代表的なものは以下のようなものが考えられます。ただし、これらだけでは、無論十分ではない。

• ル−タで先ずパケットフィルタリングをかける。必要なパケットのみ通すようにする。
• バリアネットと内部ネットを分け、ゲ−トウェイで中継する。 ゲ−トウェイにファイアウォ−ルを設定する。
• 少しでも外部からアクセスできるホスト、例えばＷＷＷのホストでは NFS, RPC, NISのサ−ビスを先ずやめる。特にNISは外から使う意味はない。
• 上記ホストでは、基本的に inetdデ−モンによるサ−ビスも禁止する。もし、telnetやftp などを許す場合でも、できればワンタイム・パスワ−ドをかけること。
• ＷＷＷサ−ビスや ftp には、chrootをかけ、他のディレクトリにはアクセスできないようにする。ＷＷＷの Netscape Enterprise Server にはこの機能がある。
• inetd から起動される telnetd などでポ−ト番号を変更する。これは気休めでしかない。もちろん、クラッカ−はこれ位のことはすぐ見破る。
• DNSにはなるべく内部ホストの情報を載せないようにする。 HINFOレコ−ドはマシンの種類やＯＳを記述する項目だが、これも記述しないでおく。
• 安全対策の基本中の基本はパスワ−ドである。容易なパスワ−ドをＷＷＷやファイアウォ−ルのホストにつけない。
• ユーザのパスワードをパスワードクラッカーにかけて、弱いパスワードをつけているユーザに警告する（詳しくは、特別講座＜パスワード編＞を参照せよ）。
• 特別講座＜Win搭載ネットワークツール編＞や特別講座＜Unix搭載ネットワークツール編＞を利用する。
• バックアップを取る。メモ帳またはノートを利用して、それに記入しておきましょう。

■予備知識（Security関連語彙）←わかる部分だけでも読んでおけば、後で楽かも。

• telnet←ロッグインの際のアカウントやパスワ−ドは、 plain text で流れてしまう。TCPDumpなどで、ネットワ−クの盗聴にはもってこいである。
• ftp←コマンドポ−トとデ−タポ−トの２つのソケットを使用する。コマンド用ポ−ト番号は、ftpのコネクション時に確定される。 デ−タ用ポ−トは空いているポ−ト番号からダイナミックに決定される。
• sendmail←ドメイン間の電子メ−ルのやりとりは、 SMTP によるコネクションを張ってドメインのメ−ルゲ−トウェイと行う。メ−ルゲ−トウェイと各クライアントの間も SMTP で転送される。ゲ−トウェイでＩＰパケットを中継禁止にした場合でも、ゲ−トウェイ上にメ−ルリレ−を設置すれば電子メ−ルを中継できる。R8 バ−ジョンからは SMTP の接続要求に対して、IDENTプロトコルによる相手の確認が行われるようになったらしい。
• DNS←ホスト名、ＩＰアドレスの問い合わせは UDP を使う。 ２次ネ−ムサ−バへのゾ−ン転送は TCP を使う。DNS の認証に使う IDENT プロトコルは通すように今後すること。ゾ−ン転送コマンドにより、 簡単に DNS 情報をとられてしまうが、nslookup や dig コマンドでも情報が得られるので、あまり問題にすることはないと思われる。 ソフトは最新（？）の named 4.9.x を使うこと。
• tftp( Trivial File Transfer Protocol )←/usr/local/boot などのディスクレスＥＷＳのブ−トやＸ端末のフォントをロ−ドするのに使う。
• ARP←ル−タの信頼性を高めるためには、ARP に対応付けを固定し、ARP を使わな いようにする。偽のARPメッセ−ジにより、 パケットを奪われるのを防ぐ。
• ポ−ト番号←サ−バ・クライアントのネットワ−クコマンドは、たいがいサ−バ側のポ−ト番号はきめられている。そしてクライアントの方は 1024 以上の任意のポ−ト番号を使うことになっている。例えば telnet のサ−バ側は 23 番を使い、クライアント側はその度に異なるポ−ト番号になる。 例外は named 同士、NetNewsのNNTPのやり取りぐらいである。
• ACK←TCP パケットのヘッダ−部に ACKフラッグというのがある。 相手ホストに例えばtelnetすると、相手からの返りパケットには必ずこのフラッグが立つことになっている。 この性質を利用して TCP パケットのフィルタリングができる。ル−タでは入ってくる TCP パケットに established 指定することで ACK フラッグの立ったものだけ通過させるようにできる。
• UDP←コネクションの概念がない。つまり入って来たのか出ていくパケットなのか判別がつかない。このたのめ常に必要となるポ−トを開けておく必要がある。具体的にはTCPにあるACKフラッグ部分やパケットの連続番号のフィ−ルドが、UDPにはないのである。垂れ流しの垂れ受けである。
• IDENT←IDENTプロトコル。ポート番号は 113 を使う。 リモ−ト側のロッグイン・ユ−ザ名を取得するため、プログラムに実装して使用される。リモ−ト側identd デ−モンをサ−ビスしている場合に有効である。NCSA httpd の場合、IdentityCheck オプションでユ−ザをチェックするかどうか指定できる。ただしログに結果を記録するだけで、アクセス制限は行わない。man identで出てくるのは、INDY では /usr/sbin/ident の説明であり、違う。
  % cat /etc/services
  auth 113/tcp authentication << これが IDENT の項目。
• プロトコルアナライザ←イーサネット（レベル2）プロトコル層でのパケットを解釈するために設定された専用の計算機である。
• ネットワークアナライザ←より包括的な専用な計算機である。NFSやメールなどの特別なアプリを取り扱う。
• ネットワークモニタ←通常、特別なネットワークインターフェースを装備したPC上で動作するソフトウェアです。
• ネットワークマネージャー←ネットワーク全体を監視する専用のソフトウェアであり、それ自身がクラスである。

