付録 A. ハードウェアとネットワークの保護

実稼働環境にマシンを配備したり、インターネットにネットワークを接続する前に行なうべきことは、企業のニーズを明確にし、どのようにセキュリティをできる限り透過的にその必要条件に合わせることができるかを把握することです。Red Hat Enterprise Linux セキュリティガイドの主要な目的は Red Hat Enterprise Linuxの安全を確保する方法を説明していくことなので、ハードウェアや物理的なネットワークのセキュリティに関する解説はこのドキュメントの範疇を超えてしまいます。ただし、この章では、ハードウェアと物理的なネットワークに準じたセキュリティ対策の確立について簡単な概要を紹介します。考慮すべき重要点には、コンピューティングのニーズと接続性に必要とされる事項などを総合的なセキュリティ対策にどのように合わせていくかなどがあります。こうした点を以下で詳細に説明していきます。

こうした全般的な注意事項から、管理者は実施にあたっての観点をよく理解することができます。 そのあと、企業や組織のニーズとセキュリティにおける注意事項の両面の要素を均等に査定することにより、 これを基礎にしてコンピューティング環境をデザインしていくことが可能となります。

A.1. 安全なネットワークトポロジ

LANの基礎はトポロジ、またはネットワークアーキテクチャです。トポロジとは、供給されるリソース、ノード間の距離、通信媒介などの観点からLANの物理的及び論理的レイアウトです。ネットワークを採用する会社や組織のニーズにより、ネットワークの実現にはいくつかの選択肢があります。各トポロジにはそれぞれ固有の利点と共にセキュリティの問題があり、ネットワークレイアウトをデザインする際にはネットワークアーキテクチャにこうした点を考慮する必要があります。

A.1.1. 物理的トポロジ

IEEE (Institute of Electrical and Electronics Engineers)で定義されている LANの物理的な接続のための一般的なトポロジが3つあります。

A.1.1.1. リングトポロジ

リングトポロジは、2 接続を使用して各ノードを接続します。各ノードが互いにアクセス可能となるリング状の形態をとり、物理的に最も近くに隣接した2つのノードで直接的にアクセスするか、物理的リングを介して間接的にアクセスします。トークンリング、FDDI、SONETのネットワークはこの形態 (FDDI では 2 重リング技術を利用している)で接続されます。しかし、この物理的トポロジを使用しているイーサネット接続は一般的ではなく、このため大規模なベースノードをインストールしている機関(例えば、大学など)、あるいはレガシーな環境でない限り、リングは一般的には配備されません。

A.1.1.2. リニアバストポロジ

リニアバストポロジは、終端抵抗が取り付けられたメインリニアケーブル (バックボーン)に接続するノードで構成されます。リニアバストポロジに必要とされる配線や ネットワーキング機器が最小ですみ、最も経済的なトポロジを実現できます。ただし、 リニアバスはバックボーンが絶えず利用可能であるかにより、これをオフラインにする必要がある、 または酷使した場合には、単一機器の障害がシステム全体の障害となります(single point-of-failure)。リニアバストポロジは、 同軸ケーブル配線とバスの両終端で 50-93 ohm ターミネータを使用したピアツーピアのLANで よく使用されます。

A.1.1.3. スタートポロジ

スタートポロジは、ノードが接続し通過する中心点を採用しており、これにより通信のやりとりが行なわれます。ハブと呼ばれるこの中心点は、ブロードキャストするかスイッチ することができます。このトポロジは、ノードに接続する集中化ネットワーキングハードウェアで single point-of-failure を引き起こすことになります。ただし、この集中化により、区分やLAN全体に影響するネットワーキングの問題は、この単一ソースを追跡することで容易になります。

A.1.2. 伝送における注意事項

項A.1.1.3 ではブロードキャストとスイッチネットワーキングのコンセプトを示しました。ネットワーク環境に適し、安全なネットワークハードウェアの種類を検討する際には考慮すべき要素がいくつかあります。 次に、これら異なる 2 つのネットワークキング形態の特徴を見てみます。

ブロードキャストネットワークでは、あるノードがパケットを送ると、受信者がそのパケットを受け取るまでその他すべてのノードで受け取られます。受信者がパケットを処理するまで、ネットワークにあるすべてのノードがこのパケットのデータを受け取れる可能性があります。ブロードキャストネットワークでは、すべてのパケットがこの方法で送信されます。

スイッチネットワークでは、パケットはブロードキャストされませんが、スイッチハブで処理されます。次に、送信ノートと受信ノード間にダイレクト接続を行ないます。これにより、各ノードにパケットをブロードキャストする必要が無くなり、トラフィックのオーバーヘッドを抑えます。

