Upload
dothuy
View
230
Download
0
Embed Size (px)
Citation preview
HP-UX ネットワークセキュリティWhitepaper
目次はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
要約 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
ネットワーク セキュリティ技術とソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
インターネット プロトコル セキュリティ プロトコル スイート-HP-UX IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
HP-UX IPSecの機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
HP-UX IPFilterによるパケット フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
Secure Sockets Layer-SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
HP-UX Secure Shell(SSH) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
HP-UX Secure Shellの機能と利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
Kerberosによるユーザー認証の強化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
Kerberos Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
Kerberosライブラリ/ユーティリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
プラグイン可能認証モジュール(Pluggable Authentication Modules:PAM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
Secure Internet Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
GSS-API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
LDAPディレクトリを使用した認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
LDAP-UX Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Windowsとの統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
LDAP-UX Client Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
NIS/LDAP Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
パスワード セキュリティに関する考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
アカウント認可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
AAA Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
HP-UX AAA Server(RADIUS)の機能と利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
インターネット サービス製品のセキュリティ機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
ドメイン ネーム サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
ドメイン ネーム システムのセキュリティ拡張機能-DNSSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
TSIGとTKEYによるトランザクション認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
分割 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
2
セキュアな経路指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
次世代経路指定情報プロトコルとRoute Administration Manager(ramD) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
経路指定情報プロトコル(Routing Information Protocol)-RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
Open Shortest Path First経路指定-OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
ボーダー ゲートウェイ プロトコル(Border Gateway Protocol)-BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
インターネット サービス アクセスの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
TCPサービス拒否攻撃の防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
Sendmailのセキュリティ機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
アンチスパム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
サービス拒否 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
その他のセキュリティ拡張機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Sendmailの新機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
WU-FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
暗号化、ネットワーク セキュリティの基礎 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
HP-UX 11iで使用可能な暗号APIと暗号ツール キット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
HP-UX 11i v1およびv2におけるBSAFE RSAバージョン6.0.4の高速化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
HP-UX 11iにおけるNES 4.0性能の向上 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
優れた暗号性能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
付録A:製品情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
HP-UX 11iセキュリティ ソリューションおよび製品 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
HP-UX 11iセキュリティ製品の入手先 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
詳細情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
HP-UXセキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
LDAP-UX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
E-セキュリティ製品 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
規格 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
HP-UX IPFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
HP-UX IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
付録B:用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
3
はじめに
本書では、HP-UX 11i v1(バージョン1)およびv2(バージョン 2)のネットワークセキュリティの特長について説明します。ネットワー
ク セキュリティの技術とソリューションを取り上げ、認証技術と、DNS(ドメイン ネーム サービス)経路指定、sendmail、および暗号
化におけるセキュリティ機能について説明します。また、HP-UX 11iネットワーク セキュリティ製品に関する情報も記載しています。
HP-UX 11iオペレーティング環境のセキュリティ製品については、www.hp.com/jp/developerを参照してください。
要約
HPは、ネットワーク セキュリティ分野における先進企業として高く評価されています1。HP-UX 11i v1およびv2は、「インターネット
分野のセキュリティをリードする」というHPの取り組みを具体化した製品です。この取り組みは、セキュリティを損なうことなくeビ
ジネスの構築を可能にする、業界標準ベースの豊富なディレクトリ対応ネットワークセキュリティ機能で示されています。
HP-UX 11iのネットワークセキュリティ機能および製品の特長は次のとおりです。
ネットワーク セキュリティ製品の統合:HP-UX IPFilterやHP-UX Secure Shell(SSH)などのセキュリティ製品を、BastilleやInstall Time
SecurityなどのOS強化ツールに統合します。
HP-UX IPSec:IPSecプロトコル スイートのHP実装版です。IPv4およびIPv6パケットの認証と暗号化を提供します。HP-UX IPSecは、暗
号鍵を生成・配布するためのインターネット鍵交換(IKE)プロトコル群もサポートします(AES暗号化)。
HP-UX IPFilter:オープン ソースのシステムファイアウォール機能IPFilterのHP実装版です。HP-UX IPFilterには、オープン ソースNAT
機能とHP動的接続割り当て(DCA)に対するサポートも含まれ、スパムを撃退しDoS(サービス拒否)攻撃から保護します。
HP-UX Secure Shell(SSH):オープンソースSSHアプリケーションのHP実装版です。
LDAP-UX Integration:LDAP-UX Client Services、LDAP-UX Administration Tools、NIS/LDAP Gatewayが含まれます。LDAP-UX Integration
は、Netscape Directory ServerなどのLDAPディレクトリ サーバとともに動作して、ネーム サービス データのリポジトリとしてLDAPデ
ィレクトリをHP-UXクライアントシステムで使用できます。
Kerberos製品スイート:Kerberos Serverソフトウェア、Kerberos Clientソフトウェア、GSS-APIライブラリ、PAM Kerberos、およびインタ
ーネットサービスのKerberos対応実装が含まれ、アプリケーションにセキュリティを組み込めます。
HP-UX AAA Server(RADIUS):認証されたネットワーク アクセスに使用されるAAA RADIUSネットワーク サーバ ソフトウェアのHP
実装版です。RADIUSが提供する3つのサービスは、認証(Authentication)、認可(Authorization)、アカウンティング(Accounting)(頭文
字をとってAAA)です。