■管理者のTIPS

　管理者のTIPSを、以下に紹介します。

• Attackerは、ルート権限を奪うとルートのメールを読もうとするものである。そういうことをすることによって、システム管理者の情報を知ろうということである。そこで、このことを逆手に取ろう。偽の情報を載せたメールを忍ばせておくのである！
• システムコンソールを監視するには、xconsoleプログラムなどを活用しましょう。このプログラムは、システムコンソールの入出力全てを表示できるXウィンドウシステム用プログラムです。
• Attackerは、ログを探すときに、findコマンド（詳しくは、特別講座＜find編＞を参照せよ）を使って、”log”という文字を検索することがある。管理者側は、それを逆手にとることもできるだろう。
• プリンタなどの消去不可能なメディアにログを記録することも有効かもしれません。
• ポリシーは大事にしよう。法廷で、ポリシーを述べることになるかもしれないからだ。

■攻撃と防御方法

●攻撃方法

• トンネリング攻撃←あるプロトコルを他のプロトコルでカプセル化する。カプセル化は特殊な技術ではない。例えばマルチキャストを扱うのに、ＩＰパケットで包むことがやられている。
  複数のIPXネットワークがインターネットプロトコル(IP)インターネットワーク経由でIPXパケットを交換する手法。トンネルは、IPXパケットをユーザデータグラムプロトコル(UDP)データグラムにカプセル化して、IPインターネットワーク経由で送信します。
• 経路情報攻撃←動的経路制御 routed でもっている経路情報を操作して、パケットを奪う。メインメモリの中にある経路デ−タを直接操作するのだろう。
• ソ−スル−ティング攻撃←経路情報がなくても指定したル−タを通過するように、ＩＰパケットのル−ズソ−スル−トオプション情報を利用する。LSRR( Louse Source and Recode Route ) 攻撃。
• ネ−ムサ−バ攻撃←DNS に嘘のエントリを入れこみ、許可されたホストになりすます。方法としては DNSのキャッシュ・デ−タに細工をする。
• トロイの木場攻撃←anonymouos ftp のプログラムに、ハッカ−用プログラムを入れこむ。 wu-ftpd に仕掛けられることがある。コンピュ−タウィルスもこの方法で入ってくる。
• 擬似パケット攻撃←内部のネットワ−クから発生したパケットのようにする。 IP spoofing attack といわれる。（９５年１月、サンディエゴ・コンピュ−タセンタ−が攻撃された）
• シ−ケンス攻撃←TCP/UDP ポ−トでアクセス可能な部分をしらみ潰しに調べる。穴があってそこがセキュティが弱ければ、侵入される。あるいはコマンドの実行を許してしまう。
• 電子メ−ル爆弾攻撃←イメ−ジを含んだような大きな電子メ−ルを何度も送り付けて、ディスクを一杯にする。電子メ−ル爆弾とか SPAM とも呼ばれる。注意しないと他サイトへの電子メ−ル攻撃に自サイトの sendmail を利用される。
• MIME 電子メ−ル攻撃←MIME フォ−マットの盲点をついた攻撃。MIME のヘッダ−部の記述によって、ファイルを消去したり、コマンドを実行したりする。次のスクリプト言語攻撃とも関係するが、MIME の PostScript 画像を見たとたんにディスクのファイルが消去される。
• スクリプト言語攻撃←Ghostscript により PostScript ファイルを表示する際、ファイルに埋め込まれたコマンドを実行し、ディスクのファイル等を消去する。Windows のソフト Word でも同様な攻撃がつい最近起きた、こちらはマクロ攻撃と呼ばれる。
• シェル実行攻撃←sendmail にあった debug コマンドのように、プログラムからシェル・コマンドを実行する。 telnet や mail コマンドでも実行中に、ロ−カル側のコマンドを実行することができる。次の裏口攻撃とよく似ている。
• 裏口攻撃←ダイアルアップＩＰ接続しているホストがあると、そこが裏口になりやすい。盲点である。裏口をバックドアと言った場合は、プログラム開発時の確認のための隠しコマンドのことを差す。Windows のＯＳにはバックドアがかなりあるという噂がある。
• ワイヤ−トラップ攻撃←電話線を流れる電流や、コンピュ−タから出る磁界からデ−タの内容やパスワ−ドを盗聴する。以前ＮＨＫの番組で10mぐらい離れた所から、ディスプレイから出る電磁波を取って完全にモニタ−している話しがあった（テンペストという）。
• パスワ−ド攻撃←/etc/passwd ファイルを入手し、パスワ−ド解析プログラムCrack などでパスワ−ドを獲得してしまう。２５％の確率で分かるといわれている。基本的なパスワ−ドの解析は辞書攻撃と呼ばれ、総当たりで辞書の単語を暗号化をし、/etc/passwd のパスワ−ドの暗号部と比較していく。一致すれば解析できたことになる。
• ping 攻撃←ping のオプションには、パケットのサイズを指定するのがある。 これで大きなパケットをタ−ゲット・ホストに繰り返し送る、非常にたちの悪い攻撃である。 ping アクセスはインタ−ネットのどのホストにもできる。この攻撃はいったんタ−ゲットにされたら防ぎようがない。
• キーストローク監視←キーストローク監視プログラムは、ショルダーハッキング（詳しくは、基礎ショルダー・ハック講座を参照せよ）を電子的に行うプログラムです。プログラムは端末がつながられたポートを監視する。これらのプログラムは、従業員の作業態度を監視するために使うために、商用として売られてもしています。

