HP-UX のネットワーク セキュリティ機能 HP-UX 11i v1 および 11i v2

HP-UX のネットワーク セキュリティ機能

HP-UX 11i v1 および 11i v2

目次

はじめに ...3 要約 ...3 ネットワーク セキュリティ技術とソリューション...4 インターネット プロトコル セキュリティ プロトコル スイート—HP-UX IPSec ...5 HP-UX IPSecの機能...6 HP-UX IPFilterによるパケット フィルタリング ...7

Secure Sockets Layer —SSL...8

HP-UX Secure Shell (SSH) ...8

HP-UX Secure Shellの機能と利点 ...9

Kerberosによるユーザー認証の強化 ...9

Kerberos Server ...10

Kerberos ライブラリ／ユーティリティ ...11

プラグイン可能認証モジュール (Pluggable Authentication Modules:PAM)...12

Secure Internet Services...12

GSS-API...13

LDAPディレクトリを使用した認証...13

LDAP-UX Integration...14

Windowsとの統合 ...14

LDAP-UX Client Services ...14

NIS/LDAP Gateway ...15

パスワード セキュリティに関する考慮事項...16

アカウント認可...16

AAA Server...17

HP-UX AAA Server (RADIUS) の機能と利点...18

インターネット サービス製品のセキュリティ機能...19

ドメイン ネーム サービス...19

ドメイン ネーム システムのセキュリティ拡張機能—DNSSec ...19

TSIGとTKEYによるトランザクション認証 ...20

セキュアな経路指定 ...20

次世代経路指定情報プロトコルとRoute Administration Manager (ramD) ...20

経路指定情報プロトコル (Routing Information Protocol)−RIP ...21

Open Shortest Path First 経路指定—OSPF ...21

ボーダー ゲートウェイ プロトコル (Border Gateway Protocol)—BGP ...21

インターネット サービス アクセスの保護 ...22 TCPサービス拒否攻撃の防御 ...22 Sendmailのセキュリティ機能 ...22 アンチスパム ...23 サービス拒否 ...23 その他のセキュリティ拡張機能 ...23 Sendmail の新機能 ...24 WU-FTP ...24 暗号化、ネットワーク セキュリティの基礎...24 HP-UX 11iで使用可能な暗号APIと暗号ツール キット ...24

HP-UX 11i v1 および v2 におけるBSAFE RSA バージョン 6.0.4 の高速化 ...25

HP-UX 11i におけるNES 4.0 性能の向上...25

優れた暗号性能...25 まとめ...26 付録A：製品情報 ...27 HP-UX 11iセキュリティ ソリューションおよび製品 ...27 HP-UX 11iセキュリティ製品の入手先 ...27 詳細情報 ...28 HP-UXセキュリティ ...28 Kerberos ...28 LDAP-UX...28 E-セキュリティ製品 ...28 規格 ...29 暗号化...29 HP-UX IPFilter...29 HP-UX IPSec ...29 付録B:用語集 ...30

2

はじめに

本書では、HP-UX 11i v1 (バージョン 1) および v2 (バージョン 2) のネットワーク セキュリティの特長について説明します。 ネットワーク セキュリティの技術とソリューションを取り上げ、認証技術と、DNS (ドメイン ネーム サービス) 経路指定、 sendmail、および暗号化におけるセキュリティ機能について説明します。また、HP-UX 11i ネットワーク セキュリティ製品 に関する情報も記載しています。HP-UXコア セキュリティ製品については、http://www.hp.com/jp/developer を参照してく ださい。

要約

HPは、ネットワーク セキュリティ分野における先進企業として高く評価されています1_{。HP-UX 11i v1 およびv2 は、「イン} ターネット分野のセキュリティをリードする」というHPの取り組みを具体化した製品です。この取り組みは、セキュリティ を損なうことなくeビジネスの構築を可能にする、業界標準ベースの豊富なディレクトリ対応ネットワーク セキュリティ機 能で示されています。 HP-UX 11i のネットワーク セキュリティ機能および製品の特長は次のとおりです。

ネットワーク セキュリティ製品の統合：HP-UX IPFilterやHP-UX Secure Shell (SSH) などのセキュリティ製品を、Bastilleや

Install Time SecurityなどのOS強化ツールに統合します。

HP-UX IPSec：IPSecプロトコル スイートのHP実装版です。IPv4 およびIPv6 パケットの認証と暗号化を提供します。HP-UX

IPSecは、暗号鍵を生成・配布するためのインターネット鍵交換 (IKE) プロトコル群もサポートします (AES 暗号化) 。

HP-UX IPFilter：オープン ソースのシステムファイアウォール機能IPFilterのHP実装版です。HP-UX IPFilterには、オープン ソー

スNAT機能とHP動的接続割り当て (DCA) に対するサポートも含まれ、スパムを撃退しDoS (サービス拒否) 攻撃から保護しま す。

HP-UX Secure Shell (SSH) ：オープン ソースSSHアプリケーションのHP実装版です。

LDAP-UX Integration：LDAP-UX Client Services、LDAP-UX Administration Tools、NIS/LDAP Gatewayが含まれます。LDAP-UX

Integrationは、Netscape Directory ServerなどのLDAPディレクトリ サーバとともに動作して、ネーム サービス データのリポ ジトリとしてLDAPディレクトリをHP-UXクライアント システムで使用できます。

Kerberos製品スイート：Kerberos Serverソフトウェア、Kerberos Clientソフトウェア、GSS-APIライブラリ、PAM Kerberos、

およびインターネット サービスのKerberos対応実装が含まれ、アプリケーションにセキュリティを組み込めます。

HP-UX AAA Server (RADIUS) ：認証されたネットワーク アクセスに使用されるAAA RADIUSネットワーク サーバ ソフトウェ

アのHP実装版です。RADIUSが提供する 3 つのサービスは、認証 (Authentication) 、認可 (Authorization) 、アカウンティング (Accounting) (頭文字をとってAAA) です。

HP-UX Mobile AAA Server (Diameter) ：HP-UX Mobile AAA Serverは、Diameter Base ProtocolとDiameter Mobile IPv4

Applicationに基づいています。これらのプロトコルは、DiameterサーバがAAAサービスをMobile IPエージェントに提供でき るようにする、情報交換用の標準を定義します。

Sendmailバージョン 8.11.1：Message Submission Agent (MSA) を使用するスパム制御とLDAPベースの経路指定が含まれます。 BIND 9.2：DNS Security (DNSSEC) と TSIGベースのトランザクション セキュリティ機能が含まれます。

WU-FTP 2.6.1：完全な仮想ホスト サポートとftpサービスへの限定アクセスが含まれます。

オープン ソース セキュリティ製品：HP-UX Internet Expressには、よく知られたオープン ソース セキュリティ アプリケーシ

ョンが備わっています。

暗号：ソフトウェアおよびハードウェアを用いた暗号アルゴリズムの高性能実装と、複数の暗号ツールキットおよび暗号API

が含まれます。

1 _{『1999–2000 Operating System Function Review』 D.H. Brown Associates, Inc. 発行}

HP は、ネットワーク セキュリティ分野におけるリーダーとしての地位を維持し、さらに強化することをお約束します。近 い将来、HP は、異機種ネットワークにおける集中認証、管理・構成の簡素化、エンドユーザーとアプリケーション開発者の ための高速暗号化、および OS の堅牢化などの各分野に注力します。 セキュリティ分野のHP製品では、ユーザーに業界一のセキュリティ ソリューションを提供するため、優れたパフォーマンス、 高可用性 (HA)、HP-UXとWindows 2000® の相互運用性、HP-UXとLinuxの相互運用性、ネットワーク管理など、別の中核技術 も活用されています。 ネットワークのセキュリティは暗号化に大きく依存していますが、暗号処理には計算が多用されるため、全体的なネットワ ーク性能が低下することがあります。しかし、暗号性能が優れていることは、HP のネットワーク セキュリティ ソリューシ ョンの重要な条件です。HP-UX 11i v1 および v2 の特長は、(1) アプリケーション開発者向けの暗号 API および暗号ツールキ ットの選択可、ならびに、(2) ソフトウェアやプラグイン ハードウェア アクセラレータを用いた最高速の暗号アルゴリズム の実装です。 このようなネットワーク セキュリティ機能を備えるHP-UXサーバおよびワークステーションにより、異機種ネットワークの 全体的なセキュリティが強化され、HP-UXサーバおよびワークステーションをWindows® 2000 サーバ、Linuxサーバ、他の UNIX®_{システムなど各種プラットフォームと相互運用できます。}

