付録 A. ハードウェアとネットワークの保護

実稼働環境にマシンを配備したり、インターネットにネットワークを接続する前に行なう大切なことは、 企業のニーズを明確にし、どのようにセキュリティをできる限り透過的にその必要条件に合わせる ことができるかを確定することです。Red Hat Enterprise Linux セキュリティガイドの主要な目的は Red Hat Enterprise Linuxの安全を確保する方法を説明していくことなので、更に詳細なハードウェアと物理的な ネットワークのセキュリティに関する考察はこのドキュメントの範疇を超えています。 ただし、この章では、ハードウェアと物理的なネットワークに関連するセキュリティ対策の確立 についての簡単な概要を紹介します。考慮すべき重要な要素としては、 コンピューティングのニーズと接続性に必要とされる事項などを総合的なセキュリティ対策に どのように合わせていくかということです。こうした要素を以下で詳細に説明していきます。

こうした全般的な注意事項から、管理者は実施にあたっての観点をよく理解することができます。 そのあと、企業や組織のニーズとセキュリティにおける注意事項の両面の要素を均等に査定することにより、 これを基礎にしてコンピューティング環境をデザインしていくことが可能となります。

A.1. 安全なネットワークトポロジ

LANの基礎はtopology、またはネットワークアーキテクチャです。 トポロジとは、供給しているリソース、ノード間の距離、伝送媒介などに関連するLANの物理的、 論理的レイアウトです。ネットワークを採用する会社や組織のニーズにより、 ネットワークの実現にはいくつかの選択肢があります。 各トポロジにはそれぞれ利点とセキュリティの問題があり、ネットワークレイアウトをデザインする際に、 ネットワークアーキテクチャはこうした点を考慮する必要があります。

A.1.1. 物理的トポロジ

IEEE (Institute of Electrical and Electronics Engineers)で定義されている LANの物理的な接続のための一般的なトポロジが3つあります。

A.1.1.1. リングトポロジ

リングトポロジは、2つの接続によって各ノードを接続します。 リング状の形態をとり、物理的に最も近くに隣接した2つのノードで直接的にアクセスするか、 物理的リングを介して間接的にアクセスすることにより、各ノードから他ノードヘのアクセスを 可能にします。トークンリング、FDDI、SONETのネットワークはこの形態(2重リング技術を利用している FDDIを用いて)で接続されます。しかし、この物理的トポロジを使用している一般的なイーサネット接続 はなく、このためインストールしている大規模ベースのノードを使用する企業や団体(例えば、大学など)、 あるいはレガシーな環境でない限り、リングは一般的には配備されません。

A.1.1.2. リニアバストポロジ

リニアバストポロジは、終端抵抗が取り付けられたメインリニアケーブル (バックボーン)に接続するノードで構成されます。リニアバストポロジに必要とされる配線や ネットワーキング機器が最小ですみ、最も経済的なトポロジを実現できます。ただし、 リニアバスはバックボーンが絶えず利用可能であるかにより、これをオフラインにする必要がある、 または酷使した場合には、単一機器の障害がシステム全体の障害となります(single point-of-failure)。リニアバストポロジは、 同軸ケーブル配線とバスの両終端で 50-93 ohm ターミネータを使用したピアツーピアのLANで よく使用されます。

A.1.1.3. スタートポロジ

スタートポロジは、ノードが接続し通過する中心点を採用しており、 これにより通信のやりとりが行なわれます。ハブと呼ばれるこの中心点は、 ブロードキャストするかスイッチ することができます。このトポロジは、ノードに接続する集中化ネットワーキング ハードウェアで single point-of-failure を引き起こすことになります。 ただし、この集中化により、このひとつのソースに対してセグメントやLAN全体に影響する ネットワーキングの問題が容易にトレース可能となります。

A.1.2. 伝送における注意事項

ブロードキャストネットワークでは、あるノードがパケットを送ると、 そのパケットは受信者がそのパケットを受け取るまですべてのノードを旋回していきます。 受信者がパケットを処理するまで、ネットワークにある各ノードがこのパケットのデータを 受け取れる可能性があります。ブロードキャストネットワークでは、すべてのパケットがこの方法で 送信されます。

