PPP - みる会図書館


検索対象: UNIX MAGAZINE 2000年10月号
30件見つかりました。

1. UNIX MAGAZINE 2000年10月号

連載 / 遠隔オフィスとの接続ーの 図 6 PPP でパスワードがたどる糸・ 電話回線 ダイヤルアップ アクセスポイント パスワード プロバイダの LAN なので、どのように接続するかについてはさまざまな方式 ( プロトコル ) がありえます。しかし、商用プロバイダに接 続する際は、はは、 PPP (Point-to-Point Protocol) と 呼ばれるプロトコルに限定されます。 PPP でプロバイダに接続するときには、アクセスポイ ントに電話をかけたあとで、 1. ログイン名 2 ノヾスワード を入力して認証を受けます。 PAP は、 Password Authentication Protocol の 略で、 PPP がサポートしているもっとも基本的なプロト コルです。 PAP では、ユーサー名とパスワードがクリア テキスト ( 平文 ) 、すなわち、、生 " のまま流されるので、セ キュリティ的には弱し陪噸になります。 PPP では、 PAP の代わりに任意の認証プロトコルを使 える仕組みになっています。伏では、 CHAP (Chal- lenge-Handshake Authentication Protocol) が PAP の代わりとして利用されます。 CHAP では、認証する側 と認証される側だけが知っている希鍵を使ってバスワー ドを暗号化するので、セキュリティ的には PAP よりも 、、頑丈 " です。しかし、 CHAP の場合には、秘密鍵を両側 で共有するイ督はみも必喫になるので設定などが煩雑になり ます。 こまでの説明を読むと、 「ちょっと面倒かもしれんけど、 PAP より CHAP のほ うが上等そうやなあ。うちのプロバイダは PAP やから UNIX MAGAZINE 2000.10 CHAP のとこに替えたほうがええかな」 と思う方がいるかもしれませんれしかし、早まるのはち ょっと待ってください。 PAP は利用がはばかられるはど 危険なプロトコルなのでしようか ? パスワードか流れる 糸響各について考えてみましよう。 パスワードの女全性 2. ローカル・ネットワーク上を流れてダイヤルアップ・ 1. 手許の言算機から配送されたパスワード情報は に使われる認証樹冓てすから、 PAP も CHAP もダイヤルアッフ鮟続を確立するため 到達する 5. プロバイダの内部ネットワークを通って認証サーバー 4. プロバイダのアクセスポイントに届けられ 3. 電話回線を流れ ルータなどを経由し という経路をたどります ( 図 6 ) 。 55 壁なしでアクセスできるので、誰かがインターネット上を インターネットの場合には、イ寺定多数のユーサーか障 盗むケースです。 は無関イ系の第三者がネットワークに接続し、パスワードを とすると、危ド剱ゞあるとすれば、プロバイダや電話会社と 密ではない ・プロバイダの関係者にとってもユーザーの接続情報は秘 電話回線は安全な経路であると想定する は秘密ではない プロバイダへの接続情報はローカル・ネットワーク上で

