テレビや雑誌、そして夢の中で、あの可愛らしいCobaltキューブサーバーを見たことはあるでしょう。でも、実際に使ってみたことがないなんて、どうしてでしょう?一体何に使えるのか、誰も知らないのではないでしょうか?Webサーバー?ファイルサーバー?プリントサーバー?あの小さな青いキューブは謎に包まれていて、そのサイズと価格からは想像もつかないほど信頼性が高く、パワフルだという評判です。でも、一体何をするのでしょう?ええ、よく分かりません。でも、Progressive SystemsがCobaltハードウェアにどんな工夫を凝らしたかは知っています。彼らは、私がこれまで使った中で最高のセキュリティ機器を作り上げました。この小さなキューブが数分でこなせることを、管理者がやろうとすれば何時間もかかるでしょう。
正直に言うと、このキューブを初めて受け取った時は、少し懐疑的でした。この小さなアプライアンス(7.25インチ x 7.25インチ x 7.25インチ)は、ネットワークアプライアンスというよりは、マイクロスペースヒーターのように見えます。黒い仕上げと、ハッカーを思わせる緑色の電源ランプが前面を照らすProgressive SystemsのPhoenix Adaptive Firewallは、強力なセキュリティシステムというよりは、おもちゃのようです。しかし、この場合、見た目は確かに欺瞞的です。どういうわけか、Progressiveはこの極小のキューブの中に、ほとんどのフルサイズのファイアウォールアプライアンスやソフトウェアパッケージが夢にも思わなかったほどの機能を詰め込むことに成功しました。
仕様など
PhoenixのWebサイトによると、Phoenixファイアウォールはネットワークのセキュリティ保護にアダプティブファイアウォールテクノロジーを採用しています。アダプティブファイアウォールテクノロジーは、ネットワーク資産を保護し、隠蔽するために連携して機能するセキュリティ機能とアプリケーションで構成されています。アダプティブファイアウォールテクノロジーには以下の機能が含まれます。
- Adaptive State Analysis (ASA) ファイアウォールエンジン - ASA は、ネットワーク保護のために一般的に実装されている単純なパケットフィルタリングを凌駕する、ネットワークレベルのファイアウォールテクノロジーです。パケットフィルタリングは、ネットワークとグローバルインターネット間を通過するネットワークパケットの一部のみを検査します。ASA は、受信パケットのあらゆる側面を検査し、その有効性を確認します。
- 攻撃対策機能 - 気づかないかもしれませんが、保護されていないネットワークには、ネットワーク トラフィックの流入や流出につながる無数の穴、つまりポートが文字通り何千個も開いている可能性があります。「ポート スキャン」は、ネットワーク攻撃の一般的な方法です。このスキャンでは、ネットワーク内で攻撃の可能性のあるすべての穴を検索します。ポート スキャン アプリケーションはインターネット上で無料で入手でき、非常に簡単に使用できます。Phoenix ファイアウォールはこれらのポートを閉じ、ASA エンジンから提供されるパケット情報に基づいて、設定されたセキュリティ ポリシーに応じてこれらのポートを動的に開閉します。さらに、このファイアウォールの攻撃対策機能は、スキャン攻撃を認識し、Phoenix ファイアウォールとネットワークを攻撃から隠蔽することで、重要なネットワーク アプリケーションの通常業務を維持します。
- ネットワークアドレス変換(NAT)—Phoenixファイアウォールは、1対多のNATを使用して、内部ネットワークをASAのファイアウォール保護の背後に隠します。NATはIPアドレスの節約にも役立ちます。これは、インターネット接続でルーティング可能なIPアドレスが少数しか提供されない場合に便利です。
Web サイトに記載されていない追加機能は次のとおりです。
- アクセスログと監視
- 認証による安全なリモート管理
- パケットファイアウォール
プログレッシブ・システムズが実際に行ったのは、標準的なLinuxカーネル上で独立して機能する一連のプログラムを作成することです。個々のプログラムには以下が含まれます。
- pafserver — 暗号化されたトンネルを使用して、Secure Management System (SMS) は Web ブラウザ (ポート 8181) 経由のリモート管理を可能にします。
- paflogd —これはファイアウォール アプライアンスによって使用されるログ デーモンであり、ログが大きくなり遅延が発生する場合にログをローテーションします。