スイッチネットワークでは、パケットはブロードキャストされませんが、 スイッチハブで処理されます。次に、ユニキャスト伝送原理を用いて送信と受信者ノード間に ダイレクト接続を行ないます。これにより、 各ノードにパケットをブロードキャストする必要が無くなり、トラフィックのオーバーヘッドを 抑えます。

また、スイッチネットワークは、悪意のあるノードやユーザーによるパケットの傍受を防止します。 ブロードキャストネットワークでは、パケットが目的地に辿り着くまでのあいだ各ノードがそのパケット を受け取るので、悪意のあるユーザーはイーサネットデバイスをpromiscuous モードに設定して、データの目的地に関係なくすべてのパケットを受け取ることができます。 promiscuous モードにすると、sniffer アプリケーションを使用してパスワード、個人データ、 などパケットをフィルタして、分析、改造することができます。 高性能の sniffer アプリケーションでは、このような情報をテキストファイルで保存することができ、 恐らく、その情報を任意のソース(例えば、悪意あるユーザーの電子メールアドレス) に送ることさえできるでしょう。

スイッチネットワークには、ネットワークスイッチとなる専門ハードウェアが必要です。 これは、LAN上のすべてのノードが接続されている従来のハブの役割に代わるものです。 スイッチは内部データベース内にすべてのノードのMACアドレスを保存し、 ダイレクトルーティングを行なうために使用します。Cisco Systems、Linksys、Netgear などいくつかのメーカーでは、10/100-Base-T互換、ギガビットイーサネットサポート、 CSMA/CD (Carrier Sensing Multiple Access and Collision Detection)のサポートなどの 機能に対応する各種スイッチを提供しています。これらは、トランジット中にパケットが衝突すると 検出して接続を待たせるため、トラフィック量の多いネットワークには理想的です。

A.1.3. ワイヤレスネットワーク

今日、企業間で問題となってきているのがモビリティです。 リモートで働く社員、フィールドテクニシャン、管理職にとって、ノートブックPC、 PDA(Personal Digital Assistant)、ワイヤレスアクセスなどの携帯型ソリューションは、 ネットワークリソースにアクセスするために必要となります。 IEEEは802.11ワイヤレス仕様を標準仕様と制定しました。この802.11ワイヤレス仕様が、 業界全体におけるワイヤレスデータ通信の標準となっています。 現在の標準は802.11b仕様です。

802.11b 仕様と 802.11g 仕様は、実際にはひとつの標準グループであり、 ワイヤレス通信と免許不要の2.4GHz 無線周波数帯(802.11a は 5GHz 帯を仕様)でのアクセス制御を 定めています。こうした仕様はIEEEによって標準として認可されおり、数社のベンダーが 802.11x製品とサービスを市場化しています。 また、消費者側もSOHOネットワークにこの標準を採用しています。 LANからMAN(Metropolitan Area Networks)まで普及しつつあり、特にワイヤレスアクセスポイント(WAP) が集中している地域に普及率が高くなっています。 また、ワイヤレスインターネットサービスプロバイダー(WISP)もあり、 リモートでビジネスを管理するためにブロードバンドインターネットアクセスを必要とする 旅行頻度の多い旅行者などに対してサービスを提供しています。

802.11x仕様により、ワイヤレスNICを装備するノード間での ダイレクトなピアツーピア接続が可能になります。ad hocネットワーク と呼ばれるグループ化されたノード群を解き放ち、複数ノード間で共有する高速接続の理想となりますが、 専用ワイヤレス接続性には適さないというスケーラビリティの問題をもたらします。

固定した構造内でのワイヤレスアクセスに適したソリューションは、 1つ以上のWAPをインストールすることです。WAPは従来のネットワークに接続し、 あたかもイーサネットによって媒介されるネットワーク上にいるように、 ワイヤレスノードがWAPに接続できるようにします。WAPは、接続されたノードと残りのネットワーク間で ブリッジとして効果的に動作します。

A.1.3.1. 802.11x のセキュリティ

ワイヤレスネットワーキングは、従来の有線ネットワーキング媒体に匹敵するスピードがあり、 より便利になっていますが、その仕様にはいくつかの制限があり、注意事項に謳われています。 この制限の最も重要な点は、そのセキュリティの実現方法です。