●防御方法

• デ−タ中継の制限←ＩＰパケットを選択する、または基本的にＩＰパケットを通さないようにして、許可したパケットだけプログラムで中継するようにする。この機能を中心としたプログラムがファイアウォ−ルのソフトである。フリ−ソフトや市販品など種々ある。
• デ−タ暗号化←不特定の外部の人に知られたくないデ−タ、例えば電子メ−ル、telnet、ＷＷＷサ−ビスなどのデ−タを暗号化してしまう。またはル−タで通過するデ−タを暗号化してしまう。ＵＮＩＸの crypt コマンドで暗号化するのは、あまり安全ではないらしい。
• コマンド実行の制限←inetd デ−モンで起動されるデ−モンを制限する。それに NFSやNIS のサ−ビスもしないようにする。これらはインタ−ネット越しに普通使えるものではないし、第三者に使ってもらう必要もない。
• パスワ−ド強化←シャドウ・パスワ−ドを使う。パスワ−ドに有効期間( password aging )を設定する。１回しか使えないパスワ−ドを用いる。ワンタイム・パスワ−ドとも使い捨てパスワ−ドとも呼ばれる。先ずは英語の辞書にのっている単語はパスワ−ドしないこと。
• 経路制御の制限←動的経路制御の routed を使わずに静的経路制御にする。 あるいは gated を用いる。gated は信頼できるル−タを指定できるので、嘘の情報を入れられにくくできる。
• デ−モン実行の権限←例えば sendmail は通常 root で実行される。しかし sendmail をリレ−でのみ使うような場合、root 権限で実行する必要はない。バグをついて侵入されると、 侵入者に root 権限を与えることになる。httpd は root で通常起動されるが、ユ−ザから アクセスする際は nobody などの実害のない権限で実行されるよう設定する。
• ディスク・パ−ティションの分割←特にメ−ルサ−バのホストは、ハ−ドディスクのパ−ティションを分ける。大量の電子メ−ルが意図的に送られると、最悪ディスクがクラッシュする。この場合１つのパ−ティションだけに影響を抑える。syslogd でも起こるらしい。
• セキュリティ・ホ−ルのチェック←バリアセグメント上のホスト、具体的にはＷＷＷホスト、ファイアウォ−ルのホストで、セキュリティ・ホ−ルがないかどうか調べる。フリ−ソフトの SATAN( Security　Administrator Tool for Analyzing Networks )、ISS( Internet Security Scanner)COPS、RSCAN、Tiger などが利用できる。
• 侵入チェック←不正なアクセスがないか、攻撃を受けている痕跡はないか常にチェックし、被害を最小限に食い止める。アクセスのログは syslogd や httpd でとれる。フリ−ソフトのSwatch は syslog の指定したログをメ−ルで管理者に通知できる。Tripwire はディスク・ファイルに変化がなかったかを調べる。変なプログラムを置いていかれてないか、パ−ミションを変更されていないかチェックするフリ−ソフトである。
• ＩＰアドレス変換装置の使用←ただ単にＩＰアドレスを変換するだけでなく、ファイアウォ−ルとして働く装置がある。基本的には外部からは、パブリックなＩＰアドレスのホストにしかアクセスでき ない。製品としては PIX( Private Internet Exchange ) がある。３２アドレス登録分で１９８万円、４０６９アドレス分で約６４４万円である。値段はあてにしないでね。最近 Cisco 社が買収してしまった。ただし、IPジャックに弱い。
• 電子メ−ルの強化←今後、不要な商用メ−ルや用事のないメ−ルが増えてくることは避けられない。電子メ−ル爆弾や中継攻撃に利用されることも有り得る。 sendmail-8.8.x にはこれらに対処できる機能がある。
• セキュア端末←ルートがアクセスできる端末を制限して、安全と見込まれる端末からしかスーパーユーザとしてアクセスできないようにする。この制限はログイン時のみ有効なので、ユーザが通常のユーザとしてログインした後、Suコマンドでルートに切り替えることは可能である。例えば、安心だと確信できるのはシステムコール、/dev/consoleだけである。SystemV系統のシステムの場合は、/etc/securityとか/etc/default/loginなどにセキュア端末のリストがある。またBSD系統のシステムは、/etc/ttysや/etc/ttytabのコンソール行にセキュアパラメータを追加しなければならない。例えば、
  console "" vt100 on local secure