2. UNIX MAGAZINE 2000年10月号

連載 / 遠隔オフィスとの接続ー 図 7 PPI の情報の新 > show auth 1 PP001 : Auth Request : NONE Auth Accept : PAP CHAP My name : NAMAE * パラバラめくってみると、認証方式のネゴシェーションに RT のコマンド・マニュアルの「 PPP の成疋」の章を ります。 の認証方式を利用するか " のネゴシェーションが必要にな のフェーズでは、実際の認証データを送る前に、ます、、ど では認証方式お尺できるイ督目みになっているので、認証 PPP の認証方式の技ヤ勺な話題に戻りましよう。 PPP 認証方式のネゴシェーション 対に安全確実とは断言できませんか ) 。 PAP でもさはど危険ではないのです ( とはいっても、絶 サーも限定されます。したがって、クリアテキストを流す ネットワークもそのネットワークにアクセスできるユー しかし、ダイヤルアップ接続の場合、認証データが充れる 流れるデータを覗き見していても不思議ではありません。 pp auth request ん [arrive-only] pp auth accept ↓ t んノ [ ↓ 2 ] 関しては、 すが、、、 show auth" コマンドを使えば認証に関する情報 設定した内容は、、 show config" コマンドて表示できま した方式で認証をおこなってくれます。 としておけばよいでしよう。自重加勺に認証サーバーか要求 pp auth accept pap chap 山い 証方式が分からない場合には、 ている場合には、“〃に認証方式を指定してください。 ポートしています。接続先プロバイダの認証方式が分かっ RT は認証方式として PAP と CHAP の 2 不頁をサ accept" コマンドを実行してください。 接続をする側 ( 認証を受ける側 ) では、 1 番目の、、 pp auth の 2 不頁のコマンドカ己されています。ダイヤルアップ だけを表示させることができます。 56 接続の相手先番号は 1 番 図 7 は、接続先 1 の言卍情報を表示させた例で、 要求する認証の不頁は設定されていない (NONE) ・認証を受けるときには PAP と CHAP の両方カ硬える ・証の際に送るユーザー名は、、 NAMAE" で、パスワ ロ・い ードは表示されない となっています。 ダイヤルアップでプロノヾイダに接続するとき、認証後に インターネットで使えるグローバル IP アドレスかフ。ロバ イダから届きます。ローカルな言算機 (NAT の場合には ルータ ) は、この IP アドレスを名乗ってインターネット に参加します。 ネットワークに接続すると IP アドレスが自重加勺に割り 当てられる仕組みは DHCP (Dynamic Host Configu- ration Protocol) でもお劇染みですが、ダイヤルアップ 接続時のそれは DHCP とは別の仕組みで、 IPCP (IP Control Protocol) と呼はれています。 IPCP の彳殳割は、 互いの IP アドレスの決定 ・ TCP/IP ヘッタ、 ) 工縮をおこなうかどうかのネゴシェー ション ・ DNS サーバーと WINS サーバーの IP アドレスを接 続相手に通知する の 3 つなので、必喫な設定もそう多くはありません。しか し、 IP アドレスを決定するという必要不可欠な機能の割 には、ユーサーにとっては設定ミスに気つ、きにくいという 特徴があります。いわは、陰の実力者プロトコルといえる でしよう。 IP アドレスのネゴシェーション IPCP で IP アドレスを自重加勺に取得するには、 RT で は次の設定をおこないます。 ppp ipcp ipaddress 0 Ⅱ また、プロバイダから固定 IP アドレスを割り当てられ ている場合には、 ppp ipcp ipaddress 0ff PPP と IP アドレスの配布 UNIX MAGAZINE 2000.10

3. UNIX MAGAZINE 2000年10月号

連載 / 遠隔オフィスとの接続ーの 図 5 スケジュールの剿乍 ールの登録 # schedule at * / * 23 : 00 1 isdn auto connect 0 Ⅱ ←スケジュ # schedule at * / * 8 : 00 1 isdn auto connect off ←スケジュールの表示 # show schedule 1 : * / * 23 : 00 1 isdn auto connect 0 Ⅱ 2 : * / * 8 : 00 1 isdn auto connect off # schedule delete 1 # show schedule 1 : * / * 8 : 00 1 isdn auto connect off # schedule delete 1 # show schedule ールを表示させてみる ←スケジュ ール番号が変わっている点に注意 ←スケジュ ←もう一度スケジュールを表示 ←すべてのスケジュールが削除されたので何も表示されない できます。 図 5 は、 1. スケジューノレの登金求 2. 登録内容を表示させ、石忍後にスケジュールを削除 を順番に実行したときの操イ料列です。 テレホーダイ・サービスが始まったころには、夜間電力 といに、夜中に余った設備の有刑用程度にしか考えて いなかったのですが、夜型のインターネット中毒者にとっ ては、願ったりかなったりのサービスだったようです。 フレツツ・ ISDN ならいつでもアクセスポイントに接続 できるので、テレホーダイ・タイムの混雑とは無家になっ たはすでした。ところが、アクセスポイントにうまくつな がっても、 ・その先のプロバイダの反応が遅い ・プロバイダのさらに先の、去絲冬的に利用する WWW サ ーバーや FTP サーバーなどの反応か遅い のような状態になってしまいます。どうやら、テレホーダ イ・タイムに日本の人気サイト妾続するのは無某なよう です。 だからといって、米国のサイトにアクセスしても、日 本の夜中はあちらのピジネスタイムであるためか、それと も世界中から利用されているためか、胸を張って「直で す」とは言いにくい状況です。 フレツツ・ ISDN ューサーなら、テレホーダイ・タイ ムには自動発呼しない設定にして、夜の 11 時になったら ・・というのも、 1 つのガ去かもしれ さっさと寝てしまう・ ません。 ダイヤルアップ接続の認証 ダイヤルアッフ鮟続の説明書のようなものをプロバイダ から受け取っている方は、おそらくアクセスポイントの一 覧表や DNS の設定方法などとともに、 「認証方式として PAP を指定してください」 のような言当主があったり、ダイヤルアップ・ルータの具体 的な設定コマンドか書かれているのを目にしたことがある でしよう。しかし PAP とはいったいどのようなものな のでしようか。 名称には聞き憶えがあり、言正の不頁の違いということ は想像がついても、 なんの役に立つのか ? 三、 0 0 、 0 = 000000 設定を誤ると何か起きるのか ? などについて正確な知識をもっている人は意外に少ないよ うです。もちろん、認証サーバーを構築するわけではない ので、詳しい仕組みを知らなくてもダイヤルアッフ鮟続を 利用できますが、すこし知っているだけでもルータの設定 か楽になりますし、障害が発生したときに対応策を考えや すくなります。 こでは、ダイヤルアッフ。接続の利用者を前提として、 すこしだけ詳しいお話をしましよう。 PPP と PAP と CHAP 、、ダイヤルアッフ鮟続 " は広義には、 、、電話をかけて言 t 算機やローカル・ネットワークをリモー ト・ネットワークに接続すること " 54 UNIX MAGAZINE 2000 ユ 0

