HP-UX ネットワークセキュリティ Whitepaper

HP-UX ネットワークセキュリティWhitepaper

目次はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

要約 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

ネットワークセキュリティ技術とソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

インターネットプロトコルセキュリティプロトコルスイート－HP-UX IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

HP-UX IPSecの機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

HP-UX IPFilterによるパケットフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

Secure Sockets Layer－SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

HP-UX Secure Shell（SSH） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

HP-UX Secure Shellの機能と利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

Kerberosによるユーザー認証の強化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

Kerberos Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

Kerberosライブラリ/ユーティリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

プラグイン可能認証モジュール（Pluggable Authentication Modules：PAM） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

Secure Internet Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

GSS-API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

LDAPディレクトリを使用した認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

LDAP-UX Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

Windowsとの統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

LDAP-UX Client Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

NIS/LDAP Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

パスワードセキュリティに関する考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

アカウント認可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

AAA Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

HP-UX AAA Server（RADIUS）の機能と利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

インターネットサービス製品のセキュリティ機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

ドメインネームサービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

ドメインネームシステムのセキュリティ拡張機能－DNSSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

TSIGとTKEYによるトランザクション認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

分割 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

2

セキュアな経路指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

次世代経路指定情報プロトコルとRoute Administration Manager（ramD） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

経路指定情報プロトコル（Routing Information Protocol）－RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

Open Shortest Path First経路指定－OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

ボーダーゲートウェイプロトコル（Border Gateway Protocol）－BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

インターネットサービスアクセスの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

TCPサービス拒否攻撃の防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

Sendmailのセキュリティ機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

アンチスパム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

サービス拒否 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

その他のセキュリティ拡張機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

Sendmailの新機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

WU-FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

暗号化、ネットワークセキュリティの基礎 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

HP-UX 11iで使用可能な暗号APIと暗号ツールキット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

HP-UX 11i v1およびv2におけるBSAFE RSAバージョン6.0.4の高速化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

HP-UX 11iにおけるNES 4.0性能の向上 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

優れた暗号性能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

付録A：製品情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

HP-UX 11iセキュリティソリューションおよび製品 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

HP-UX 11iセキュリティ製品の入手先 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

詳細情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

HP-UXセキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

LDAP-UX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

E-セキュリティ製品 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

規格 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

HP-UX IPFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

HP-UX IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

付録B：用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

3

はじめに

本書では、HP-UX 11i v1（バージョン1）およびv2（バージョン 2）のネットワークセキュリティの特長について説明します。ネットワー

クセキュリティの技術とソリューションを取り上げ、認証技術と、DNS（ドメインネームサービス）経路指定、sendmail、および暗号

化におけるセキュリティ機能について説明します。また、HP-UX 11iネットワークセキュリティ製品に関する情報も記載しています。

HP-UX 11iオペレーティング環境のセキュリティ製品については、www.hp.com/jp/developerを参照してください。

要約

HPは、ネットワークセキュリティ分野における先進企業として高く評価されています1。HP-UX 11i v1およびv2は、「インターネット

分野のセキュリティをリードする」というHPの取り組みを具体化した製品です。この取り組みは、セキュリティを損なうことなくeビ

ジネスの構築を可能にする、業界標準ベースの豊富なディレクトリ対応ネットワークセキュリティ機能で示されています。

HP-UX 11iのネットワークセキュリティ機能および製品の特長は次のとおりです。

ネットワークセキュリティ製品の統合：HP-UX IPFilterやHP-UX Secure Shell（SSH）などのセキュリティ製品を、BastilleやInstall Time

SecurityなどのOS強化ツールに統合します。

HP-UX IPSec：IPSecプロトコルスイートのHP実装版です。IPv4およびIPv6パケットの認証と暗号化を提供します。HP-UX IPSecは、暗

号鍵を生成・配布するためのインターネット鍵交換（IKE）プロトコル群もサポートします（AES暗号化）。

HP-UX IPFilter：オープンソースのシステムファイアウォール機能IPFilterのHP実装版です。HP-UX IPFilterには、オープンソースNAT

機能とHP動的接続割り当て（DCA）に対するサポートも含まれ、スパムを撃退しDoS（サービス拒否）攻撃から保護します。

HP-UX Secure Shell（SSH）：オープンソースSSHアプリケーションのHP実装版です。

LDAP-UX Integration：LDAP-UX Client Services、LDAP-UX Administration Tools、NIS/LDAP Gatewayが含まれます。LDAP-UX Integration

は、Netscape Directory ServerなどのLDAPディレクトリサーバとともに動作して、ネームサービスデータのリポジトリとしてLDAPデ

ィレクトリをHP-UXクライアントシステムで使用できます。

Kerberos製品スイート：Kerberos Serverソフトウェア、Kerberos Clientソフトウェア、GSS-APIライブラリ、PAM Kerberos、およびインタ

ーネットサービスのKerberos対応実装が含まれ、アプリケーションにセキュリティを組み込めます。

HP-UX AAA Server（RADIUS）：認証されたネットワークアクセスに使用されるAAA RADIUSネットワークサーバソフトウェアのHP

実装版です。RADIUSが提供する3つのサービスは、認証（Authentication）、認可（Authorization）、アカウンティング（Accounting）（頭文

字をとってAAA）です。

HP-UX Mobile AAA Server（Diameter）：HP-UX Mobile AAA Serverは、Diameter Base ProtocolとDiameter Mobile IPv4 Applicationに