また、スイッチネットワークは、悪意のあるノードやユーザーによるパケットの傍受を防止します。ブロードキャストネットワークでは、パケットが目的地に辿り着くまでのあいだ各ノードはすべてのパケットを受け取るので、悪意のあるユーザーはイーサネットデバイスを promiscuous モードに設定して、データの目的地に関係なくすべてのパケットを受け取ることができます。promiscuous モードにすると、sniffer アプリケーションを使用してパスワード、個人データ、その他のパケットをフィルタして、分析、改造することができます。高性能の sniffer アプリケーションでは、このような情報をテキストファイルで保存することができ、恐らく、その情報を任意のソース(例えば、悪意あるユーザーの電子メールアドレス)に送ることさえできるでしょう。

スイッチネットワークには、ネットワークスイッチとなる専門ハードウェアが必要です。LAN 上のすべてのノードが接続されている従来のハブの役割に代わるものです。スイッチは内部データベース内にすべてのノードの MAC アドレスを保存し、ダイレクトルーティングを行なうために使用します。Cisco Systems、D-Link、SMC、Netgear など、10/100-Base-T互換、ギガビットイーサネットサポート、IPv6 ネットワーキングなどの機能に対応する各種スイッチを提供しているメーカーもあります。

A.1.3. ワイヤレスネットワーク

今日、企業間で問題となってきているのがモビリティです。リモート出勤する社員、オンサイト技術者、エグゼクティブなどにとって、ノート型PC、PDA(Personal Digital Assistant)、ワイヤレスアクセスなどの携帯型ソリューションがネットワークリソースにアクセスするために必要となります。IEEE は 802.11 ワイヤレス仕様を標準仕様と制定しました。これにより、業界全体におけるワイヤレスデータ通信の標準となります。現在、認可されている IEEE 標準はワイヤレスネットワーキングの 802.11g です。802.11a 及び 802.11b はレガシーな標準です。802.11g 標準は 802.11b とは後方互換がありますが、802.11a とは互換性がありません。

802.11b 仕様と 802.11g 仕様は、実際にはひとつの標準グループであり、 ワイヤレス通信と免許不要の2.4GHz 無線周波数帯(802.11a は 5GHz 帯を仕様)でのアクセス制御を 定めています。こうした仕様はIEEEによって標準として認可されおり、数社のベンダーが 802.11x製品とサービスを市場化しています。 また、消費者側もSOHOネットワークにこの標準を採用しています。 LANからMAN(Metropolitan Area Networks)まで普及しつつあり、特にワイヤレスアクセスポイント(WAP) が集中している地域に普及率が高くなっています。 また、ワイヤレスインターネットサービスプロバイダー(WISP)もあり、 リモートでビジネスを管理するためにブロードバンドインターネットアクセスを必要とする 旅行頻度の多い旅行者などに対してサービスを提供しています。

802.11x仕様により、ワイヤレスNICを装備するノード間での ダイレクトなピアツーピア接続が可能になります。ad hocネットワーク と呼ばれるグループ化されたノード群を解き放ち、複数ノード間で共有する高速接続の理想となりますが、 専用ワイヤレス接続性には適さないというスケーラビリティの問題をもたらします。

固定した構造内でのワイヤレスアクセスに適したソリューションは、WAP を 1 つ以上インストールすることです。WAP は従来のネットワークに接続し、あたかもイーサネットベースのネットワーク上にいるようにワイヤレスノードが WAP に接続できるようにします。WAPは、接続されたノードとネットワークの他のノード間のブリッジとして効果的に動作します。

A.1.3.1. 802.11x のセキュリティ

ワイヤレスネットワーキングは、従来の有線ネットワーキング媒体に匹敵するスピードがあり、 より便利になっていますが、その仕様にはいくつかの制限があり、注意事項に謳われています。 この制限の最も重要な点は、そのセキュリティの実現方法です。

802.11xネットワークの配備がうまく完了したのに、最も基本的なセキュリティ上の予防策すら怠っている多くの管理者がいます。すべての802.11xネットワーキングは高帯域 RF シグナルを使用して行なわれるため、伝送されたデータは互換性のある NIC、NetStumblerまたはWellenreiterなどのワイヤレスネットワークスキャンツールとdsniffsnort などの一般的な sniffing ツールを持つユーザーなら誰にでも容易にアクセスできます。プライベートワイヤレスネットワークのこのような異常な使用を防ぐために、802.11b 規格では WEP (Wired Equivalency Privacy) プロトコルを使用しています。これは、各ノード間または WAP とノード間で共有する RC4 ベースの 64 ビットまたは 128 ビット暗号化鍵のことです。この鍵は通信を暗号化し、受信パケットを動的かつ透過的に解読します。ところが、管理者がうっかり忘れていたり、パフォーマンスが低下する理由(特に長距離)で故意にこの共有鍵暗号化方式の採用を行わないことがよくあります。しかし、ワイヤレスネットワークでWEPを使用可能にするとデータ傍受の危険性を大幅に減らすことができます。