4. UNIX MAGAZINE 2000年10月号

さて、 ・・・困りましたね。 ファイアウォールを作ろう ( 2 ) 前号では、ヤマハの RTA52i と NTT-ME の MN128- SOHO SLII のフィルタルールの例を紹介しました。今 回は、それぞれの ISDN ルータで、フィルタルールを設 定するガ去について説明します。 前回も書いたように、 RTA52i と SLII で設定をおこ なうには、 ・ Web インターフェイス ( Web プラウザを利用 ) ・コマンドライン・インターフェイス (telnet やシリア ルポート経由でログインし、コマンドラインから操作 ) の 2 種類のインターフェイスがあります。ただし、フィ ルタの成疋に限川よ、コマンドライン・インターフェイス のほうか物盟き使いやすいです。 Web によるインターフェイスも使えなくはありません が、けっきよくフィルタのルールはキーポードから入力す るので、マウスとキーポードを往ったり来たりするぶん不 便です。 ISDN ルータのパスワード RTA52i で初めて Web インターフェイスにアクセス すると、かならすパスワードを設定する画面か表示されま す。そして、 こでパスワードを設定しないと、先に進め ないようになっています。 一方、 SLII では、パスワードを設定しなくても運用を 続けることかできます。どうやら、、、パスワードを設定す る " という行為はオプションとされているようです。ほと んどのユーサーは、 Web インターフェイスを使って設定 するのではないかと思いますが、私か調べたかぎりでは、 その Web インターフェイスのどこを探しても「パスワー ドを設定しましよう」という注意書きはありません。それ らしい注意書きといえは、「自重妾続を設定しておくと意 図しない接続カ夥を E し、課金されてしまいます」といった 程度のものだけです。 どちらの ISDN ルータも、最初から最後までコマンド ライン・インターフェイスしか使わないのであれば、パス ワードを設定せすに運用することもできます。 UNIX MAGAZINE 2000.10 個人の常時接続環境を考える ( 4 ) しかし、 ISDN ルータにパスワードを設定せすに放置す るのはたいへん危険です。たとえば、 RTA52i ではコマン ドライン・インターフェイスに、 SL 11 では、、クイック設 定 " のページにアクセスされると、 PPP アカウントとパ スワードが盗まれてしまいます。また、 RTA52i はコマン ドライン・インターフェイスに telnet のクライアント機 能があるので、侵入されると、さらにそこからどこカ侵 入するための踏み台として利用される可能性もあります。 パスワードを成疋していない場合、 RTA52i にログイン して現在の設定を表示するコマンドを実行すると、 PPP アカウントとパスワードがそのまま ( 平文で ) 表示されま す。一方、 SLII では Web プラウザの画面上にパスワー ドの部分が、、 * * * * * * " と表示さ一見したところは一矍 されているかのように思えますが、しつは HTML のソ ースには生 ( 平文 ) のパスワードが書かれています LAN 型接続で ISDN ルータを使い、「フィルタなし、 パスワードなし」て漣用するのがもっとも危険です。イン ターネットからアクセスされると、簡単に PPP アカウン トか盜まれてしまいます。一方、端末型接続の場合は、イ ンターネットから直接 ISDN ルータにアクセスすること はできませんが、前回のコラム ( 54 ~ 55 ページ ) で紹介 したように、 SLII はフィルタを設定しないとスカスカ状 態なので、内部の計算機やサーバーを経由して SLII の HTTP ポートにアクセスされることは十分に考えられま す。 PPP アカウントが盜まれると、、、意図しない接続 " よ りも大きな曵的ネ皮害に遭う可能匪か高くなります。さら に、 PPP アカウントとパスワードの組がメールのアカウ ント名とパスワードと同しだと、被書がさらに大きくなる でしよう。 前回紹介したフィルタを設定すれば、インターネットか らの悪意あるアクセスを遮断することはできますが、 PPP アカウントがもつ価値とくらべると、まったくもって不十 分です。パスワードはかならず設定しましよう RTA52i にフィルタを設定する方法 RTA52i に言当できるフィルタルールの最大数は 100 個です。ただし、 RTA52i では、フィルタの登録と、そ れをインターフェイスの入口や出口に設定することは別々 におこないます。そのため、同しルールを複数の場所に適 15