基づいています。これらのプロトコルは、DiameterサーバがAAAサービスをMobile IPエージェントに提供できるようにする、情報交

換用の標準を定義します。

Sendmailバージョン8.11.1：Message Submission Agent（MSA）を使用するスパム制御とLDAPベースの経路指定が含まれます。

BIND 9.2：DNS Security（DNSSEC）と TSIGベースのトランザクションセキュリティ機能が含まれます。

WU-FTP 2.6.1：完全な仮想ホストサポートとftpサービスへの限定アクセスが含まれます。

オープンソースセキュリティ製品：HP-UX Internet Expressには、よく知られたオープンソースセキュリティアプリケーションが備

わっています。

暗号：ソフトウェアおよびハードウェアを用いた暗号アルゴリズムの高性能実装と、複数の暗号ツールキットおよび暗号APIが含ま

れます。

1『1999-2000 Operating System Function Review』D.H. Brown Associates, Inc.発行

4

HPは、ネットワークセキュリティ分野におけるリーダーとしての地位を維持し、さらに強化することをお約束します。近い将来、HP

は、異機種ネットワークにおける集中認証、管理・構成の簡素化、エンドユーザーとアプリケーション開発者のための高速暗号化、

およびOSの堅牢化などの各分野に注力します。

セキュリティ分野のHP製品では、ユーザーに業界一のセキュリティソリューションを提供するため、優れたパフォーマンス、高可用

性（HA）、HP-UXとWindows® 2000の相互運用性、HP-UXとLinuxの相互運用性、ネットワーク管理など、別の中核技術も活用されて

います。

ネットワークのセキュリティは暗号化に大きく依存していますが、暗号処理には計算が多用されるため、全体的なネットワーク性能

が低下することがあります。しかし、暗号性能が優れていることは、HPのネットワークセキュリティソリューションの重要な条件で

す。HP-UX 11i v1およびv2の特長は、（1）アプリケーション開発者向けの暗号APIおよび暗号ツールキットの選択可、ならびに、（2）

ソフトウェアやプラグインハードウェアアクセラレータを用いた最高速の暗号アルゴリズムの実装です。

このようなネットワークセキュリティ機能を備えるHP-UXサーバおよびワークステーションにより、異機種ネットワークの全体的な

セキュリティが強化され、HP-UXサーバおよびワークステーションをWindows 2000サーバ、Linuxサーバ、他のUNIX®システムなど

各種プラットフォームと相互運用できます。

ネットワークセキュリティ技術とソリューション

インターネットの利用が拡大するにつれて、インターネットを利用してビジネスを拡張する企業が増えています。企業ネットワーク

を拡張することで、企業はインターネットを通じて遠隔地の従業員やビジネスパートナとやり取りできます。インターネットを利用

すると、企業は情報、サービス、商品を世界的規模で交換できます。企業はもはや物理的な境界に制限されることはありません。

代わりに、効率的でセキュアなネットワーク通信が、急成長するビジネスニーズに対応するために欠かせないものになっています。

ネットワークセキュリティとは、ネットワークがインターネットであれ企業イントラネットであれ、ネットワークを介してやり取りされ

るデータ項目を保護することです。ネットワークセキュリティに十分注意を払わないと、ネットワークを介して送信されるIPパケット

が次のような事態に遭遇する危険性があります。

転送中に改ざんされる（仲介者攻撃2, man in the middle attack）

本来の発信元であるかのように別の発信元から届く（なりすまし攻撃）

ネットワークリソースまたはシステムリソースが消費され、リソースを正当なユーザーが利用できなくなる（サービス拒否攻撃）

傍受される（盗聴攻撃）

このような新しい環境では、インターネットは共有のネットワークインフラストラクチャであるため、誰からでも攻撃を受けやすく

なっています。フィナンシャル・タイムズによれば、米国における攻撃的で破壊的なハッカーは2万人を超え、その数は毎月5%の割

合で増えています。「2003 Computer Crime and Security」3（2003年度コンピュータ犯罪とセキュリティに関する調査報告書）によ

れば、回答者（主に大企業と政府機関）の85%が過去12ヶ月間にコンピュータセキュリティ侵害を受けています。調査回答者の

35%（186の組織）が被った経済的損害の合計額は、377,828,700ドルにも及んだと報告されています。

企業は、外部からの脅威だけでなく内部のセキュリティ侵害にもさらされています。FBIによれば、セキュリティ侵害の大部分（80%）

は内部からの攻撃により発生しています。このため、企業はビジネスネットワーク環境をあらゆる側面で保護するために、強力で

費用対効果の高いセキュリティ機構を必要としています。

図1に示したように、コンピュータシステムの各層で使用可能なネットワークセキュリティ技術が数多くあります。これらの技術は、

認証、機密性、データの完全性保護など、類似した一連のセキュリティサービスを提供します。

2 仲介者攻撃の詳細については、用語集を参照してください。3『2003 CSI/FBI Computer Crime and Security Survey』Computer Security Institute（CSI）、2003年発行

http://www.gocsi.com/forms/fbi/pdf.html

5

以下の項では、HP-UX 11i v1およびv2で使用可能なネットワークセキュリティ技術であるIPSec（Internet Protocol Security Protocol

Suite：インターネットプロトコルセキュリティプロトコルスイート）、IPFilter（パケットフィルタリング）、SSL（Secure Socket Layer：セ

キュアソケットレイヤ）、SSH（Secure Shell：保護シェル）について説明します。

インターネットプロトコルセキュリティプロトコルスイート－HP-UX IPSec

IETF（インターネット技術特別調査委員会）のIPSec（IPセキュリティプロトコル）作業部会は、IP層における暗号ベースの認証、完全

性、および機密性の各サービスに関する一連の仕様を定義しています。HP-UX IPSecは、IPSecのHP実装です。HP-UX IPSecは、ユー

ザーアプリケーションに対して透過的なセキュリティを実現します。IPSecはネットワークスタックの第3層で機能し、ルールベー

スのポリシー管理を実装します。図1で、他のセキュリティアプリケーションに比べ、IPSecがネットワークスタックのどの位置にあ

るかを確認してください。

IPSecは、認証ヘッダ（AH：Authentication Header）、暗号ペイロード（ESP：Encapsulating Security Payload）、インターネット鍵交換

