0 hO 物 02m0 冊国 0 ル 1 ー Qu ・ d 0 れ S を emb 16 20 02 4931 地第 35 “に物・ N«t ℃ Basic Analysis and Security Engine (BASE) アルス 0 わ〃第応第を”物れ 0 0 , 0 、・圄はツ ) い : 入り第書第 : カイル 0 第表示おこ入り内ツールヘルプ図 9 BASE のメイン画面 ßaseduponACK)b*RomanDamfiW) 、い用緲 / ( byK “ⅲ」 0h20 ル [Loaded ⅲ 1 ・ 000nd G 引 0 the Main pa 10 06 砂物・叩メ ic ー on - 0 れ " n 第ぶ h 第をを DELETE 田ⅵ UPDA 正声 M 92 on the d お 2 、00代ーéb@地c引h0獸" UniqueAlerts:23 ー 03290 「編を TCPit3•:.) 上記の設疋が完了したら、 Apache を再起動して設疋の変更を反映し、 http: / / サーバーの lP アドレス /base/base_db_setup ・ php ヘアクセスします。これまでの誌定に問題がなければ、図 7 のような画面が表示されているはすです。なんらかのエラーが発生した場合は、画面のエラーメッセージをもとに当該箇所を修正してください。とくに問題がなければ [Create Base AG] をクリックします。すると、 BASE に関連するデータベースの作成に成功した旨カ哂面に表示されるはずです ( 図 8 ) 。図 8 の右上の、、 H 。 me " リンクをクリックすると、 BASE のメイン画面 ( 図 9 ) カ俵示されます。メイン画面では、データベースに登録されている全体のセキュリティ・イベント数、侵入検知カ俵示されます。ールと基本的な設定、そしてセキュリティ・イベント分析今月は、ネットワーク型 IDS である Snort のインスト ☆ UNIX MAGAZINE 2004. 11 Total Number A 地 : 369 。 TCP(2jUOP(1) 0 ー P 聞 5 3 Source P 5 ・ 28 ・れ年旧ドを 92 ・ De 引 IP e ・を・ S , 」にを P 3 ′” 5 46 ・朝叩 h にれ社 0 い最尾 h し OP を 1 ど iCMP ・ MO 引 0 ー一第伊 0 ぐ OI. ーこ UOP. ICMP ・ TOd 町物 - 謝銀お u ⅲ qu ⅱ頼瘋 9 ヨ P ( ′ d 引・し 3 24H0 3 ーⅢ日川、日ⅲ生旧・ La 引 12 Hc 町、 3 代 5 u ⅲ中コ 9 : 旧 5 代 / d 験・ MO 就田 ( ・ 15 リⅲ中出毎・ Last SO 曜 ( ・ P 面 3 any . TCP uDP ・ L 駅 00 引 in ま P 第第ッ - TCP ユ旧 P ー物 3 い田 q び 0 5 Af•rts ・一加就日を qu ー Sa 町 0 を Po 強 5 any - TC.P . tJDP 、駅 F 億 q リ 0 O 日 0 10n P まは . ICP . tJDP をを 02 禰 1 ら由自 53 をを 50 県 ( ダ d をⅱ新ⅱ on ツールの BASE の言定を説明しました。 87 ( しらはた・しん慶應義塾大学 ) の低減などのカスタマイズ方法について説明する予定です。次回は、 Snort のシグネチャの自動アップデート、言盟衾知

8. UNIX MAGAZINE 2004年11月号

0 ワークステーションのおとーー画面 1 BIOS に似た画面 : : 叩 ( 則 : 心邀第こ 0 0 引ゾ X ECS こ 0 引 S を 6 0 00Y 行虻て 1955-2001 Phænix 丁 0 ま 0 ; i Ltd Ⅱ Rights Reserved 岐い 0 P4 : P P4D? ミ引 CS を 2b ニ 2 第 : 引 ! 00 「リ : CP し 2- こ CG 11 リ Systea RAV Passed 写真 1 SA3000 当な宿 0 レ ( OM : vl ー 000 匿〕物区 12m いて OM を V 丁に : up CQ do 物雌 0 けではありません。多くの製品には、外部から SMTP over SSL や POP over SSL 、 IMAP over SSL でのアクセスを受け取ると、 SSL をほどいて組織内の SMTP/POP/IMAP サーバーへ中継する機能があります。つまり、 {SMTP,POP,IMAP} over SSL 対応のクライアントがあれば、社内のサーバーの設定を変更せずに安全にメールのやりとりができるようになります。「 SSL 対応のアプリケーションを用意しないとだめ ? 」多くの SSL VPN 装置には、安全な通信に対応していないアプリケーションを安全な通信路で伝送する、 SSH と同じような仕組みもあります。つまり、 POP や SMTP などを HTTPS で守られた安全な通信路で運ぶわけです ( もちろん、あらゆるプロトコルに対応しているわけではありません。