ネットワーク セキュリティ技術とソリューション

インターネットの利用が拡大するにつれて、インターネットを利用してビジネスを拡張する企業が増えています。企業ネッ トワークを拡張することで、企業はインターネットを通じて遠隔地の従業員やビジネス パートナとやり取りできます。イン ターネットを利用すると、企業は情報、サービス、商品を世界的規模で交換できます。企業はもはや物理的な境界に制限さ れることはありません。代わりに、効率的でセキュアなネットワーク通信が、急成長するビジネス ニーズに対応するために 欠かせないものになっています。 ネットワーク セキュリティとは、ネットワークがインターネットであれ企業イントラネットであれ、ネットワークを介して やり取りされるデータ項目を保護することです。ネットワーク セキュリティに十分注意を払わないと、ネットワークを介し て送信される IP パケットが次のような事態に遭遇する危険性があります。

• 転送中に改ざんされる (仲介者攻撃2_{, man in the middle attack)}

• 本来の発信元であるかのように別の発信元から届く (なりすまし攻撃) • ネットワーク リソースまたはシステム リソースが消費され、リソースを正当なユーザーが利用できなくなる (サービス 拒否攻撃) • 傍受される (盗聴攻撃) このような新しい環境では、インターネットは共有のネットワーク インフラストラクチャであるため、誰からでも攻撃を受 けやすくなっています。フィナンシャル・タイムズによれば、米国における攻撃的で破壊的なハッカーは 2 万人を超え、そ の数は毎月 5%の割合で増えています。「2003 Computer Crime and Security」3 (2003 年度 コンピュータ犯罪とセキュリテ ィに関する調査報告書) によれば、回答者 (主に大企業と政府機関) の 85%が過去 12 ヶ月間にコンピュータ セキュリティ侵 害を受けています。調査回答者の 35% (186 の組織) が被った経済的損害の合計額は、377,828,700 ドルにも及んだと報告さ れています。 企業は、外部からの脅威だけでなく内部のセキュリティ侵害にもさらされています。FBI によれば、セキュリティ侵害の大部 分 (80%) は内部からの攻撃により発生しています。このため、企業はビジネス ネットワーク環境をあらゆる側面で保護する ために、強力で費用対効果の高いセキュリティ機構を必要としています。 図 1 に示したように、コンピュータ システムの各層で使用可能なネットワーク セキュリティ技術が数多くあります。これ らの技術は、認証、機密性、データの完全性保護など、類似した一連のセキュリティ サービスを提供します。 2 _{仲介者攻撃の詳細については、用語集を参照してください。}

3 _{『2003 CSI/FBI Computer Crime and Security Survey』 Computer Security Institute ( CSI) 、2003 年発行}

図 1：TCP/IP スタックの各レベルにおけるセキュリティ技術

以下の項では、HP-UX 11i v1 および v2 で使用可能なネットワーク セキュリティ技術である IPSec (Internet Protocol Security Protocol Suite：インターネット プロトコル セキュリティ プロトコル スイート) 、IPFilter (パケット フィルタリング) 、SSL (Secure Socket Layer：セキュア ソケット レイヤ) 、SSH (Secure Shell：保護シェル) について説明します。

インターネット プロトコル セキュリティ プロトコル スイート — HP-UX IPSec

IETF (インターネット技術特別調査委員会) の IPSec (IP セキュリティ プロトコル) 作業部会は、IP 層における暗号ベースの認 証、完全性、および機密性の各サービスに関する一連の仕様を定義しています。HP-UX IPSec は、IPSec の HP 実装です。HP-UX IPSec は、ユーザー アプリケーションに対して透過的なセキュリティを実現します。IPSec はネットワーク スタックの第 3 層で機能し、ルール ベースのポリシー管理を実装します。図 1 で、他のセキュリティ アプリケーションに比べ、IPSec が ネットワーク スタックのどの位置にあるかを確認してください。

IPSec は、認証ヘッダ (AH:Authentication Header) 、暗号 ペイロード (ESP: Encapsulating Security Payload) 、インターネット 鍵交換 (IKE: Internet Key Exchange) 、インターネット セキュリティ アソシエーションと鍵管理プロトコル (ISAKMP: Internet Security Association Key Management Protocol) などの相互に関連するプロトコル ファミリから構成されています。AH と ESP は、IP ペイロードの暗号化と認証の方法を定義します。IKE と ISAKMP の役割は、秘密鍵生成の管理、通信当事者の認証、お よびそれらのセキュリティ アソシエーション (SA) の管理です。 図 2 に示したように、IPSec 技術を配備すると、公衆インターネットを通じて保護トンネルを提供できます。これらのトン ネルにより、リモート ワークステーションから企業イントラネットへのパケット転送の保護や、高価な専用回線の使用を必 要とせず、地理的に分散された部分をリンクできます。また、トンネルを使用して、ビジネス パートナのコンピューティン グ設備へのリンクや、モバイルおよび無線ノード通信のセキュリティの確保をすることもできます。 これらのいずれの場合でも、IPSec 技術により、事実上 VPN (仮想プライベート ネットワーク) 、つまりグローバル インタ ーネット内にプライベート ネットワークが作成されます。VPN が「プライベート」と呼ばれる理由は、外部のユーザーが転 送中のデータを見ることも変更することもできないからです。また「仮想」と呼ばれる理由は、VPN により、設備を共有し ない専用回線と同じレベルのプライバシを確保できるからです。

5

図 2：安全なネットワーク環境 電子商取引が急速に成長している中で、ビジネス パートナやパブリック アクセスのために、アプリケーション サーバを 「非武装地帯 (DMZ) 」、つまり企業ファイアウォールの外側に配置する企業が増えています。これらのサーバは、インター ネットからインバウンド接続できるため、攻撃を受けやすくなります。また、DMZ 内のアプリケーション サーバは、顧客 の要求を社内ネットワーク内のバックエンド サーバに送る必要があります。したがって、このようなサーバを保護するため に、堅牢なシステム プラットフォーム、動的フィルタリング、強力なクライアント認証を適切に配置する必要があります。 DMZ 内のサーバと社内ネットワーク内のバックエンド サーバ間の通信のセキュリティも確保する必要があります。 HP-UX IPSec は、DMZ とバックエンド サーバ間の通信を保護できます。また、HP-UX IPSec は、機密情報 (財務、人事、知的 財産などのデータベース) を格納するホストや、重要なネットワーク サービス (経路指定やドメイン ネーム サービスなど) を提供するホストの、企業イントラネット内での接続も保護できます。さらに、システムを遠隔管理するスーパーユーザー の接続も保護できます。

HP-UX IPSec のトランスポート モードでは、HP-UX IPSec を実行する別のホスト、または他社の IPSec を実行するホストに対 してホスト間セキュリティを提供できます。HP-UX IPSec のトンネル モードでは、他社の IPSec を実行するゲートウェイへの トンネルを実装できます。

HP-UX 11.0、11i v1、11i v2 の各オペレーティングシステムが HP-UX IPSecをサポートしています。HP-UX IPSecは無償であ り、ソフトウェア デポ (http://software.hp.com) からダウンロードするか、HP-UXアプリケーションCD/DVDから入手できま す。 HP-UX IPSec の機能 HP-UX IPSec の主な機能と利点は次のとおりです。 高速暗号化：HP-UX IPSecでは、PA-RISCおよびItanium用のDES、トリプルDES、およびAESを、高度にチューニングしたアセ ンブリ言語で実装しています。これにより、専用ハードウェアを使用しなくてもシステム パフォーマンスが大幅に向上しま す。