（IKE：Internet Key Exchange）、インターネットセキュリティアソシエーションと鍵管理プロトコル（ISAKMP：Internet Security

Association Key Management Protocol）などの相互に関連するプロトコルファミリから構成されています。AHとESPは、IPペイロード

の暗号化と認証の方法を定義します。IKEとISAKMPの役割は、秘密鍵生成の管理、通信当事者の認証、およびそれらのセキュリテ

ィアソシエーション（SA）の管理です。

図2に示したように、IPSec技術を配備すると、公衆インターネットを通じて保護トンネルを提供できます。これらのトンネルにより、

リモートワークステーションから企業イントラネットへのパケット転送の保護や、高価な専用回線の使用を必要とせず、地理的に分

散された部分をリンクできます。また、トンネルを使用して、ビジネスパートナのコンピューティング設備へのリンクや、モバイル

および無線ノード通信のセキュリティの確保をすることもできます。

これらのいずれの場合でも、IPSec技術により、事実上 VPN（仮想プライベートネットワーク）、つまりグローバルインターネット内

にプライベートネットワークが作成されます。VPNが「プライベート」と呼ばれる理由は、外部のユーザーが転送中のデータを見る

ことも変更することもできないからです。また「仮想」と呼ばれる理由は、VPNにより、設備を共有しない専用回線と同じレベルの

プライバシを確保できるからです。

図1：TCP/IPスタックの各レベルにおけるセキュリティ技術

6

電子商取引が急速に成長している中で、ビジネスパートナやパブリックアクセスのために、アプリケーションサーバを「非武装地

帯（DMZ）」、つまり企業ファイアウォールの外側に配置する企業が増えています。これらのサーバは、インターネットからインバウン

ド接続できるため、攻撃を受けやすくなります。また、DMZ内のアプリケーションサーバは、顧客の要求を社内ネットワーク内の

バックエンドサーバに送る必要があります。したがって、このようなサーバを保護するために、堅牢なシステムプラットフォーム、

動的フィルタリング、強力なクライアント認証を適切に配置する必要があります。DMZ内のサーバと社内ネットワーク内のバックエ

ンドサーバ間の通信のセキュリティも確保する必要があります。

HP-UX IPSecは、DMZとバックエンドサーバ間の通信を保護できます。また、HP-UX IPSecは、機密情報（財務、人事、知的財産など

のデータベース）を格納するホストや、重要なネットワークサービス（経路指定やドメインネームサービスなど）を提供するホスト

の、企業イントラネット内での接続も保護できます。さらに、システムを遠隔管理するスーパーユーザーの接続も保護できます。

HP-UX IPSecのトランスポートモードでは、HP-UX IPSecを実行する別のホスト、または他社のIPSecを実行するホストに対してホスト

間セキュリティを提供できます。HP-UX IPSecのトンネルモードでは、他社のIPSecを実行するゲートウェイへのトンネルを実装でき

ます。

HP-UX 11.0、11i v1、11i v2の各オペレーティングシステムが HP-UX IPSecをサポートしています。HP-UX IPSecは無償であり、ソフト

ウェアデポ（http://software.hp.com）からダウンロードするか、HP-UXアプリケーションCDから入手できます。

HP-UX IPSecの機能

HP-UX IPSecの主な機能と利点は次のとおりです。

高速暗号化：HP-UX IPSecでは、PA-RISCおよびItanium用のDES、トリプルDES、およびAESを、高度にチューニングしたアセンブリ言

語で実装しています。これにより、専用ハードウェアを使用しなくてもシステムパフォーマンスが大幅に向上します。

管理性：HP-UX IPSecには、アプリケーションレベルでのルールベースポリシーの構成を容易にするGUI（グラフィカルユーザー

インタフェース）が装備されています。これらのポリシーでは、IPSecが監視・実行するアクセス制御とセキュリティの強度を定義し

ます。セキュリティ管理者はIPSecのレポート機能と診断機能を利用して情報を調べ、トランスポートツールを使用してIPSecコンポ

ーネントに障害が発生しているかどうか判断できます。また、例外イベントの監査記録が監査ログに保存されます。さらに、インタ

ーネット鍵交換（IKE）により、動的でスケーラブルな鍵の生成と管理が可能になります。システム間で構成ファイルを移植できるた

め、複数のHP-UXシステム上で構成を簡単に複製できます。

図2：安全なネットワーク環境

7

柔軟な認証機能：HP-UX IPSecは、VeriSignやBaltimoreのPKIに加え、事前共有鍵もサポートします。HP-UX IPSecには使いやすいGUI