HP-UX Mobile AAA Server(Diameter):HP-UX Mobile AAA Serverは、Diameter Base ProtocolとDiameter Mobile IPv4 Applicationに
基づいています。これらのプロトコルは、DiameterサーバがAAAサービスをMobile IPエージェントに提供できるようにする、情報交
換用の標準を定義します。
Sendmailバージョン8.11.1:Message Submission Agent(MSA)を使用するスパム制御とLDAPベースの経路指定が含まれます。
BIND 9.2:DNS Security(DNSSEC)と TSIGベースのトランザクション セキュリティ機能が含まれます。
WU-FTP 2.6.1:完全な仮想ホストサポートとftpサービスへの限定アクセスが含まれます。
オープン ソース セキュリティ製品:HP-UX Internet Expressには、よく知られたオープン ソース セキュリティ アプリケーションが備
わっています。
暗号:ソフトウェアおよびハードウェアを用いた暗号アルゴリズムの高性能実装と、複数の暗号ツールキットおよび暗号APIが含ま
れます。
1『1999-2000 Operating System Function Review』D.H. Brown Associates, Inc.発行
4
HPは、ネットワーク セキュリティ分野におけるリーダーとしての地位を維持し、さらに強化することをお約束します。近い将来、HP
は、異機種ネットワークにおける集中認証、管理・構成の簡素化、エンドユーザーとアプリケーション開発者のための高速暗号化、
およびOSの堅牢化などの各分野に注力します。
セキュリティ分野のHP製品では、ユーザーに業界一のセキュリティソリューションを提供するため、優れたパフォーマンス、高可用
性(HA)、HP-UXとWindows® 2000の相互運用性、HP-UXとLinuxの相互運用性、ネットワーク管理など、別の中核技術も活用されて
います。
ネットワークのセキュリティは暗号化に大きく依存していますが、暗号処理には計算が多用されるため、全体的なネットワーク性能
が低下することがあります。しかし、暗号性能が優れていることは、HPのネットワーク セキュリティ ソリューションの重要な条件で
す。HP-UX 11i v1およびv2の特長は、(1)アプリケーション開発者向けの暗号APIおよび暗号ツールキットの選択可、ならびに、(2)
ソフトウェアやプラグイン ハードウェアアクセラレータを用いた最高速の暗号アルゴリズムの実装です。
このようなネットワーク セキュリティ機能を備えるHP-UXサーバおよびワークステーションにより、異機種ネットワークの全体的な
セキュリティが強化され、HP-UXサーバおよびワークステーションをWindows 2000サーバ、Linuxサーバ、他のUNIX®システムなど
各種プラットフォームと相互運用できます。
ネットワークセキュリティ技術とソリューション
インターネットの利用が拡大するにつれて、インターネットを利用してビジネスを拡張する企業が増えています。企業ネットワーク
を拡張することで、企業はインターネットを通じて遠隔地の従業員やビジネス パートナとやり取りできます。インターネットを利用
すると、企業は情報、サービス、商品を世界的規模で交換できます。企業はもはや物理的な境界に制限されることはありません。
代わりに、効率的でセキュアなネットワーク通信が、急成長するビジネス ニーズに対応するために欠かせないものになっています。
ネットワーク セキュリティとは、ネットワークがインターネットであれ企業イントラネットであれ、ネットワークを介してやり取りされ
るデータ項目を保護することです。ネットワーク セキュリティに十分注意を払わないと、ネットワークを介して送信されるIPパケット
が次のような事態に遭遇する危険性があります。
転送中に改ざんされる(仲介者攻撃2, man in the middle attack)
本来の発信元であるかのように別の発信元から届く(なりすまし攻撃)
ネットワークリソースまたはシステムリソースが消費され、リソースを正当なユーザーが利用できなくなる(サービス拒否攻撃)
傍受される(盗聴攻撃)
このような新しい環境では、インターネットは共有のネットワーク インフラストラクチャであるため、誰からでも攻撃を受けやすく
なっています。フィナンシャル・タイムズによれば、米国における攻撃的で破壊的なハッカーは2万人を超え、その数は毎月5%の割
合で増えています。「2003 Computer Crime and Security」3(2003年度 コンピュータ犯罪とセキュリティに関する調査報告書)によ
れば、回答者(主に大企業と政府機関)の85%が過去12ヶ月間にコンピュータ セキュリティ侵害を受けています。調査回答者の
35%(186の組織)が被った経済的損害の合計額は、377,828,700ドルにも及んだと報告されています。
企業は、外部からの脅威だけでなく内部のセキュリティ侵害にもさらされています。FBIによれば、セキュリティ侵害の大部分(80%)
は内部からの攻撃により発生しています。このため、企業はビジネス ネットワーク環境をあらゆる側面で保護するために、強力で
費用対効果の高いセキュリティ機構を必要としています。
図1に示したように、コンピュータシステムの各層で使用可能なネットワークセキュリティ技術が数多くあります。これらの技術は、
認証、機密性、データの完全性保護など、類似した一連のセキュリティサービスを提供します。
2 仲介者攻撃の詳細については、用語集を参照してください。3『2003 CSI/FBI Computer Crime and Security Survey』Computer Security Institute(CSI)、2003年発行
http://www.gocsi.com/forms/fbi/pdf.html
5
以下の項では、HP-UX 11i v1およびv2で使用可能なネットワーク セキュリティ技術であるIPSec(Internet Protocol Security Protocol
Suite:インターネット プロトコル セキュリティプロトコル スイート)、IPFilter(パケット フィルタリング)、SSL(Secure Socket Layer:セ
キュアソケットレイヤ)、SSH(Secure Shell:保護シェル)について説明します。
インターネットプロトコルセキュリティプロトコルスイート-HP-UX IPSec
IETF(インターネット技術特別調査委員会)のIPSec(IPセキュリティ プロトコル)作業部会は、IP層における暗号ベースの認証、完全
性、および機密性の各サービスに関する一連の仕様を定義しています。HP-UX IPSecは、IPSecのHP実装です。HP-UX IPSecは、ユー
ザー アプリケーションに対して透過的なセキュリティを実現します。IPSecはネットワーク スタックの第3層で機能し、ルール ベー
スのポリシー管理を実装します。図1で、他のセキュリティ アプリケーションに比べ、IPSecがネットワーク スタックのどの位置にあ
るかを確認してください。
IPSecは、認証ヘッダ(AH:Authentication Header)、暗号 ペイロード(ESP:Encapsulating Security Payload)、インターネット鍵交換
(IKE:Internet Key Exchange)、インターネット セキュリティ アソシエーションと鍵管理プロトコル(ISAKMP:Internet Security
Association Key Management Protocol)などの相互に関連するプロトコルファミリから構成されています。AHとESPは、IPペイロード
の暗号化と認証の方法を定義します。IKEとISAKMPの役割は、秘密鍵生成の管理、通信当事者の認証、およびそれらのセキュリテ
ィアソシエーション(SA)の管理です。
図2に示したように、IPSec技術を配備すると、公衆インターネットを通じて保護トンネルを提供できます。これらのトンネルにより、
リモート ワークステーションから企業イントラネットへのパケット転送の保護や、高価な専用回線の使用を必要とせず、地理的に分
散された部分をリンクできます。また、トンネルを使用して、ビジネス パートナのコンピューティング設備へのリンクや、モバイル
および無線ノード通信のセキュリティの確保をすることもできます。
これらのいずれの場合でも、IPSec技術により、事実上 VPN(仮想プライベート ネットワーク)、つまりグローバル インターネット内
にプライベート ネットワークが作成されます。VPNが「プライベート」と呼ばれる理由は、外部のユーザーが転送中のデータを見る
ことも変更することもできないからです。また「仮想」と呼ばれる理由は、VPNにより、設備を共有しない専用回線と同じレベルの
プライバシを確保できるからです。
図1:TCP/IPスタックの各レベルにおけるセキュリティ技術
6
電子商取引が急速に成長している中で、ビジネス パートナやパブリック アクセスのために、アプリケーション サーバを「非武装地
帯(DMZ)」、つまり企業ファイアウォールの外側に配置する企業が増えています。これらのサーバは、インターネットからインバウン
ド接続できるため、攻撃を受けやすくなります。また、DMZ内のアプリケーション サーバは、顧客の要求を社内ネットワーク内の
バックエンド サーバに送る必要があります。したがって、このようなサーバを保護するために、堅牢なシステム プラットフォーム、
動的フィルタリング、強力なクライアント認証を適切に配置する必要があります。DMZ内のサーバと社内ネットワーク内のバックエ
ンド サーバ間の通信のセキュリティも確保する必要があります。
HP-UX IPSecは、DMZとバックエンド サーバ間の通信を保護できます。また、HP-UX IPSecは、機密情報(財務、人事、知的財産など
のデータベース)を格納するホストや、重要なネットワーク サービス(経路指定やドメイン ネーム サービスなど)を提供するホスト
の、企業イントラネット内での接続も保護できます。さらに、システムを遠隔管理するスーパーユーザーの接続も保護できます。
HP-UX IPSecのトランスポート モードでは、HP-UX IPSecを実行する別のホスト、または他社のIPSecを実行するホストに対してホスト
間セキュリティを提供できます。HP-UX IPSecのトンネル モードでは、他社のIPSecを実行するゲートウェイへのトンネルを実装でき
ます。
HP-UX 11.0、11i v1、11i v2の各オペレーティングシステムが HP-UX IPSecをサポートしています。HP-UX IPSecは無償であり、ソフト
ウェアデポ(http://software.hp.com)からダウンロードするか、HP-UXアプリケーションCDから入手できます。
HP-UX IPSecの機能
HP-UX IPSecの主な機能と利点は次のとおりです。
高速暗号化:HP-UX IPSecでは、PA-RISCおよびItanium用のDES、トリプルDES、およびAESを、高度にチューニングしたアセンブリ言
語で実装しています。これにより、専用ハードウェアを使用しなくてもシステム パフォーマンスが大幅に向上します。
管理性:HP-UX IPSecには、アプリケーション レベルでのルール ベース ポリシーの構成を容易にするGUI(グラフィカル ユーザー
インタフェース)が装備されています。これらのポリシーでは、IPSecが監視・実行するアクセス制御とセキュリティの強度を定義し
ます。セキュリティ管理者はIPSecのレポート機能と診断機能を利用して情報を調べ、トランスポート ツールを使用してIPSecコンポ
ーネントに障害が発生しているかどうか判断できます。また、例外イベントの監査記録が監査ログに保存されます。さらに、インタ
ーネット鍵交換(IKE)により、動的でスケーラブルな鍵の生成と管理が可能になります。システム間で構成ファイルを移植できるた
め、複数のHP-UXシステム上で構成を簡単に複製できます。
図2:安全なネットワーク環境
7
柔軟な認証機能:HP-UX IPSecは、VeriSignやBaltimoreのPKIに加え、事前共有鍵もサポートします。HP-UX IPSecには使いやすいGUI
が装備されており、証明書の要求と構成を簡単に行うことができます。
相互運用性:HP-UX IPSecは、Microsoft®、Cisco、Linuxなど25を超える他社IPSec実装と相互運用が可能です。
IPv6サポート:HP-UX IPSecをIPv6トラフィックの保護に使用できます。
MC/Service Guardフェイルオーバーのサポート
モバイル IPv6(MIPv6)のサポート:HP-UX IPSecは、2004年中に提供予定のMIPv6トラフィックを保護できます。
HP-UX IPFilterによるパケットフィルタリング
1つ以上のファイアウォールにより、企業のイントラネットを侵入攻撃やサービス拒否攻撃から保護する必要があります。そのため
の各種製品をHP-UXで利用できます。
