NTT 東日本と NTT 西日本のフレッツ・ISDN や ケーブルテレビ・インターネットなどのサービスにより, 手軽な定額料金で インターネットへつなぎっぱなしにできるようになってきました*10 。 つながっている時間が長くなれば長くなるほど, インターネット経由で攻撃を受ける可能性が高くなるわけです。 まさかダイヤルアップ接続で外部から侵入されることはないだろうなどと タカをくくっていると, ある日突然ハード・ディスク内に見慣れないファイルができていたり, あるいは重要なファイルが無くなっていたりしてあわてることになります。
被害が目に見える形で現れていればまだ良いのですが, 本当に恐いのは PC 内の重要な情報が知らないうちに盗み読みされている場合です。 どこから情報がもれたか分からないままに会社が大損害を受けるかも知れません*11 。
よく知られていることですが, Windows95/98 などの現在主に流通している一般向け OS や, Linux であっても特にセキュリティを意識していないディストリビューションは, 外部からの攻撃に対して非常にぜい弱です。 このような PC に, 仕事上の機密情報が入っている場合は, たとえ数秒のダイヤルアップ接続でも, 盗み読みされない保証は全くありません。 重要な情報は MO などのリムーバル・ディスクに保存しておいて, ダイヤルアップする前に必ずリムーバル・ディスクを イジェクトしておくなどの用心が必要でしょう*12 。
インターネットに PC を直接つなげることは, 本質的に極めて危険な行為なのですが, Windows95/98 や, 最近の Linux のディストリビューションは, 危険性を意識することなく手軽に直接インターネットに ダイヤルアップ接続できてしまうので, 困ったものです。
インターネットに直接接続するのは危険すぎるので, ダイヤルアップ・ルーターを介して接続することにします(図 1)。 最近のダイヤルアップ・ルーターは, IP フィルタリングのデフォルトが安全側, つまり外部からのアクセスを拒否する設定になっている*13 ので, とりあえずダイヤルアップ・ルーターをつなぐだけでも PC からインターネットに直接接続する場合よりはかなり安全になります。
|
|
| 図 1 ルーターを介してインターネットに接続することにより外部からのアクセスを拒否できる |
Linux で PPP 接続に関する質問は FAQ リストの筆頭ですが, PPP の設定ができない人がまともなセキュリティ対策を行えるはずはなく, そのような場合は迷わずダイヤルアップ・ルーターを使うべきでしょう。 初心者の PPP 接続に関する質問に対して親切に教えてあげたつもりが, 攻撃の犠牲者を増やす結果につながりかねないので注意が必要です。
Web サイトの閲覧など, インターネットへアクセスするだけなら, ダイヤルアップ・ルーターと Web ブラウザが走る PC だけで良いのですが, 常時接続しているのならサーバーを立ち上げたいところです(図 2)。
|
| 図 2 常時接続するならサーバーを設置した方が何かと便利だが,ルーターの設定に注意する必要がある |
ところが, サーバーを立ち上げるには, インターネットからサーバー・マシンへのアクセスを, ルーターの設定で許可しなければなりません。 つまりサービスに必要なパケットだけを通し, その他のパケットはすべて排除しなければなりません。
適切な設定をするには, TCP/IP などのプロトコルに関する知識が必要です。 今まで見よう見まねで設定をしていた方は, ぜひこの機会に TCP/IP の仕組みを理解して, ルーターの設定を見直してください。
本稿は日経Linux 2000 年 10 月号に掲載された、 実践で学ぶ、一歩進んだサーバ構築・運用術, 第 7 回「ファイアウォール (前編)」を日経BP 社の許可を得て転載したものです。
Copyright(C)2000 by 仙石浩明 <sengoku@gcd.org>
無断転載を禁じます