が装備されており、証明書の要求と構成を簡単に行うことができます。

相互運用性：HP-UX IPSecは、Microsoft®、Cisco、Linuxなど25を超える他社IPSec実装と相互運用が可能です。

IPv6サポート：HP-UX IPSecをIPv6トラフィックの保護に使用できます。

MC/Service Guardフェイルオーバーのサポート

モバイル IPv6（MIPv6）のサポート：HP-UX IPSecは、2004年中に提供予定のMIPv6トラフィックを保護できます。

HP-UX IPFilterによるパケットフィルタリング

1つ以上のファイアウォールにより、企業のイントラネットを侵入攻撃やサービス拒否攻撃から保護する必要があります。そのため

の各種製品をHP-UXで利用できます。

しかし、外部または内部からの攻撃に対して各ホストを特別に保護しなければならないこともあります。これは、インターネットか

ら直接アクセスできる要塞ホストやDMZ内のホストについて当てはまります。また、企業イントラネット内の機密情報（財務、人事、

知的財産など）を格納するホストや、重要なネットワークサービス（経路指定やドメインネームサービスなど）を提供するホストに

ついても、このような保護が必要です。

イントラネット内のホストを保護する効率的で効果的な方法は、システムファイアウォール（ホストベースのファイアウォールとも

呼ばれます）を使用することです。システムファイアウォールとは、ホストのTCP/IPスタックに組み込まれたパケットフィルタリング

機構であり、重要なサーバまたは個々のホストを保護するように特別に構成されたフィルタリング機能を備えています。

あるネットワークインタフェースを通じて受け取った受信パケットを破棄し、あて先アドレスが同じホストの異なるインタフェース

であるパケットを受信するように、複数のアドレスを持つ（マルチホーム）HP-UXシステムを構成できます。また、その複数のアドレス

を持つ（マルチホーム）HP-UXシステムでHP-UX IPFilterを使用すると、パケットの発信元アドレスが送信に使用しているインタフェー

スの発信元アドレスと異なる場合に、パケットの送信を遮断することもできます。このパケットフィルタリング機能は、IETFのRFC

1122で規定されているStrong End-System（ES）機能に該当します。

HP-UX IPFilterは、一般的なパブリックドメインのステートフルインスペクションファイアウォールIPFilterに基づいています。HP-UXホ

スト上のシステムファイアウォールとして使用する場合、HP-UX IPFilterは無償で提供されます。HP-UX IPFilterは、ソフトウェアデポ

（http://software.hp.com）からダウンロードできます。またHP-UX IPFilterは、HP-UX 11i v1およびv2オペレーティング環境（OE）ソフ

トウェアパッケージと、HP-UX 11.0、11i v1、11i v2のアプリケーション CDに同梱されています。HP-UX IPFilterの主な特長は次の

とおりです。

柔軟な構成オプション：インターネットサービスの限定的構成に代案を提供します。

ホストを経由するIPトラフィックに対する管理者指定制御：IPFilterは、次の条件に基づいて、ホストを経由するパケットを明示的に許

可または拒否します。

・ IPアドレス（またはIPアドレス範囲）

・ IPプロトコル（IP/TCP/UDP）

・ IPフラグメント

・ IPオプション

・ IPセキュリティクラス

・TCPポートおよびポート範囲

・UDPポートおよびポート範囲

・ ICMPメッセージタイプおよびコード

・TCPフラグの組み合わせ

・インタフェース

8

動的接続割り当て：いずれか1つのIPアドレスまたはサブネットからのIPFilterシステムへの接続数を制御します。スパムの遮断に利

用できます。

遮断されたパケットへの応答メッセージの返信：遮断されたパケットに対してICMPエラー/TCPリセットを返信します。

状態情報維持機能：TCP、UDP、およびICMPに対するパケット状態情報を維持します。

IPフラグメント制御：同じルールをすべてのフラグメントに適用し、フラグメント化されたIPパケットのフラグメント状態情報を維持

します。ルールで指定されている場合は、フラグメント化されたすべてのトラフィックを維持しません。

ネットワークアドレス変換（NAT）サポート：HP－UX IPFilterは、パブリックドメインIPFilterのNAT機能をサポートします。

ロギングと解析：要求された場合に広範なログを作成し、統計情報と広範なログを作成するための情報を収集し、ルールで指定

されている場合はパケットをフォレンジック（forensic）分析に送ります。

Secure Sockets Layer －SSL

SSL（Secure Sockets Layer：セキュアソケットレイヤ）やTLS（Transport Layer Security：トランスポート層セキュリティ、インターネット技

術特別調査委員会（IETF）が標準化した、SSL と同等なもの）は、Webブラウザとサーバ間の接続を保護します。一般にSSLは、イン

ターネットを介したWebベースの取引におけるクレジットカード番号などの機密情報を保護するために使用されます。SSLにより

保護されたHTTP接続では、URLでHTTPSプロトコル識別子が使用されています。

SSLでは、認証と暗号化を使用してアプリケーションレベルでセキュリティを実現します。SSLを使用したアプリケーションは、ユー

ザーレベルまたはサービスレベルのセキュリティプロトコル（IPSecなど）により提供される安全な転送に頼らなくても、独自のセ

キュリティを確保できます。HTTPSは、SSLで保護されたアプリケーションの代表的な例です。ただし、その他の各種アプリケーショ

ンでもSSLを使用して独自のセキュリティを確保できます。

通常SSLはRSAを使用してサーバを認証しますが、クライアントを認証することもあります。トラフィックの暗号化/復号化にはRC4、

DES、またはトリプルDESが、データの発信元と完全性の検証にはHMAC-MD5またはHMAC-SHA1が使用されます。

HP-UX Secure Shell（SSH）

オープンソースSSHテクノロジを採用したHP-UX Secure Shellは、リモートUNIX端末セッションのセキュリティを確保するために広く

使用されており、ネットワークインフラストラクチャに欠かせないものとして評価が高まっています。

HP-UX Secure Shellはネットワークユーティリティ（rlogin、rsh、rcpなど）に代わってセキュリティを実現し、安全なftpを可能にします。

HP-UX Secure Shellは各種の暗号化方法をサポートしており、データの完全性には暗号ハッシングを使用し、安全で高速なデータ暗

号化を実現するために公開/秘密鍵の両暗号化を組み合わせて使用します。SSH実装の基本アーキテクチャを図3に示しています。

図3：HP-UX Secure Shell製品の配置

HP-UX Secure Shellは、OpenSSH Secure Shell v. 3.61.001をもとに十分な検査を行い、HPがサポートする製品です。HPは、HP-UX