802.11xネットワーク配備を完了した多くの管理者の方々が、 最も基本的なセキュリティ上の警戒を怠っていることがあります。 すべての802.11xネットワーキングは高帯域無線周波数シグナルを 使用して行なわれるため、伝送されたデータは、互換NICとなるNetStumbler またはWellenreiterなどの ワイヤレスネットワークスキャンツールとdsniffsnort などの一般的なsniffingツールを持つユーザーなら誰にでも容易にアクセスできます。 プライベートワイヤレスネットワークのこのような異常な使用を防ぐために、 802.11b規格ではWEP (Wired Equivalency Privacy)プロトコルを使用しています。 これは、各ノード間またはAPとそのノード間で共有するRC4-based 64- または128ビット暗号化鍵 のことです。この鍵は伝送を暗号化し、受信パケットを動的且つ透過的に解読します。 管理者がこの共有鍵暗号化方式の採用を怠ることがよくありますが、うっかり忘れてしまったり、 パフォーマンスが低下(特に長期)する理由で故意に行なわない管理者があります。 ワイヤレスネットワークでWEPを使用可能にすると、データ傍受の危険性を大幅に減らすことができます。

Red Hat Enterprise Linuxではベンダーからの各種802.11x製品をサポートしています。 ネットワーク管理ツールには、ワイヤレスNICやWEPセキュリティを構築する 機能が含まれています。ネットワーク管理ツールの使用方法については、 Red Hat Enterprise Linux システム管理ガイドネットワーク設定 の章を参照してください。

しかし、WEPに頼るだけでは、悪意のあるしつこいユーザーを発見すると言う点で十分な保護手段とは 言えないかもしれません。ワイヤレスネットワークを保護するRC4 WEP暗号化アルゴリズムをクラックし、 共有鍵を表示させるよう特にデザインされた専門ユーティリティがあります。 AirSnortWEP Crackが これにあたります。これに対抗するには、機密情報へのアクセスに対するワイヤレス方法の使用に 関する厳しい対策を遵守する必要があります。SSHまたはVPN接続に制限することにより ワイヤレス接続性のセキュリティを強化しても良いでしょう。 これは、追加暗号化レイヤーをWEP暗号化の上に導入するものです。 この対策を利用すると、WEP暗号化をクラックするネットワーク外の悪意のあるユーザーは VPNまたはSSH暗号化もクラックしなければなりません。その暗号化方法により、 3倍強力な168ビットDESアルゴリズム暗号化(3DES)または更に強力な他社販売のアルゴリズムを 採用することができます。パスワードやデータは前述のいずれの攻撃を使用しても表示されてしまう 恐れがあるため、この対策を適用する場合はTelnet やFTPなどのプレーンテキストプロトコル を制限する必要があります。

A.1.4. ネットワークセグメンテーションとDMZ

HTTP、電子メール、FTP、DNSなどの外部アクセス可能なサービスを実行したい管理者には、 こうした公開サービスは物理的/論理的に内部ネットワークからセグメント化することをおすすめします。 ファイアウォールとホスト及びアプリケーションの強化は、たまに起きる侵入を阻止するには有効的な 手段です。しかし、しつこいクラッカーは、攻撃しているサービスが残りのネットワークと 同じ論理ルートに属する場合、内部ネットワークに侵入する手段を見つけることができます。 外部アクセス可能なサービスは、セキュリティ業界でdemilitarized zone (DMZ)とみなしているところに存在しなければならず、インターネットから入ってくるトラフィックの 論理ネットワークセグメントがアクセスできるのはこのサービスのみで、内部ネットワークへの アクセスは許可されません。悪意のあるユーザーがDMZ上のマシンに不正アクセスしても、 残りの内部ネットワークは区切られたセグメントにあるファイアウォールに守られているので効果的です。

ほとんどの企業は、ホストできる外部サービスからの公開ルーティングが可能なIPアドレスのプールが 限られているので、管理者はパケット伝送を受信、転送、拒絶、拒否するために入り組んだファイアウォール ルールを活用します。iptablesを用いて実現されているファイアウォール対策や 専用ハードウェアファイアウォールにより、複雑なルーティングと転送ルールが可能となります。 これは入ってくるトラフィックを特定サービスに指定したアドレスとポートでセグメント化することができ、 同様に、内部サービスにアクセスするのをLANのみすることができます。これによりIPスプーフィング不正 アクセスを防止することができます。iptablesの実装方法については、 第7章を参照してください。