そのあたりは、メーカーによっていろいろと違いがあります ) 。ふだん、 SSH を使っている人なら、 SSH の代わりに SSL/HTTPS で同じことを実現しようとしているといったほうが分かりやすいかもしれません。 SA3000 具体的なイメージが浮かんだでしようか。それでは、 SA3000 の設置から設定までをみていきましよう。大きさは IU サイズで ( 写真 1 ) 、 IU サイズのサーバーやスイッチに似ています。写真をよく見ると、 Web ページにある SA3000 の製品写真となんとなく違います。これは、試用したモデルが、 SA3000 をもともと開発した Neo- teris2 という会社が販売していたころの筐体に入っていたからです。正面には、 lnternal と External と書かれた 2 つの Eth- ernet ポートがあります。今回は、図 1 のような、 lnternal だけを使う構成にしました。もちろん、、、 External" ポー 2 2000 年に設立された Neoteris は 2 ( ) 03 年に NetScreen Technol- ogy に買収され、さらに NetScreen が 2004 年に Juniper Net- works に買収されました。 PhoenixB10S S 叩 Ut 日 i け CPU Type lntel (R) Xeon (TM) CPU 2.40 ~ CPU Speed 2 40 ~ S 計 RON E588 ー FFFF OS Oate System M 硎「 y 640 KB 09 / 16 / 02 日 tended 師 0 「 y 522752 KB Shadow Ram 384 KB COM Po 「い 0 8 0 8 Cache Ram 512 KB LPT Po は 5 0378 OisDlay Type EGA VGA 「 d Disk 0 400 幻 PS/2 uouse NO 【 lnstal led 「 d 0 i sk 1 None 「 d Disk 2 None Diskette A Di い Hard Disk 3 n 日 0 i skette B Disabled ! PCIX 引 ot 1 / 2 / 3 66 Ⅷ z PCIX 引 0 て 4 66 Ⅷ ~ PCIX 引 ot 5 100 Ⅷ ~ PCIX 引 ot 6 100 盟貶「 e55 : 0 し 0 「てを「しをトを使い、図 2 のような構成にすることもできます。ネットワークを配線し、ファイアウォールの設定が終ったら、 SA3000 にとりかかります。最初の言貨定は、シリアルポート経由でおこないます。 PC と SA3000 の正面にあるシリアルポートをシリアルケープルで接続して電源を入れます。すると、 PC の BIOS をシリアルにリダイレクトしているような画面になります。 ( 画面 1 ) 。この画面では、次のような情報が分かります。 . マザーポードは Supermicro P4DP6/P4DPE ・ CPU は Xeon (2.4GHz) X 2 ・メモリは 512MB ・ハードディスクは 40GB ・ PCI-X スロットがある・ PCI-X のスロットが本当にあるのか、そこにカードが入っているかどうかは分からないいつもなら分解して確認するところですが、今回は「分解はダメ」という意味のシールが貼ってあったので断念しました。さらにすこし待っと、プートローダの画面になります ( 画面 2 ) 。、、 LILO Boot Menu" とあるので、 OS はもしかすると Linux か、またはそれ以外のフリーの UNIX かもしれません。さらに待っとシリアル・コンソールになり ( 画面 3 ) 、 IP アドレスの設疋、管理者ユーザーの登録など、基本的な設定ができます。ここで、 IP アドレスとネットマスク、ゲー 140 UNIX MAGAZINE 2004. 11

9. UNIX MAGAZINE 2004年11月号

ワークステーションのおと一 - 0 画面 12 ポリシーの変更 Ro を wi 物 op ・れ・ d Web A ( ( 0 ををを面地を W 0 A ぐこ P こを〉 - N 施、一ト 0 ” dW ( 0 0 を scr•tion : ⅱ 0 まⅡ“トい o. 衂転 0 ・ 0 い 0 曲 le 純ⅱ朝を 5 臼れ ed 画面 14 新たなポリシーの作成 Unix/NFS 日厄 A ( ( ・、を PO ci 総を Wndows 協 0 面曾・、田 d 」はしいを材製けい 0 元 [ 」し 4 に 0 むト F 地日 ookm 部 ks リ se ート 3 ーみ物 1- ぐ「 e ー e ぐ以ド 5 b00 、 möな 3 ん一 ( ん当 / ( 5P0 第 5 ゝー 0 ーぐ第減こ 051 . ョ雌地引れこ洋 : 物物 . ツヨれに 0 : 44 】既気ミ 0 題リ 2 当蹶 2 : マ 5 、 0 : 80 : 44 “ ; 0 は 0 は 0 は 0 4 00 い 9 / @P。 