次のページ 前のページ 目次へ

2. 序論

2.1 はじめに

システム管理者とユーザでは、システムを利用するに当たって、制限を受ける事項や システムに対する理解度に差があります。そこでユーザ自身がファイアーウォール の存在に気づいた時に、何とかそれを越えようとしたくても、四苦八苦することに なってしまいます。 このドキュメントでは、ファイアーウォールを気にせずに、インターネットで良く 使われるサービスを利用する方法を説明します。それも特別な手段ではなく、手軽 に行えます。telnet セッション越しに IP エミュレータを動かして実現します。

このドキュメントのアイディアは、Barak Pearlmutter 氏 mailto:bap@cs.unm.edu が書いた Term-Firewall mini-HOWTO から もらいました。このドキュメントは Term という、あのなつかしい、今ではサポート されていないプログラムを使って書かれています(それでも当時は素晴らしいプログ ラムでした)。Term は、古くさく、移植性のない実装になっています。標準とはいえ ない telnet の実装で見られるような独自さと同様に。

2.2 セキュリティ上の問題

システム管理者がファイアーウォールを立てているのは、もちろん理由があって のことです。したがって、このソフトウエアを使用するに当たっては、管理者から 許可を得た方がよいと思います。一方、あなたが外部に telnet できるという事実 (これはハックキングを行うための必要条件です)は、特定の外部のシステムに アクセスする権利を持っていることを意味します。つまり特定のシステムに何らか のかたちでログインするには、あなたがそのシステムのユーザとして認められている 必要があります。

セキュリティのことを考えると、ファイアーウォールのすでに開かれている穴を利用 することは、とても お手軽な 方法です。この方式なら、あるプログラム が本来利用しているプロトコルをそのまま使えるからです。逆にこの方法がとれない 場合は、特定の用途のためにプロクシ機能をもつ特別のプログラムが必要になるか、 既存のプログラムの改造(とコンパイル)を行う必要がでてきます。こんなこと をすると、不愛想で無能な管理者が設定ミスをおかすことになるかもしれません。 また、ファイアーウォールによってサポートされているサービス(Web 等)で、普段 使っている通常のサービス(電子メール 等)を利用するためには、あるプロトコルを 許可されたプロトコルに変換するプログラムを必要なプロトコルの分だけ、インス トールするはめになるかもしれません。

その上 SLiRP のようなユーザ・レベルの IP エミュレータを使うことによって、外部 からのファイアーウォールの穴を利用した攻撃を防ぐことができるはずです。 あなたがあえて不正行為を許可しなければ、他の手段を駆使しても、ファイアー ウォールの穴を攻撃できないはずです(ただ、攻撃者はずるがしこく、ルートの権限を 持つ人やそれに類する人は、リモート・ホストからあなたの行為を監視することも できますが)。

総合的に判断して、この方法は 比較的 安全なはずです。しかしこれは、 あなたが設定した特定の環境に全面的に依存した方法なので、私は何の保証もでき ません。 インターネット経由の接続は、この手段を使おうが使うまいが、本質的に安全なもの ではありません。ですからこの手段に加えて、何らかの暗号化をほどこすといった 対策をあなたが講じていないのなら、安全は保証されている、などという思い込みを 間違ってもしないでください。

今までのことをまとめると、あなたが何をしているかを理解していないなら、この 手段を活用しないでください、ということです。再度「おことわり」を読んでください。

2.3 他に必要なもの

このドキュメントは、あなたが次のことを理解していると仮定して書かれています。

  • ネットワークの設定方法を知っていること。
  • ファイアーウォールの両側にシェル・アカウントを持っていること。
  • 相手側にも telnet(もしくは ssh(Secure Shell)やそれと同等の機能をもつ もの)が利用できるアカウントを持っていること。
  • 両側にある自分のシェル・アカウントで IP エミュレータを実行できること。
  • エミュレートされた IP 接続上で動くプログラムを両側に持っていること。
どんなプログラムでも、この接続方法を利用できます。ローカルのエミュレータは、 Linux カーネル とやりとりしている pppd か、再コンパイルが必要で、かつ特別な ライブラリをリンクする必要がある Term のようなプログラムが使われます。

IP エミュレータについては pppd にしても SLiRPにしても、まともな Linux ディス トリビューションであれば付属しているはずですし、ftp サイトでも見つけられます。 もしリモートのシェル・アカウントが一般ユーザのものだけならば、SLiRP で実現して ください。

2.4 ソフトウエアのダウンロード

下記にあげたソフトウエアのほとんどは、標準的なディストリビューションに付属 しているか、場合によっては、そのコントリビューションに含まれているはずです。 少なくとも最後の 2 つを除いて、rpm パッケージで利用できます。 もし最新のバイナリやソースを落してきたいならば、下記のアドレスを利用して ください(結局最後のソフトウエアの内の 1 つは、 Linux では動かないかもしれ ませんが)。

次のページ 前のページ 目次へ
[