管理性：HP-UX IPSecには、アプリケーション レベルでのルール ベース ポリシーの構成を容易にするGUI (グラフィカル ユ

ーザー インタフェース) が装備されています。これらのポリシーでは、IPSecが監視・実行するアクセス制御とセキュリティ の強度を定義します。セキュリティ管理者はIPSecのレポート機能と診断機能を利用して情報を調べ、トランスポート ツー ルを使用してIPSecコンポーネントに障害が発生しているかどうか判断できます。また、例外イベントの監査記録が監査ログ に保存されます。さらに、インターネット鍵交換 (IKE) により、動的でスケーラブルな鍵の生成と管理が可能になります。 システム間で構成ファイルを移植できるため、複数のHP-UXシステム上で構成を簡単に複製できます。

柔軟な認証機能：HP-UX IPSecは、VeriSignやBaltimoreのPKIに加え、事前共有鍵もサポートします。HP-UX IPSecには使いやす

いGUIが装備されており、証明書の要求と構成を簡単に行うことができます。

相互運用性：HP-UX IPSecは、Microsoft®、Cisco、Linuxなど 25 を超える他社IPSec実装と相互運用が可能です。 IPv6 サポート：HP-UX IPSecをIPv6 トラフィックの保護に使用できます。

MC/Service Guard フェイルオーバーのサポート

モバイル IPv6 (MIPv6) のサポート：HP-UX IPSecは、MIPv6 トラフィックを保護できます。

HP-UX IPFilter によるパケット フィルタリング

1 つ以上の ファイアウォールにより、企業のイントラネットを侵入攻撃やサービス拒否攻撃から保護する必要があります。 そのための各種製品をHP-UXで利用できます。 しかし、外部または内部からの攻撃に対して各ホストを特別に保護しなければならないこともあります。これは、インター ネットから直接アクセスできる要塞ホストや DMZ 内のホストについて当てはまります。また、企業イントラネット内の機 密情報 (財務、人事、知的財産など) を格納するホストや、重要なネットワーク サービス (経路指定やドメイン ネーム サー ビスなど) を提供するホストについても、このような保護が必要です。 イントラネット内のホストを保護する効率的で効果的な方法は、システム ファイアウォール (ホスト ベースのファイアウォ ールとも呼ばれます) を使用することです。システム ファイアウォールとは、ホストの TCP/IP スタックに組み込まれたパケ ット フィルタリング機構であり、重要なサーバまたは個々のホストを保護するように特別に構成されたフィルタリング機能 を備えています。 あるネットワーク インタフェースを通じて受け取った受信パケットを破棄し、あて先アドレスが同じホストの異なるインタ フェースであるパケットを受信するように、複数のアドレスを持つ (マルチホーム) HP-UX システムを構成できます。また、 その複数のアドレスを持つ (マルチホーム) HP-UX システムで HP-UX IPFilter を使用すると、パケットの発信元アドレスが送信 に使用しているインタフェースの発信元アドレスと異なる場合に、パケットの送信を遮断することもできます。このパケッ ト フィルタリング機能は、IETF の RFC 1122 で規定されている Strong End-System (ES) 機能に該当します。

HP-UX IPFilterは、一般的なパブリック ドメインのステートフル インスペクション ファイアウォールIPFilterに基づいています。 HP-UXホスト上のシステム ファイアウォールとして使用する場合、HP-UX IPFilterは無償で提供されます。HP-UX IPFilterは、ソ フトウェア デポ (http://software.hp.com) からダウンロードできます。またHP-UX IPFilterは、HP-UX 11i v1 およびv2 オペレ ーティング環境 (OE) ソフトウェア パッケージと、HP-UX 11.0、11i v1、11i v2 のアプリケーション CD/DVDに同梱されて います。HP-UX IPFilterの主な特長は次のとおりです。 柔軟な構成オプション：インターネット サービスの限定的構成に代案を提供します。 ホストを経由するIPトラフィックに対する管理者指定制御：IPFilterは、次の条件に基づいて、ホストを経由するパケットを 明示的に許可または拒否します。 • IP アドレス (または IP アドレス範囲) • IP プロトコル (IP/TCP/UDP) • IP フラグメント • IP オプション • IP セキュリティ クラス • TCP ポートおよびポート範囲 • UDP ポートおよびポート範囲 • ICMP メッセージ タイプおよびコード • TCP フラグの組み合わせ • インタフェース

7

動的接続割り当て：いずれか 1 つのIPアドレスまたはサブネットからのIPFilterシステムへの接続数を制御します。スパムの 遮断に利用できます。 遮断されたパケットへの応答メッセージの返信：遮断されたパケットに対してICMPエラー/TCPリセットを返信します。 状態情報維持機能：TCP、UDP、およびICMPに対するパケット状態情報を維持します。 IPフラグメント制御：同じルールをすべてのフラグメントに適用し、フラグメント化されたIPパケットのフラグメント状態 情報を維持します。ルールで指定されている場合は、フラグメント化されたすべてのトラフィックを維持しません。

ネットワーク アドレス変換 (NAT) サポート：HP-UX IPFilterは、パブリック ドメインIPFilter の NAT機能をサポートします。 ロギングと解析：要求された場合に広範なログを作成し、統計情報と広範なログを作成するための情報を収集し、ルールで

指定されている場合はパケットをフォレンジック (forensic) 分析に送ります。

Secure Sockets Layer —SSL

SSL (Secure Sockets Layer: セキュア ソケット レイヤ) や TLS (Transport Layer Security: トランスポート層セキュリティ、イン ターネット技術特別調査委員会 (IETF) が標準化した、SSL と同等なもの) は、Web ブラウザとサーバ間の接続を保護します。 一般に SSL は、インターネットを介した Web ベースの取引におけるクレジット カード番号などの機密情報を保護するため に使用されます。SSL により保護された HTTP 接続では、URL で HTTPS プロトコル識別子が使用されています。 SSL では、認証と暗号化を使用してアプリケーション レベルでセキュリティを実現します。SSL を使用したアプリケーショ ンは、ユーザー レベルまたはサービス レベルのセキュリティ プロトコル (IPSec など) により提供される安全な転送に頼ら なくても、独自のセキュリティを確保できます。HTTPS は、SSL で保護されたアプリケーションの代表的な例です。ただし、 その他の各種アプリケーションでも SSL を使用して独自のセキュリティを確保できます。 通常 SSL は RSA を使用してサーバを認証しますが、クライアントを認証することもあります。トラフィックの暗号化/復号 化には RC4、DES、またはトリプル DES が、データの発信元と完全性の検証には HMAC-MD5 または HMAC-SHA1 が使用さ れます。

HP-UX Secure Shell (SSH)

オープンソース SSH テクノロジを採用した HP-UX Secure Shell は、リモート UNIX 端末セッションのセキュリティを確保す るために広く使用されており、ネットワーク インフラストラクチャに欠かせないものとして評価が高まっています。

HP-UX Secure Shellはネットワーク ユーティリティ (rlogin、rsh、rcpなど) に代わってセキュリティを実現し、安全なftpを可 能にします。HP-UX Secure Shellは各種の暗号化方法をサポートしており、データの完全性には暗号ハッシングを使用し、安 全で高速なデータ暗号化を実現するために公開/秘密鍵の両暗号化を組み合わせて使用します。SSH実装の基本アーキテクチ ャを図 3 に示しています。

HP-UX Secure Shellの最新版A.04.00.000/001（2005 年 8 月現在）は、OpenSSH Secure Shell v. 4.0p1 をもとに十分な検査 を行い、HP がサポートする製品です。HPは、HP-UXサポート契約を結ばれているお客様に対して無償でHP-UX Secure Shell のサポートを提供しています。HP-UX Secure ShellはHP-UX 11i v1 およびv2 オペレーティング環境 (OE) に同梱されており、 ソフトウェア デポ (http://software.hp.com/) からダウンロードすることもできます。