bcy “に 0 い 0 地を 0P3 ( 、・き h “を OS 日 . E ( TED 心” 0P20 ・ app 阯を ! 0 譴地 301 ト RT 日ーまの 305 ・地 ( tedb を IO 物 R 第第 0 0 に de 朝 d ・ bO ・に WS ヨ ( こを 55 : 0 「 50u 「 ( ・ 5 を一 ( ep ー・ p い ~ ヨ b 〔 1 1. 毅 0 3 認。 0 群 W 00 物ト 05 、 ( 5 を第当を一・第澱物をを物を量、第一、・を第〔画コ匯亟亟コⅡ = ] 匚〕日′ 0 トーリ 0 ⅸ′ s 日 0 画れ 9 Windows File A ( ( ・を、 Po ⅱ ( i ・第画面 13 アクセス先の言ストールされて PPP セッションカ漲られます。これを利用すると宣言すると、 ActiveX モジュールがイン Network Connect は、 ppp over SSL のようです。ています。ユーザーは、どちらかの実装を選んで使います。の部分の実装には、 ActiveX モジュールと Java カ吏われのループバック・アドレスとポート番号を指定します。バーを使いたいときは、ここで指定した 127.0. . などるポートなどを指定します。アプリケーションがこのサーのサーバーカ駛うポート、そしてクライアント側で利用すバーか稼動するマシンのホスト名または IP アドレス、そ SSH で実現されているようなポートフォワーダです。サー SAM (Secure Application Manager) は、基本的にはています。 Telnet/SSH については、アクセス先のホストを定義しる、、 Acutus" というポリシーを作りました ( 画面 14 ) 。がなかったので、社内ネットワークへのアクセスを許可すす ( 画面 13 ) 。 UNIX/NFS についてはデフォルトの言定があり、それぞれについてアクセスの可否などを設定しま FiIes は Windows (SMB) と UNIX/NFS の 2 種類 roles) に変更しています ( 画面 12 ) 。のみからすべてのロールに適用 (Policy applies to ALL Policies では、リソースポリシーの i 直用を、 Users ロール UN 工 X MAGAZINE 2004.11 AUow ー / 1 ・にをを q 00 : 朝新をは 0 第を”“を第 0 y. 5 朝せに「“。′。“物 h に h 、 0 ( yapp 地町 0 p 朝物謝 0. こ 0 第 ( りをし / を气んゆリ hl に / ・ 0P2 0 地 5 【 0 し ro 地 5 0 PO 地 y 〆”誠「 0 地を 0 第化 R 一日駅物。 se “ ( に・ d め w S ・地は・ d 「 0 編 3 : 0 れⅲ 0 加画面 15 言霍正サーバーの言綻を議を・歌一をれ言霍正サーバーを定義こ引を 0 い 3 第 , 0 ”ャ物 00 、 3 第、当 R ・物 50 ・”′ 143 デフォルトでは一ヨ殳ユーザー用は設疋されていなかったを選びます。と、、 Administrators" から、それぞれ、、 Authentication ーバーを結びつけるための設疋です。それには、、、 Users" 最後に認証領域を定義します。これは、ロールと認証サ言正令或を定義ンと NIS サーバーを登録するだけです ( 画面 15 ) 。務先で利用している NIS にしました。これは NIS ドメイ DIUS 、 Active Directory などがあります。今回は、勤ーカルで認証。管理者用 ) 、 LDAP 、 NIS 、 ACE 、 RA- 選んでいきます。認証方式は、 IVE Authentication ( ロこれは、 System" から Signing ln" →、 Servers" とます。で、ユーザーの認証をおこなうサーバーの設疋をおこないールでどの機能を使うかといった設疋ができましたうすこしなのでがんばりましよう。こまでで、どのロ機能がたくさんあるぶん、設定箇戸万も多くなります。も

10. UNIX MAGAZINE 2004年11月号

ワークステーションのおと - ー - 画面 2 ブートローダ [ 独 : 阯 : リ 0 ( 第 00 0 0 画面 5 言び )i 忍 - : 第ルを物第のを 0 を当 ~ L に 0 き 00t Menu をし : 0 「 ) - " きミと : 第 : 3 「 y メ : 0 こ田 10 ら一し : 00 毛 2 E 「 : 0h0 にを & 00 0 「 5. を : CR : 0 b00 : しきéく・ V 》 a 「「 0 査ま己 yS : 0 を k 三 se ー e こ : i00 当ー 2 、叮 [ 第 : 阯【し p ( 之 0 「 00 0 画面 3 シリアル・コンソール h005 こををし「 ~ : i00 に 0 ー 03d - 社 a デ 0 「 [ ト 0i0 . 