5. UNIX MAGAZINE 2000年10月号

・次中点情報により特定のネットワーク層プロトコルど うしを関連づける機能 ・ NLRI 属性情報により特定のネットワーク層プロトコ ルどうしを関連つける機能 具イ純勺には、以下に示す BGP4 の 2 つの属性値を刻長 している。 ・ MP-REACH-NLRI ( マルチプロトコル到達可能 NLRI 属生情物 ・ MP-UNREACH-NLRI ( マルチプロトコル到達不可 能 NLRI 属性情 さらに RFC2858 では、以下のものを規定している。 ・ NLRI 符号化 後続アドレス集合識別子 ・エラー処理 ・ BGP ケーパビリティ広告 PPP 関連 RFC2878 PPP Bridging Control Protocol(BCP) PPP プリッジ制御プロトコル PS. 、 M. Higashiyama 他 ( RFC1638 置換 ) PPP 接続を利用してリモートプリッジを実現するため のプロトコルとして BCP (Bridging ControI Proto- col) を規定している。現在の状態は、、標準化への提唱 " で ある。 RFC1638 を置き換える RFC として 2000 年 7 月 に公開された。 ネットワク・プリッジは、ネットワーク上の複数のセ グメントを接続してイ反想的に単一セグメントを構成する技 術である。リモートプリッジは、電話回線などの広域ネッ トワークを利用して複数のセグメントを接続するプリッジ の一種である。 RFC2878 はプリッジで是供すべきサービスについて論 したうえで、 ppp のネットワーク制笹ワ。ロトコルの一部 として動作し、リモートプリッジを実現する BCP を規定 している。 SNMP/MIB 関連 RFC2856 TextuaI Conventions for Additional High Capacity Data Types UNIX MAGAZINE 2000.10 日 FC ダイジェストーの そ也の大容量データ型用の表現様式 PS. 、 A. Bierman 他 ・ NAS の中心となるサービス ・ネットワークアクセス・システムを橢及する日 の点について言侖、分析している。 RFC2881 では、 NAS のモデルを規定するうえで以下 みを提供することができる。 コルを評価したり、新しいプロトコルを開発する際の本咎は る。これにより、既存の NAS の運用に用いられるプロト そこで、 RFC2881 では NAS のモデルを再定義してい では現在の NAS のモデルは破綻してしまう可能生が大 展とともに過大に成長していく傾向にあるため、このまま 分析されないままである。しかも、インターネットの発 しかし、 NAS の言モデルはその言 I- 当初から正しく ダにとって重要な位置を占めている。 ワークに接続する際の最初の入口であり、彼らやプロバイ NAS は、多くのネットワークの利用者にとってネット 公開された。 念について説明している。、、広報 " として 2000 年 7 月に を提示するために、一殳的な NAS のモデルと嬲里する概 NAS ( ネットワークアクセス・サーバー ) の参照モデル fo. 、 D. Mitton 他 く NAS モテル 次世代ネットワークアクセス・サーパーへの要求にもとつ Generation (NASREQNG) NAS M0del RFC2881 Network Access Server Requirements Next NAS 関連 ・ ZeroBasedCounter64 ・ CounterBasedGauge64 不頁を規定している。 RFC2856 では、 64 ビット長データ型として以下の 2 年 6 月に公開された。 している。現在の状態は、、標準化 , 、、ク是唱 " である。 2000 表現するための表現オに (TextuaI Convention) を規定 SNMP で用いられる MIB で 64 ビット長のデータ型を ・認証・認可・アカウンティング (AAA) を提信い - るサ 133

