実践で学ぶ、一歩進んだサーバ構築・運用術

第 7 回 ファイアウォール (前編)


ダイアルアップ接続

NTT 東日本と NTT 西日本のフレッツ・ISDN や ケーブルテレビ・インターネットなどのサービスにより, 手軽な定額料金で インターネットへつなぎっぱなしにできるようになってきました*10 。 つながっている時間が長くなれば長くなるほど, インターネット経由で攻撃を受ける可能性が高くなるわけです。 まさかダイヤルアップ接続で外部から侵入されることはないだろうなどと タカをくくっていると, ある日突然ハード・ディスク内に見慣れないファイルができていたり, あるいは重要なファイルが無くなっていたりしてあわてることになります。

被害が目に見える形で現れていればまだ良いのですが, 本当に恐いのは PC 内の重要な情報が知らないうちに盗み読みされている場合です。 どこから情報がもれたか分からないままに会社が大損害を受けるかも知れません*11 。

よく知られていることですが, Windows95/98 などの現在主に流通している一般向け OS や, Linux であっても特にセキュリティを意識していないディストリビューションは, 外部からの攻撃に対して非常にぜい弱です。 このような PC に, 仕事上の機密情報が入っている場合は, たとえ数秒のダイヤルアップ接続でも, 盗み読みされない保証は全くありません。 重要な情報は MO などのリムーバル・ディスクに保存しておいて, ダイヤルアップする前に必ずリムーバル・ディスクを イジェクトしておくなどの用心が必要でしょう*12 。

インターネットに PC を直接つなげることは, 本質的に極めて危険な行為なのですが, Windows95/98 や, 最近の Linux のディストリビューションは, 危険性を意識することなく手軽に直接インターネットに ダイヤルアップ接続できてしまうので, 困ったものです。

ダイアルアップ・ルーター

インターネットに直接接続するのは危険すぎるので, ダイヤルアップ・ルーターを介して接続することにします(図 1)。 最近のダイヤルアップ・ルーターは, IP フィルタリングのデフォルトが安全側, つまり外部からのアクセスを拒否する設定になっている*13 ので, とりあえずダイヤルアップ・ルーターをつなぐだけでも PC からインターネットに直接接続する場合よりはかなり安全になります。

ルーターを介してインターネットに接続することにより外部からのアクセスを拒否できる
図 1 ルーターを介してインターネットに接続することにより外部からのアクセスを拒否できる

Linux で PPP 接続に関する質問は FAQ リストの筆頭ですが, PPP の設定ができない人がまともなセキュリティ対策を行えるはずはなく, そのような場合は迷わずダイヤルアップ・ルーターを使うべきでしょう。 初心者の PPP 接続に関する質問に対して親切に教えてあげたつもりが, 攻撃の犠牲者を増やす結果につながりかねないので注意が必要です。

サーバーの立ち上げ

Web サイトの閲覧など, インターネットへアクセスするだけなら, ダイヤルアップ・ルーターと Web ブラウザが走る PC だけで良いのですが, 常時接続しているのならサーバーを立ち上げたいところです(図 2)。

常時接続するならサーバーを設置した方が何かと便利だが,ルーターの設定に注意する必要がある
図 2 常時接続するならサーバーを設置した方が何かと便利だが,ルーターの設定に注意する必要がある

ところが, サーバーを立ち上げるには, インターネットからサーバー・マシンへのアクセスを, ルーターの設定で許可しなければなりません。 つまりサービスに必要なパケットだけを通し, その他のパケットはすべて排除しなければなりません。

適切な設定をするには, TCP/IP などのプロトコルに関する知識が必要です。 今まで見よう見まねで設定をしていた方は, ぜひこの機会に TCP/IP の仕組みを理解して, ルーターの設定を見直してください。

*10
私は OCN エコノミーを使って常時接続しているのですが, つなぎ放題にする手段が増えてきたせいか, OCN エコノミーの混雑具合が最近かなり改善されてきたような気がします。 OCN エコノミーからフレッツ・ISDN やケーブルテレビ・インターネットなどへ 乗り換えた人が結構いるのではないでしょうか ?。
*11
例えば執筆中の発明が競合会社に盗み読みされ, 先に特許を取られてしまうかも知れません。 こうなると特許が取れなくなってしまうばかりか, 将来ばく大な特許使用料を請求されかねません。 しかも, なぜ同時期に競合会社が似たような発明ができたのかが, 分からずじまいになってしまうかも知れません。
*12
これでも安全ではありませんが, PC に重要情報を入れっぱなしにしておくよりは数段マシです。
*13
反面, 昔ながらのダイヤルアップ・ルーターに慣れている人にとっては 勝手が違ってハマります。 最近の大抵のダイヤルアップ・ルーターは, 外部からLAN 上のネーム・サーバーやメール・サーバーをアクセスする必要は ないものと思い込んでいますので, アクセスできるように設定を変更するのが結構大変です。 マニュアルを隅から隅まで読まないと, 設定変更方法が分からなかったりします。

(TCP/IP の基礎)


banner 本稿は日経Linux 2000 年 10 月号に掲載された、 実践で学ぶ、一歩進んだサーバ構築・運用術, 第 7 回「ファイアウォール (前編)」を日経BP 社の許可を得て転載したものです。

Copyright(C)2000 by 仙石浩明 <sengoku@gcd.org>
無断転載を禁じます

| home | up |

sengoku@gcd.org