 |
|
|
| |
| ||
実際にネットワーク上を流れるパケットを、専用のツールを使って取り込んだのが上の画面である。これはメール(POP3)サーバに接続する際のパケットで、パスワードが見えてしまっている。こうしたパケットを取り込む(キャプチャする)ためのツールは数多く存在し、それを使えば誰かの通信内容をこっそりと盗み見るのは難しくない。特に多くの人間が接続する公衆網のインターネットに重要な情報を流してしまうと、それが悪意のある第三者に見られてしまう可能性がある。
ネットワークに存在するさまざまな脅威と、通信を保護する多彩な機能ネットワークに存在する
|
 |
 盗聴 |
まず盗聴は、インターネットの途中経路でパケットを盗み見て、通信内容を傍受するというもの。前にも書いたとおり、通信を盗聴するのは難しくない。パケットキャプチャソフトと呼ばれるツールさえあれば、誰でも簡単に他人の通信内容を見ることが可能だ(なお、パケットキャプチャソフトはネットワークの状態を監視するためのツールであり、悪用するために開発されたものではない)。
改ざんは、途中経路でパケットの内容を書き換えるという攻撃だ。支店から本社に向けて送られた120万円の売り上げを報告するパケットを、途中で60万円に改ざんするといったことを行なう。こうしたことが起こりうる可能性があると、まともな商取引では利用できないということになってしまう。盗聴と同じく、絶対に防がなくてはならない攻撃の1つだ。
最後のなりすましは、本来の通信相手であると見せかけて騙すことを指す。相手を信用させた上で、パケットを不正に受け取る、あるいは偽の通信情報を送るといった不正を行なう。盗聴や改ざんがネットワーク上にパケットが流れなければ攻撃できないものであるのに対し、なりすましは積極的に攻撃対象に働きかける攻撃である。
インターネットにはこうした危険が伴うため、企業活動で重要な情報を送受信するといった用途には専用線などが利用されてきた。専用線は拠点同士を専用回線で直接結ぶことで拠点間通信を可能にする。物理的に拠点間を接続するため、第三者が通信に関与することは不可能であり、これによって高いセキュリティーを確保できる。ただ、安価なサービスではなく、用途によっては割高感が強かった。そこで脚光を浴び始めたのが「インターネットVPN」である。
VPNの略であるVirtual Private Networkは、日本語に訳すと「仮想専用線」となる。つまりインターネット上に仮想的な専用線を作り、それを使って通信することでセキュリティーを確保するということになる。イメージとしては、インターネット上に専用のトンネルを構築し、その中で通信すると考えればわかりやすいだろう。トンネルの中であるため外部から通信内容を見たり、あるいは書き換えるといったことができず、また本来の通信相手に第三者がなりすますといったことも不可能になるわけだ。これを実現するためのプロトコルが「IPsec」であり、安全に通信するために「暗号化」「パケット認証」「接続先認証」という3つの機能を提供している。
 |
盗聴を防止する暗号化 |
暗号化は主に盗聴を防ぐための技術で、伝えたい内容を通信相手だけが理解できるデータに置き換えて送信するという機能。途中経路で第三者がこのデータを見ても、デタラメな文字列が並んでいるようにしか見えず、これによって機密性を確保することが可能になる。パケット認証は、途中経路でデータを書き換える改ざんを防止する技術だ。具体的には、データから特定の長さの値(これをダイジェストまたはハッシュ値と呼ぶ)を導き出す「ハッシュ関数」を用い、その結果をデータとともに相手に送信する。相手も同じようにハッシュ関数を用いてデータからハッシュ値を導き出し、それが一致していれば途中経路で改ざんされていないと判断できるということになる。
 |
接続先認証で通信相手を厳しくチェック |
もう1つの接続先認証は通信相手を特定するための技術で、通信に先立って相手が本来の相手であるかどうかを確認する。メールサーバなどに接続する際、送信したユーザー名とパスワードがサーバが管理するものと一致することで本来のユーザーであるとしてアクセス可能になるが、それも接続先認証の1つだ。これにより、なりすましによるアクセスから保護している。
また閉じたLAN内で利用されるプライベートIPアドレスを使って、遠隔地のLAN上のコンピュータと通信するための仕組みも重要だ。インターネットではプライベートIPアドレスを使っての通信はできず、必ずグローバルIPアドレスが必要になる。そこで相手側のLANへ送信する際にグローバルIPアドレスを持つパケットでカプセル化して送る。受け取った側は、カプセルから元のパケットを取り出すことで、インターネットを経由したプライベートIPアドレスでの通信を実現している。
以上がインターネットVPNにおける基礎になる。つぎのページからは、VPNに対応した製品を見ていこう。
(NETWORK MAGAZINE 8月号より)
| ネットワークの基礎と仕組みがわかるNETWORK MAGAZINE MOOK ゼロからはじめるVPN
NETWORK MAGAZINE編集部では、ネットワークの運用、理解を助けるNETWORK MAGAZINE MOOKを刊行しています。“VPN”“Windowsネットワーク”などの運用から、“TCP/IP”“セキュリティー”の知識、“スイッチ&ルーター”などのハードウェアまで、NETWORK MAGAZINE MOOKでは幅広いジャンルの基礎から応用までをお伝えします。 |
 |
『SONICWALL PRO 230/330』 |
『SonicWALL PRO 230/330』は、ファイアーウォールにステートフルパケットインスペクション技術(※1)を採用し、極力処理速度を落とすことなく全てのパケットを検査、企業のネットワークへの不正な侵入を防いでくれるセキュリティーアプライアンスだ。