6. UNIX MAGAZINE 2000年10月号

連載 / 遠隔オフィスとの接続ー 図 8 IPCP て割り当てられた IP アドレスを確認する > shOW status pp 1 PPCOI] : Current 1ine status is On1ine . Ca11 is outgoing side, 45 seconds connection . Received: 151 packets [ 97486 octets] Load: 0.0 % Transmitted: 166 packets [ 17374 octets] Load: 0.0 % PPP Cofigure Options LCP LocaI : Magic—Number MRU , Remote : CHAP Magic—Number IPCP Loca1 : IP—Address , Remote : IP—Address PP IP Address Loca1: 200.200.1.2 , Remote: 250.200.2.2 CCP : None 図 9 IP アドレスのネゴシェーションをおこなわなかったときの状態を確認する > show status pp 1 PP[OI] : Current 1ine status is On1ine . Ca11 is outgoing side, 45 seconds connection . Received: 151 packets [ 97486 octets] Load: 0.0 % Transmitted: 166 packets [ 17374 octets] Load: 0.0 % PPP Cofigure Options LCP Loca1 : Magic—Number MRU, Remote : CHAP Magic—Number IPCP Loca1 : Remote : IP—Address PP IP Address Loca1 : Unnumbered, Remote : 250.200.2.2 CCP : None を実行します。 自重加勺に割り当てられた IP アドレスは、、、 show sta- tus" コマンドで知ることができます。図 8 は、 ShOW status" コマンドの実行結果です。さまざまな情報が表示 されていますが、 IPCP Loca1 : IP—Address でネゴシェーションにより IP アドレスか割り当てられた ことを、 PP IP Address Loca1 : 200.200. 1 . 2 て割り当てられた IP アドレスを知ることができます。 IP アドレスのネゴシェーションをおこなわない設定、 すなわち、 ppp ipcp ipaddress off にした場合には、図 9 のようになります。図 8 と下線部 を上交してみてください。 ところで、グローバルの固定 IP アドレスを設定せす、 IPCP で IP アドレスの割当ても受けないという状態で UNIX MAGAZINE 2000.10 も、プロバイダとは接続できてしまいます。しかし、イン ターネット上のホストと通信しようとしても、こちらの計 算機は世間的に通用する住所 ()P アドレス ) をもたないの で、相手からのバケットを受け取れません。 利用者からすれは、、、ダイヤルアッフ。接続はできたの に、なぜかインターネット上のサービスがまったく利用 できない " という不思議な状態になってしまうので注意し てください。 ☆ 今回は、フレツツ・ ISDN やダイヤルアップ接続の利用 者として、知らなくてもすむけれども、知っておけば、、い ざ " というときに頼りになる・・・・かもしれない / 忖支やプロ トコルなどを紹介しました。併せて、ヤマハの RTA52i で の設定例もいくつかサンプルとしてとりあげました。 ダイヤルアップに使用する電話回線の不頁、接続先のプ ロバイ久接続に使用する機器などを変更するときの参考 にしてください。 ( あらい・みちこ ASTEC Network Solutions) 57

