セキュリティ対策

 ASHでは、セキュリティ対策の基本方針を決めた上で、アクセス制限、ファイアウォール構築、暗号化の順に、対策を実施しています。3段階に分けて対策することにより、情報を整理することができるため、わかりやすくなります。

基本方針

 セキュリティを堅くすると、それだけ使い勝手が悪くなってしまいます。つまり、安全性と利便性は、相反するものなのです。ですから、何が必要で、何が必要でないかを明確にする必要があります。

 セキュリティの設定は、基本的にすべて禁止し、必要なものだけを許可するようにします。セキュリティの設定を考える場合、サービスの種類とアクセス方向を考える必要があります。
 アクセス方向とは、内から外へのアクセスか、外から内へのアクセスかです。一般的に、内から外へのアクセスよりも、外から内へのアクセスの方が危険度が高いです。ただし、内から外へのアクセスも、内部犯行の場合や、踏み台にされた場合などを考えると、必要最小限とすべきです。

 ASHのセキュリティの基本方針は、一言で言えば、「内には良い人ばかり、外には悪い人がいっぱい」です。具体的には、以下のようになります。

サーバの位置
DNSサーバ
Webサーバ、Ftpサーバ、Mailサーバ、Popサーバ
ファイルサーバ、ダイアルアップサーバ
中継の方法
プロトコル外->内内->外
WebWebサーバのみ可
FtpFtpサーバのみ可/ユーザ限定
telnet各種サーバのみ可/ユーザ限定不可
MailMailサーバのみ可/ユーザ限定不可
PopMailサーバのみ可/ユーザ限定不可

アクセス制限

 不要なサービスを停止したり、ルータやサーバのフィルタ機能を利用してアクセス制限を実施します。アクセス制限は、特別なハードウェアを必要としないため、必ず実施しましょう。

不要なサービスの停止

 inetdの設定を変更することにより、不要なサービスを起動しないようにします。fingerなどは、内部の情報が漏れるので、できるだけ停止しましょう。それから、ユーザやパスワードによる認証を行わずに通信する、UDP系のNFSやRPC(rsh) は、できるだけサービスを停止するようにしましょう。

 また、特定のユーザに対してのみサービスを提供する場合は、ポート番号を変更し、デフォルトのポートを閉じてしまう方法があります。デフォルトのポート番号から変更することで、そのポート番号を知っている人しか、アクセスできないようにすることができます。
 さらに、パスワードと同じく、ポート番号を定期的に変更するのも、よいでしょう。ただし、ポート番号を指定できない一部のクライアントソフトでは、動作しなくなる場合があります。

パケットフィルタリング

 フィルタリングとは、サービスの種類(ポート番号)と、アクセス先とアクセス元(IPアドレス)によってアクセスを制限する機能です。フィルタリングでは、パケットのヘッダ部でのみチェックするため、パケットの内容は一切チェックしません。ほとんどのルータには、このフィルタリング機能が付いています。
 また、LINUX(slackware) では、tcp_wrapper が、デフォルトでインストールされています。しかし、デフォルトではアクセス制限がかかっていない場合が多いので、設定する必要があります。

ファイアウォール構築

 ファイアウォールとは、ゲートウェイマシンを導入することで、外部と直接通信できないようにすることです。ゲートウェイマシンとは、複数のLANボードを入れ、内部ネットワークと外部ネットワークを接続するマシンのことです。
 ファイアウォールを構築すると、内部のアドレスは、プライベートアドレス(ローカルアドレス)を利用するため、利用できるアドレスを増やすことができます。

 ゲートウェイの種類には、以下の種類があります。

サーキットレベルゲートウェイ

 ゲートウェイ上で、パケットレベルのフィルタリングを行い、データを中継するのが、サーキットレベルゲートウェイです。
 サーキットレベルゲートウェイでは、フィルタリングと同じく、サービスの種類(ポート番号)と、アクセス先とアクセス元(IPアドレス)によってアクセスを制限します。パケットのヘッダ部でのみチェックするため、パケットの内容は一切チェックしません。

アプリケーションレベルゲートウェイ

 ゲートウェイ上で、アプリケーションレベルのフィルタリングを行い、データを中継するのが、アプリケーションレベルゲートウェイです。
 アプリケーションレベルゲートウェイでは、ftpやpopやtelnetなどのコマンドを認識し、不正なコマンドは中継しないようにすることができます。ただし、アプリケーション毎にきめ細かい制御ができる反面、中継ソフトが各アプリケーションに対応している必要があります。

 ASHでは、フリーソフトを利用してファイアウォールを構築しています。サーバもゲートウェイマシンも、LINUXで構築しています。
 サーキットレベルゲートウェイのソフトとしては、NATや、SOCKS5などを使用しています。
 アプリケーションレベルゲートウェイのソフトとしては、DeleGateを使用しています。

暗号化

 SSL、SSHなどを使うことにより、暗号化して認証やデータを転送することができます。また、SOCKS5などを使うことにより、VPNを構築し、ローカルネットとローカルネットをセキュアに接続することができます。

 ASHでは、暗号化に関しては、検討はしていますが、まだ、運用できていません。



Copyright (C)1995-2002 ASH multimedia lab.
mail : info@ash.jp