サポート契約を結ばれているお客様に対して無償でHP-UX Secure Shellのサポートを提供しています。HP-UX Secure ShellはHP-UX

11i v1およびv2オペレーティング環境（OE）に同梱されており、ソフトウェアデポ（http://software.hp.com/）からダウンロードする

こともできます。

9

HP-UX Secure Shellの機能と利点

HP-UX Secure Shellの主な利点は次のとおりです。

特権分離：インターネットに接続されているシステムは攻撃を受けやすくなっています。プログラムに欠陥があると、攻撃者がシス

テムを攻撃し、特殊な特権を入手できます。特権分離によりプロセスを分離すると、このような攻撃が困難になります。

シャドウパスワードのサポート：シャドウパスワード機能は、ルートユーザーだけが読み取ることができるファイルにハッシュされ

たパスワードを保存することで、パスワードの脆弱性という問題に対処します。悪意のあるユーザーが/etc/passwordファイルから

パスワードを入手してシステムを攻撃することを防止します。

強力な乱数生成のサポート：安全で複製不可能な真の乱数生成源です。

ポート転送/トンネリング機能：telnetやIMAPなどのTCPベースのサービスをSSHトンネルにカプセル化できます。パスワードだけで

なく、送信中のデータがすべて自動的に暗号化されます。"AllowTCPForwarding"を"yes"に設定すると、クライアントはリモートサイ

トで、すべてのポートのトラフィックをすべて転送できます。

X11トラフィックトンネリング：Xプロトコルトラフィックは、プレーンテキストでは搬送されません。

透過的な暗号化/復号化：ネットワークトラフィックの盗聴を防止します。

SSH-1とSSH-2のサポート：HP-UX Secure Shellは、両方のIETFプロトコルをサポートします。ただし、挿入攻撃を防止するために、よ

り安全なSSH-2プロトコルの使用を推奨します。

TCP、IPv6、Kerberos 4および5のサポート：異なるネットワーク環境でも、ユーザーはHP-UX Secure Shellを簡単にセットアップでき

ます。TCP WrapperをHP-UX Secure Shellとともに使用すると、サーバがインタフェース上で「リスンする」トラフィックをさらに限定

できます。

各種認証のサポート：HP-UX Secure Shellは、パスワード、公開鍵、Kerberos、およびホスト型の各種認証方式をサポートします。ロー

カルユーザーに対してはパスワード型認証を、リモートユーザーに対しては公開鍵型認証をそれぞれ使用することを推奨します。

HP-UX Secure Shellがパスワードを暗号化するため、パスワード型認証によりパスワードスニフィング（盗聴）攻撃と辞書攻撃を防止

できます。公開鍵認証では、すべてのサーバ上の公開鍵と、クライアント上に残ってパスフレーズで保護される秘密鍵をHP-UX

Secure Shellが維持します。この2段階管理（公開鍵とパスフレーズ）では、パスワード型認証よりも高いセキュリティが保証されま

す。

鍵の手動生成：HP-UX Secure Shellには、鍵ペアを手動で作成するための鍵生成ツールssh-keygenが備わっています。すべて手動

で行う認証PKIでは、鍵回復サポート問題を低減するために、鍵の転送や保護を慎重にする必要があります。

Kerberosによるユーザー認証の強化

Kerberosプロトコルは、ネットワーク上でパスワードをプレーンテキストとは別の形式で送信してユーザーパスワードを検証する

ため、企業全体のユーザー認証が強化されます。鍵配布センター（Key Distribution Center：KDC）と呼ばれる中央のKerberosサーバ

がユーザーのパスワードを検証します。

HP Kerberos製品には次のものが含まれます。

HP-UX Kerberosサーバソフトウェア

Kerberos v5クライアントソフトウェア、PAM Kerberos、およびユーティリティのHP実装

プログラム可能なセキュリティAPI、GSS-API

Kerberosクライアントライブラリ

ftp、rcp、rlogin、telnet、remshなどの、Kerberosで保護されたインターネットサービスのサポート

HP-UXは、アプリケーションクライアントとサーバ間の鍵交換も保護します。GSS-APIを使用すると、アプリケーションプログラム

でこの機能を利用できます。

10

HP-UXログインでは、MIT Kerberosサーバ、Microsoft Windows 2000ドメインコントローラ、HP-UX Kerberosサーバなど、任意の

Kerberos v5鍵配布センターを使用できます。これにより、他のUNIXホストやWindows 2000ワークステーションを含む異機種イン

トラネット内でも、共通の認証機能を利用できるようになります。さらに、KerberosのHP-UX実装はパスワード変更プロトコルをサポ

ートしているため、パスワード変更が自動的に伝播されます。これらの2つの機能により、異機種環境でのユーザー管理の複雑さ

を著しく軽減できます。

IETFのRFC（Requests for Comment：コメント要求）1510で規定されているように、ユーザーとKDC間で交換される情報はすべて、56

ビットDESアルゴリズムを使用して暗号化されます。HPのKerberos Server 3.0では、DESか3DESを選択できます。デフォルトはDES

です。

図4はKerberosプロトコルを示しています。KDC（鍵配布センター）は、AS（Authentication Server：認証サーバ）とTGS（Ticket Granting

Server：チケット認可サーバ）という2つのコンポーネントから構成されます。アプリケーションクライアントは、ユーザーに代わって

ログインします。アプリケーションサーバは1つのプログラムで、ユーザーまたはサービスのいずれかになります。

図4：Kerberosプロトコル

Kerberosは、一意の共有秘密鍵とチケットと呼ばれるトークンを、ネットワークにログオンする各クライアントに割り当てることによ

り機能します。メッセージの送信者を識別するために、チケットがメッセージに埋め込まれます。

KDCがクライアントのTGT（チケット認可チケット）を作成し、KDC鍵を使用してTGTを暗号化します。次に、暗号化されたTGTをクラ

イアントに返送します。クライアントは、そのTGTを使用してサービスチケットをさらに取得します。このサービスチケットで、クラ

イアントの本人確認が行われます。

Kerberos Server

HP-UX Kerberos Serverバージョン3.0は、HP-UX 11iオペレーティング環境（OE）のサポート契約に基づいて、独立したソフトウェア

ユニットとしてHP-UX 11i v1上で完全にサポートされます。Kerberos ServerはOEで動作することが十分に検査されており、互換性

が保証されています。HP-UX 11i Kerberos Serverソフトウェアは、ソフトウェアデポ（http://software.hp.com）から無償ダウンロード