HP-UX Secure Shellの機能と利点

HP-UX Secure Shell の主な利点は次のとおりです。

特権分離：インターネットに接続されているシステムは攻撃を受けやすくなっています。プログラムに欠陥があると、攻撃 者がシステムを攻撃し、特殊な特権を入手できます。特権分離によりプロセスを分離すると、このような攻撃が困難になり ます。 シャドウ パスワードのサポート：シャドウ パスワード機能は、ルート ユーザーだけが読み取ることができるファイルにハ ッシュされたパスワードを保存することで、パスワードの脆弱性という問題に対処します。悪意のあるユーザーが /etc/passwordファイルからパスワードを入手してシステムを攻撃することを防止します。 強力な乱数生成のサポート：安全で複製不可能な真の乱数生成源です。 ポート転送/トンネリング機能：telnetやIMAPなどのTCPベースのサービスをSSHトンネルにカプセル化できます。パスワー ドだけでなく、送信中のデータがすべて自動的に暗号化されます。“AllowTCPForwarding” を “yes” に設定すると、クライア ントはリモート サイトで、すべてのポートのトラフィックをすべて転送できます。 X11 トラフィック トンネリング：Xプロトコル トラフィックは、プレーン テキストでは搬送されません。 透過的な暗号化/復号化：ネットワーク トラフィックの盗聴を防止します。

SSH-1 とSSH-2 のサポート：HP-UX Secure Shellは、両方のIETFプロトコルをサポートします。ただし、挿入攻撃を防止する

ために、より安全なSSH-2 プロトコルの使用を推奨します。

TCP、IPv6、Kerberos 4 および 5 のサポート：異なるネットワーク環境でも、ユーザーはHP-UX Secure Shellを簡単にセットア

ップできます。TCP WrapperをHP-UX Secure Shellとともに使用すると、サーバがインタフェース上で「リスンする」トラフ ィックをさらに限定できます。

各種認証のサポート：HP-UX Secure Shellは、パスワード、公開鍵、Kerberos、およびホスト型の各種認証方式をサポートし

ます。ローカル ユーザーに対してはパスワード型認証を、リモートユーザーに対しては公開鍵型認証をそれぞれ使用するこ とを推奨します。HP-UX Secure Shellがパスワードを暗号化するため、パスワード型認証によりパスワード スニフィング (盗 聴) 攻撃と辞書攻撃を防止できます。公開鍵認証では、すべてのサーバ上の公開鍵と、クライアント上に残ってパスフレー ズで保護される秘密鍵をHP-UX Secure Shellが維持します。この 2 段階管理 (公開鍵とパスフレーズ) では、パスワード型認証 よりも高いセキュリティが保証されます。

鍵の手動生成：HP-UX Secure Shellには、鍵ペアを手動で作成するための鍵生成ツール

ssh-keygenが備わっています。すべ

て手動で行う認証PKIでは、鍵回復サポート問題を低減するために、鍵の転送や保護を慎重にする必要があります。

Chroot環境のサポート：HP-UX Secure Shellは、ssh_chroot_setup.shスクリプトにより、SSHやSFTPの接続でchroot環境を容易

に構築できます。

Kerberos によるユーザー認証の強化

Kerberos プロトコルは、ネットワーク上でパスワードをプレーン テキストとは別の形式で送信してユーザー パスワードを 検証するため、企業全体のユーザー認証が強化されます。鍵配布センター (Key Distribution Center: KDC) と呼ばれる中央の Kerberos サーバがユーザーのパスワードを検証します。

HP Kerberos 製品には次のものが含まれます。 • HP-UX Kerberos サーバ ソフトウェア

• Kerberos v5 クライアント ソフトウェア、PAM Kerberos、およびユーティリティの HP 実装 • プログラム可能なセキュリティ API、GSS-API

• Kerberos クライアント ライブラリ

• ftp、rcp、rlogin、telnet、remshなどの、Kerberosで保護されたインターネット サービスのサポート

HP-UX は、アプリケーション クライアントとサーバ間の鍵交換も保護します。GSS-API を使用すると、アプリケーション プ ログラムでこの機能を利用できます。

HP-UX ログインでは、MIT Kerberos サーバ、Microsoft Windows 2000 ドメイン コントローラ、HP-UX Kerberos サーバなど、 任意の Kerberos v5 鍵配布センターを使用できます。これにより、他の UNIX ホストや Windows 2000 ワークステーション を含む異機種イントラネット内でも、共通の認証機能を利用できるようになります。さらに、Kerberos の HP-UX 実装はパス ワード変更プロトコルをサポートしているため、パスワード変更が自動的に伝播されます。これらの 2 つの機能により、異 機種環境でのユーザー管理の複雑さを著しく軽減できます。

IETF の RFC (Requests for Comment: コメント要求) 1510 で規定されているように、ユーザーと KDC 間で交換される情報はす べて、56 ビット DES アルゴリズムを使用して暗号化されます。HP の Kerberos Server 3.0 では、DES か 3DES を選択できま す。 デフォルトは DES です。

図 4 は Kerberos プロトコルを示しています。KDC (鍵配布センター) は、AS (Authentication Server: 認証サーバ) と TGS (Ticket Granting Server: チケット認可サーバ) という 2 つのコンポーネントから構成されます。アプリケーション クライアン トは、ユーザーに代わってログインします。アプリケーション サーバは 1 つのプログラムで、ユーザーまたはサービスのい ずれかになります。 図 4：Kerberos プロトコル 1. クライアントが AS にログイン セッション証明書を要求する。 2. AS が TGT とログイン セッション鍵を送信する。 3. クライアントが TGT と認証子を TGS に提出し、アプリケーション サーバ用の証明書を要求する。 4. TGS がサービス チケットとセッション鍵を送信する。 Kerberos は、一意の共有秘密鍵とチケットと呼ばれるトークンを、ネットワークにログオンする各クライアントに割り当て ることにより機能します。メッセージの送信者を識別するために、チケットがメッセージに埋め込まれます。 KDC がクライアントの TGT (チケット認可チケット) を作成し、KDC 鍵を使用して TGT を暗号化します。次に、暗号化され た TGT をクライアントに返送します。クライアントは、その TGT を使用してサービス チケットをさらに取得します。この サービス チケットで、クライアントの本人確認が行われます。

Kerberos Server

HP-UX Kerberos Serverバージョン 2.1 は、HP-UX 11iオペレーティング環境 (OE) のサポート契約に基づいて、独立したソフ トウェア ユニットとしてHP-UX 11i v1 上で完全にサポートされます。Kerberos ServerはOEで動作することが十分に検査され ており、互換性が保証されています。HP-UX 11i Kerberos Serverソフトウェアは、ソフトウェアデポ (http://software.hp.com)