0 「 wait 〒 3u : 0 「 : 、引 0 第 4 こ P 1 まい 5871 に 01 を : 0 IVE b00 い \cad. 5 レれ地ーー侊 k C にれ tr M い「第やや物を Network S を社ⅲ 0 、ー・めれ・を : 第・ 0 , 当 0 む確 00 洋 0 0 興・ y : : 当 5 詩当第 Au ! 0 滝 ) 0 ・引 : れ F を ONS: 効を 0 地ー物、“ 0 、 ( 第”ー 0 ! w め聞物 , 新第朝のを” : 0 レ 0 を・物第献物 0 ま物 0 ー載” gW ー、、 ~ ( 0 誉物第一滝 ! 物 0 まー m ・物載以一・ 0 を 0 ′物 mo••・区 : 物 0 、まゑを 0 ツ・、 5 0 ・め : い“ーこ 0 第「 : 「、 0 「 - 4 CPatch 1 ( ま 5871 ) lease : h005 己 3 0 「 g the 凵 0 「 g cp い 0 「 5 Vie 物「 5 : 「ら : 0 「 k 5 をて : ー「を : ma6k. ! き : ら物ら ⅱ 50e6 を S. 2 3 4 5 6 7 8 9. 1 1 1 2 1 3 ミ「し 5 と「「をを 0 を 55 Di を 0 y \cg : 0 a se 「 v 己「ー「 3 : 日し 3 3 い 5 : at 0 し : ら 5 R 000 ま IVE : 引ら 0 ミ 5S こ「を p 「 0 : ec を 0 を子 0 「 : トこ 0r50 ー 6 C ′を ~ : を ~ しを「Å±丁 i 「 5 を 5 、 00. P 行「 : を第 C 朝引 e 第・、 0 と che P 行 Ro い健いラ port " と選択します ( 画面 5 ) 。間違いなどがあったら、こで修正しておきましよう。 : 0f5 それでは言定を、・・といきたいところですが、その前 00 ー ( 6 画面 4 里用のページはー w をゝ第 ; ふ Sy ・ m 第 Em ( ・献を 1 ・ををも習、物ー S ・・ 0 ・ 54 ・和 30A イ V 第に当・純 0 第歔第 0 をゞ・ 0 第・、、ま 0 イを気 1 、 643 4 ト′を气タい - 加 5 、れ、 Ou 、 u 第 er 、・、れ第・国 M ・・レ当、・紀を 0 、・高動いを Sd 物、・物を用、 ' ( 0 飛ツ、物 " ・ 0 を 35 を ( 、 0 、こを、一 - ー 00 ・・覆を第 0 イ p ′ 0 第 3 、 6d0 、、消ⅵ 4 れ、め 5 ・ c 朝・ b 粐、就 5 000 、い 0 ・、、 0 ・ 0 朝 1 43 い 0n04 一第一气やこに、を 0 水 ( 0 ( 第 ( ・ 0 、・物第′・新一 504 ・ 04 ー、用 G - SAMS を ( 講・ 4 宿に・一引、 1 第物 0 ・に響彦・物第・、第・・れ一、 6d ・′、・ 4h0 修、 System 5 ねを 300 00- ー【 0 を・ⅸ村え・覿 : ま第をを第要、 ) ・材りを 0 ザ当第 0 第トウェイ、 DNS サーバーを設疋し、 Web プラウザで次の URL にアクセスします。 https : //IP アドレス /admin https : / / ホスト名 /admin した。さきほど設定した IP アドレスなどを確認するにこれで、 web プラウザ経由で設定できるようになりまージ " か現れます ( 画面 4 ) 。とパスワードを入力すると、管理用の、 web コンソールペそして、あらかじめ設定されている管理者のユーザー名は、管理画面左側のメニューで、、 Network ・→、 lnternal UNIX MAGAZINE 2004. 11 にすこしだけ心の準備をしておきましよう。マニュアルが多い日本語のマニュアルは約 400 ページです。もちろん、れはよいことですが、なにぶんべージが多いので、どこに何が書いてあるかが分かるようになるまでにやや時間がかかります。概念と用語がたくさんある SA3000 には膨大な機能があり、これを表現する概念もまたたくさんあります ( たとえば、 User 、 Authentica- tion Realm 、 Authentication Server 、 Authentica- tion Policy 、 Role 、 Resource 、 Credential など ) 。れらに慣れるのにも、すこし時間がかかります。 141 機能という感じでしようか。 (role) というのは、ユーザーと管理者のそれぞれカ駛えるく、 SA3000 を利用する人全般という意味です。ロールこの、、ユーザー " は、個々のユーザーを指すわけではなユーザー用および管理者用のロールを定義します。ユーザー / 里者ロールを定義ていきます。いでしよう。以下では、マニュアルの順序どおりに解説しを読み、そこに書かれている指示どおりに進めていけばよ VirtuaI Extranet の概要ー IVE の設疋方法」 ( p. 5 ~ ) マニュアルの「第 1 章 IVE Series ー NetScreen lnstant 心購えができたら設定に移りましよう。まずは、日本語