できます。また、HP-UXアプリケーションCDにも同梱されています。Kerberos Server 3.0はHP-UX 11i v2上でもサポートされます。

HP-UX 11i v2 用 Kerberos Server 3.0は、ソフトウェアデポ（http://software.hp.com）からダウンロードできます。

11

Kerberos Serverの主な特長は次のとおりです。

柔軟性が強化されたパスワード：パスワードポリシーは、本人（principal：プリンシパル）が所属しているインスタンス名ではなく、

本人が加入しているポリシーに基づいています。これにより柔軟性が向上し、本人が/opt/krb5/password.policyファイル内のどの

ポリシーにも加入できるようになりました。

強力なセキュリティ：パスワードがネットワーク上で搬送されることがありません。秘密鍵は、暗号化された形式でのみネットワー

クを通過します。このため、安全でないネットワーク上での会話に対して悪意のあるスヌーピングやロギングが行われても、ネット

ワーク会話の内容から十分な情報を推測できないため、認証されたユーザーまたはターゲットサービスになりすますことはでき

ません。

認証されたユーザーのみ企業ホストにアクセス可能：企業リソースへの高速シングルログオンを備えた、業界標準の強固な認証

を実現します。

相互認証：ネットワーク接続の両端の当事者が、他方の当事者が本当の当事者であるかどうかを知ることができます。クライアント

システムとサーバシステムが、プロセスの各ステップで相互に認証し合います。このため、クライアントシステムとサーバシステ

ムの双方が、本物の相手と通信していることを確認できます。

シングルサインオン機能：アプリケーションに個別にサインオンするのではなく、一度サインオンするだけで、複数のアプリケー

ションに1つのパスワードでアクセスできるようにすると、時間を節約しネットワークセキュリティのリスクを低減できます。ユーザ

ーがネットワークにサインオンすると、サーバがパスワードを認可チケットに変換します。次に、この認可チケットによりサービス

チケットが作成され、サービスチケットによりユーザーが認証され、Kerberos対応のアプリケーションとサービスすべてにアクセス

できるようになります。このように、シングルサインオンにより、ユーザーは複数のアプリケーションとサービス（ネットワーク上の

どこにあっても）に自動的にアクセスできます。

MITとW2KのKDCによる相互レルム認証のサポート：標準的な認証の他に、Kerberos Serverはcross-realm認証をサポートし、MIT

Kerberos 5リリース1.2.2仕様のKDC（鍵配布センター）としても機能します。このため、1つのプラットフォーム（Windows 2000な

ど）を通じて証明書を取得したクライアントは、HP-UX Kerberosサーバに対して認証されます。HP-UX Kerberosサーバは、HP-UXアプ

リケーションおよびサービスに対する証明書を作成します。これらはすべてシングルサインオンで行われます。

パスワードの同期：ある環境でパスワードを変更すると、すべての環境でそのパスワードが変更されます。これにより、パスワード

の管理が容易になります。

マスタ/スレーブ複製：別のKDCへの動的データ伝播により、高可用性のための冗長なKDCや、ロードバランスによる高い性能が

もたらされます。

複数レルムのサポート：管理が容易になります。

二重鍵暗号化方式：Kerberosモデルで採用された方法で、特定のクライアントシステムとサービス間で共有される秘密を構成す

るサービスセッション鍵が生成されます。この共有される秘密は、クライアントとターゲットサービス間のメッセージを暗号化す

る鍵として使用され、Kerberos対応トランザクションのセキュリティをさらに強化します。

LDAP-UX Integration：KerberosサービスとLDAP-UXサービスを統合します。この機能はソフトウェアデポからダウンロード可能です。

Kerberosライブラリ/ユーティリティ

HP-UX 11iには、MITリファレンス実装と互換性があるKerberosユーティリティとKerberosクライアントライブラリが備わっています。

HP-UX 11iオペレーティング環境の一部として配布されるKerberosユーティリティには、次のツールが含まれています。

kinit：TGT（チケット認可チケット）とログインセッション鍵を取得して、キャッシュする。

klist：証明書キャッシュ内のチケットおよび関連するセッション鍵を一覧表示する。

kdestroy：本人（プリンシパル）のログインコンテキストおよび関連する証明書を削除する。

kpasswd：KDCにより格納されたユーザーパスワードと対応する長期間鍵を管理する。

ktutil：keytabファイルを保守する。

kvno：リビジョン番号を返す。

KerberosクライアントライブラリはHP-UX 11iオペレーティング環境の一部でもあり、32ビットまたは64ビットのどちらのモードで

もリンクできます。

12

プラグイン可能認証モジュール（Pluggable Authentication Modules：PAM）

HP-UXは、オープングループのRFC 86で規定されているPAM（プラグイン可能認証モジュール）アーキテクチャの一部として、

Kerberos認証を提供します。PAMにより、構成ファイルは使用する認証モジュールを決定します。PAMではセキュリティ強度レベル

が異なる各種認証機構が組み合わされており、システムを再起動せずにPAMを簡単に構成できます。

図5に示したように、PAMを使用するHP-UXアプリケーションサービスはtelnet、login、remsh、ftp、rexec、rlogin、dtlogin、rcpです。