しかし、外部または内部からの攻撃に対して各ホストを特別に保護しなければならないこともあります。これは、インターネットか
ら直接アクセスできる要塞ホストやDMZ内のホストについて当てはまります。また、企業イントラネット内の機密情報(財務、人事、
知的財産など)を格納するホストや、重要なネットワーク サービス(経路指定やドメイン ネーム サービスなど)を提供するホストに
ついても、このような保護が必要です。
イントラネット内のホストを保護する効率的で効果的な方法は、システム ファイアウォール(ホスト ベースのファイアウォールとも
呼ばれます)を使用することです。システム ファイアウォールとは、ホストのTCP/IPスタックに組み込まれたパケットフィルタリング
機構であり、重要なサーバまたは個々のホストを保護するように特別に構成されたフィルタリング機能を備えています。
あるネットワーク インタフェースを通じて受け取った受信パケットを破棄し、あて先アドレスが同じホストの異なるインタフェース
であるパケットを受信するように、複数のアドレスを持つ(マルチホーム)HP-UXシステムを構成できます。また、その複数のアドレス
を持つ(マルチホーム)HP-UXシステムでHP-UX IPFilterを使用すると、パケットの発信元アドレスが送信に使用しているインタフェー
スの発信元アドレスと異なる場合に、パケットの送信を遮断することもできます。このパケット フィルタリング機能は、IETFのRFC
1122で規定されているStrong End-System(ES)機能に該当します。
HP-UX IPFilterは、一般的なパブリックドメインのステートフル インスペクション ファイアウォールIPFilterに基づいています。HP-UXホ
スト上のシステム ファイアウォールとして使用する場合、HP-UX IPFilterは無償で提供されます。HP-UX IPFilterは、ソフトウェア デポ
(http://software.hp.com)からダウンロードできます。またHP-UX IPFilterは、HP-UX 11i v1およびv2オペレーティング環境(OE)ソフ
トウェア パッケージと、HP-UX 11.0、11i v1、11i v2のアプリケーション CDに同梱されています。HP-UX IPFilterの主な特長は次の
とおりです。
柔軟な構成オプション:インターネットサービスの限定的構成に代案を提供します。
ホストを経由するIPトラフィックに対する管理者指定制御:IPFilterは、次の条件に基づいて、ホストを経由するパケットを明示的に許
可または拒否します。
・ IPアドレス(またはIPアドレス範囲)
・ IPプロトコル(IP/TCP/UDP)
・ IPフラグメント
・ IPオプション
・ IPセキュリティクラス
・TCPポートおよびポート範囲
・UDPポートおよびポート範囲
・ ICMPメッセージ タイプおよびコード
・TCPフラグの組み合わせ
・インタフェース
8
動的接続割り当て:いずれか1つのIPアドレスまたはサブネットからのIPFilterシステムへの接続数を制御します。スパムの遮断に利
用できます。
遮断されたパケットへの応答メッセージの返信:遮断されたパケットに対してICMPエラー/TCPリセットを返信します。
状態情報維持機能:TCP、UDP、およびICMPに対するパケット状態情報を維持します。
IPフラグメント制御:同じルールをすべてのフラグメントに適用し、フラグメント化されたIPパケットのフラグメント状態情報を維持
します。ルールで指定されている場合は、フラグメント化されたすべてのトラフィックを維持しません。
ネットワークアドレス変換(NAT)サポート:HP-UX IPFilterは、パブリックドメインIPFilterのNAT機能をサポートします。
ロギングと解析:要求された場合に広範なログを作成し、統計情報と広範なログを作成するための情報を収集し、ルールで指定
されている場合はパケットをフォレンジック(forensic)分析に送ります。
Secure Sockets Layer -SSL
SSL(Secure Sockets Layer:セキュアソケットレイヤ)やTLS(Transport Layer Security:トランスポート層セキュリティ、インターネット技
術特別調査委員会(IETF)が標準化した、SSL と同等なもの)は、Webブラウザとサーバ間の接続を保護します。一般にSSLは、イン
ターネットを介したWebベースの取引におけるクレジット カード番号などの機密情報を保護するために使用されます。SSLにより
保護されたHTTP接続では、URLでHTTPSプロトコル識別子が使用されています。
SSLでは、認証と暗号化を使用してアプリケーション レベルでセキュリティを実現します。SSLを使用したアプリケーションは、ユー
ザー レベルまたはサービス レベルのセキュリティプロトコル(IPSecなど)により提供される安全な転送に頼らなくても、独自のセ
キュリティを確保できます。HTTPSは、SSLで保護されたアプリケーションの代表的な例です。ただし、その他の各種アプリケーショ
ンでもSSLを使用して独自のセキュリティを確保できます。
通常SSLはRSAを使用してサーバを認証しますが、クライアントを認証することもあります。トラフィックの暗号化/復号化にはRC4、
DES、またはトリプルDESが、データの発信元と完全性の検証にはHMAC-MD5またはHMAC-SHA1が使用されます。
HP-UX Secure Shell(SSH)
オープンソースSSHテクノロジを採用したHP-UX Secure Shellは、リモートUNIX端末セッションのセキュリティを確保するために広く
使用されており、ネットワークインフラストラクチャに欠かせないものとして評価が高まっています。
HP-UX Secure Shellはネットワーク ユーティリティ(rlogin、rsh、rcpなど)に代わってセキュリティを実現し、安全なftpを可能にします。
HP-UX Secure Shellは各種の暗号化方法をサポートしており、データの完全性には暗号ハッシングを使用し、安全で高速なデータ暗
号化を実現するために公開/秘密鍵の両暗号化を組み合わせて使用します。SSH実装の基本アーキテクチャを図3に示しています。
図3:HP-UX Secure Shell製品の配置
HP-UX Secure Shellは、OpenSSH Secure Shell v. 3.61.001をもとに十分な検査を行い、HPがサポートする製品です。HPは、HP-UX
サポート契約を結ばれているお客様に対して無償でHP-UX Secure Shellのサポートを提供しています。HP-UX Secure ShellはHP-UX
11i v1およびv2オペレーティング環境(OE)に同梱されており、ソフトウェア デポ(http://software.hp.com/)からダウンロードする
こともできます。
9
HP-UX Secure Shellの機能と利点
HP-UX Secure Shellの主な利点は次のとおりです。
特権分離:インターネットに接続されているシステムは攻撃を受けやすくなっています。プログラムに欠陥があると、攻撃者がシス
テムを攻撃し、特殊な特権を入手できます。特権分離によりプロセスを分離すると、このような攻撃が困難になります。
シャドウ パスワードのサポート:シャドウ パスワード機能は、ルート ユーザーだけが読み取ることができるファイルにハッシュされ
たパスワードを保存することで、パスワードの脆弱性という問題に対処します。悪意のあるユーザーが/etc/passwordファイルから
パスワードを入手してシステムを攻撃することを防止します。
強力な乱数生成のサポート:安全で複製不可能な真の乱数生成源です。
ポート転送/トンネリング機能:telnetやIMAPなどのTCPベースのサービスをSSHトンネルにカプセル化できます。パスワードだけで
なく、送信中のデータがすべて自動的に暗号化されます。"AllowTCPForwarding"を"yes"に設定すると、クライアントはリモート サイ
トで、すべてのポートのトラフィックをすべて転送できます。
X11トラフィックトンネリング:Xプロトコルトラフィックは、プレーンテキストでは搬送されません。
透過的な暗号化/復号化:ネットワークトラフィックの盗聴を防止します。
SSH-1とSSH-2のサポート:HP-UX Secure Shellは、両方のIETFプロトコルをサポートします。ただし、挿入攻撃を防止するために、よ
り安全なSSH-2プロトコルの使用を推奨します。
TCP、IPv6、Kerberos 4および5のサポート:異なるネットワーク環境でも、ユーザーはHP-UX Secure Shellを簡単にセットアップでき
ます。TCP WrapperをHP-UX Secure Shellとともに使用すると、サーバがインタフェース上で「リスンする」トラフィックをさらに限定
できます。
各種認証のサポート:HP-UX Secure Shellは、パスワード、公開鍵、Kerberos、およびホスト型の各種認証方式をサポートします。ロー
カル ユーザーに対してはパスワード型認証を、リモートユーザーに対しては公開鍵型認証をそれぞれ使用することを推奨します。
HP-UX Secure Shellがパスワードを暗号化するため、パスワード型認証によりパスワード スニフィング(盗聴)攻撃と辞書攻撃を防止
できます。公開鍵認証では、すべてのサーバ上の公開鍵と、クライアント上に残ってパスフレーズで保護される秘密鍵をHP-UX
Secure Shellが維持します。この2段階管理(公開鍵とパスフレーズ)では、パスワード型認証よりも高いセキュリティが保証されま
す。
鍵の手動生成:HP-UX Secure Shellには、鍵ペアを手動で作成するための鍵生成ツールssh-keygenが備わっています。すべて手動
で行う認証PKIでは、鍵回復サポート問題を低減するために、鍵の転送や保護を慎重にする必要があります。
Kerberosによるユーザー認証の強化
Kerberosプロトコルは、ネットワーク上でパスワードをプレーン テキストとは別の形式で送信してユーザー パスワードを検証する
ため、企業全体のユーザー認証が強化されます。鍵配布センター(Key Distribution Center:KDC)と呼ばれる中央のKerberosサーバ
がユーザーのパスワードを検証します。
HP Kerberos製品には次のものが含まれます。
HP-UX Kerberosサーバソフトウェア
Kerberos v5クライアントソフトウェア、PAM Kerberos、およびユーティリティのHP実装
プログラム可能なセキュリティAPI、GSS-API
Kerberosクライアントライブラリ
ftp、rcp、rlogin、telnet、remshなどの、Kerberosで保護されたインターネットサービスのサポート
HP-UXは、アプリケーション クライアントとサーバ間の鍵交換も保護します。GSS-APIを使用すると、アプリケーション プログラム
でこの機能を利用できます。
10
HP-UXログインでは、MIT Kerberosサーバ、Microsoft Windows 2000ドメイン コントローラ、HP-UX Kerberosサーバなど、任意の
Kerberos v5鍵配布センターを使用できます。これにより、他のUNIXホストやWindows 2000ワークステーションを含む異機種イン
トラネット内でも、共通の認証機能を利用できるようになります。さらに、KerberosのHP-UX実装はパスワード変更プロトコルをサポ
ートしているため、パスワード変更が自動的に伝播されます。これらの2つの機能により、異機種環境でのユーザー管理の複雑さ
を著しく軽減できます。
IETFのRFC(Requests for Comment:コメント要求)1510で規定されているように、ユーザーとKDC間で交換される情報はすべて、56
ビットDESアルゴリズムを使用して暗号化されます。HPのKerberos Server 3.0では、DESか3DESを選択できます。デフォルトはDES
です。
図4はKerberosプロトコルを示しています。KDC(鍵配布センター)は、AS(Authentication Server:認証サーバ)とTGS(Ticket Granting
Server:チケット認可サーバ)という2つのコンポーネントから構成されます。アプリケーション クライアントは、ユーザーに代わって
ログインします。アプリケーション サーバは1つのプログラムで、ユーザーまたはサービスのいずれかになります。
図4:Kerberosプロトコル
Kerberosは、一意の共有秘密鍵とチケットと呼ばれるトークンを、ネットワークにログオンする各クライアントに割り当てることによ
り機能します。メッセージの送信者を識別するために、チケットがメッセージに埋め込まれます。
KDCがクライアントのTGT(チケット認可チケット)を作成し、KDC鍵を使用してTGTを暗号化します。次に、暗号化されたTGTをクラ
イアントに返送します。クライアントは、そのTGTを使用してサービス チケットをさらに取得します。このサービス チケットで、クラ