■物理的なセキュリティー（詳しくは、基礎Physical_Security講座を参照せよ）

　コンピュータ（サーバ）は、スプーフィングユーティリティよりも、斧によって破壊されるほうが、痛烈です（爆）。

　以下に、基本的な物理的なセキュリティーで重要な点を紹介します。

• サーバの位置と物理的なアクセス
• ネットワークトポロジー
• BIOSとコンソールのパスワード
• 生体統計学的アクセス制御
• ネットワークハードウェア
• 一般的なハードウェアセキュリティー

■インタ−ネット・ワ−ム事件のシュミレ−ション（有名です）

　インタ−ネット・ワ−ムを引き起こしたのは、 sendmail を外から telnet アクセスして、sendmail の DEBUG コマンドを起動したためである。 このバグは sendmail.4.12 にまずあったものだが、検証しようと思い archie で探したがなかった。そこで実行中にシェルコマンドを実行できるプログラムであれば、telnet アクセスはできないものの、 仕組みは同じだと考えた。以下の例は、mail コマンドの中でシェルコマンドを使って、 ファイルを消去する例である。

hogehoge% ls -al tt*

-rwxr----- 1 IPUSIRON file1

-rwxr----- 1 root file2

hogehoge% /usr/ucb/mail IPUSIRON←ユ−ザ名IPUSIRONでログイン。

~!ls

file1 file2

~!/bin/rm file1

~!/bin/rm file2

rm: override protection 740 for f2? y←ディレクトリのパ−ミッションが甘いので、無理に消せれた。

hogehoge% /usr/ucb/mail IPUSIRON←ユ−ザ root でログイン。

~!ls tt*

file2

~!rm file2←直ちに消える。

!

■telnet セッションの盗聴

　Solaris 2.5.1 に標準である snoop というコマンドで telnet 開始時のログインとパスワ−ドを見ているところである。もしＷＷＷホストのセキュリティが甘いと、このホストに侵入し、snoop を仕掛けられる可能性がある。下の例は標準出力にセッションを出しているが、ファイルにリダイレクトさせることもできる。バリアネット上を流れるパケットはＷＷＷホストですべて把握できる。もし下記の telnet が外から内部ホストへの接続だとしたら、もうこのネットワ−クはおしまいである。 ＷＷＷホストには snoop のような、他 tcpdump や etherfind プログラムを放置しないようにしなければならない。

# snoop -d le0

Using device /dev/le (promiscuous mode)

|

192.10.200.1 -> hosta TELNET R port=10777 login:

hosta -> 192.10.200.1 TELNET C port=10777

192.10.200.1 -> hosta TELNET R port=10777

hosta -> 192.10.200.1 TELNET C port=10777

hosta -> 192.10.200.1 TELNET C port=10777 k

192.10.200.1 -> hosta TELNET R port=10777 k

hosta -> 192.10.200.1 TELNET C port=10777 a

192.10.200.1 -> hosta TELNET R port=10777 a

hosta -> 192.10.200.1 TELNET C port=10777

hosta -> 192.10.200.1 TELNET C port=10777 t

192.10.200.1 -> hosta TELNET R port=10777 t

hosta -> 192.10.200.1 TELNET C port=10777

hosta -> 192.10.200.1 TELNET C port=10777 o

192.10.200.1 -> hosta TELNET R port=10777 o

hosta -> 192.10.200.1 TELNET C port=10777

hosta -> 192.10.200.1 TELNET C port=10777

192.10.200.1 -> hosta TELNET R port=10777

hosta -> 192.10.200.1 TELNET C port=10777

192.10.200.1 -> hosta TELNET R port=10777 Password:

hosta -> 192.10.200.1 TELNET C port=10777

hosta -> 192.10.200.1 TELNET C port=10777 h

192.10.200.1 -> hosta TELNET R port=10777

hosta -> 192.10.200.1 TELNET C port=10777 e

192.10.200.1 -> hosta TELNET R port=10777

hosta -> 192.10.200.1 TELNET C port=10777 n

192.10.200.1 -> hosta TELNET R port=10777

hosta -> 192.10.200.1 TELNET C port=10777 o

192.10.200.1 -> hosta TELNET R port=10777

hosta -> 192.10.200.1 TELNET C port=10777 m

192.10.200.1 -> hosta TELNET R port=10777

hosta -> 192.10.200.1 TELNET C port=10777 o

192.10.200.1 -> hosta TELNET R port=10777

hosta -> 192.10.200.1 TELNET C port=10777 h

192.10.200.1 -> hosta TELNET R port=10777

hosta -> 192.10.200.1 TELNET C port=10777 e

192.10.200.1 -> hosta TELNET R port=10777 Last login: Mon May

hosta -> 192.10.200.1 TELNET C port=10777

192.10.200.1 -> hosta TELNET R port=10777 SunOS Release 4.1.4-

hosta -> 192.10.200.1 TELNET C port=10777

■認証と暗号化

　暗号化の方法は DES が有名である。 しかしアメリカの輸出規制により、暗号化の鍵のコ−ド長さが、４０ビット以下に制限されている。最近になって、ＥＣの分野での暗号化の規制は緩和されたらしい。

■パスワ−ド強化（ワンタイム・パスワ−ド）

●ソフトによる方法

　フリ−ソフトの S/Key、ソフト名 key がある。 チャレンジ／レスポンス方式である。S/Key は Bellcore の登録商標になっているので、OTP( One-Time Password ) と名前を変えて拡張が施されている。OTP には NRL( Navel Research Laboratory )開発の OPIE( One Time Password In Everything ) がある。ソフト名は opiekey, donkey である。OPIE の Windows 用には keyapp, wintop がある。