PAM Kerberosは、UNIXサーバまたはMicrosoft Windows 2000サーバ上で実行されるKDCと相互運用されます。PAM NTLMは、

NT LanManagerプロトコルを使用して、Microsoft® Windows NT® 4.0ドメインコントローラに対してHP-UXユーザーを認証します。

図5：HP-UX認証とPAM

Secure Internet Services

Kerberos認証の特別なケースとして、PAM Kerberosがローカルホストに対してユーザーを認証することがあります。通常は、リモ

ートホスト上で実行されるアプリケーションに対するユーザーの認証を可能にします。このような一般的なKerberos認証機能を利

用するように変更されたアプリケーションは、「Kerberos対応」アプリケーションと呼ばれます。

HP-UX 11i v1/v2には、ftp、rcp、rlogin、telnet、remshユーティリティなど、Kerberos対応の安全なインターネットサービスが含ま

れています。安全なインターネットサービスが使用可能な場合、認証のためにこれらのコマンドすべてでKerberosを使用します。

安全なインターネットサービスにより、パスワードが入力したままの文字でネットワーク上に送信されることはありません。このた

め、データの改ざんや盗聴といった重大な攻撃を受けることがなくなります。ただし、これらのサービスでは、初回の認証後に安全

な接続を確立しません。したがって、積極的な攻撃者によって接続確立後に接続を乗っ取られる可能性もあります。HP-UX IPSecを

使用すると、安全な接続を確立できます。

Kerberos対応アプリケーションの具体的な例として、telnetについて検討してみましょう。Kerberos対応telnetを使用してリモートホ

ストにアクセスする場合、パスワードの入力は求められません。ローカルホストはパスワードの代わりに、ユーザーがローカルホ

ストに初めてログインした際にKDCから取得した証明書（ログインセッション鍵とTGT）を使用して、リモートホストに関する証明書

（セッション鍵とサービスチケット）を取得します。ローカルホストはセッション鍵を使用して認証子を作成し、その認証子とサービ

スチケットをリモートホストに送信します。リモートホスト上のKerberos対応telnetサーバは、サービスチケットを復号化し認証子

を検証することで、ユーザーの本人確認を行います。パスワードは使用されません。

telnetがKerberos対応でない場合、リモートホスト上のtelnetサーバは、ユーザーにパスワードの入力を求めるログインプロセス

を作成します。このパスワードは、ネットワーク経由でリモートホストに送信されます。リモートホストのログインプロセスで、こ

のパスワードを使用してユーザーを認証します。

13

アプリケーション開発者は、KerberosライブラリまたはKerberos機構を備えるGSS-API（次項を参照）を使用して、Kerberos対応アプ

リケーションを実装できます。

積極的な攻撃が懸念される場合、アプリケーションは、アプリケーションクライアントとサーバ間でKerberosにより確立された共

有の秘密を使用して、安全な接続を確立できます。GSS-APIを利用すると、これを簡単に行うことができます。別の方法として、クラ

イアントとサーバ間にIPSecセキュリティ接続を確立すると、接続乗っ取りなどの積極的な攻撃を阻止することもできます。

GSS-API

IETFのRFC 2743で規定されているGSS-API（Generic Security Services Application Program Interface）は、各種の基盤となる通信プ

ロトコルとは別に、クライアント/サーバアプリケーションにセキュリティサービスを提供します。このサービスには、データの認

証、完全性、および機密性が含まれます。システム管理者は、アプリケーションで使用する保護品質を構成できます。その際、アプ

リケーションレベルでの変更は不要です。

IETFの共通認証技術に関する作業部会が、GSS-APIにより透過的にアプリケーションに提供されるセキュリティサービスを実装す

るための暗号化機構をいくつか定義しています。GSS-API機構としてのKerberosの使用法が、IETFのRFC 1964で規定されています。

GSS-APIは、ピア間で確立されたセキュリティコンテキストを使用して、2つのピア間での安全な通信を実現します。コンテキスト

は、トークン交換により確立されます。Kerberosを暗号化機構の基盤として使用する場合、サービスチケットと認証子を含むトーク

ンを、クライアントがアプリケーションサーバに送信します。相互認証が必要な場合、アプリケーションサーバの認証子を含むト

ークンを、アプリケーションサーバがクライアントに送信します。2つのホスト上のGSS-APIライブラリの役割はトークンの作成と処

理ですが、アプリケーションの役割はクライアントとサーバ間でのトークンの転送です。

HP-UX 11iオペレーティング環境の一部としてGSS-APIライブラリ（Kerberos機構を含む）が提供されています。これらのライブラリは、

32ビットまたは64ビットのアプリケーションとリンクできます。

LDAPディレクトリを使用した認証

企業が発展しコンピューティングリソースの需要が高まるにつれて、コンピューティングシステムの管理費用も増加します。高度

な分散環境では、局所的なセキュリティの実施や管理の方法に一貫性がなく、冗長であり、監査することも困難です。このような問

題に対処するためのNIS（Network Information Service：ネットワーク情報サービス4）などのツールもありますが、NISは大規模環境

向けです。企業のIT設計者は、上記の業務の多くを統合するための有用なツールとしてLDAP（Lightweight Directory Access

Protocol：軽量ディレクトリアクセスプロトコル）ディレクトリを評価しています。

LDAPディレクトリは、企業で様々な役割を果たすことができます。代表的な用途は、従業員/顧客データの保守です。たとえば、電

子メールアプリケーション用のアドレスデータベースを提供するために、多数のLDAPディレクトリが使用されています。また、

LDAPディレクトリを拡張して、企業アプリケーションの共通構成プロファイル情報を格納することもできます。さらに、LDAPディレク

トリを利用すると、アプリケーション、ネットワーク、および従業員データの集中管理と委託管理の両方を実現することもできます。

LDAPとHP-UXの統合を容易にするために、HPはイントラネット用の無償ソフトウェアバンドルとしてNetscape LDAP Directory Server

を提供しています。Netscape LDAP Directory Serverは11i v1リリースのアプリケーションCDに同梱されています。また、ソフトウェ

アデポ（http://software.hp.com）からダウンロードすることもできます。（HP-UX 11i v2用は2004年4月予定）

また、HPはHP-UX自体にLDAPのサポートを追加しました。これは、HP-UX上でLDAPサーバを認証サービスとネームサービスの両方

として使用する、統合に向けての第一歩です。LDAPをこのように使用することで、NIS型のアーキテクチャに代わるスケーラブルで

強力なアーキテクチャが可能になります。

4 NIS（Network Information Service：ネットワーク情報サービス）とPAM（Plugin Authentication Module：プラグイン可能認証モジュール）は、SUNMicrosystems社が開発したONC+TMサブシステムのコンポーネントです。