から無償ダウンロードできます。また、HP-UXアプリケーションCDにも同梱されています。Kerberos Server 3.1 はHP-UX 11i v2 上でもサポートされます。HP-UX 11i v2 用 Kerberos Server 3.1 は、ソフトウェア デポ (http://software.hp.com) からダウ ンロードできます。また、2004 年 9 月版の 11i v2 用アプリケーションCDに同梱されています。 Kerberos Server の主な特長は次のとおりです。 柔軟性が強化されたパスワード：パスワード ポリシーは、本人 (principal: プリンシパル) が所属しているインスタンス名で はなく、本人が加入しているポリシーに基づいています。これにより柔軟性が向上し、本人が /opt/krb5/password.policyフ ァイル内のどのポリシーにも加入できるようになりました。 強力なセキュリティ：パスワードがネットワーク上で搬送されることがありません。秘密鍵は、暗号化された形式でのみネ ットワークを通過します。このため、安全でないネットワーク上での会話に対して悪意のあるスヌーピングやロギングが行 われても、ネットワーク会話の内容から十分な情報を推測できないため、認証されたユーザーまたはターゲット サービスに なりすますことはできません。 認証されたユーザーのみ企業ホストにアクセス可能：企業リソースへの高速シングル ログオンを備えた、業界標準の強固な 認証を実現します。 相互認証：ネットワーク接続の両端の当事者が、他方の当事者が本当の当事者であるかどうかを知ることができます。クラ イアント システムとサーバ システムが、プロセスの各ステップで相互に認証し合います。このため、クライアント システ ムとサーバ システムの双方が、本物の相手と通信していることを確認できます。 シングル サイン オン機能：アプリケーションに個別にサイン オンするのではなく、一度サイン オンするだけで、複数のア プリケーションに 1 つのパスワードでアクセスできるようにすると、時間を節約しネットワーク セキュリティのリスクを低 減できます。ユーザーがネットワークにサイン オンすると、サーバがパスワードを認可チケットに変換します。次に、この 認可チケットによりサービス チケットが作成され、サービス チケットによりユーザーが認証され、Kerberos対応のアプリケ ーションとサービスすべてにアクセスできるようになります。このように、シングル サイン オンにより、ユーザーは複数 のアプリケーションとサービス (ネットワーク上のどこにあっても) に自動的にアクセスできます。

MITとW2K の KDCによる相互レルム認証のサポート：標準的な認証の他に、Kerberos Serverはcross-realm認証をサポートし、

MIT Kerberos 5 リリース 1.2.2 仕様のKDC (鍵配布センター) としても機能します。このため、1 つのプラットフォーム (Windows® 2000 など) を通じて証明書を取得したクライアントは、HP-UX Kerberosサーバに対して認証されます。HP-UX Kerberosサーバは、HP-UXアプリケーションおよびサービスに対する証明書を作成します。これらはすべてシングル サイン オンで行われます。 パスワードの同期：ある環境でパスワードを変更すると、すべての環境でそのパスワードが変更されます。これにより、パ スワードの管理が容易になります。 マスタ/スレーブ複製：別のKDCへの動的データ伝播により、高可用性のための冗長なKDCや、ロードバランスによる高い 性能がもたらされます。 複数レルムのサポート：管理が容易になります。 二重鍵暗号化方式：Kerberosモデルで採用された方法で、特定のクライアント システムとサービス間で共有される秘密を構 成するサービス セッション鍵が生成されます。この共有される秘密は、クライアントとターゲット サービス間のメッセー ジを暗号化する鍵として使用され、Kerberos対応トランザクションのセキュリティをさらに強化します。 LDAP-UX Integration：KerberosサービスとLDAP-UXサービスを統合します。この機能は 2003 年 12 月にソフトウェア デポか らダウンロード可能になり、2004 年 3 月にはアプリケーションCDに同梱される予定です。

Kerberos ライブラリ／ユーティリティ

HP-UX 11i には、MIT リファレンス実装と互換性がある Kerberos ユーティリティと Kerberos クライアント ライブラリが備わ っています。OS コアの一部として配布される Kerberos ユーティリティには、次のツールが含まれています。

• kinit：TGT (チケット認可チケット) とログイン セッション鍵を取得して、キャッシュする。

• klist：証明書キャッシュ内のチケットおよび関連するセッション鍵を一覧表示する。

• kdestroy：本人 (プリンシパル) のログイン コンテキストおよび関連する証明書を削除する。

• kpasswd：KDCにより格納されたユーザー パスワードと対応する長期間鍵を管理する。

• ktutil：keytabファイルを保守する。

• kvno：リビジョン番号を返す。

Kerberos クライアント ライブラリは HP-UX 11i OS コアの一部でもあり、32 ビットまたは 64 ビットのどちらのモードでも リンクできます。

プラグイン可能認証モジュール (Pluggable Authentication Modules:PAM)

HP-UX は、オープン グループの RFC 86 で規定されている PAM (プラグイン可能認証モジュール) アーキテクチャの一部とし て、Kerberos 認証を提供します。PAM により、構成ファイルは使用する認証モジュールを決定します。PAM ではセキュリテ ィ強度レベルが異なる各種認証機構が組み合わされており、システムを再起動せずに PAM を簡単に構成できます。

図 5 に示したように、PAM を使用する HP-UX アプリケーション サービスは telnet、login、remsh、ftp、rexec、rlogin、 dtlogin、rcp です。PAM Kerberos は、UNIX サーバまたは Microsoft Windows 2000 サーバ上で実行される KDC と相互運用さ れます。PAM NTLM は、NT LanManager プロトコルを使用して、Microsoft Windows NT 4.0 ドメイン コントローラに対し て HP-UX ユーザーを認証します。

図 5：HP-UX 認証と PAM

Secure Internet Services

Kerberos 認証の特別なケースとして、PAM Kerberos がローカル ホストに対してユーザーを認証することがあります。通常 は、リモート ホスト上で実行されるアプリケーションに対するユーザーの認証を可能にします。このような一般的な Kerberos 認証機能を利用するように変更されたアプリケーションは、「Kerberos 対応」アプリケーションと呼ばれます。 HP-UX 11i v1/v2 には、ftp、rcp、rlogin、telnet、remshユーティリティなど、Kerberos対応の安全なインターネット サービ スが含まれています。安全なインターネット サービスが使用可能な場合、認証のためにこれらのコマンドすべてでKerberos を使用します。安全なインターネット サービスにより、パスワードが入力したままの文字でネットワーク上に送信されるこ とはありません。このため、データの改ざんや盗聴といった重大な攻撃を受けることがなくなります。ただし、これらのサ ービスでは、初回の認証後に安全な接続を確立しません。したがって、積極的な攻撃者によって接続確立後に接続を乗っ取 られる可能性もあります。HP-UX IPSecを使用すると、安全な接続を確立できます。

Kerberos対応アプリケーションの具体的な例として、telnetについて検討してみましょう。Kerberos対応telnetを使用してリモ ート ホストにアクセスする場合、パスワードの入力は求められません。ローカル ホストはパスワードの代わりに、ユーザ

ーがローカル ホストに初めてログインした際にKDCから取得した証明書 (ログイン セッション鍵とTGT) を使用して、リモー ト ホストに関する証明書 (セッション鍵とサービス チケット) を取得します。ローカル ホストはセッション鍵を使用して認 証子を作成し、その認証子とサービス チケットをリモート ホストに送信します。リモート ホスト上のKerberos対応telnetサ ーバは、サービス チケットを復号化し認証子を検証することで、ユーザーの本人確認を行います。パスワードは使用されま せん。

telnetがKerberos対応でない場合、リモート ホスト上のtelnetサーバは、ユーザーにパスワードの入力を求めるログイン プロ セスを作成します。このパスワードは、ネットワーク経由でリモート ホストに送信されます。リモート ホストのログイン プロセスで、このパスワードを使用してユーザーを認証します。

アプリケーション開発者は、Kerberos ライブラリまたは Kerberos 機構を備える GSS-API (次項を参照) を使用して、Kerberos 対応アプリケーションを実装できます。 積極的な攻撃が懸念される場合、アプリケーションは、アプリケーション クライアントとサーバ間で Kerberos により確立さ れた共有の秘密を使用して、安全な接続を確立できます。GSS-API を利用すると、これを簡単に行うことができます。別の 方法として、クライアントとサーバ間に IPSec セキュリティ接続を確立すると、接続乗っ取りなどの積極的な攻撃を阻止す ることもできます。

GSS-API

IETF の RFC 2743 で規定されている GSS-API (Generic Security Services Application Program Interface) は、各種の基盤となる 通信プロトコルとは別に、クライアント／サーバ アプリケーションにセキュリティ サービスを提供します。このサービス には、データの認証、完全性、および機密性が含まれます。システム管理者は、アプリケーションで使用する保護品質を構 成できます。その際、アプリケーション レベルでの変更は不要です。