●ハ−ドによる方法

a.チャレンジ／レスポンス方式：

　パスワ−ド管理しているホストにロッグインすると、チャレンジコ−ドを返す。これを携帯認証器に入力すると、ロッグインできるワンタイム・パスワ−ドを表示する。

　製品：米Digital Pathway 社の SecureNet Key。SNK と略して呼ばれる。

米エニグマ・ロジック社の SafeWord。

米CRYPTOCard 社の CRYPTOCard。

b.タイムシンクロナス方式：

　携帯認証器とパスワ−ド管理しているホストの認証サ−バが同期していて、一定時間毎に、異なるパスワ−ドを携帯認証器が表示する。

　製品：米Security Dynamics 社の SecurID カ−ド。 カ−ドの液晶ディスプレイにパ

スワ−ドが表示される。HHA( Handheld Autenticater ) という暗号ロジック

を使用する。住友電工システム販売、サ−バソフトとカ−ド１０枚で８３万円。

■電子メ−ルの暗号化

1. PEM( Privacy-Enhanced Electronic Mail ) 方式。TCP/IP の公式標準。 WIDE プロジ

ェクトが作成した FJPEM がフリ−で利用できる。 最近では Windows 対応のソフトも

１万円ぐらいで出てきている。 FJPEM の場合、ボランティア・ベ−スの認証機関で認

証を受け暗号鍵をもらうことになっている。

2. PGP( Pretty Good Privacy ) 方式。RSA の特許に触れないように作ったらしいが、当

初問題になった。現在では特許問題も片付いたようで、日本でもフリ−の PGP 国際バ

−ジョンが使える。これは商用利用も可能である。 認証機関が必要なく、どうも一番

広まっているようである。それに普通の電子メ−ルとも互換性があるらしい。

3. S/MIME( Security MIME ) 方式。認証機関は必要としない。Netscape Navigator の将

来のバ−ジョン Galileo にサポ−トされる予定になっている。Netscape の 2.0 から

入った Netscape Mail には、画面下に鍵マ−クがついている。 これは SSL で暗号化

できることを意味するが、どう機能するのか、また Galileo との関係は分からない。

■ル−タのデ−タの暗号化

--------------------------------------------------------------------------------

ル−タがデ−タを暗号化する。セキュリティル−タと呼ばれる。同じル−タ同士か、同じ

暗号化処理、認証方式でないとだめである。まだ一般的ではない。

--------------------------------------------------------------------------------

NTT BL-3000 ＮＴＴが開発した暗号アルゴリズム FEAL( Fast data Encipherment

Algorithm ) と RSA(512bit) を併用。公開鍵と秘密鍵の組み合わせ。

セキュリティル−タＳＲシリ−ズ

独自開発の暗号アルゴリズム NSC1( Network Systems Cypher one)。

米ネットワ−クシステムズ社。

デ−タチェック機構 MD5 でデ−タの改ざんを防止。認証の RSA もあり。

The Security Router