イアントの本人確認が行われます。
Kerberos Server
HP-UX Kerberos Serverバージョン3.0は、HP-UX 11iオペレーティング環境(OE)のサポート契約に基づいて、独立したソフトウェア
ユニットとしてHP-UX 11i v1上で完全にサポートされます。Kerberos ServerはOEで動作することが十分に検査されており、互換性
が保証されています。HP-UX 11i Kerberos Serverソフトウェアは、ソフトウェアデポ(http://software.hp.com)から無償ダウンロード
できます。また、HP-UXアプリケーションCDにも同梱されています。Kerberos Server 3.0はHP-UX 11i v2上でもサポートされます。
HP-UX 11i v2 用 Kerberos Server 3.0は、ソフトウェアデポ(http://software.hp.com)からダウンロードできます。
11
Kerberos Serverの主な特長は次のとおりです。
柔軟性が強化されたパスワード:パスワード ポリシーは、本人(principal:プリンシパル)が所属しているインスタンス名ではなく、
本人が加入しているポリシーに基づいています。これにより柔軟性が向上し、本人が/opt/krb5/password.policyファイル内のどの
ポリシーにも加入できるようになりました。
強力なセキュリティ:パスワードがネットワーク上で搬送されることがありません。秘密鍵は、暗号化された形式でのみネットワー
クを通過します。このため、安全でないネットワーク上での会話に対して悪意のあるスヌーピングやロギングが行われても、ネット
ワーク会話の内容から十分な情報を推測できないため、認証されたユーザーまたはターゲット サービスになりすますことはでき
ません。
認証されたユーザーのみ企業ホストにアクセス可能:企業リソースへの高速シングル ログオンを備えた、業界標準の強固な認証
を実現します。
相互認証:ネットワーク接続の両端の当事者が、他方の当事者が本当の当事者であるかどうかを知ることができます。クライアント
システムとサーバ システムが、プロセスの各ステップで相互に認証し合います。このため、クライアント システムとサーバ システ
ムの双方が、本物の相手と通信していることを確認できます。
シングル サイン オン機能:アプリケーションに個別にサイン オンするのではなく、一度サイン オンするだけで、複数のアプリケー
ションに1つのパスワードでアクセスできるようにすると、時間を節約しネットワーク セキュリティのリスクを低減できます。ユーザ
ーがネットワークにサイン オンすると、サーバがパスワードを認可チケットに変換します。次に、この認可チケットによりサービス
チケットが作成され、サービス チケットによりユーザーが認証され、Kerberos対応のアプリケーションとサービスすべてにアクセス
できるようになります。このように、シングル サイン オンにより、ユーザーは複数のアプリケーションとサービス(ネットワーク上の
どこにあっても)に自動的にアクセスできます。
MITとW2KのKDCによる相互レルム認証のサポート:標準的な認証の他に、Kerberos Serverはcross-realm認証をサポートし、MIT
Kerberos 5リリース1.2.2仕様のKDC(鍵配布センター)としても機能します。このため、1つのプラットフォーム(Windows 2000な
ど)を通じて証明書を取得したクライアントは、HP-UX Kerberosサーバに対して認証されます。HP-UX Kerberosサーバは、HP-UXアプ
リケーションおよびサービスに対する証明書を作成します。これらはすべてシングル サイン オンで行われます。
パスワードの同期:ある環境でパスワードを変更すると、すべての環境でそのパスワードが変更されます。これにより、パスワード
の管理が容易になります。
マスタ/スレーブ複製:別のKDCへの動的データ伝播により、高可用性のための冗長なKDCや、ロードバランスによる高い性能が
もたらされます。
複数レルムのサポート:管理が容易になります。
二重鍵暗号化方式:Kerberosモデルで採用された方法で、特定のクライアント システムとサービス間で共有される秘密を構成す
るサービス セッション鍵が生成されます。この共有される秘密は、クライアントとターゲット サービス間のメッセージを暗号化す
る鍵として使用され、Kerberos対応トランザクションのセキュリティをさらに強化します。
LDAP-UX Integration:KerberosサービスとLDAP-UXサービスを統合します。この機能はソフトウェアデポからダウンロード可能です。
Kerberosライブラリ/ユーティリティ
HP-UX 11iには、MITリファレンス実装と互換性があるKerberosユーティリティとKerberosクライアント ライブラリが備わっています。
HP-UX 11iオペレーティング環境の一部として配布されるKerberosユーティリティには、次のツールが含まれています。
kinit:TGT(チケット認可チケット)とログイン セッション鍵を取得して、キャッシュする。
klist:証明書キャッシュ内のチケットおよび関連するセッション鍵を一覧表示する。
kdestroy:本人(プリンシパル)のログインコンテキストおよび関連する証明書を削除する。
kpasswd:KDCにより格納されたユーザー パスワードと対応する長期間鍵を管理する。
ktutil:keytabファイルを保守する。
kvno:リビジョン番号を返す。
Kerberosクライアント ライブラリはHP-UX 11iオペレーティング環境の一部でもあり、32ビットまたは64ビットのどちらのモードで
もリンクできます。
12
プラグイン可能認証モジュール(Pluggable Authentication Modules:PAM)
HP-UXは、オープン グループのRFC 86で規定されているPAM(プラグイン可能認証モジュール)アーキテクチャの一部として、
Kerberos認証を提供します。PAMにより、構成ファイルは使用する認証モジュールを決定します。PAMではセキュリティ強度レベル
が異なる各種認証機構が組み合わされており、システムを再起動せずにPAMを簡単に構成できます。
図5に示したように、PAMを使用するHP-UXアプリケーション サービスはtelnet、login、remsh、ftp、rexec、rlogin、dtlogin、rcpです。
PAM Kerberosは、UNIXサーバまたはMicrosoft Windows 2000サーバ上で実行されるKDCと相互運用されます。PAM NTLMは、
NT LanManagerプロトコルを使用して、Microsoft® Windows NT® 4.0ドメインコントローラに対してHP-UXユーザーを認証します。
図5:HP-UX認証とPAM
Secure Internet Services
Kerberos認証の特別なケースとして、PAM Kerberosがローカル ホストに対してユーザーを認証することがあります。通常は、リモ
ート ホスト上で実行されるアプリケーションに対するユーザーの認証を可能にします。このような一般的なKerberos認証機能を利
用するように変更されたアプリケーションは、「Kerberos対応」アプリケーションと呼ばれます。
HP-UX 11i v1/v2には、ftp、rcp、rlogin、telnet、remshユーティリティなど、Kerberos対応の安全なインターネット サービスが含ま
れています。安全なインターネット サービスが使用可能な場合、認証のためにこれらのコマンドすべてでKerberosを使用します。
安全なインターネット サービスにより、パスワードが入力したままの文字でネットワーク上に送信されることはありません。このた
め、データの改ざんや盗聴といった重大な攻撃を受けることがなくなります。ただし、これらのサービスでは、初回の認証後に安全
な接続を確立しません。したがって、積極的な攻撃者によって接続確立後に接続を乗っ取られる可能性もあります。HP-UX IPSecを
使用すると、安全な接続を確立できます。
Kerberos対応アプリケーションの具体的な例として、telnetについて検討してみましょう。Kerberos対応telnetを使用してリモート ホ
ストにアクセスする場合、パスワードの入力は求められません。ローカル ホストはパスワードの代わりに、ユーザーがローカル ホ
ストに初めてログインした際にKDCから取得した証明書(ログイン セッション鍵とTGT)を使用して、リモート ホストに関する証明書
(セッション鍵とサービスチケット)を取得します。ローカル ホストはセッション鍵を使用して認証子を作成し、その認証子とサービ
スチケットをリモートホストに送信します。リモートホスト上のKerberos対応telnetサーバは、サービスチケットを復号化し認証子
を検証することで、ユーザーの本人確認を行います。パスワードは使用されません。
telnetがKerberos対応でない場合、リモート ホスト上のtelnetサーバは、ユーザーにパスワードの入力を求めるログイン プロセス
を作成します。このパスワードは、ネットワーク経由でリモート ホストに送信されます。リモート ホストのログイン プロセスで、こ
のパスワードを使用してユーザーを認証します。
13
アプリケーション開発者は、KerberosライブラリまたはKerberos機構を備えるGSS-API(次項を参照)を使用して、Kerberos対応アプ
リケーションを実装できます。
積極的な攻撃が懸念される場合、アプリケーションは、アプリケーション クライアントとサーバ間でKerberosにより確立された共
有の秘密を使用して、安全な接続を確立できます。GSS-APIを利用すると、これを簡単に行うことができます。別の方法として、クラ
イアントとサーバ間にIPSecセキュリティ接続を確立すると、接続乗っ取りなどの積極的な攻撃を阻止することもできます。
GSS-API
IETFのRFC 2743で規定されているGSS-API(Generic Security Services Application Program Interface)は、各種の基盤となる通信プ
ロトコルとは別に、クライアント/サーバ アプリケーションにセキュリティ サービスを提供します。このサービスには、データの認
証、完全性、および機密性が含まれます。システム管理者は、アプリケーションで使用する保護品質を構成できます。その際、アプ
リケーションレベルでの変更は不要です。
IETFの共通認証技術に関する作業部会が、GSS-APIにより透過的にアプリケーションに提供されるセキュリティ サービスを実装す
るための暗号化機構をいくつか定義しています。GSS-API機構としてのKerberosの使用法が、IETFのRFC 1964で規定されています。
GSS-APIは、ピア間で確立されたセキュリティ コンテキストを使用して、2つのピア間での安全な通信を実現します。コンテキスト
は、トークン交換により確立されます。Kerberosを暗号化機構の基盤として使用する場合、サービス チケットと認証子を含むトーク
ンを、クライアントがアプリケーション サーバに送信します。相互認証が必要な場合、アプリケーション サーバの認証子を含むト
ークンを、アプリケーション サーバがクライアントに送信します。2つのホスト上のGSS-APIライブラリの役割はトークンの作成と処
理ですが、アプリケーションの役割はクライアントとサーバ間でのトークンの転送です。
HP-UX 11iオペレーティング環境の一部としてGSS-APIライブラリ(Kerberos機構を含む)が提供されています。これらのライブラリは、
32ビットまたは64ビットのアプリケーションとリンクできます。
LDAPディレクトリを使用した認証
企業が発展しコンピューティング リソースの需要が高まるにつれて、コンピューティング システムの管理費用も増加します。高度
な分散環境では、局所的なセキュリティの実施や管理の方法に一貫性がなく、冗長であり、監査することも困難です。このような問
題に対処するためのNIS(Network Information Service:ネットワーク情報サービス4)などのツールもありますが、NISは大規模環境
向けです。企業のIT設計者は、上記の業務の多くを統合するための有用なツールとしてLDAP(Lightweight Directory Access
Protocol:軽量ディレクトリアクセスプロトコル)ディレクトリを評価しています。
LDAPディレクトリは、企業で様々な役割を果たすことができます。代表的な用途は、従業員/顧客データの保守です。たとえば、電
子メール アプリケーション用のアドレス データベースを提供するために、多数のLDAPディレクトリが使用されています。また、
LDAPディレクトリを拡張して、企業アプリケーションの共通構成プロファイル情報を格納することもできます。さらに、LDAPディレク