- thttpd-phoenix — リモート グラフィカル ユーザー インターフェイス (GUI) 管理に使用される専用の Web サーバー。
- pafnanny —3つの重要なプログラム(pafserver、paflogd、thttpd-phoenix)を監視し、ダウンした場合には即座に再起動します。pafnannyがないと、重要なプログラムのいずれかがクラッシュし、リモート管理が不可能になる可能性があります。
- e-conduit —SMS がpafserverと通信するためのトンネルを提供します。
- phoenix カーネル モジュール - ファイアウォールを含む、ユーザーがロード可能なカーネル モジュール。
- ファイアウォール テンプレート ファイル - ユーザーが構成可能なファイアウォール アプリケーションとプロトコル。
サポートされている定義済みアプリケーションのリストは長く、IP ベースのネットワーク上で実行される一般的なアプリケーションのほぼすべてをカバーしています。
アプライアンスの物理的なレイアウトは非常にシンプルです。キューブの背面には、以下のものが付いています。
- いくつかのボタン(情報入力用)
- 3 つのイーサネット ジャック (外部ネットワーク用 1 つ、内部ネットワーク用 1 つ (それぞれステータス インジケータ ライト付き)、DMZ ネットワーク接続用 1 つ)
- シリアルポート(アプライアンスをコンソール端末に接続できるようにするため)
- 冷却ファンポート
- 電源スイッチ
- ACジャック
- 液晶画面
- キーホールボタン(追加機能へのアクセスが可能)
このマシンは、セットアップしたら忘れ去られるように設計されていますが (Linux チャンピオンなので)、図 Aに示すように、その美しいデザインは、ほとんどの管理者が展示したくなるようなトロフィーになることは間違いありません。
| 図A |
 |
| こちらは Microserver の正面図です。 |
Phoenix Adaptive Firewall のセットアップは
、小さな不具合が1つあっただけで、問題なく完了しました。箱から取り出した状態では、ファイアウォール内のマシンがリモート管理ツールやSMSを使用できるように、キューブはIPマスカレードを許可するように設定されているはずです。しかし、なぜか私が受け取ったテストマシンではIPV転送がオフになっており、リモートGUIを開くことができませんでした。幸いにも、テクニカルサポートは電話一本で対応してくれて、担当者はすぐに問題を解決してくれました。
その問題を除けば、セットアップは次のように簡単です。
- アプライアンスの電源を入れる
- ネットワーク設定メニューを開く
- 内部IPアドレス(ファイアウォール内部で機能するNICのアドレス)を入力します
- 内部IPアドレスのサブネットマスクを入力する
- 外部IPアドレス(ファイアウォールの外側でサービスを提供するために使用されるアドレス)を入力します
- 外部IPアドレスのサブネットマスクを入力する
- ゲートウェイに入る
- 変更を保存する
- マシンの再起動
アプライアンス本体の設定が完了すると、リモート管理用のパスフレーズが提供されます(このパスワードは必ず書き留めておいてください)。あとは、ファイアウォール内のマシンを設定するだけです。テスト用に、Red Hat Linux 6.1 を実行するマシンを2台用意しました。1台はファイアウォールの内側、もう1台はファイアウォールの外側です。ファイアウォールの内側のテストマシンは私の個人用デスクトップマシンで、ファイアウォールの外側のテストマシンはシンプルなサーバーを実行している Linux テストボックスです。
私が選択したプライベートIPアドレスは172.22.1.*の範囲内でした。ファイアウォールの内蔵NICは172.22.1.1に設定されていました。ファイアウォールの内側のマシンのIPアドレスは172.22.1.2、ゲートウェイは172.22.1.1になります(そのため、ファイアウォール本体でマスカレード機能を有効にする必要があります)。ファイアウォールの外側にある最後のマシンには、ネットワーク管理者(またはDHCPサーバー)によって割り当てられたパブリックIPアドレスが割り当てられます。
すべてのマシンに正しく数字を入力したら、中を覗いてこの機械が一体何なのか見てみることにしたのです。
第一印象