DPF 暗号化、デ−タ圧縮機能。（株）ヒュ−コム扱い。

米ＮＳＣ社の先進的ファイアウォ−ルル−ティング機能の

パケットコントロ−ル・ファシリティ（ＰＦＣ）が入っている。

FireWall IRX Router

Livingston Enterprise,Inc. 開発。（株）デァイティ扱い。

NE-Secure Security Router

Soliton Systems K.K.

* ＷＷＷのデ−タの暗号化

SSL Netscape Commerce Server と Netscape Navigator の組み合わせで使

われる。TCP/IP とアプリケ−ションの間に SSL(Secure Socket Layer)

というプロトコルの層を作り、ここで暗号化や認証を行う。両者間では

例えば HTTP は HTTPS というプロトコルを使うことになる。

Secure HTTP 略して SHTTP と呼ばれる。Secure NCSA httpd と NCSA Mosaic の組み

合わせで使われる。 HTTP の上位互換プロトコルでセキュリティ機能が

拡張されている。EIT(Enterprise Integration Technologies) が開発。

■ソフトウェア

* 市販品

FireWall-1 Ver.2.0

プライベ−トアドレスとパブリックアドレスの変換を Ver.2.0 からサポ−ト。 初期

バ−ジョンはパケットフィルタリング型のファイアウォ−ルであったが、アプリケ−

ションゲ−トウェイ機能なども含めて来ている。それに FireWall-1 同士で仮想プラ

イベ−トネットワ−ク、VPN を開設できる。

３０日間有効のエバリュエ−ションキット、マニュアルもありは２万７千円。５０ノ

−ドまで７９万円。ノ−ド数無制限版は２９８万円。SunOS 4.1.3, Solaris 2.3 用。

認証に MD5, Kerberos, SecurID, SSL, SHHTP をサポ−トする。

米 Checkpoint Software Technologies

BorderWare Firewall Server

ＤＮＳ、電子メ−ルなどインタ−ネット接続に必要なソフトとファイアウォ−ル機能

を全てまとめたオ−ル・イン・ワンのソフトである。プライベ−トアドレスとパブリ

ックアドレスを自動変換する機能をもつ。パソコンのハ−ドディスクやイ−サネット

ボ−ドは指定の品でないとインスト−ルもできないことに注意。

２５ノ−ド版７５万円。BSD ベ−スで、DOS/V パソコン用のみ。

CRYPTOCard, MD5, SecurID をサポ−ト。

カナダ Border Network Technologies Inc.

TIS Gauntlet 3.0

TIS Firewall Toolkit の市販品である。Gauntlet 同士で VPN を開設できる。 これ

は swIPe というソフトウェア暗号化方法でデ−タを暗号化する。 暗号化と復号化は

DES で行う。しかしこの機能はアメリカでのみ利用できる。

７０万円という話しもあるし、日立製作所の販売では１３２万円になっている。

BSD ベ−スのソフトは、DOS/V パソコンで使用。他 HP-UX, IRIX, SunOS 用がある。

MD5, Kerberos, SecurID, Secure Net Key, SSL, SHHTP をサポ−ト。

米 Trusted Information Systems (TIS)