IETF の共通認証技術に関する作業部会が、GSS-API により透過的にアプリケーションに提供されるセキュリティ サービスを 実装するための暗号化機構をいくつか定義しています。GSS-API 機構としての Kerberos の使用法が、IETF の RFC 1964 で規 定されています。 GSS-API は、ピア間で確立されたセキュリティ コンテキストを使用して、2 つのピア間での安全な通信を実現します。コン テキストは、トークン交換により確立されます。Kerberos を暗号化機構の基盤として使用する場合、サービス チケットと認 証子を含むトークンを、クライアントがアプリケーション サーバに送信します。相互認証が必要な場合、アプリケーション サーバの認証子を含むトークンを、アプリケーション サーバがクライアントに送信します。2 つのホスト上の GSS-API ライ ブラリの役割はトークンの作成と処理ですが、アプリケーションの役割はクライアントとサーバ間でのトークンの転送です。

HP-UX 11i には、OS コアの一部として GSS-API ライブラリ (Kerberos 機構を含む) が提供されています。これらのライブラリ は、32 ビットまたは 64 ビットのアプリケーションとリンクできます。

LDAP ディレクトリを使用した認証

企業が発展しコンピューティング リソースの需要が高まるにつれて、コンピューティング システムの管理費用も増加しま す。高度な分散環境では、局所的なセキュリティの実施や管理の方法に一貫性がなく、冗長であり、監査することも困難で す。このような問題に対処するためのNIS (Network Information Service: ネットワーク情報サービス4) などのツールもありま すが、NISは大規模環境向けです。企業のIT設計者は、上記の業務の多くを統合するための有用なツールとしてLDAP (Lightweight Directory Access Protocol: 軽量ディレクトリ アクセス プロトコル) ディレクトリを評価しています。

LDAP ディレクトリは、企業で様々な役割を果たすことができます。代表的な用途は、従業員／顧客データの保守です。たと えば、電子メール アプリケーション用のアドレス データベースを提供するために、多数の LDAP ディレクトリが使用されて います。また、LDAP ディレクトリを拡張して、企業アプリケーションの共通構成プロファイル情報を格納することもできま す。さらに、LDAP ディレクトリを利用すると、アプリケーション、ネットワーク、および従業員データの集中管理と委託管 理の両方を実現することもできます。

4 _{NIS ( Networkk Information Service: ネットワーク情報サービス) とPAM ( Plugin Authentication Module: プラグイン可能認証モジュール) は、}

SUN Microsystems社が開発したONC+™サブシステムのコンポーネントです。

LDAPとHP-UXの統合を容易にするために、HPはイントラネット用の無償ソフトウェア バンドルとしてNetscape LDAP Directory Serverを提供しています。Netscape LDAP Directory Serverは 11i v1 (v2 用は 2004 年 4 月予定) リリースのアプリケ ーションCDに同梱されています。また、HP-UX 11i v1/v2 用はソフトウェア デポ (http://software.hp.com) からダウンロー ドすることもできます。

また、HP は HP-UX 自体に LDAP のサポートを追加しました。これは、HP-UX 上で LDAP サーバを認証サービスとネーム サー ビスの両方として使用する、統合に向けての第一歩です。LDAP をこのように使用することで、NIS 型のアーキテクチャに代 わるスケーラブルで強力なアーキテクチャが可能になります。 必要に応じてメタ ディレクトリとともにLDAPディレクトリを使用すると、スケーラビリティが確保されるだけでなく、各種 アプリケーションを確実に統合できます。たとえば、HP-UXのアカウント情報と人事管理 (HR) データベースを統合し、デー タと管理を連結できます。このため、HRデータベース内の名前を変更することで、HP-UXアカウントのfinger情報を変更でき ます。

HP-UX 11i v1、v2 で利用可能な LDAP ソリューションについては、以降の項で説明します。 • LDAP-UXIntegration

• LDAP-UX Client Services • NIS/LDAP Gateway

• パスワード セキュリティに関する考慮事項 • アカウント認可

LDAP-UX Integration

HPでは、HP-UXとLDAPディレクトリの統合を容易にする 2 つの製品を用意しています。LDAP-UX Client ServicesとNIS/LDAP

Gatewayです。

RFC 23075_{で定義されているNISスキーマ、またはMicrosoftのServices for UNIXスキーマ}6_{など類似の構文スキーマを使用して、}

HP-UXアカウント、グループ、およびその他のデータをLDAPディレクトリに格納できます。デフォルトでは、LDAP-UX Integration製品はRFC 2307 スキーマを使用してLDAPディレクトリ内のエントリを参照します。

Windowsとの統合

LDAP-UX Integration の設計は柔軟であり、Microsoft 互換の構成プロファイルが含まれています。LDAP-UX 製品は、Windows 2000 Active Director Server (ADS) とともに動作することが確認されています。また、Microsoft Services for UNIX スキーマ バ ージョン 2.0 および 3.0 もサポートしています。

LDAP-UX を PAM Kerberos と組み合わせると、HP-UX システムを Windows 2000 環境に統合できます。さらに、LDAP-UX を使 用すると、HP-UX および Windows のグループ共有を簡単に管理できます。LDAP-UX は、X.500 “member” および

“uniquemember” 構文を認識できます。このため、Posix ユーザー (memberUid) と Windows ユーザー (member) の 2 つリスト を保守する必要はありません。

LDAP-UX は、フォレスト内の任意のドメインから HP-UX システムにログインする機能もサポートしています。

LDAP-UX Client Services

LDAP-UX Client Services 製品には、LDAP ベースの PAM (プラグイン可能認証モジュール) と NSS (Name Service Switch: ネー ム サービス スイッチ) モジュールの両方が提供されています。これらのモジュールは、HP-UX アプリケーションと LDAP デ ィレクトリとのシームレスな統合を可能にします。

アカウント情報を取得する必要がある場合、アプリケーションはgetpwnam()やgetpwuid()などのネーム サービスAPIの 1 つを 呼び出します。これらのルーチンは、NSSサブシステムのフロントエンドの一部です。NSSサブシステムは次に、

5 _{Howard著『An Approach for Using LDAP as a Network Information Service』RFC 2307、ftp://ftp.isi.edu/in-notes/rfc2307.txt} 6 _{Microsoft、Services for Unix、http://www.microsoft.com/catalog/display.asp?site=11269&subid=22&pg=1}

/etc/nsswitch.conf構成ファイルを使用して、要求を処理するバックエンド モジュールを決定します。nss_ldapモジュールが 選択された場合、要求はLDAP検索操作に変換され、その結果は呼び出し側に戻されます。

loginやユーザー認証ftpデーモンなどのアプリケーションは、PAMを使用します。図 6 に示したように、PAMフロントエンド

モジュールは/etc/pam.confファイルを使用して、認証要求を処理するバックエンド モジュールを決定します。pam_ldapモ ジュールが選択された場合、認証要求はLDAPバインド操作に変換されます (pam_ldapは最初、ldap_simple_bindのみ使用し ます) 。 図 6：LDAP と PAM および NSS の統合 認証要求の他に、pam_ldapサブシステムはパスワード変更とパスワード ポリシー通知 (パスワードの有効期限が切れた場合 など) もサポートしています。PAMサブシステムの利点は、LDAPサーバがサポートするあらゆる変換を、格納前のパスワー ドに適用できることです。従来からUNIXシステムではUNIX暗号変換が利用されていますが、別の変換の方が暴力的な攻撃 や辞書攻撃に強い場合があります。

NIS/LDAP Gateway

NIS/LDAP Gatewayは、クライアントからのNIS要求をLDAP照会に変換します。次に、検索結果を変換し、クライアントに応 答を返します。NISは、NSSサブシステムの別モジュールです。このモジュールに割り当てられるアカウント、グループ、ま たはその他のデータについてのNSS要求がNIS RPC要求に変換され、NIS/LDAP Gateway (YPLDAPとも呼ばれます) により処 理されます。ypldapdデーモンがNIS RPCを類似したLDAP検索操作に変換した後、その検索結果をNIS RPC応答に変換し直し ます。