リモート GUI にアクセスするのは、Java 対応ブラウザ (Linux Netscape 4.06 以上) でポート 8181 のファイアウォール アプライアンスの内部 IP アドレスを指定するだけで済みます。http://172.22.1.1:8181/と入力すると、最初にプログレッシブ スプラッシュ スクリーンが表示され、次に小さなログイン スクリーンが表示されます (Java スクリプトの読み込みには多少時間がかかる場合があることを警告しておきます)。接続速度に関係なく、Java クライアントの読み込みには 5 秒から 25 秒かかります (これは 10 進 LAN 接続の場合です)。注: ケーブル モデムで接続したときも同じ速度でした。このシステムでは、待機時間はこれだけなので、この時間の問題はそれほど問題ではありません。
ベータ版のユーザーマニュアルと私が話したテクニカルサポート担当者によると、プログレッシブGUIは特定のデスクトップ環境とウィンドウマネージャの組み合わせで問題が発生するとのことです。どうやら最も安定した組み合わせはKDE/Enlightenmentのようです。しかし、GNOME/AfterStepの組み合わせでは問題なく動作しました。3週間以上のテスト期間中、GUIがクラッシュしたりフリーズしたりすることは一度もありませんでした。これはかなり良好な実績です。
GUI が起動し、ログイン ウィンドウが利用可能になったら、パスフレーズを入力してリモート管理システムにログインしました。
プログレッシブリモート管理システムを初めて目にすると、図Bに示すログイン後のウィンドウが表示されます。プログレッシブの連絡先情報は右側にスマートに表示され、ナビゲーションウィンドウは左側に、メインメニューは上部にドロップダウンメニューとして表示されます。
| 図B |
 |
| ログイン後のウィンドウの右側に、Progressive の連絡先情報が表示されます。 |
メインウィンドウ(Progressiveの連絡先情報が表示される大きなウィンドウ)で、すべての設定を行います。左側のナビゲーションメニューからサービスを選択するか、既存のファイアウォールファイルを開くと、連絡先ウィンドウが消え、図Cに示すウィンドウが表示されます。
| 図C |
|
| Microsoft 環境から移行するネットワーク管理者にとって、Progressive Systems のインターフェースは馴染みやすいものとなるでしょう。 |
このウィンドウでは、メインウィンドウと左側のナビゲーションウィンドウの両方が変化していることに気付くでしょう。新しく表示されたメインウィンドウでは、ほぼすべての設定が行われます。このウィンドウ内で、すべてのファイアウォールルールを編集できます(ボタンをクリックするか、IPアドレスを入力するだけで編集できます)。また、各サービスには、ユーザーがサービスの概要を理解するのに役立つ非常に簡単なヘルプファイルが表示されます。
このインターフェースを使ったファイアウォールルールの設定は、これ以上ないほど簡単です!Microsoft環境から移行するネットワーク管理者にとって、Progressive Systemsのユーザーインターフェースはまさにうってつけです。すべてが分かりやすく、デザインも洗練されており、操作も簡単です。
設定例
図Cは、Progressive Systemsのリモート管理ツール(Netscape経由)でHTTPセキュアファイアウォールルールを設定している様子を示しています。メインウィンドウ(右側)には、3つのチェックボックス(受信、送信、有効)、2つのメインボックス(ローカルサーバーとリモートクライアント。受信と送信をクリックすると表示が切り替わります)、そしてファイアウォールアシスタンスウィンドウがあります。このファイアウォールルールでは、受信トラフィックと送信トラフィックの両方を確認します。
ほとんどの場合、受信トラフィックはファイアウォールルールで監視/ブロックする上で最も重要なトラフィックです。セキュアHTTPの受信トラフィックについては、特定のIPアドレスのみがファイアウォールを通過できるように設定してください。この例では、IPアドレスABC1(これは実際のIPアドレスではありません)がセキュアHTTPに割り当てられたポートにアクセスできるようにし、このIPアドレスからファイアウォール内のすべてのIPへのアクセスを許可します。これを行うには、「受信」をクリックし、「ローカルサーバー」ボックスに「*」を入力し、 「リモートクライアント」ボックスに「ABC1」を入力します。送信トラフィックが許可され、かつ安全であれば、「送信」ボタンをクリックし、両方のボックスに「*」を入力します。(これにより、ファイアウォール内のユーザーはセキュアHTTPを使用して任意の外部サーバーにアクセスできるようになります。)