トリを利用すると、アプリケーション、ネットワーク、および従業員データの集中管理と委託管理の両方を実現することもできます。
LDAPとHP-UXの統合を容易にするために、HPはイントラネット用の無償ソフトウェア バンドルとしてNetscape LDAP Directory Server
を提供しています。Netscape LDAP Directory Serverは11i v1リリースのアプリケーションCDに同梱されています。また、ソフトウェ
アデポ(http://software.hp.com)からダウンロードすることもできます。(HP-UX 11i v2用は2004年4月予定)
また、HPはHP-UX自体にLDAPのサポートを追加しました。これは、HP-UX上でLDAPサーバを認証サービスとネーム サービスの両方
として使用する、統合に向けての第一歩です。LDAPをこのように使用することで、NIS型のアーキテクチャに代わるスケーラブルで
強力なアーキテクチャが可能になります。
4 NIS(Network Information Service:ネットワーク情報サービス)とPAM(Plugin Authentication Module:プラグイン可能認証モジュール)は、SUNMicrosystems社が開発したONC+TMサブシステムのコンポーネントです。
14
必要に応じてメタ ディレクトリとともにLDAPディレクトリを使用すると、スケーラビリティが確保されるだけでなく、各種アプリケー
ションを確実に統合できます。たとえば、HP-UXのアカウント情報と人事管理(HR)データベースを統合し、データと管理を連結で
きます。このため、HRデータベース内の名前を変更することで、HP-UXアカウントのfinger情報を変更できます。
HP-UX 11i v1、v2で利用可能なLDAPソリューションについては、以降の項で説明します。
LDAP-UXIntegration
LDAP-UX Client Services
NIS/LDAP Gateway
パスワード セキュリティに関する考慮事項
アカウント認可
LDAP-UX Integration
HPでは、HP-UXとLDAPディレクトリの統合を容易にする2つの製品を用意しています。LDAP-UX Client ServicesとNIS/LDAP Gateway
です。
RFC 23075で定義されているNISスキーマ、またはMicrosoftのServices for UNIXスキーマ6など類似の構文スキーマを使用して、HP-
UXアカウント、グループ、およびその他のデータをLDAPディレクトリに格納できます。デフォルトでは、LDAP-UX Integration製品はRFC
2307スキーマを使用してLDAPディレクトリ内のエントリを参照します。
Windowsとの統合
LDAP-UX Integrationの設計は柔軟であり、Microsoft互換の構成プロファイルが含まれています。LDAP-UX製品は、Windows 2000
Active Director Server(ADS)とともに動作することが確認されています。また、Microsoft Services for UNIXスキーマ バージョン2.0
および3.0もサポートしています。
LDAP-UXをPAM Kerberosと組み合わせると、HP-UXシステムをWindows 2000環境に統合できます。さらに、LDAP-UXを使用すると、
HP-UXおよびWindowsのグループ共有を簡単に管理できます。LDAP-UXは、X.500"member"および"uniquemember"構文を認識でき
ます。このため、Posixユーザー(memberUid)とWindowsユーザー(member)の2つリストを保守する必要はありません。
LDAP-UXは、フォレスト内の任意のドメインからHP-UXシステムにログインする機能もサポートしています。
LDAP-UX Client Services
LDAP-UX Client Services製品には、LDAPベースのPAM(プラグイン可能認証モジュール)とNSS(Name Service Switch:ネーム サー
ビス スイッチ)モジュールの両方が提供されています。これらのモジュールは、HP-UXアプリケーションとLDAPディレクトリとのシー
ムレスな統合を可能にします。
アカウント情報を取得する必要がある場合、アプリケーションはgetpwnam( )やgetpwuid( )などのネーム サービスAPIの1つを
呼び出します。これらのルーチンは、NSSサブシステムのフロントエンドの一部です。NSSサブシステムは次に、/etc/nsswitch.conf
構成ファイルを使用して、要求を処理するバックエンド モジュールを決定します。nss_ldapモジュールが選択された場合、要求は
LDAP検索操作に変換され、その結果は呼び出し側に戻されます。
5 Howard著『An Approach for Using LDAP as a Network Information Service』RFC 2307、ftp://ftp.isi.edu/in-notes/rfc2307.txt6 Microsoft、Services for Unix、http://www.microsoft.com/catalog/display.asp?site=11269&subid=22&pg=1
15
loginやユーザー認証ftpデーモンなどのアプリケーションは、PAMを使用します。図6に示したように、PAMフロントエンド モジュ
ールは/etc/pam.confファイルを使用して、認証要求を処理するバックエンド モジュールを決定します。pam_ldapモジュールが選
択された場合、認証要求はLDAPバインド操作に変換されます(pam_ldapは最初、ldap_simple_bindのみ使用します)。
認証要求の他に、pam_ldapサブシステムはパスワード変更とパスワード ポリシー通知(パスワードの有効期限が切れた場合など)
もサポートしています。PAMサブシステムの利点は、LDAPサーバがサポートするあらゆる変換を、格納前のパスワードに適用でき
ることです。従来からUNIXシステムではUNIX暗号変換が利用されていますが、別の変換の方が暴力的な攻撃や辞書攻撃に強い
場合があります。
NIS/LDAP Gateway
NIS/LDAP Gatewayは、クライアントからのNIS要求をLDAP照会に変換します。次に、検索結果を変換し、クライアントに応答を返
します。NISは、NSSサブシステムの別モジュールです。このモジュールに割り当てられるアカウント、グループ、またはその他のデ
ータについてのNSS要求がNIS RPC要求に変換され、NIS/LDAP Gateway(YPLDAPとも呼ばれます)により処理されます。ypldapd
デーモンがNIS RPCを類似したLDAP検索操作に変換した後、その検索結果をNIS RPC応答に変換し直します。
現在では、NISを使用する環境にNIS/LDAP Gatewayを簡単に配置できます。このような環境では、既存のNISサーバをNIS/LDAP
Gatewayに置き換えることができます(図7参照)。LDAPサーバはNISマスタ サーバの役割を果たし、YPLDAPサーバはNISスレーブ
サーバに取って代わります。
図6:LDAPとPAMおよびNSSの統合
16
パスワードセキュリティに関する考慮事項
LDAP-UX Client ServicesとNIS/LDAP Gatewayには、それぞれに固有のセキュリティ上の利点と制限があります。LDAP-UX Client
Servicesでは、LDAPサーバがサポートするあらゆる形式で、パスワードをディレクトリに格納できます。これらの形式の中には、暗号
よりも強力なものがあります。現在、LDAP-UXはシンプルなパスワード認証とSASL Digest-MD5の両方をサポートしています。SSLは、
ディレクトリサーバとの通信を保護するためにサポートされています。
一方、NIS/LDAP GatewayはUNIX暗号変換を使用します。パスワードは、暗号形式でディレクトリに格納されます。ユーザーがログ
インすると、ゲートウェイがディレクトリからパスワードの暗号変換を取得し、NISクライアントに送信します。NISクライアントで、こ
の暗号変換が、ユーザーが入力したパスワードの暗号変換と比較されます。この場合、パスワードがプレーン テキストのままでネ
ットワーク上で送信されることはありません。
ただし、ネットワーク上で詮索された場合、パスワードの暗号変換は、パスワード解読プログラムにより実行される辞書攻撃や暴
力的な攻撃を受けやすくなります。この種のプログラムは簡単に入手でき、安易に選ばれたパスワードに対して強い威力を発揮し
ます。したがって、ディレクトリとゲートウェイの間、および、ゲートウェイとクライアントの間の基盤となる通信チャネルをHP-UX
IPSecまたはSSLで保護する必要があります。
LDAP-UX Integration製品については、別のホワイトペーパーで詳しく説明されています(『Preparing your LDAP Directory for HP-UX
Integration』や『Installing and Administering LDAP-UX Client Services』など)。その他のLDAP-UXドキュメントについては、本書の末尾を
参照してください。
アカウント認可
2001年12月、HPはlibpam_authzをリリースしました。この新しいPAMライブラリは、他のPAMライブラリによる認証と協調して、
ログイン認可を提供します。libpam_authzは、/etc/passwdでのNIS netgroupフィルタリングと同様に、netgroupメンバーシップに
基づいてログインの許可または拒否を決めます。
認証に他のPAMライブラリ(libpam_krbやlibpam_ldapなど)を使用する場合、libpam_unixで使用するNIS netgroupフィルタリン
グ構文が失われることがあります。libpam_authzが必須モジュールとして/etc/pam.confファイルのloginセクションに追加される
場合、この機能は復元されます。NIS netgroupフィルタリングの詳細については、passwd(4)マン ページを参照してください。
libpam_authzの詳細については、pam_authz(5)マン ページを参照してください。
図7:既存のNISサーバに取って代わるYPLDAP
17
図8:ネットワークアクセスポイントでの認証とアカウンティングに使用するHP-UX AAA Server
AAA Server
HP-UX AAA Serverは、HP-UXプラットフォーム用のAAA(Authentication:認証、Authorization:認可、Accounting:アカウンティング)サ
ーバ ソフトウェアです。一般に、この製品をRADIUS7サーバと呼びます。HP-UX AAA Serverのプライマリ クライアントは、ユーザー
デバイス/コンピュータのネットワークへの接続を許可する前に、エンドユーザーを認証する必要があるネットワーク アクセス デ
バイス(VPNゲートウェイ、無線LANアクセス ポイント、LANスイッチ、ダイヤルイン ユーザーを接続するネットワーク アクセス サー
バ)です。HP-UX AAA Serverは、請求、監査、および使用量記録の各アプリケーションで利用できる使用状況情報も収集します。
RADIUSは本来、ISP環境用に作成されたものです。しかし現在では、VPNと無線LANのセキュリティを向上するために企業環境に展
開され、データサービスに対するAAAサポートのために電気通信環境に展開されています。
最近では、無線LAN(WLAN)のセキュリティについて多くのことが公開され詳しく調査されています。無線環境では、デバイス(一
般的なユーザー デバイスはラップトップ、PDA、携帯電話)にネットワーク アクセスを提供する前に、エンドユーザーを認証するた
めにAAA(またはRADIUS)Serverを使用します。AAA Serverは、各ユーザーに関する情報も提供(つまり「認可」)します。たとえば、
ユーザーが使用を認可されているサービスや、ユーザーのアクセスが制限される時間を提供します。さらに、AAA Serverは請求や
監査のための使用状況情報(ユーザーの活動)も収集します。
HP-UX AAA Serverは、ProCurve Access Point および Switche、Evo Notebook、Internet Usage Managerなど、他のHP-UX無線製品とと
もに使用できます。HP-UX AAA Serverを使用してWLANのセキュリティを向上する方法については、ホワイト ペーパー『Wireless
LAN Design and Deployment wi th HP-UX AAA RADIUS Serve r』と次のサイトのドキュメントを参照してください。
http://docs.hp.com/hpux/internet/index.html.