現在では、NIS を使用する環境に NIS/LDAP Gateway を簡単に配置できます。このような環境では、既存の NIS サーバを

15

NIS/LDAP Gateway に置き換えることができます (図 7 参照) 。LDAP サーバは NIS マスタ サーバの役割を果たし、YPLDAP サ ーバは NIS スレーブ サーバに取って代わります。

図 7：既存の NIS サーバに取って代わる YPLDAP

パスワード セキュリティに関する考慮事項

LDAP-UX Client Services と NIS/LDAP Gateway には、それぞれに固有のセキュリティ上の利点と制限があります。LDAP-UX Client Services では、LDAP サーバがサポートするあらゆる形式で、パスワードをディレクトリに格納できます。これらの形 式の中には、暗号よりも強力なものがあります。現在、LDAP-UX はシンプルなパスワード認証と SASL Digest-MD5 の両方を サポートしています。SSL は、ディレクトリ サーバとの通信を保護するためにサポートされています。

一方、NIS/LDAP Gateway は UNIX 暗号変換を使用します。パスワードは、暗号形式でディレクトリに格納されます。ユー ザーがログインすると、ゲートウェイがディレクトリからパスワードの暗号変換を取得し、NIS クライアントに送信します。 NIS クライアントで、この暗号変換が、ユーザーが入力したパスワードの暗号変換と比較されます。この場合、パスワード がプレーン テキストのままでネットワーク上で送信されることはありません。 ただし、ネットワーク上で詮索された場合、パスワードの暗号変換は、パスワード解読プログラムにより実行される辞書攻 撃や暴力的な攻撃を受けやすくなります。この種のプログラムは簡単に入手でき、安易に選ばれたパスワードに対して強い 威力を発揮します。したがって、ディレクトリとゲートウェイの間、および、ゲートウェイとクライアントの間の基盤とな る通信チャネルを HP-UX IPSec または SSL で保護する必要があります。

LDAP-UX Integration 製品については、別のホワイトペーパーで詳しく説明されています (『Preparing your LDAP Directory for HP-UX Integration』や『Installing and Administering LDAP-UX Client Services』など) 。その他の LDAP-UX ドキュメントについ ては、本書の末尾を参照してください。

アカウント認可

2001 年 12 月、HPはlibpam_authzをリリースしました。この新しいPAMライブラリは、他のPAMライブラリによる認証と 協調して、ログイン認可を提供します。

l

ibpam_authzは、/etc/passwd

でのNIS netgroupフィルタリングと同様に、

netgroupメンバーシップに基づいてログインの許可または拒否を決めます。

認証に他のPAMライブラリ (libpam_krbやlibpam_ldapなど) を使用する場合、libpam_unixで使用するNIS netgroupフィルタ リング構文が失われることがあります。libpam_authzが必須モジュールとして/etc/pam.confファイルのloginセクションに追 加される場合、この機能は復元されます。NIS netgroupフィルタリングの詳細については、passwd(4)マン ページを参照して ください。libpam_authzの詳細については、pam_authz(5) マン ページを参照してください。

AAA Server

HP-UX AAA Serverは、HP-UXプラットフォーム用のAAA (Authentication: 認証、Authorization: 認可、Accounting: アカウンテ ィング) サーバ ソフトウェアです。一般に、この製品をRADIUS7サーバと呼びます。HP-UX AAA Serverのプライマリ クライ アントは、ユーザー デバイス／コンピュータのネットワークへの接続を許可する前に、エンドユーザーを認証する必要があ るネットワーク アクセス デバイス (VPNゲートウェイ、無線LANアクセス ポイント、LANスイッチ、ダイヤルイン ユーザ ーを接続するネットワーク アクセス サーバ) です。HP-UX AAA Serverは、請求、監査、および使用量記録の各アプリケーシ ョンで利用できる使用状況情報も収集します。RADIUSは本来、ISP環境用に作成されたものです。しかし現在では、VPNと 無線LANのセキュリティを向上するために企業環境に展開され、データ サービスに対するAAAサポートのために電気通信環 境に展開されています。

最近では、無線 LAN (WLAN) のセキュリティについて多くのことが公開され詳しく調査されています。無線環境では、デバ イス (一般的なユーザー デバイスはラップトップ、PDA、携帯電話) にネットワーク アクセスを提供する前に、エンドユー ザーを認証するために AAA (または RADIUS) Server を使用します。AAA Server は、各ユーザーに関する情報も提供 (つまり 「認可」) します。たとえば、ユーザーが使用を認可されているサービスや、ユーザーのアクセスが制限される時間を提供 します。さらに、AAA Server は請求や監査のための使用状況情報 (ユーザーの活動) も収集します。

HP-UX AAA Serverは、ProCurve Access Point および Switche、Evo Notebook、Internet Usage Managerなど、他のHP-UX無線 製品とともに使用できます。HP-UX AAA Serverを使用してWLANのセキュリティを向上する方法については、ホワイト ペー パー『Wireless LAN Design and Deployment with HP-UX AAA RADIUS Server』と次のサイトのドキュメントを参照してくだ さい。

http://docs.hp.com/hpux/internet/index.html#HP-UX%20AAA%20Server%20%28RADIUS%29.

7 _{RADIUS ( Remote Authentication Dial-In User Service) は、ネットワーク接続でのユーザーIDとパスワードを確認する認証サービスを提供しま}

す。「リモート」と「ダイヤルイン」という言葉が含まれてますが、RADIUSは、無線LANアクセスポイント、物理LANスイッチ、ファイアウ ォール、VPN、インターネットなどあらゆる種類のネットワーク アクセス接続で動作します。

図 8：ネットワーク アクセス ポイントでの認証とアカウンティングに使用する HP-UX AAA Server

HP-UX AAA ServerはHP-UXオペレーティング システムの機能の一部であり、http://software.hp.comからダウンロードできま す。

HP-UX AAA Server (RADIUS) の機能と利点

HP-UX AAA Server は、多様なネットワーク トポロジと認証要件に対応できる柔軟性を備えた、強力でスケーラブルなソリ ューションです。HP-UX AAA Server はモジュール式のオブジェクト指向アーキテクチャで設計されており、優れたパフォー マンスを発揮します。

HP-UX AAA Server の主な特長は次のとおりです。

標準のサポート

：ネットワーク アクセス制御に関する「すべて」の主要な標準と独自仕様をサポートします。

LDAPとOracleの統合：ローカル認証方法に加え、LDAPバージョン 3 に準拠したディレクトリとORACLEデータベースに対す

るユーザー認証をサポートします。

無線LANのセキュリティをサポートするEAP：EAP (Extensible Authentication Protocol) をサポートしているため、企業やアク セス プロバイダは、無線LANアクセス ポイントや有線スイッチを介してLANへ接続する、ユーザーの認証を管理できます。

Cisco Lightweight Extensible Authentication Protocol (LEAP) のサポート：Cisco Aironet 802.11x Wireless LANクライアントと

アクセス ポイント間のCisco独自の鍵交換方法をサポートします。 動的アクセス制御：時間と曜日を基準にしてアクセスを制御できます。指定日にパスワードとアカウントを無効にできます。 堅牢なRADIUSプロキシ機能：ダイヤル番号 (DNIS) 、レルム、またはカスタム基準により認証要求とアカウンティング要求 を別のRADIUSサーバに転送できます。再試行およびタイムアウト時間の設定が可能です。 複数ベンダーの RADIUSクライアントのサポート：属性マッピングが可能な、複数ベンダー辞書により、主要なNASベンダ ーをサポートします。また、新しいベンダーと機能を簡単に追加できます。 柔軟でカスタマイズ可能なセッション ロギング：大量のセッション情報と希望するアカウンティング情報を取得するように、