この他

Interlock 3.0 米 Advanced Network & Services(ANS) 社：

Cyberguard 2.0 米 Harris Computer Systems 社：

Sidewinder 米 Secure Computing 社：米国国防省、ＣＩＡ、ＮＳＡで採用。

* フリ−ソフト

fwtk

米 Trusted Information Systems 社のフリ−ソフト。TIS Firewall Toolkit が正式

名称であり、略して fwtk と呼ばれている。Gauntlet の基本部分でもある。 telnet,

ftp, rlogin, X, HTTP など各アプリケ−ションごとの Proxy サ−バが用意されてい

る。HTTP Proxy サ−バにはキャッシュ機能はない。 この他、特定のアドレスとポ−

ト間を接続する plug ゲ−トウェイ機能がある。ワンタイム・パスワ−ドも各種サポ

−トする。

Socks

sockd デ−モンが socks 対応の telnet コマンドなどを中継する。/etc/inetd.conf

を書き換えて使う。rfinger,rftp,rtelnet,rwhois がクラインアントで用意されてい

る。最初から専用コマンドを使い、ファイアウォ−ルを意識せずに使えるということ

で、サ−キットレベル・ゲ−トウェイとも呼ばれる Proxy サ−バである。 日本国内

で使う場合は、インタ−ナショナル版の export.socks.xxx を使うこと。

DeleGate

国産汎用多目的 Proxy サ−バ。色々機能があり過ぎて、 作った本人も DeleGate と

は何と説明するのに困っているらしい。漢字コ−ド変換機能もある。デ−タ中継する

する際に、漢字コ−ドも変換してしまうわけである。

HTTP, Gopher,FTP,WAIS,Whois,Telnet,X,NNTP,SMTP, POP,SU-SeeMe に対応している。

Mount 機能で内部のＷＷＷサ−バを公開できる。電総研の佐藤豊氏作成。

CERN httpd Proxy

ヨ−ロッパ素粒子物理研究所が作成した CERN httpd の Proxy 機能部分。 内部ネッ

トにある Mosaic からでも Proxy サ−バ経由で、 インタ−ネットにアクセスできる。

Mosaic の wais,http,gopher,ftp などは、すべて http に変換される。 デ−タのキ

ャッシュ機能もある。Mosaic は Proxy 対応にして使うことになる。

wrapper

tcpd とも tcp_wrapper とも呼ばれている。inetd から起動されるプロセスに対して

アクセス制限する。Proxy 機能はないので、ゲ−トウェイでない単体ホストのセキュ

リティ対策向けである。ゲ−トウェイで使う場合は、CERN httpd Proxy などと組み

合わせて使う。ちなみに wrapper は包むという意味である。

portmapper、sendmail_wrapper

portmapper は RPC 制御をする portmap デ−モン用の wrapper と似たようなソフト

らしい。sendmail_wrapper は sendmail 専用のアクセス制御ソフトらしい。

Freestone

米 SOS Corp. の製品 Brimstone のフリ−ソフト版。

S/Key、SecurID、CryptoCARD をサポ−ト。

SunOS 4.1.3, Solaris 2.x, BSD/OS, IRIX 5.3 で稼働する。

ftp.cs.columbia.edu:/pub/sos/freestone

ftp.soscorp.com:/pub/sos/freestone

http://www.soscorp.com/products/Freestone.html

NcFTP

パケットフィルタリングのファイアウォ−ルを設けた場合、内側から ftp したい場合

は、一方向のコネクションを張る NcFTP コマンドを使う。これの他に FFF( FireWall

Friendly FTP ) というのもあるみたいだ。適当なサイトの /pub/Security/tool/fff

にある。紛らわしいのが wu-ftpd で、anonymous FTP 用のサ−バ・プログラムである。

■参考

　HELPコマンドやMANコマンドばかり実行しているユーザは怪しいです。

• セキュリティ技術
• 『クラッカーお断り』
• 『ハッカー　Hacker』
• 『Linux版　クラッカー迎撃完全ガイド』
• 『UNIXネットワーク』

独自ドメインの取得をするなら 独自ドメインの取得をするなら そろそろ結婚適齢期？？？