7 RADIUS(Remote Authentication Dial-In User Service)は、ネットワーク接続でのユーザーIDとパスワードを確認する認証サービスを提供します。「リモート」と「ダイヤルイン」という言葉が含まれてますが、RADIUSは、無線LANアクセスポイント、物理LANスイッチ、ファイアウォール、VPN、インターネットなどあらゆる種類のネットワークアクセス接続で動作します。
18
HP-UX AAA ServerはHP-UXオペレーティングシステムの機能の一部であり、http://software.hp.comからダウンロードできます。
HP-UX AAA Server(RADIUS)の機能と利点
HP-UX AAA Serverは、多様なネットワークトポロジと認証要件に対応できる柔軟性を備えた、強力でスケーラブルなソリューショ
ンです。HP-UX AAA Serverはモジュール式のオブジェクト指向アーキテクチャで設計されており、優れたパフォーマンスを発揮しま
す。
HP-UX AAA Serverの主な特長は次のとおりです。
標準のサポート:ネットワークアクセス制御に関する「すべて」の主要な標準と独自仕様をサポートします。
LDAPとOracleの統合:ローカル認証方法に加え、LDAPバージョン3に準拠したディレクトリとORACLEデータベースに対するユーザ
ー認証をサポートします。
無線LANのセキュリティをサポートするEAP:EAP(Extensible Authentication Protocol)をサポートしているため、企業やアクセス プロ
バイダは、無線LANアクセスポイントや有線スイッチを介してLANへ接続する、ユーザーの認証を管理できます。
Cisco Lightweight Extensible Authentication Protocol(LEAP)のサポート:Cisco Aironet 802.11x Wireless LANクライアントとアク
セスポイント間のCisco独自の鍵交換方法をサポートします。
動的アクセス制御:時間と曜日を基準にしてアクセスを制御できます。指定日にパスワードとアカウントを無効にできます。
堅牢なRADIUSプロキシ機能:ダイヤル番号(DNIS)、レルム、またはカスタム基準により認証要求とアカウンティング要求を別の
RADIUSサーバに転送できます。再試行およびタイムアウト時間の設定が可能です。
複数ベンダーのRADIUSクライアントのサポート:属性マッピングが可能な、複数ベンダー辞書により、主要なNASベンダーをサポ
ートします。また、新しいベンダーと機能を簡単に追加できます。
柔軟でカスタマイズ可能なセッション ロギング:大量のセッション情報と希望するアカウンティング情報を取得するように、セッシ
ョン ログをカスタマイズできます。Livingston CDRとMerit Standard用のセッション ロギング形式が含まれます。
ユーザー セッションの制限:並行したログインについて、ユーザー制限、グループ制限、またはカスタム制限を設定することで、同
時セッションを制限できます。
RADIUS RFC標準:RADIUSプロトコルと属性(RFC 2865で定義)、RADIUSアカウンティング(RFC 2866で定義)、RADIUS拡張機能
(RFC 1869で規定)、およびトンネル サポート(RFC 2867とRFC 2868で規定)を提供します。
インターネットサービス製品のセキュリティ機能
HP-UXインターネット サービス製品は、TCP/IPベースのネットワーク上で相互運用するHP-UXユーザーにとって、不可欠なネットワ
ーク サービスを提供およびサポートします。セキュリティ問題に対処するために、これらのサービスを開発しました。たとえば、本
書の Kerberosの項で説明した、Secure Internet Services により、ftp、rcp、rlogin、telnet、remshサービスに対する強力なユーザー認
証が可能になります。セキュリティ機能が組み込まれたその他のサービスとして、DNS/BIND、sendmail、WU-FTPD、gated、保護
inetdがあります。
ドメインネームサービス
BIND(Berkeley Internet Name Domain)は、サーバとクライアントの両方を対象としたドメイン ネーム システム(Domain Name
System:DNS)を実現したものです。DNSは、インターネットドメインネームをIPアドレスにマッピングするための標準的な方法です。
HP-UX 11i v1にはBIND 8が同梱されています。HP-UX 11i v2にはBIND9.2.0が同梱されています。BIND 8.1.2は、IPアドレス ベー
スのアクセス制御リスト(Access Control List:ACL)をサポートします。ACLの制限対象は次のとおりです。
19
ネーム サーバを照会できるホスト
ネーム サーバからゾーン転送を開始できるホスト
照会の送信先として使用可能なネーム サーバ
動的な更新を要求できるホスト
これらのアクセス制御は、IPヘッダ内の発信元IPアドレスに基づいて、トランザクション開始者の確認を行います。追加の予防措置
が講じられていない場合、IPアドレス スプーフィングによりこの制御機構が破壊されることがあります。これは、既存のインターネ
ットDNSバージョン8.1.2におけるセキュリティ上の周知の制限事項です。しかし、HP-UX IPSecを使用すると、IPアドレス スプーフィ
ングを防止できます。
IETFでは、DNSSEC、TSIG、TKEYなどのDNSセキュリティ プロトコルを導入する方向で、インターネットDNSのセキュリティ上の制
限問題に取り組んでいます。これらのプロトコルは、BINDバージョン9.2に実装されています。BIND 9.2は、ソフトウェア デポ
(http://www.software.hp.com/)の[security and manageability]からダウンロードできます。BIND 9は、基本的なBINDアーキテクチ
ャを全面的に書き換えたものです。この書き換えは、予想される次のような需要に応えるために必要でした。
ドメイン ネームシステムの巨大化。特に、数GB(ギガ バイト)の代替バックエンドゾーンデータベースをサポートする.COMなど
の大規模ゾーン。
ゾーンに対する安全な照会と更新のために必要なプロトコル拡張。
IPバージョン6(IPv6)の特定のアーキテクチャ機能を利用するために必要なプロトコル拡張。
BIND 9.2のセキュリティに関する主な特長は次のとおりです。
・DNSSECのサポート
・TSIGのサポート
・監査性
・ファイアウォールのサポート(分割DNS)
ドメインネームシステムのセキュリティ拡張機能-DNSSec
ネットワーク レベルで積極的な攻撃を受けると、DNSは攻撃側にとって有用なデータを返送してしまいます。規格案RFC 2535で
規定されているDNSSECでは、ゾーン管理者によるゾーン データのデジタル署名を可能にする非対称暗号を使用することで、セ
キュリティが考慮されているリゾルバ(resolver)やアプリケーションに対してデータの完全性と認証を提供します。DNSSecはDNS
への、認可されていないアクセスを防止し、回線上でのドメインネームからアドレスへのマッピングの改ざんを阻止します。また、
DNSSECを使用して、DHCPの動的な更新を許可された管理者だけに制限することで、この更新を保護することもできます。
「DNS Security Operational Considerations」(DNS セキュリティに関する運用上の考慮事項)がRFC2541で取り上げられており、
DNSリソースレコード、KEYおよびSIGとともに使用される鍵や署名の運用面について説明されています。
TSIGとTKEYによるトランザクション認証
BIND 9では、Transaction SignatureまたはTSIGを使用して、トランザクションのセキュリティを暗号により確保できます。つまり、リゾ
ルバとネーム サーバで共有される鍵を1つ構成し、それを使用して相互の通信を署名します。
特に、トランザクションで交換されるデータの完全性と発信元が、関連サーバ間で1つの鍵を共有するHMAC-MD5により保護され
ます。この鍵は、手動構成プロセスにより関係者に安全に配布する必要があります。
TKEYプロトコルでは、DNSトランザクションの関係者が秘密共有データを規定することにより、TSIGプロトコル用の共有鍵の配布
上の問題に対処しています。TSIGでは、関連するネーム サーバ間の時間同期が必要であり、鍵自体だけでなく鍵の名前もサーバ
上で一致しなければなりません。また、TSIGでは、ゾーンデータの完全性や公開鍵の保護バインディングは提供されません。
20
分割 DNS
これまで、DNSでは、領域の境界でDNSを「分割」することにより、ローカルなプライベート ネームに到達することが一般的であっ
たため、領域の内側にあるか外側にあるかにより、または、各リゾルバに異なる応答を返し、内側と外側で異なるサーバを使用し
ていました(RFC 1918に規定されているように)。このような比較的複雑な構成は、初期のDNSアーキテクチャが単純なグローバ
ルツリー構造に基づいているため、実装が困難です。
BIND 9.2には、要求元が誰であるかに応じてネーム サーバによるDNS照会への応答方法を変えさせるview文が実装されており、
複数のサーバを実行しない分割DNS設定の実装に特に有用です。これは、定義済みのaddress_match_listに一致するIPアドレスを持
つクライアントが参照する、DNSネームスペースの様々なビューを定義することで実現されます。view文内で定義されたゾーンに
アクセスできるのは、そのビューのアドレス一致リスト(address_match_list)と一致するクライアントのみです。複数のビューで、同
じ名前を持つゾーンを定義することで、各クライアント(たとえば、分割DNS設定における「内部」または「外部」クライアント)に
別々のゾーンデータを提供できます。
セキュアな経路指定
標準的な経路指定プロトコルと経路指定構成により、世界中の誰でも経路指定を再構成できます。接続が乗っ取られ、意図してい
ないネットワークに接続されることがあります。しかし、HP-UXは、gatedデーモンとramD、RIP プロトコル、OSPF プロトコル、および
BGPプロトコルにより、安全な経路指定を提供できます。
HP-UXの経路指定デーモンgatedは、2つの内部経路指定プロトコル(RIPとOSPF)と外部経路指定プロトコルBGPをサポートします。
gatedには、信頼度による経路指定情報の送信元をランク付けするための構成可能なオプションや、最も信頼できる送信元からの
特定あて先情報を最初に受け入れるための構成可能なオプションがあります。また、明らかに無効な経路の一部(ループバック ア
ドレス127.*.*.* など)を除外する機能もあります。さらに、gatedには、監査に利用できる広範なトレーシング機能もあります。
次世代経路指定情報プロトコル(Next Generation Routing Information Protocol:RIPng)とRoute Administration Manager(ramD)
HP-UX Route Administration Manager(ramD)は、次世代経路指定情報プロトコル(RIPng)をサポートしています。RIPngはIPv6ネットワ
ーク内のあて先への複数経路を評価し、基準(またはコスト)値を各パスに割り当て、データを効率的に転送できる最善の経路を
選択します。ramDには、動的経路指定をサポートするRIPngプロトコルが組み込まれています。
ramDは、次の動的経路指定をサポートします。
ネットワークに障害が発生した場合に、既存の経路を自動的に切り替えます。
ユーザー空間とカーネル空間の経路指定テーブルを自動的に維持し同期化します。
ノードを簡単に追加・管理できます。
複雑なインターネットシステムの実装・運用コストを削減できます。
RIPngプロトコルの特長は次のとおりです。
最低の基準値(またはコスト)を持つあて先への経路を選択し、その経路を経路指定テーブルに入れます。
共通のデータリンク層を共有するルータとIPv6接続情報を交換します。
split horizonまたはpoison reverseのいずれかのモードで機能します。
最大ホップ数は15です。
最大30,000のIPv6ルータをサポートします。
HP-UX Route Administration Manager は、ソフトウェア デポ(http://software.hp.com)からダウンロードできます。ramDは、IETF RFC
2080-RIPng for IPv6をサポートします。
21
経路指定情報プロトコル(Routing Information Protocol)-RIP
RIPを使用すると、一次認証方法と二次認証方法を各インタフェースに指定できます。パケットは、一次認証方法を使用して送信さ
れます。受信パケットは、まず一次認証方法でチェックされます。このチェックに失敗した受信パケットは、二次認証方法でチェック
されます。両方の方法に失敗した受信パケットは破棄されます。さらに、ルータ以外の照会では個別の認証鍵が使用されます。
Open Shortest Path First 経路指定-OSPF
OSPFは、自律系ネットワーク内のリンクの状態に関する情報を格納するトポロジ データベースを保守し、この情報を利用して最短
パスを計算します。このプロトコルは、様々なパスワード認証方法を使用することで、経路指定認証を行うことができます。
IETFのRFC 2178に規定されている認証方式は次のとおりです。
認証なし、またはヌル(null)
単純なパスワード認証
メッセージダイジェスト認証(MD5)
デフォルトでは、ルータはヌル認証を使用します。この場合、ネットワーク上での経路指定交換は認証されません。