※1 ステートフルパケットインスペクション:ファイヤーウォールを通過するパケットを監視し、内容を判断してポートを開放・閉鎖する機能。ステートフルパケットインスペクションでは、LAN側から送信したデータのセッションログと、WAN側から到着したパケットのセッションログを照合して矛盾がないかなどを確認し、ポートの開閉を動的に行なう。ウェブブラウザーによる管理インターフェースは日本語化され、ローカルに書き込まれたシステムログイベントやネットワークの状況もここから確認できる。SNMPやMIBを使えばリアルタイムモニタリングに必要な情報をネットワーク管理ツール『OpenView』などに送信することも可能だ。
また、SonicWALLアプライアンスを冗長ペア化するハイアベイラビリティー機能は自動フェイルオーバー(※2)を実現しており、上位モデルのPRO 330では電源も二重化される。
※2 フェイルオーバー:業務継続に問題をきたす障害が発生した場合、別なシステムに業務の引き継ぎ(フェイルオーバー)を行なう仕組み。
 |
『SonicWALL TELE3 SP』 |
『SonicWALL TELE3 SP』は、最近同社が力を注いでいるSOHO向け製品の1つと位置づけられており、在宅勤務でのリモートアクセスやPOSでの受発注といった利用を想定している。
小型筐体でありながら、機能的には上位機種とほとんど差がない。PPPoE、NAT/IPマスカレード、DHCPサーバー、ファイアーウォールなどブロードバンドルーターとして十分な機能を持つほか、特定のWebサイトのアクセスを制限したり、ActiveXコントロール/Javaをブロックする“コンテンツフィルタ”機能を搭載し、VPNはESP(Encapsulating Security Payload)やAH(Authentication Header)などのカプセル化プロトコル、DES/トリプルDESによるパケットの暗号化、DiffieHellman交換によるパケット認証、メインモード/アグレッシブモード、自動鍵交換を行うIKE(Internet Key Exchange)などIPsecの規格をフルサポートする。
公称のVPNスループットはトリプルDES使用時で20Mbpsとなっており、最大のトンネル数は10。SOHO利用ならば十分すぎるスペックだろう。
| 24Quiz――気になるニュースをクイズで確認!! ●ソニー、回転レンズ搭載のデジタルカメラ“サイバーショットU”『DSC-U50』を9月19日に発売
Q:ソニーマーケティング(株)は19日、小型軽量なデジタルカメラ“サイバーショットUシリーズ”の新製品として、有効200万画素のSuper HAD CCDと前後に回転するスイバル機構付きレンズを搭載した『DSC-U50』を9月19日に発売すると発表しました。 では、このDSC-U50の価格(予想実売価格)はいくらでしょう。 ヒント:有効200万画素デジカメ『DSC-U30』の発売直後の価格は2万7000円前後でした。 正解はこの記事中に!(画像をクリックすると移動します) |
(編集部)
 |
『FutureNet XR-410/TX2DES』 |
『FutureNet XR-410/TX2DES』は、暗号化専用ハードウェアを搭載することで、暗号化処理(3DES)を行なった場合の最大スループットを約26MbpsとしたVPNブロードバンドルーター。VPN機能は、同時拠点数が64、同時セッション数が128。暗号アルゴリズムはDES/3DES/AESをサポートする。
通常のルーティング時のスループットは最大99.4Mbpsで、セキュリティー機能にはステートフルパケットインスペクション技術を使ったファイアーウォール機能、攻撃検出機能(DoS、PortScanほか)などを搭載する。
 |
『CELESTIX VF931』 |
『CELESTIX VF931』は、CPUのPenitium III-1.2GHzと、Gigabit Ethernetポートにより最大305Mbpsという高速なスループットを実現したファイアウォールアプライアンス。
VPNスループットも標準状態で最大51Mbps。オプションのハードウェアVPNアクセラレーターを追加すると最大122Mbpsまで速度が向上する。フロントパネルには、Gigabit Ethernetポート×2、10BASE-T/100BASE-TXポート×3、管理用の液晶ディスプレー、ジョグダイアルを装備する。液晶ディスプレー、ジョグダイアルを使うことで、IPアドレスの設定/表示、システムの停止/再起動、プロセスの停止/スタートなどが行なえる。
OSはLinux 2.4をベースにしており、ウェブブラウザーからアクセスして管理できる。ユーザーインターフェースもウェブベースで、コマンドラインの入力などは必要ない。
| 24Quiz――気になるニュースをクイズで確認!! ●“Blaster”ワームに対する予防・防御のための情報ページを一挙紹介!
Q:マイクロソフト(株)は12日、Windows製品のセキュリティーの脆弱性を悪用した“Blaster”ワームに関する情報ページを設置、14日には改めてプレスリリースを発表するなどして、ユーザーに同ワームに対する注意を呼びかけました。 しかし、Windowsの中には対策を行なわなくてもBlasterワームの影響を受けないものもあります。それは、どのバージョンのWindowsでしょう? 正解はこの記事中に!(画像をクリックすると移動します) |
(編集部)
24Quiz――気になるニュースをクイズで確認!!
Q:三洋電機(株)は8日、地上デジタルテレビ放送の受信機能を搭載した携帯電話試作機を発表しました。 試作端末は、3G携帯電話サービスのCDMA2000 1xに対応する“携帯電話本体ユニット”と、地上デジタルテレビに対応する“デジタルテレビユニット”で構成されています。 では、携帯端末受信向けのデジタル放送開始は、いつごろとされているでしょう? 正解はこの記事中に!(画像をクリックすると移動します) |
(編集部)
|
|
|