この特定のルールを設定したら、ファイアウォールファイルをtestなどの特定の名前で保存します。新しいファイルを保存するには、「ファイル」 メニューを開き、 「ファイアウォール ファイルに 名前を付けて保存」をクリックして名前を入力します。このファイルを保存したら、「ファイアウォール」メニューの「ファイアウォールファイルの有効化」をクリックするか、[Ctrl]+[F]キーを押して有効化できます。注意:保存したファイアウォールファイルにはファイアウォールルールが1つしか含まれていません。作成したファイルの有効化は非常に安全とは言えません。ご注意ください。
デフォルトでは、ファイアウォールファイルにはPassall とOutgoing Onlyの2種類があります。名前からわかる通り、Passall ファイルはすべての受信トラフィックとすべての送信トラフィックを許可します。OutgoingOnlyファイルはすべての送信トラフィックを許可し、受信トラフィックは一切許可しません。どちらのファイルにも利点がありますが、制限があります。最適な方法は、Outgoing Onlyファイルをそのまま使用し、ニーズに合わせて修正することです。Outgoing Only ファイルでは、送信トラフィックは完全に許可されますが、受信トラフィックは許可されません。ニーズに応じて、特定のサービスのみを許可し、特定のサービスのみを許可しない設定にすることができます。
このファイルで最初に行うべきことの一つは、ポート転送の設定です 。ポート転送は、着信リクエスト(例えば、ポート21のFTP)を受け取り、ファイアウォールシステムに、ポート21にFTPの着信コールが来たら、代わりにこのマシンに転送するように指示します。つまり、ファイアウォールアプライアンスに外部IPアドレスABC1を関連付けることで、サービスを任意のプライベートIPアドレスにリダイレクトできます。ファイアウォール内の1台のマシンで192.34.5.1のFTPサービスを設定し、以下の手順を実行してください。
- 管理 メニューからポート転送設定を選択します。
- [追加]をクリックします。
- サービスの新しい名前を入力します ( FTPと呼びます)。
- [有効にする]をクリックします。
- TCPE転送をクリックします。
- 「インターフェース IP」ボックスにファイアウォールの IP を入力します。
- ポートボックスに21 と入力します。
- 宛先 IP のポート ボックスに21と入力します。
- [OK]をクリックします。
設定が完了したら、「ファイアウォール」 メニューから「保存して現在の設定を有効にする」を選択します。これで、ファイアウォールはFTPトラフィックを目的のマシンに再ルーティングするようになります。
このマシンを選んだ決め手は、ポートフォワーディングサービスの設定機能でした。Progressive Systemsのファイアウォールアプライアンスを起動して2分も経たないうちに、FTPとSSHがデスクトップマシンにリダイレクトされました。他のほとんどのソフトウェアやアプライアンスでこれを行うには、多くの障害を乗り越え、膨大な量の書籍と膨大なハウツー資料を読まなければなりません。しかし、Progressive Systemsではそうではありません。
謎の鍵穴
アプライアンス背面の鍵穴から、管理者はシステムの高度な機能にアクセスできます。これらの高度な 機能には以下が含まれます。
- GUIパスフレーズをリセット:「GUIパスフレーズをリセット」オプションを選択します。この操作を確認すると、背面のLCD画面に新しいGUIパスフレーズが表示されます。
- Telnet を有効にする: これは GUI インターフェイスからも有効化できるため、実際には高度な機能ではありません。
- MAC アドレスの表示: この機能により、管理者はアプライアンスのハードウェア アドレスにアクセスできるようになります。
- 工場出荷時の設定にリセット: この機能は、アプライアンスを出荷時の状態にリセットします。
ログ記録
Phoenix Adaptive Firewall には、優れたセキュリティ システムと同様に、ある程度の構成が可能なログ記録システムが組み込まれています。 PSF からの一般的なログ ファイルは次のようになります:
3/13-19:47:46 eth1:: udp 255.255.255.255/67 <- 0.0.0.0/68 328 !pass (560)
3/13-19:49:20 eth1:: udp 255.255.255.255/67 <- 0.0.0.0/68 328 !pass (560)
3/13-19:49:20 eth1:: udp 255.255.255.255/67 <- 0.0.0.0/68 328 !pass (555)
3/13-19:49:23 eth1:: udp 255.255.255.255/67 <- 0.0.0.0/68 328 !パス (555)