単純なパスワード認証では、パスワード(最大16文字の鍵)を各領域に構成できます。経路指定ドメインへの加入を希望する領域
と同じ領域内のルータは、同一の鍵で構成する必要があります。この方法の欠点は、パケットがネットワーク上に送信されると、そ
の鍵が詮索される(snooping)可能性があるということです。
メッセージ ダイジェスト認証は、暗号による認証です。鍵(パスワード)と鍵IDが各ルータ上で構成されます。ルータはOSPFパケッ
ト、鍵、および鍵IDに基づくアルゴリズムを使用して、パケットに付加する「メッセージ ダイジェスト」を生成します。単純な認証とは
違って、鍵は回線上で交換されません。中継攻撃から保護するために、減少することのないシーケンス番号も各OSPFパケットに含
まれます。
各種の認証方式を利用できますが、各インタフェースに1つの方式を構成する必要があります。様々な方式を利用すると、インタ
フェースのセキュリティレベルを変えることができます。
ボーダーゲートウェイプロトコル(Border Gateway Protocol)-BGP
ボーダー ゲートウェイ プロトコル(BGP)は、自律系システム間での経路指定情報交換に使用される、外部またはドメイン間の経路
指定プロトコルです。
BGPルータは、TCP接続を介して、他の自律系システム内の指定されたピアBGPルータとのみ経路指定情報を交換するように構成
されています。さらに、経路指定ポリシーを使用して、各ピア ルータに通知・受け入れできる経路を制限できます。必要であれば、
IPSecなどの基盤となる IPセキュリティプロトコルを使用して、ピアルータとの通信を保護することもできます。
インターネットサービスアクセスの保護
保護inetd(indetd.sec)は、インターネットサービスのリモートアクセス制御機能を備えています。inetdはインターネットマスタデ
ーモンであり、必要に応じてftpd、telnetd、UNIXコマンドなどのインターネット サービス デーモン プロセスを呼び出します。保護
inetdにより、システム管理者は、リモートからのシステムの使用を許可するホストやネットワークを管理できるようになります。サ
ービスを要求するホストがinetd.secで有効でなければ、inetdはデーモンを起動しません。
セキュリティ チェックに失敗した接続を記録できます。このロギング情報は、特定のリモート システムからシステムに繰り返しアク
セスしようとしている者がいないかどうか判断する際に役立ちます。
22
inetd.secは、受信パケットの送信元IPアドレスを信頼して送信者を識別する、旧来の UNIXセキュリティ機能であるため、IPスプーフ
ィングにより無効にされる可能性があります。このため、inetd.secを実装する際は、HP-UX IPSecによりIPアドレス情報を保護してく
ださい。
別の方法として、新しいインターネット サービス製品であるTCPラッパー(HP-UX 11i用にhttp://software.hp.comからダウンロード
できます)を利用することもできます。この製品には、ホスト名とホスト アドレスのスプーフィングに対する保護機能が装備されて
おり、inetd.secのセキュリティ上の問題に対処します。この製品は、inetdで制御されているサービスへのアクセスを防止または許
可するために、アクセス制御ファイルを使用するという点でinetd.secと似ていますが、次のような機能が追加されています。
受信ネットワーク接続を監視およびロギングすることで、完全なアクセス制御を実現できます。
ホスト名とホストアドレスのスプーフィングを防止します。
RFC 931プロトコルを使用してクライアントユーザー名を検索します。
ソケットだけではなく、TLI(XTI)を使用するサービスをサポートします。
追加チェックや通知などのためのプログラムを起動します。
バナーメッセージを表示します。
TCPサービス拒否攻撃の防御
HP-UX 11iでは、SYN攻撃に対する防御機能が、TCPに初めて組み込まれました。この攻撃は、攻撃者がターゲット システムに偽の
TCP SYNパケットを大量に送信するというものであり、ターゲット システムが偽の受信TCP接続要求のためにリソースを消費してし
まいます。
新しいIPアドレス(これまでTCP接続を確立したことがないシステム)からSYNパケットを受信したTCPは、SYN-ACKで応答しますが、
発信元のリモートシステムがACKを送信して接続ハンドシェークを完了するまで、リソースを完全にはコミットしません。
Sendmailのセキュリティ機能
Sendmailは、電子メールをネットワーク経由で最終あて先に経路指定するメール転送エージェントです。Sendmail v8.9.3は、HP-UX
11iに同梱されています。
アンチスパム
Sendmailのリリース8.9.3は、「アンチスパムリリース」と呼ばれています。このリリースで初めてアンチスパム ルールセットが組み
込まれました。リリース8.9.3のこれらのルールセットとその他の機能により、メール管理者はスパムを寄せ付けない強力な能力
を手に入れることができます。
Sendmail v8.9.3で使用可能な主なアンチスパム機能は次のとおりです。
デフォルトでの中継拒否:中継(自ドメイン以外のサイトから自ドメイン以外の別のサイトへのメッセージ伝送)がデフォルトで拒否
されます。構成オプションを使用すると、特定のホストからのメッセージを選択して中継できます。
送信者情報の適切なチェック:送信者のドメイン ネームを解決できない場合、Sendmail 8.9.3はメールを拒否します。この動作は、
次に説明するアクセス データベースを使用して有効にできます。特定の受信者へのメールを拒否するようにSendmailを構成する
こともできます。
アクセス データベース:アクセス データベースは、ユーザーがメール メッセージを発信元のドメインに応じて受け入れたり拒否
する場合に、そのドメインを設定することができるユーザー定義ファイルです。アクセス データベース ファイル内のエントリは、ド
メイン ネーム、IPアドレス、およびホスト名(または電子メール アドレス)がキーになっています。各エントリは、発信元とキーが一
致するメッセージを受け取った場合に実行する動作を決めます。この動作としては、メッセージの受け入れ、メッセージの中継、メ
ッセージの拒否、特定のエラー メッセージの返信などがあります。
23
ヘッダ チェック:Sendmail 8.9.3は「from(発信者)」および「to(あて先)」以外のヘッダをチェックできるため、ヘッダ内の値に基づい
てメッセージを選別することが可能です。この機能により、「subject(件名)」またはその他の標準ヘッダ フォーマットに基づいて、メ
ッセージを拒否できます。ただし、この機能を有効にするとヘッダ全体の解析が必要になるため、sendmailの性能が影響を受ける
ことがあります。
Realtime blackhole list(RBL)ベースのフィルタ:sendmailにRBLベースのフィルタを設定すると、各受信メッセージがRBLと照合してチ
ェックされ、リストにあるホストからのメッセージが遮断されます。
Paul Vixie氏は、インターネット ソフトウェア コンソーシアム(BIND、DHCP、INNの維持管理団体)のテクニカル ディレクタとしてよ
く知られている人物です。彼は、Mail Abuse Prevention System(MAPS)と呼ばれるプログラムも運用しています。これは、彼が名付
けたRealtime Blackhole Listを特徴付けるものであり、スパム送信者に対して「友好的」であると彼が判断したネットワークとのイン
ターネットトラフィックをすべて停止するように設計されています。
このリストの利点は、スパミングから数分以内にスパミング ホストがRBLに登録されるということです。ただし、RBLは、遮断された
ことを通知しないでホストを遮断します。
サービス拒否
Sendmail 8.9.3には、システム負荷をチェックし、現在の負荷に基づいて要求を待ち行列に入れるか、または接続を中断するよう
に構成できるオプションがあります。
その他のセキュリティ拡張機能
Sendmail 8.9.3は、ファイルやディレクトリのパーミッションを厳しくチェックして、セキュリティが損なわれないようにします。たと
えば、ユーザーのホームディレクトリに.forwardファイルがあれば、そのファイルのパーミッションを必ず600にします。これにより、
このファイルの読み取り/書き込みはそのユーザーにのみ許可されます。さらに、実効ユーザーIDとしてrootを、実効グループIDと
してmailを必ず使用して実行します。
Sendmailは、syslog機能を広範に使用します。また、受信または交換したあらゆるメッセージのアカウンティングデータを編集して、
各ユーザーまたは各ドメインに対する使用量統計を提供します。
Sendmailは、真のユーザーを認証するためにidentdを使用します。これは、偽のユーザーを識別して隔離し、システムの悪用を防
ぐために役立ちます。
Sendmailの新機能
Sendmail 8.11.1では、アンチスパムと認証にかかわる機能が追加・強化されています。Sendmail 8.11.1はHP-UX 11iとHP-UX
11.0で使用可能であり、http://software.hp.com/の[security and manageability]からアップグレードを入手できます。HP-UX 11i v2
には、Sendmail 8.11.1が最初から同梱されています。
Sendmail 8.11.1のセキュリティ関連の拡張機能は次のとおりです。
Message Submission Agent(RFC 2476)を使用したスパム制御
RFC 2554準拠のSMTP認証
WU-FTP
ファイル転送プロトコル(ftp)を使用すると、クライアント ホスト システムとリモート サーバ ホスト システム間でファイルを転送で
きます。クライアント システム上では、ファイル転送プログラムがファイル転送プロトコルにユーザー インタフェースを提供し、サ
ーバ上では、ファイル転送プロトコルデーモンftpdが要求を処理します。
HP-UX 11i以降用のftpデーモンは、ワシントン大学で開発された代替ftpデーモンを基に実装されています。一般に、この実装は
WU-FTPDと呼ばれています。
HP-UX 11iシステム用のFTPデーモンであるWU-FTPD 2.4には、旧来のftpに勝る、次のようなセキュリティ関連の拡張機能がありま
す。
24
/etc/ftpaccess構成ファイルを使用することで向上したアクセス制御機能
パーミッション機能の制御
ユーザーによる個別コマンドの実行やファイル転送に対する、強化されたログ機能
基本的な仮想ホストのサポート
WU-FTPD 2.6.1はWU-FTPDの最新バージョンであり、http://software.hp.comの[security and manageability]からアップグレードを入
手できます。WU-FTPD 2.6.1のセキュリティ関連の拡張機能は次のとおりです。HP-UX 11i v2では同梱されています。
仮想ホストの完全サポート
RFC 1413(Identification Protocol:識別プロトコル)のサポート
デーモンがロード時に直ちに、指定されたrootdirへchrootする
さらにアクセスを制限するための新しいftpaccess構成オプション
暗号化、ネットワークセキュリティの基礎
安全な電子商取引では通常、支払い拒否を防止し、認証、プライバシ、機密性を提供するために、セキュリティ機能を採用していま
す。これは、暗号化やデジタル署名などの暗号ベースの技術を利用して、公衆ネットワークにおける信頼の確立を意味しています。
HP-UX 11iで使用可能な暗号APIと暗号ツールキット
ネットワーク環境におけるデータの保護には、暗号化が必要です。これまで説明してきたネットワークセキュリティプロトコルには、
暗号アルゴリズムが組み込まれています。開発者は、分散ネットワーク ベースのアプリケーションにおける特定のセキュリティ ニ
ーズを満たすために、暗号アルゴリズムを使用することもあります。
HP-UX 11iでは、HP SpeedCardにアクセスするためのSwiftAPIとCryptokiを始め、BSAFE、Entrust Toolkits、GSS-APIなどの広範な暗号
APIと暗号ツールキットを使用できます。GSS-APIは、HP-UXに同梱されています。GSS-APIの詳細については、前述のKerberosの項
を参照してください。
暗号アルゴリズムでは計算を多用するため、暗号計算が、システム全体の性能に悪影響を与えるボトルネックになることがありま
す。このため、暗号アルゴリズムの性能が、ネットワーク セキュリティ ソリューションの費用対効果に直接影響することもあります。
HPは、暗号性能の面でリーダーシップを確立し、その地位を維持するために、強い決意で努力を続けて行きます。
HP-UX 11i v1およびv2におけるBSAFE RSAバージョン6.0.4の高速化
定評のあるRSA Security社のBSAFEツールキット(バージョン4.1 以降)には、PA-RISCプラットフォーム用に最適化されたバージョン
のRSAアルゴリズムが含まれています。HPの技術者が、RSA処理用のモジュラー指数計算アルゴリズムの内部ループを、PA-RISCア
センブリ言語で作成しました。このため、BSAFEツールキットを使用して構築されたアプリケーションによる、HP-UXプラットフォー
ム上でのRSA処理は、他のプラットフォーム上での処理よりもはるかに高速に実行できます。
バージョン6.0から新しい最適化が導入され、1,024ビット モジュールでのRSA秘密鍵処理の場合、440MHzのCPUで遅延時間が
わずか6.4msです。また、PA-RISC 2.0上でDES、トリプルDES、AES、およびSHA-1の各アルゴリズムについて、さらなる最適化が統