Red Hat Enterprise Linux ではいくつかのベンダーの各種802.11x製品をサポートしています。ネットワーク管理ツールには、ワイヤレス NIC や WEP セキュリティを構築する機能が含まれています。ネットワーク管理ツールの使用方法については、Red Hat Enterprise Linux システム管理ガイドを参照してください。

しかし、WEPに頼るだけでは、悪意のあるユーザーを発見すると言う点で十分な保護手段とは言えないかもしれません。ワイヤレスネットワークを保護する RC4 WEP 暗号化アルゴリズムをクラックし、共有鍵を公開させるよう特にデザインされた専門ユーティリティがあります。AirSnortWEP Crack がこれにあたります。これに対抗するには、機密情報へのアクセスに対するワイヤレス方法の使用に関して厳しい対策を遵守する必要があります。SSH または VPN 接続のみに制限することによりワイヤレス接続のセキュリティを強化しても良いでしょう。これにより、追加暗号化レイヤーを WEP 暗号化の上に導入します。この対策を利用すると、WEP 暗号化をクラックするネットワーク外の悪意のあるユーザーは さらに VPN や SSH 暗号化もクラックしなければならなくなります。その暗号化方法により、3 倍強力な 168 ビット DES アルゴリズム暗号化 (3DES) や、更に強力な他社販売製品のアルゴリズムを採用することができます。パスワードやデータは前述のいずれの攻撃を使用しても公開されてしまう恐れがあるため、この対策を適用する場合は Telnet や FTP などのプレーンテキストプロトコルを制限する必要があります。

ワイヤレスネットワーク機器のメーカーにより採用されている最近のセキュリティ及び認証方法は Wi-fi Protected Access (WPA) です。管理者は認証サーバを使ってネットワーク上に WPA を設定することができ、クライアントのワイヤレスネットワークへのアクセス用の鍵を管理できます。WPA は Temporal Key Integrity Protocol (TKIP) を使って WEP 暗号化 をさらに向上させます。共有鍵を使用し、クライアントシステムにインストールされているワイヤレスネットワークカードの MAC アドレスと関連づける方法です。共有鍵と MAC アドレスの値が初期化ベクタ (IV) によって処理され、各データパケットを暗号化する鍵を生成するのに使用されます。IV はパケットが伝送されるたび鍵を変更し、ほとんどの一般的なワイヤレスネットワーク攻撃を防止します。

ただし、TKIP を使った WPA は一時的なソリューションとみなされています。より強力な暗号 (AES など)を使ったソリューションが開発中であり、企業におけるワイヤレスネットワークセキュリティを向上させる可能性を秘めています。

802.11 標準についての詳細は次の URL を参照してください。

http://standards.ieee.org/getieee802/802.11.html

A.1.4. ネットワークセグメンテーションとDMZ

HTTP、電子メール、FTP、DNSなどの外部アクセス可能なサービスを実行したい管理者には、こうした公開サービスは物理的/論理的に内部ネットワークから区分化することをおすすめします。ファイアウォールとホスト及びアプリケーションの強化は、たまに起きる侵入を阻止するには有効な手段です。しかし、しつこいクラッカーは、攻撃しているサービスが同じネットワーク区分にあれば内部ネットワークに入り込む手段を見つけることができます。外部アクセス可能なサービスは、セキュリティ業界で非武装地帯 (DMZ) とみなしているところに存在しなければならず、インターネットから入ってくる通信の論理ネットワーク区分はこのサービスしかアクセスできず、内部ネットワークへのアクセスは許可されないようになっている必要があります。悪意のあるユーザーが DMZ 上のマシンに不正アクセスしても、残りの内部ネットワークは区切られた区分にあるファイアウォールで守られるという点で効果的です。

ほとんどの企業は、ホストできる外部サービスからの公開ルーティング可能なIPアドレスのプールが限られているので、管理者はパケット伝送を受信、転送、拒絶、拒否する入り組んだファイアウォールルールを活用します。iptablesを用いて実現されるファイアウォール対策や専用ハードウェアファイアウォールを使用することにより、複雑なルーティングとフォワーディングルールが可能となります。管理者はこのポリシーを使って入ってくる通信を特定サービスに指定したアドレスとポートで区分することができ、一方で、内部サービスにアクセスするのは LAN のみすることができます。これにより IP スプーフィング不正アクセスを防止することができます。iptablesの実装方法については、章7章を参照してください。