3/13-19:49:29 eth1:: udp 255.255.255.255/67 <- 0.0.0.0/68 328 !パス (555)
3/13-19:49:33 eth1:: udp 255.255.255.255/67 <- 0.0.0.0/68 328 !パス (555)
3/13-19:49:33 eth1:: udp 255.255.255.255/67 <- 0.0.0.0/68 328 !パス (555)
3/13-19:52:54 eth1:: udp 255.255.255.255/67 <- 0.0.0.0/68 328 !pass (560)
3/13-19:52:54 eth1:: udp 255.255.255.255/67 <- 0.0.0.0/68 328 !pass (555)
3/13-19:54:42 eth1:: udp 255.255.255.255/67 <- 0.0.0.0/68 328 !pass (560)
このファイルには、通過が許可されていない( !passで示されている)受信トラフィックの一部が記録されています。このログを詳しく見ていきましょう。
| 3/13-19:47:46 | タイムスタンプ | |
| eth1 | フィルタリングされるインターフェース | |
| UDP | 使用されているトランスポートプロトコル | |
| 255.255.255.255/67 | ローカルマシンのIPアドレスとポート番号 | |
| <- | 交通の方向(この場合は、入ってくる方向) | |
| 0.0.0.0/68 | リモートホストのIPアドレスとポート番号 | |
| 328 | 送信パケットのサイズ(バイト単位) | |
| !合格 | パケットが拒否されたことを示すメッセージ | |
| (560) | ファイアウォール ファイル内でルールがトリガーされた行番号 | |
もう一つの非常に便利な機能は、システム内からログファイルをダウンロードできることです。ログファイルを表示するのと同じメニュー(「管理」→「ログ」)から、ファイアウォールの管理に使用しているローカルマシンにログファイルをダウンロードできます。ダウンロードされたファイルはphoenix.logという名前で、リモートGUIから表示できる情報よりもはるかに詳細な情報が含まれています。ファイアウォールの動作をより詳細に監視するには、このダウンロードファイルを定期的に確認することをお勧めします。
何百、何千時間もかけて設定と管理をしてきたシステムのセキュリティを、ポイントアンドクリック式のファイアウォールデバイスに委ねることに抵抗を感じる方もいるかもしれません。しかし、Progressive Systemsのファイアウォールは、その考えをすぐに覆し、Linuxがユーザーフレンドリーな段階をはるかに超えていることを証明するでしょう。このアプライアンスの価格はおよそ3,200ドルと少々高めですが、その価値は十分にあります。稼働中のシステムを停止させることなく、リモートから迅速に設定できる強固なセキュリティは、その価値をはるかに超えています。そして、Progressive Systemsのファイアウォールは、筆者にとってまさに最高の製品です。
Progressive Systemsのファイアウォールアプライアンスのご購入にご興味をお持ちでしたら、同社のWebサイトからお問い合わせください。きっとご満足いただけるはずです。
私が最初にテスト用に受け取ったマシンはベータ版でしたが、このDaily Drill Downで取り上げた問題の多くは、正式版を入手した後に解決しました。設定にいくつか変更がありましたが、問題を引き起こすようなものではありませんでした。実際、正式版はベータ版よりも機能がさらに充実していました。Progressive Systems、素晴らしい!
ジャック・ウォーレン・ジュニアは、TechRepublicのLinuxコンテンツ編集長に就任したことを大変嬉しく思っています。1995年、ジャックは「窓」から放り出されました。「ブルースクリーン・オブ・デス」に辟易し、「コンピューターは再起動と同じではない」と悟ったのです。コンピュータ業界に飛び込む前は、映画、テレビ、ブロードウェイなどで活躍するプロの俳優でした。そして今、ジャックはLinuxエバンジェリストという新たな役割に満足しています。皆さん、まさにLinux世代の代表格です!
著者および編集者は、本書の内容の作成に細心の注意を払っておりますが、明示的または黙示的な保証は一切行わず、誤りや脱落について一切の責任を負いません。いかなる損害についても責任を負いません。変更を行う前に、必ず検証済みのバックアップを作成してください。