合されています。
25
HP-UX 11iにおけるNES 4.0性能の向上
多くの場合、RSA処理によりボトルネックが生じ、Webサーバの保護性能が制限されます。しかし、HPはNetscape社と協力して、サ
ーバ認証においてSSLが使用するRSA処理の性能を最適化し、前述のアセンブリ言語の内部ループを適用しました。
最適化されたコードは、Netscape Security Servicesのバージョン2.7に含まれています。このコードは、Netscape Enterprise Server
(NES)4.0で使用されます。最適化の結果、他のプラットフォームよりもはるかに高速なNES 4.0がHP-UX上で実現しました。
優れた暗号性能
HPは、HP-UX IPSec製品の特長であるCBCモードのDES、トリプルDES(3DES)、およびAESの実装も業界に先駆けて開発しました。
CBCループはPA-RISCアセンブリ言語で記述されており、PA-RISC 2.0プロセッサの64ビットレジスタを利用しています。これは、市
販製品で使用可能な唯一の64ビットのDES、トリプルDES、およびAESの実装です。これには、学術上の実装における最新技術とHP
独自の技術が組み込まれています。
トリプルDES実装のスループットは、550-MHzのPA-RISC CPUで74.8Mb/sを達成しています。これはビットあたりわずか7.35クロ
ックであることを意味しており、他の主要な実装のほぼ2倍の速さです。
HPには、暗号アルゴリズムのItanium実装を手作業で作り上げる独自の専門技術とツールがあります。HP研究所の研究員はこのよ
うな技術とツールを駆使して、高度暗号化規格(Advanced Encription Standard:AES)を決めるために米国標準技術局(National
Institute of Standards and Technology: NIST)が企画した公募で最終選考に残った5種類のアルゴリズムの高速な実装を行いました。
これらの結果については、最近のNISTのワークショップで紹介されました8。また、研究員は、RSAアルゴリズムの超高速な Itanium
実装も実現しています。
次の表は、HP研究所がItaniumアーキテクチャ用に開発したアルゴリズム最適化の性能係数を示しています。テストはすべて1GHz
McKinleyシステムで実行しました。
暗号化の種類 CPUサイクル/バイト MB/s
DES(CBCモード暗号化/復号化) 30 31
3DES(CBCモード暗号化/復号化) 78 12
AES(CBCモード、128ビット鍵暗号化/復号化) 8.5 112
RC4(暗号化/復号化) 4.1 231
SHA-1(漸近的性能) 6.2 153
RSA(1024ビットモジュール秘密鍵処理) 253,000 4000処理/秒
まとめ
HP-UX 11i v1およびv2は、PA-RISCとItaniumの双方のプラットフォーム上で、安全なネットワーク インフラストラクチャを実
現するための最新セキュリティ技術を提供します。HPのプラットフォームはこれらの組織を、インターネットを介して1つ
のe-ビジネスに統合します。HP-UX 11i v1やv2を使用すると、企業は、費用対効果に優れ、効率的で柔軟性に富んだ方法で、
企業の安全性を損なうことなく、ダイナミックなビジネス ニーズに対応できます。
8 第3回AES Candidate Conferenceにおける、J. Worley、B. Worley、T. Christian、およびT. Worleyの講演AES Finalists on PA-RISC and IA-64:Implementations & Performance(議事録の入手先:http://csrc.ncsl.nist.gov/encryption/aes/)
26
付録A:製品情報
HP-UX 11iセキュリティソリューションおよび製品
セキュリティソリューション 利用可能な HP-UX 11i製品
VPN(仮想プライベート ネットワーク) HP-UX IPSec
BINDv9
認証、認可、アクセス制御 AAA Server
Kerberosスイート
LDAPスイート
安全な企業イントラネット HP-UX IPFilter
HP-UX IPSec
HP-UX 11iセキュリティ製品の入手先
製品
Secure Shell
SSL
HP-UX IPSec
HP-UX IPFilter
PAM Kerberos( J5849AA)
Kerberosクライアントライブラリ/ユーティリティ
GSS-API
Secure Internet Service
LDAP Client Services
NIS/LDAP Gateway
AAA Server
Netscape Directory Server
LDAP-UX Integration
BIND 8.1.2
BIND 9
RIP、OSPF、BGP、保護inetd
Sendmail
TCPラッパー
WU-FTPD
HP-UX 11iに同梱(追加料金なし)
アプリケーションCD(0902)に含まれています。
アプリケーションCDに含まれています。( J4256AA)
アプリケーションCDに含まれています。
アプリケーションCDに含まれています。
HP-UX 11i v1、v2オペレーティング環境に含まれています。
HP-UX 11i v1、v2オペレーティング環境に含まれています。
HP-UX 11i v1、v2オペレーティング環境に含まれています。
アプリケーションCDに含まれています。( J4269AA)
アプリケーションCDに含まれています。( J4269AA)
アプリケーションCDに含まれています。( J4258BA)
アプリケーションCDに含まれています。
HP-UX 11i v1、v2オペレーティング環境に含まれています。
HP-UX 11i v2オペレーティング環境に含まれています。
HP-UX 11i v1、v2オペレーティング環境に含まれています。
HP-UX 11i v1、v2オペレーティング環境に含まれています。
HP-UX 11i v2オペレーティング環境に含まれています。
Webからダウンロード可能
http://software.hp.com/
http://software.hp.com/
http://software.hp.com/
http://software.hp.com/
http://software.hp.com/
http://software.hp.com/
http://software.hp.com/
http://software.hp.com/
27
詳細情報
HP-UXセキュリティ
HP-UX 11iオペレーティング環境セキュリティについての情報は、次のホワイトペーパーをご覧ください。
『HP-UX 11i system security』ホワイトペーパー
http://www.hp.com/products1/unix/operating/infolibrary/whitepapers/hpux11isecuritywp.pdf
Kerberos
KerberosプロトコルおよびGSS-APIの詳細については、次のWebサイトをご覧ください。
MIT Webサイト:http://Web.mit.edu/kerberos/www/
共通認証技術(Common Authentication Technology:CAT)に関するIETF作業部会:http://www.ietf.org/html.charters/cat-charter.html
『Configuration Guide for Kerberos Products on HP-UX』( J5849-90003):
http://docs.hp.com/hpux/internet/index.html#Kerberos
『PAM Kerberos Release Note』( J5849-90002):
http://docs.hp.com/hpux/internet/index.html#Kerberos
LDAP-UX
詳細については、次の文書をご覧ください。
『Integrating HP-UX 11.x Account Management and Authentication with Microsoft Windows 2000』:
http://docs.hp.com/hpux/internet/
『Preparing your LDAP Directory for HP-UX Integration』:
http://docs.hp.com/hpux/internet/
『Installing and Administering LDAP-UX Client Services(J4269-90016)』:
http://docs.hp.com/hpux/internet/
規格
IETF規格の詳細については、次のWebサイトをご覧ください。http://www.ietf.org/
IPSecプロトコル ファミリの詳細については、IPセキュリティ プロトコルに関するIETF作業部会のWebページをご覧ください。
http://www.ietf.org/html.charters/ipsec-charter.html
オープングループの出版物については、次のWebサイトをご覧ください。http://www.opengroup.org/
BINDについては、次のインターネットソフトウェアコンソーシアム(Internet Software Consortium:ISC)のWeb
サイトをご覧ください。http://www.isc.org/
暗号化
暗号化に関する一般情報は、『Applied Cryptography』(Bruce Schneier著、John Wiley and Sons, Inc.発行)または『Handbook of
Applied Cryptography』(A. Menezes、P. C. van Oorschot、S. A. Vanstone共著、CRC Press LLC発行)をご覧ください。
HP-UX IPFilter
HP-UX IPFilterに関する製品情報は、次のWebサイトをご覧ください。
http://docs.hp.com/hpux/internet/index.html
HP-UX IPSec
HP-UX IPSecに関する製品情報は、次のWebサイトをご覧ください。
http://docs.hp.com/hpux/internet/index.html
28
付録B:用語集
3DES Triple-Data Encryption Standard:トリプルデータ暗号化規格
AAA Authentication, Authorization, and Accounting:認証、認可、アカウンティング
AES Advanced Encryption Standard:高度暗号化規格
DES Data Encryption Standard:データ暗号化規格
DH The Diffie-Hellman key agreement public-key cryptosystem:Diffie-Hellman鍵合意型公開鍵暗号システム
DMZ De-Militarized Zone:非武装地帯(インターネットとイントラネット間)
DSS Digital Signature Standard:デジタル署名規格
EDI Electronic Data Interchange:電子データ交換
HTTP Hyper-Text Transport Protocol:ハイパーテキスト転送プロトコル
IETF Internet Engineering Task Force:インターネット技術特別調査委員会
KDC Key Distribution Center:鍵配布センター
MD Message Digest:メッセージ ダイジェスト(MD5はメッセージ ダイジェストすなわち暗号ハッシュ アル
ゴリズムです)
NIST National Institute of Standards and Technology:米国標準技術局
RC Rivest Cipher:Rivest暗号(RC4はストリーム暗号です)
RFC Request For Comments:コメント要求
RSA Rivest-Shamir Adleman公開鍵暗号化および署名暗号システム
SHA Secure Hash Algorithm:保護ハッシュアルゴリズム(SHA1はNIST暗号ハッシュ規格のリビジョン1です)
SSH Secure Shell:保護シェル
SSL Secure Sockets Layer:セキュアソケットレイヤ
TLS Transport Layer Security:トランスポート層セキュリティ
仲介者攻撃 仲介者(man-in-the-middle)攻撃は、通信中の2者間のトラフィックを両方向に中継し、2者間の会話を
監視して、選択したメッセージを変更することで、一方または両者になりすまします。
JHS04036-01
日本ヒューレット・パッカード株式会社 〒140-8641 東京都品川区東品川2-2-24 天王洲セントラルタワー
お問い合わせはカスタマー・インフォメーションセンターへ
03-6416-6660 月~金 9:00~19:00 土 10:00~18:00(日、祝祭日、年末年始および5/1を除く)
HP-UX製品に関する情報は http://www.hp.com/jp/hpux
Microsoft、WindowsおよびWindows NTは、米国におけるMicrosoft Corporationの登録商標です。 記載されている会社名および商品名は、各社の商標または登録商標です。 記載事項は2004年2月現在のものです。 本書に記載された内容は、予告なく変更されることがあります。 本書中の技術的あるいは校正上の誤り、省略に対して、 いかなる責任も負いかねますのでご了承ください。 © Copyright 2004 Hewlett-Packard Development Company,L.P.