戻る
セキュアネットワーク構築構築術
当日配付された資料の目次には
- ファイアウォール
- 認証
- リモートアクセス
- VPN(Virtual Private Network)
- 教育・研究機関でのセキュリティ
とあるが, 話題の中心はファイアウォールと VPN であった. ファイアウォー
ルについては具体例が題材となっていたが, VPN についてはほとんど技術的な
内容であった. どちらも地惑専攻サーバ環境ではなじみのない技術なので理解
は困難だった.
講演者の白橋氏(ネットワンシステムズ)は立て板に水のような会話と講演時間
を超過することで有名らしいのだが, 今回の講演もやっぱり「立て板に水」で,
講演時間は予定を 30 分超過した. ただでさえなじみのない話題が「立て板に
水」でやってきたので, 要点をおさえるのに苦労してしまった. なお時間超過
のため「教育・研究機関でのセキュリティ」は割愛となってしまった. ちょっ
と残念である.
ファイアウォールについては複数の ftp アプリケーションをファイアウォー
ル越しに利用した際に発生した障害をいくつか挙げて, 導入にあたっての注意
点を解説していた. 解説をまとめると, 「ファイアウォールを導入したからと
言ってネットワーク管理が楽になるとは限らない」ということである. ファイ
ウォール設定時に想定した実装がアプリケーションによってはなされていない
ことがあるらしい. その場合各アプリケーションごとに不具合の対応を行なう
必要が生じてしまう. 結果として管理コストは却って上昇することになりかね
ない. ファイアウォールの導入はよく考えてから行なったほうがよい, とい
うことである.
VPN は最近注目の技術らしい. 種々の雑誌にも紹介されはじめているようだ.
これは 2 つの利用形態が考えられている. 一つは LAN 間接続で, もう一つは
ダイアルアップ接続のようなリモートホストから LAN への接続である. VPN
を用いると, 異なる LAN または LAN とリモートホストが一つの LAN に属す
るかのように接続される. VPN は NAT(Network Address Transition) と組み
合わせて利用することが期待されるが, 実はこれらの相性はあまりよくないら
しい. ということで, 実用の一歩手前の段階にあるようである.
ファイアウォール
ここではファイアウォールを導入するにあたっての注意点が解説された. まず
ftp アプリケーションを例にファイアウォールを導入したことによって生じ
た障害事例を紹介し, それから学ぶべき教訓を解説していた.
ftp をファイアウォール越しに使用した際に発生した障害として以下の事例が
紹介されていた.
- 障害: ある ftp サーバと接続できない.
原因: この ftp サーバで接続時に使用されるポート番号が, 通常使
用される 20 番ではない番号となっていた. ファイウォールで 20
番ポート以外を使うような ftp 接続を拒否していたため, 接続がで
きなくなっていた.
- 障害: ファイアウォールを中継して ftp サーバに接続すると, 接続
はできるものの最初の welcome メッセージが表示されない.
原因: この ftp サーバから送られて来る改行コードが, 通常使用さ
れるもの(CR+LF; キャリジリターン+ラインフィード)ではなかった
(LF だけだった). そのためファイアウォールは改行コードが来てな
いと判断し, データ転送を止めてしまっていた.
- 障害: ウィルス対策ゲートウェイとパケットフィルタファイアウォー
ルを組み合わせて使用する環境で, ftp が login した後すぐに切断
される.
原因: ウィルス対策ゲートウェイが port コマンドの IP データグ
ラムを適当に細分化していた. このパケットをチェックしたファイ
アウォールはこれを不正な port コマンドと判断し, 接続を遮断し
てしまった.
これらの事例からの教訓として, 1) RFC 等に準拠した常識的な実装を行なっ
ているアプリケーションばかりではない, 2) 勝手な拡張をしている「もどき」
アプリケーションに注意する, ということが挙げられていた.
以上の障害事例とその教訓から, ファイアウォール導入にあたっての注意点を
次のように示した.
- ファイアウォールを導入すれば全ての問題が解決するわけではな
い. その有効性と限界をあらかじめ把握しておかなくてはならない.
- ファイアウォール導入に伴い発生する障害には様々なレベルのものが
ある. そのため TCP/IP から個別アプリケーションまでの幅広い高度
な知識が必要となる.
ファイアウォールは必要なネットワークサービスが明解である場合には比較的
有効に作用する. 「必要なネットワークサービス」が研究・教育の展開に応じ
時々刻々変化していく可能性のある大学ネットワークおいては, その有効性は
あまりなく, むしろ使い勝手のよくないネットワークになってしまうだろ
う. 導入した結果発生する様々な障害の対策に多くのコストを費さなければな
らなくなるかもしれない.
認証
ここでの話題は OTP(One Time Passwd), Digital Certificate, PKI(Public
Key Infrastructure, 公開鍵基盤) であった.
OTP は安全ではあるが実際に使うとなると面倒. Challenge/Response 型と呼
ばれる形式を持つものは特に敬遠される傾向にある. そこで OTP を簡単に使
うことができるようになる自動入力ツールがいくつか紹介されていた.
Digital Certificate とは公開鍵暗号形式を用いた認証方法の一つで, 公開鍵
と認証対象を特定する情報及びそれらを暗号化した電子署名からなる証明書の
ことである. 具体的なフォーマットとして X.509 という形式がある.
Digital Certificate をインフラとして整備しようという動きが PKI である.
リモートアクセス
リモートアクセスを実現するための方法, 及び安全なリモートログイン方法に
ついての解説がなされた. リモートアクセスを実現するための方法として
- アクセスサーバを自前で用意
- ISP 等を利用
- VPN の利用
の 3 つを示し, それらのメリットとデメリットと相互比較を行なった.
安全なリモートログイン方法としては OTP, SSL-Telnet, SSH, PET(Privacy
Enhanced Telnet), VPN の利用が挙げられていた. SSH は最近 Windows 上で
も使用できるようになったため, 特に使用が推奨されていた.
VPN
本講演におけるもう一つの話題の中心であった. しかし epnetfan からの参加
者にとって初めて聞くような技術(用語)が多く, その内容を理解することは困難
であった. (理解できた)内容をおおまかにまとめると以下のようになる.
- VPN とは異なる LAN どうし, または LAN とリモートホストを仮想
的に一つのネットワークとして接続する技術である.
- 経路の暗号化はネットワーク層で行なう IPsec (RFC1825〜
1829,2401〜2412)を使用することが多い. IPsec は VPN 専用製品, cisco
ルータで実装されている. PC-UNIX では KAME(BSD 系), SWAN(Linux)があ
る. windows では windows2000 以後.
- ファイアウォールと組み合わせて使用することが現実には多い. そ
の際 NAT を使いたいというのが自然な欲求であるが, VPN と NAT の相性
が現時点ではよくないらしい.
小高正嗣(odakker@gfd-dennou.org)
2000/01/02