7. UNIX MAGAZINE 2000年10月号

個人の常時接続環境を考える ( 4 ) 表 1 ポート番号の代わりに使える名前 (RTA52i) 「ないと困るねんけど、わざ まいます。このように finger ftp ftpdata gopher domam わざそのためだけにダイヤルアップするのはいやや printer nntp ntp pop3 ident なあ。ほかの用途でつないでいるときやったら、そ smtp snmp sunrpc syslog route のあいだに流れてもかまへんけど」といったサーピ talk telnet uucp www スのバケットを制行けるのにイリです。 すべてのプロトコルにマッチさせたい場合は、アスタリ restrict-nolog PPP 接続されているあいだはバケットを通過させ、 スクを言当します。 切断しているときは破棄します。ログは記録しませ established と書くと、 ACK ビットがセットされた TCP バケットにマッチします。 ん。 ・ s 几 : 始点ポート番号 ・ srcad 心・ : 始点 IP アドレス 始点のポート番号を指定します。 始点の IP アドレスを指定します。 連続したポート番号を指定する場合は、開始番号と終了 ネットワーク・アドレスを指定するときは、次のよう 番号をハイフンで区切って言当します。 / ( スラッシュ ) に続けてネットマスク長を記述 します。 137 ー 139 ポート番号 ( 数字 ) の代わりに、表 1 の名前 ( 文字列 ) で 192.168.0.0 / 16 当してもかまいません。 言算機の IP アドレスを指定するときは、アドレスをそ 複数のポートを指定する場合は、一屬己の数ネか文字列を のまま言当します。あるいは、 32 ビットマスク長を記 カンマで区切って並べます ( ただし 10 個以内 ) 。 述してもかまいません。 www , telnet ・ IP アドレスをそのまま記述 192. 168.0. 1 すべてのポート番号にマッチさせたい場合は、アスタリ ・ 32 ビットマスク長を記述 スクを言当します。 192 .168.0.1 / 32 ・み切。 : 終点ポート番号 連続した IP アドレスを指定するときは、開始アドレス 終点のポート番号を指定します。 ( ハイフン ) でつないで記述し と終了アドレスを、、 言当ガ去は s 几四と同しです。 ます。 次は、 RTA52i の LAN 側にフィルタを適用するため 192.168.0.1 ー 192 .168.0.100 のコマンドの書式です。このコマンドは、 Web インター すべての IP アドレスを指定したい場合は、 ( アス フェイスではクリック 1 つで設定できます ( 詳細はもうす タリスク ) をします。 こしあとで説明します ) 。 ・ dstaddr : 終点 IP アドレス ・ ip lan secure filter 市 7 、五〃ヨな t 終点の IP アドレスを指定します。 IP アドレスの記述方法は sr ℃靃と同しです。 市 7 、に in を指定すると、 LAN インターフェイスから ・を rotoc 司 : プロトコノレ RTA52i に入ってくるバケットをフィルタリングします。 フィルタリングするバケットの不鶤頁を指定します。 一方、 out を指定すると、 RTA52i から LAN インターフ プロトコル番号を表す数字または文字列 (udp 、 tcp 、 ェイスに出ていく前 : ンヾケットをフィルタリングします。 icmp) て指定します。 filter-list には、フィルタ番号のリストをカンマで区切 複数のプロトコルを指定する場合は、上記の数字か文字 って並べます ( ただし 100 個以内 ) 。 RTA52i がバケット 列を、、 , " ( カンマ ) で区切って並べます ( ただし 5 個以 ここで指定された のフィルタリング処理をおこなうとき、 順番でフィルタルールを適用し、最初にマッチしたルー こで列挙するフィルタ番号 ルを実行します。つまり、 ~ 1 三ロ tcp ,udp 17 UNIX MAGAZINE 2000.10