ユーザー セッションの制限：並行したログインについて、ユーザー制限、グループ制限、またはカスタム制限を設定するこ

とで、同時セッションを制限できます。

RADIUS RFC標準：RADIUSプロトコルと属性 (RFC 2865 で定義) 、RADIUSアカウンティング (RFC 2866 で定義) 、RADIUS拡

張機能 (RFC 1869 で規定) 、およびトンネル サポート (RFC 2867 とRFC 2868 で規定) を提供します。

インターネット サービス製品のセキュリティ機能

HP-UXインターネット サービス製品は、TCP/IPベースのネットワーク上で相互運用するHP-UXユーザーにとって、不可欠なネ ットワーク サービスを提供およびサポートします。セキュリティ問題に対処するために、これらのサービスを開発しました。 たとえば、本書の Kerberosの項で説明した、Secure Internet Services により、ftp、rcp、rlogin、telnet、remshサービスに対 する強力なユーザー認証が可能になります。セキュリティ機能が組み込まれたその他のサービスとして、DNS/BIND、 sendmail、WU-FTPD、gated、保護inetdがあります。

ドメイン ネーム サービス

BIND (Berkeley Internet Name Domain) は、サーバとクライアントの両方を対象としたドメイン ネーム システム (Domain Name System: DNS) を実現したものです。DNS は、インターネット ドメイン ネームを IP アドレスにマッピングするための 標準的な方法です。

HP-UX 11i v1 には BIND 8 が同梱されています。 v2 には BIND9.2.0 が同梱されています。 BIND 8.1.2 は、IP アドレス ベー スのアクセス制御リスト (Access Control List: ACL) をサポートします。ACL の制限対象は次のとおりです。

• ネーム サーバを照会できるホスト • ネーム サーバからゾーン転送を開始できるホスト • 照会の送信先として使用可能なネーム サーバ • 動的な更新を要求できるホスト これらのアクセス制御は、IP ヘッダ内の発信元 IP アドレスに基づいて、トランザクション開始者の確認を行います。追加の 予防措置が講じられていない場合、IP アドレス スプーフィングによりこの制御機構が破壊されることがあります。これは、 既存のインターネット DNS バージョン 8.1.2 におけるセキュリティ上の周知の制限事項です。しかし、HP-UX IPSec を使用 すると、IP アドレス スプーフィングを防止できます。 IETFでは、DNSSEC、TSIG、TKEYなどのDNSセキュリティ プロトコルを導入する方向で、インターネットDNSのセキュリテ ィ上の制限問題に取り組んでいます。これらのプロトコルは、BINDバージョン 9.2 に実装されています。BIND 9.2 は、ソフ トウェア デポ (http://www.software.hp.com/) の[security and manageability]からダウンロードできます。BIND 9 は、基本的 なBINDアーキテクチャを全面的に書き換えたものです。この書き換えは、予想される次のような需要に応えるために必要で した。 • ドメイン ネーム システムの巨大化。特に、数 GB (ギガ バイト) の代替バックエンド ゾーン データベースをサポート する.COM などの大規模ゾーン。 • ゾーンに対する安全な照会と更新のために必要なプロトコル拡張。 • IP バージョン 6 (IPv6) の特定のアーキテクチャ機能を利用するために必要なプロトコル拡張。 BIND 9.2 のセキュリティに関する主な特長は次のとおりです。 • DNSSEC のサポート • TSIG のサポート • 監査性 • ファイアウォールのサポート (分割 DNS)

ドメイン ネーム システムのセキュリティ拡張機能—DNSSec

ネットワーク レベルで積極的な攻撃を受けると、DNS は攻撃側にとって有用なデータを返送してしまいます。規格案 RFC 2535 で規定されている DNSSEC では、ゾーン管理者によるゾーン データのデジタル署名を可能にする非対称暗号を使用す

19

ることで、セキュリティが考慮されているリゾルバ(resolver)やアプリケーションに対してデータの完全性と認証を提供しま す。DNSSec は DNS への、認可されていないアクセスを防止し、回線上でのドメインネームからアドレスへのマッピングの 改ざんを阻止します。また、DNSSEC を使用して、DHCP の動的な更新を許可された管理者だけに制限することで、この更 新を保護することもできます。

「DNS Security Operational Considerations」 (DNS セキュリティに関する運用上の考慮事項)がRFC2541 で取り上げられて おり、DNS リソース レコード、KEYおよびSIGとともに使用される鍵や署名の運用面について説明されています。

TSIGとTKEYによるトランザクション認証

BIND 9 では、Transaction Signature または TSIG を使用して、トランザクションのセキュリティを暗号により確保できます。 つまり、リゾルバとネーム サーバで共有される鍵を 1 つ構成し、それを使用して相互の通信を署名します。 特に、トランザクションで交換されるデータの完全性と発信元が、関連サーバ間で 1 つの鍵を共有する HMAC-MD5 により 保護されます。この鍵は、手動構成プロセスにより関係者に安全に配布する必要があります。 TKEY プロトコルでは、DNS トランザクションの関係者が秘密共有データを規定することにより、TSIG プロトコル用の共有 鍵の配布上の問題に対処しています。TSIG では、関連するネーム サーバ間の時間同期が必要であり、鍵自体だけでなく鍵 の名前もサーバ上で一致しなければなりません。また、TSIG では、ゾーン データの完全性や公開鍵の保護バインディング は提供されません。

分割 DNS

これまで、DNS では、領域の境界で DNS を「分割」することにより、ローカルなプライベート ネームに到達することが一 般的であったため、領域の内側にあるか外側にあるかにより、または、各リゾルバに異なる応答を返し、内側と外側で異な るサーバを使用していました (RFC 1918 に規定されているように) 。このような比較的複雑な構成は、初期の DNS アーキテ クチャが単純なグローバル ツリー構造に基づいているため、実装が困難です。 BIND 9.2 には、要求元が誰であるかに応じてネーム サーバによるDNS照会への応答方法を変えさせるview文が実装されて おり、複数のサーバを実行しない分割DNS設定の実装に特に有用です。これは、定義済みの

address_match_list

に一致す るIPアドレスを持つクライアントが参照する、DNSネームスペースの様々なビューを定義することで実現されます。view文 内で定義されたゾーンにアクセスできるのは、そのビューのアドレス一致リスト (address_match_list) と一致するクライアン トのみです。複数のビューで、同じ名前を持つゾーンを定義することで、各クライアント (たとえば、分割DNS設定におけ る「内部」または「外部」クライアント) に別々のゾーン データを提供できます。

セキュアな経路指定

標準的な経路指定プロトコルと経路指定構成により、世界中の誰でも経路指定を再構成できます。接続が乗っ取られ、意図 していないネットワークに接続されることがあります。しかし、HP-UXは、gatedデーモンとramD、RIP プロトコル、OSPF プロトコル、およびBGPプロトコルにより、安全な経路指定を提供できます。

HP-UXの経路指定デーモンgatedは、2 つの内部経路指定プロトコル (RIPとOSPF) と外部経路指定プロトコルBGPをサポート

します。gatedには、信頼度による経路指定情報の送信元をランク付けするための構成可能なオプションや、最も信頼できる

送信元からの特定あて先情報を最初に受け入れるための構成可能なオプションがあります。また、明らかに無効な経路の一 部 (ループバック アドレス 127.*.*.* など) を除外する機能もあります。さらに、gatedには、監査に利用できる広範なトレ ーシング機能もあります。

次世代経路指定情報プロトコル (Next Generation Routing Information Protocol：RIPng) とRoute

Administration Manager (ramD)

HP-UX Route Administration Manager (ramD) は、次世代経路指定情報プロトコル (RIPng) をサポートしています。RIPng は IPv6 ネットワーク内のあて先への複数経路を評価し、基準 (またはコスト) 値を各パスに割り当て、データを効率的に転送で きる最善の経路を選択します。ramD には、動的経路指定をサポートする RIPng プロトコルが組み込まれています。