next up previous contents
Next: 演習課題 Up: ルーティング Previous: 動的ルーティング

ネットワークのセキュリティ

セキュリティを考える場合、幾つかの観点があります。 ひとつは、出入口でのセキュリティの確保、これは外部に対してのセキュリティ と内部に対するセキュリティがあります。もう一つは、回線自身のセキュリティ の確保、これには VPN などの物理層での暗号回線技術と SSH などの アプリケーション層での暗号回線技術があります。

外部に対してのセキュリティは、自らのサイト とInternet の出入口に当たるルータで確保するもので、FireWall(防火壁)と呼ばれ ています。 簡単な FireWall は、IP の filtering やトランスポート層で行えます。この場合、 ある種のポートへの外部からのアクセスの禁止や、場合によってはある IP domain からのアクセス制御を含みます。しかし、FireWall で全てがまかなえる訳ではあり ません。例えば、sendmail や News システムのバグを利用したパスワード・クラック や、WWW の CGI を用いたクラックなどに対しては個別に対処するしかないでしょう (一部の攻撃にはアプリケーションゲートウェイが有効ですが)。 つまり、内部に対するセキュリティは個々のワークステーション 単位でのセキュリティになりますが、大きなサイトでは内部ルータの filtering に よって安全性を高める場合もあります。

暗号技術は、ハードウェアレベルは2地点間を専用ルータなどで結ぶ場合で、 それなりのコストがかかります(但し、VPNに対して過信は禁物であることが最近 明らかになりつつあります)。一方、アプリケーション層での対応はソフトで できる事ですので、今後導入を考えた方が良いでしょうが、その場合でも、外側 に対して護るのか、それとも内側に対してかという切り分けは良く考えた方が 良いでしょう。

内部のセキュリティは、個々のセキュリティホールを潰すことや、 ある種のサービスへの外部からのアクセスを 禁止したりすることによって強化します。 この場合には、あるポートに割り当てるデーモンを セキュリティ強化した別のデーモンに置き換えるなどの対処をします。

一般に、セキュリティと使いやすさとは反比例する関係にあり、 使いやすさを追求すればセキュリティ上の弱点が拡大し、逆に、セキュリティを 強めれば、使いにくくなっていきます。 また、管理者がセキュリティをどれだけ高めようと、ユーザーが単純なパスワード を使用したり、パスワードを教えあっていたりしたのでは元も子もありません。 反対に、セキュリティを強化ばかりして、ユーザーに使いにくい環境では 何のためのネットワークか分からないばかりか、管理者がそれに追われることにも なりかねません。 うまくバランスを取るように心がけることが肝要です。



Noriyo Kanayama