8. UNIX MAGAZINE 2000年10月号

IPv6 では、プロトコル仕様として各種の自動設定オ冓 か規定されている。ホストには近ド爾架索 (Neighbor Dis- covery) オ冓やアドレス自動設定オ冓によってアドレス・ プレフィックスカ寸加されるようになっており、アドレス のリナンバリングが必要な場合でもこれらの機構を使えは 対応できる。一方、その欟冓を利用する要因となるルータ 群のリナンバリングは、これらのプロトコルでは対応でき そこで RFC2894 は、ルータ・リナンバリング ( RR ) 機 構を定義している。これは、ルータのアドレス・プレフィ ックスを変更し、ホストをサポートするために必要な樹冓 の再設定をおこなうイ督はみである。 RFC2894 の冒頭には「 IESG Note 」がイ寸加されてい る。内容を以下に示す。 「本文書は対象となる環境のルータ数か分からなくても、 リナンバリングをおこなうルータ群にその重川乍を通知する トンネル・プロトコル関連 運用経験が必要になるだろう」 ケーラヒ、リティについて完全に理解するには、実装および 場合に本文書で規定された欟冓を用いるとき、適用性とス 信頼性のある通知をおこなうのは困難である。このような 樹冓を規定している。ルータ数が未知の場合、全ルータへ UNIX MAGAZINE 2000.10 ーサーも利用できるようにすることである。そこで、遠隔 IPsec によるセキュリティ特性をダイヤルアッフ。接続ュ RFC2888 の目的は、新たなプロトコルを言せすに 満たせるかどうかである。 いが、そこで間題になるのがセキュリティに関する要求を 的である。インターネットの利用により得られる利点は多 ーネット経由で企業のネットワークに接続するガ去が一ヨ殳 公衆網 ) などを利用してインターネットに接続し、インタ 利用する必要があることが多い。今日では、 PSTN ( ー級 企業に所属するユーサーは、外部からその言 1 算機資源を mational)" として 2000 年 8 月に公開された。 アクセスをおこなう方法を規定している。、広報 (lnfor- ( 2 層トンネリング・プロトコル ) を用いてセキュアな遠隔 PPP を仮想的に拡張したトンネルを生成する L2TP 旧 fo. 、 P. Srisuresh L2TP を用いたセキュアな遠隔アクセス RFC2888 Secure Remote Access with L2TP 日 FC ダイジェストーの 131 いる。この刻長によって、複製バケットが受信されると、 に対する応答として利用できるようにする拡張を規定して RFC2883 ではそれに加えて、 SACK を複製バケット いる。 of-sequence data) に対する SACK の適用を規定して 定されている。 RFC2018 ではおも口仰外データ (out- TCP における SACK オプションは RFC2018 で規 ある。 2000 年 7 月に公開された。 拡張を規定している。現在の状態は、、標準化への提唱 " で TCP における j 尺的 - 肯定応答 (SACK) オプションの PS. 、 S. Floyd 他 TCP におけるう尺的肯定応 (SACK) オプションの拡張 ment (SACK) Option for TCP RFC2883 An Extension to the Selective Acknowledge- TCP 関連 などか挙げられている。 ・リンク層認証のセキュリティの不備 複数の識別子およひ認証に関する要求 ・ IP バケットの断片化と謝冓成 ・トンネリングのオーバーヘッド この方式のおもな制限事項としては、 利用して伝送される。 によって暗号化されたバケットか : PPP および L2TP を のトンネル内では、終端ホストへのトンネルモード IPsec クセス・コンセントレータ ) 間でトンネリングされる。 末端ホストから送信されるバケットは SRAS と LAC ( ア 続で、ネットワーク・レベルのセキュリティを提供する。 SRAS は、遠隔クライアントと企業とのネットワーク接 は SRAS ( セキュア RAS) として動作するようになる。 を新たに言妬している。このパラメータによって、 LNS サーバー ) ノードで用いる 3 不転頁の RADIUS パラメータ RFC2888 て才是案されたモデルでは、 LNS (PPP 終端 る。また、その制限事項についても触れている。 について論しそれを実現するためのモデルを提案してい RFC2888 では、遠隔アクセスに関するさまざまな要求 セスを : 滝見するガ去を提案している。 RADIUS と IPsec を組み合わせてセキュアな遠隔アク アクセス・プロトコルの 1 つである L2TP をベースに

9. UNIX MAGAZINE 2000年10月号

RFC ダイジェストーの 表 1 今月扱った RFC DNS 里 RFC2874 IPv6 アドレスの集約およびリナンバリングに対応するための DNS 孑長 IPv6 鏈 RFC2894 IPv6 におけるルータ・リナンバリング トンネル・プロトコル RFC2888 TCP RFC2883 RFC2884 RFC2791 RFC2858 PPP RFC2878 L2TP を用いたセキュアな遠隔アクセス TCP におけん尺的肯定応 : 答 (SACK) オプションのキ長 IP ネットワークで明カ郊勺中獅奏通矢日 (ECN) を利用した際の性能評価 スケーラブルな糸響各制脚言 t の原則 BGP-4 マルチプロトコノ功長 PPP プリッジ制笹ワ。ロトコル SNMP/MIB RFC2856 その他の大容量データ型用の表現本なに NAS RFC2881 次世代ネットワークアクセス・サーバーへの要求にもとづく NAS モテフレ RFC2882 ネットワークアクセス・サーバーへの要求 : RADIUS での経験のま虧長 セキュリティ インターネット FAX インターネット FAX は、さまざまなコンテンツを扱え UNIX MAGAZINE 2000.10 ・用紙サイズ ・出力先メディアの不頁 ・解像度 ・画像の大きさ 規定されているタグを以下に示す。 は規定していない。 RFC2879 では、通イのケーパピリティ情報の交換ガ去 リティ情報もこのスキーマを用いて記述できる。ただし、 として扱われる。また、インターネット FAX のケーパピ で表現され、コンテンツ全体の特徴はそれらのタグの集合 キーマでは、コンテンツのプリミテイプな特徴はタク形式 コンテンツの特徴の言己スキーマを定義している。このス そこで、 RFC2879 ではインターネット FAX で扱う 通信かて、きない。 処理ガ去を伝達しなければインターネット FAX 間で相互 る仕様となっている。そのため、コンテンツの特徴および RFC 2797 XML 鏈 RFC2807 RFC 2879 RFC2880 CMS を利用した証明囓管理メッセージ XML 署名に関する要求事項 インターネット FAX におけるコンテンツ致表現スキーマ ( 第 2 T. 30 FAX 機能のインターネット FAX へのマッピング 色の表現に関するケーパビリティ 色の表現のモデル ・画象の符号化形式 ・ MRC (Mixed Raster Content) モード 135 テンツしか定義していないため、 ITU T. 30 FAX などの している。ただし、インターネット FAX に関連するコン RFC2879 ではコンテンツの特徴の表現スキーマを規定 して 2000 年 8 月に公開された。 キーマにマッピングする手法を規定している。、、広報 " と 明ビットをインターネット FAX のコンテンツ致表現ス ITU T. 30 FAX (Group3 FAX) のケーノヾビリティ証 fo. 、 L. McIntyre 他 T. 30 FAX 磁皀のインターネット FAX へのマッピング RFC2880 lnternet Fax T. 30 Feature Mapping げている。 コンテンツの、このスキーマによる表現方法の具イ列を挙 さらに、 RFC2879 ではインターネット FAX で扱う

10. UNIX MAGAZINE 2000年10月号

いつでも使えるインターネット 図 4 RTA52i のフィルタの書式 ip filter カ 1 社 mber type st ℃佖 d 市、 d ad 市、 ro c 司℃ 0 ds ゆ 0 fnumber : フィルタ番号 プロトコル pro toco に フィルタタイフ 始点ポート番号 srcport : type : 終点ポート番号 sr ℃ addr : 始点 IP アドレス 赤ゆ 07 、 t : dstaddt 、 : 終点 IP アドレス 用することもできますし ( フィルタの数を節約できるしタ イプ量も減る ) 、反対に登録したルールを設定しないまま にすることもできます ( 一日勺にフィルタを外したり、も とに戻したりするのが簡単 ) 。たとえは、フィルタの登録 と設定の概要は次のようになります。 ・フィノレタノレーノレ 1 の定義 ・フィルタルール 2 の定義 ・フィノレタルーノレ 3 の定義 ・フィノレタノレーノレ 4 の定義 ・ LAN 側にはルール 1 とルール 2 を適用 ・ PPP 側にはルール 1 と 3 を適用 RTA52i のフィルタコマンドの書式を図 4 に示します。 Web インターフェイスで設定する場合は、次のコマンド を入力するわけではありませんが、 Web インターフェイ スのページには下記に示す書式どおりに並んだテキストボ ックスがあり、そこに順番に書き入れていくため、どちら のインターフェイスを使っても結均には同しです。 fnumbet 、 : フィルタ番号 1 から 100 の番号を指定します。 ルールを適用する順番は別のガ去で設定するので、フィ ルタ番号はルールの適用順序とは関係ありません。フィ ルタの種類ごとにまとめて番号を振ったり、あるいは 気の向くままに決めたり、好きなように付けてかまいま せん。 Web インターフェイスでフィルタを設正するときは、 80 から 99 番までを使用します ( 理由はあとで説明し ます ) 。 ・切 : フィルタタイプ 次のなかから、どれか 1 つを選びます。 pass pass-log バケットを通過させます。このとき、通過したバケッ トの情報をログに言当します。 当求されたログは、 Web インターフェイスでは、、か んたん設定 " →、、システム管理 " →、、内部情報 " を順 番にクリックすると、そのなかの、、 Sysl 。 g 表示 " の セクションに表示されます。コマンドライン・イン ターフェイスでは、次のコマンドを実行します。 # show 10g ログは syslog の notice レベルで記録されるので、 ログを記録するには、あらかしめ次のコマンドを実 行しておく必要があります。 # syslog notice 0 Ⅱ Web インターフェイスでは、同しページの、、コマン ド入力 " の部分にコマンドを入力し、 [ 入力 ] ボタン をクリックします。 reject バケットを破棄します。このとき、破棄したバケッ トの情報をログに言当求します。 reject-nolog バケットを破棄します。ログは言求しません。 restrict PPP 接続されているあいだはバケットを通過させ、 切断しているときは破棄します。このとき、破棄し たバケットの情報をログに言求します。 たとえは、 ISDN ルータで自重妾続するように設定 していると、 NTP (Network Time Protocol) な どによって定期的にサーバーへのアクセスが発生す るたびにダイヤルアッフ鮟続がおこなわれます ( そし て、そのたびにお金がかかります ) 。 ISDN の常日喆妾 続や定額サーピスを利用しているならいいのですが、 ダイヤルアップするごとに課金されるサービスを利 用している場合は、とんでもなくお金がかかってし 一三ロ バケットを面させます。ログは言当求しません。 16 UNIX MAGAZINE 2000.10