14

必要に応じてメタディレクトリとともにLDAPディレクトリを使用すると、スケーラビリティが確保されるだけでなく、各種アプリケー

ションを確実に統合できます。たとえば、HP-UXのアカウント情報と人事管理（HR）データベースを統合し、データと管理を連結で

きます。このため、HRデータベース内の名前を変更することで、HP-UXアカウントのfinger情報を変更できます。

HP-UX 11i v1、v2で利用可能なLDAPソリューションについては、以降の項で説明します。

LDAP-UXIntegration

LDAP-UX Client Services

NIS/LDAP Gateway

パスワードセキュリティに関する考慮事項

アカウント認可

LDAP-UX Integration

HPでは、HP-UXとLDAPディレクトリの統合を容易にする2つの製品を用意しています。LDAP-UX Client ServicesとNIS/LDAP Gateway

です。

RFC 23075で定義されているNISスキーマ、またはMicrosoftのServices for UNIXスキーマ6など類似の構文スキーマを使用して、HP-

UXアカウント、グループ、およびその他のデータをLDAPディレクトリに格納できます。デフォルトでは、LDAP-UX Integration製品はRFC

2307スキーマを使用してLDAPディレクトリ内のエントリを参照します。

Windowsとの統合

LDAP-UX Integrationの設計は柔軟であり、Microsoft互換の構成プロファイルが含まれています。LDAP-UX製品は、Windows 2000

Active Director Server（ADS）とともに動作することが確認されています。また、Microsoft Services for UNIXスキーマバージョン2.0

および3.0もサポートしています。

LDAP-UXをPAM Kerberosと組み合わせると、HP-UXシステムをWindows 2000環境に統合できます。さらに、LDAP-UXを使用すると、

HP-UXおよびWindowsのグループ共有を簡単に管理できます。LDAP-UXは、X.500"member"および"uniquemember"構文を認識でき

ます。このため、Posixユーザー（memberUid）とWindowsユーザー（member）の2つリストを保守する必要はありません。

LDAP-UXは、フォレスト内の任意のドメインからHP-UXシステムにログインする機能もサポートしています。

LDAP-UX Client Services

LDAP-UX Client Services製品には、LDAPベースのPAM（プラグイン可能認証モジュール）とNSS（Name Service Switch：ネームサー

ビススイッチ）モジュールの両方が提供されています。これらのモジュールは、HP-UXアプリケーションとLDAPディレクトリとのシー

ムレスな統合を可能にします。

アカウント情報を取得する必要がある場合、アプリケーションはgetpwnam（）やgetpwuid（）などのネームサービスAPIの1つを

呼び出します。これらのルーチンは、NSSサブシステムのフロントエンドの一部です。NSSサブシステムは次に、/etc/nsswitch.conf

構成ファイルを使用して、要求を処理するバックエンドモジュールを決定します。nss_ldapモジュールが選択された場合、要求は

LDAP検索操作に変換され、その結果は呼び出し側に戻されます。

5 Howard著『An Approach for Using LDAP as a Network Information Service』RFC 2307、ftp://ftp.isi.edu/in-notes/rfc2307.txt6 Microsoft、Services for Unix、http://www.microsoft.com/catalog/display.asp?site=11269&subid=22&pg=1

15

loginやユーザー認証ftpデーモンなどのアプリケーションは、PAMを使用します。図6に示したように、PAMフロントエンドモジュ

ールは/etc/pam.confファイルを使用して、認証要求を処理するバックエンドモジュールを決定します。pam_ldapモジュールが選

択された場合、認証要求はLDAPバインド操作に変換されます（pam_ldapは最初、ldap_simple_bindのみ使用します）。

認証要求の他に、pam_ldapサブシステムはパスワード変更とパスワードポリシー通知（パスワードの有効期限が切れた場合など）

もサポートしています。PAMサブシステムの利点は、LDAPサーバがサポートするあらゆる変換を、格納前のパスワードに適用でき

ることです。従来からUNIXシステムではUNIX暗号変換が利用されていますが、別の変換の方が暴力的な攻撃や辞書攻撃に強い

場合があります。

NIS/LDAP Gateway

NIS/LDAP Gatewayは、クライアントからのNIS要求をLDAP照会に変換します。次に、検索結果を変換し、クライアントに応答を返

します。NISは、NSSサブシステムの別モジュールです。このモジュールに割り当てられるアカウント、グループ、またはその他のデ

ータについてのNSS要求がNIS RPC要求に変換され、NIS/LDAP Gateway（YPLDAPとも呼ばれます）により処理されます。ypldapd

デーモンがNIS RPCを類似したLDAP検索操作に変換した後、その検索結果をNIS RPC応答に変換し直します。

現在では、NISを使用する環境にNIS/LDAP Gatewayを簡単に配置できます。このような環境では、既存のNISサーバをNIS/LDAP

Gatewayに置き換えることができます（図7参照）。LDAPサーバはNISマスタサーバの役割を果たし、YPLDAPサーバはNISスレーブ

サーバに取って代わります。

図6：LDAPとPAMおよびNSSの統合

16

パスワードセキュリティに関する考慮事項

LDAP-UX Client ServicesとNIS/LDAP Gatewayには、それぞれに固有のセキュリティ上の利点と制限があります。LDAP-UX Client

Servicesでは、LDAPサーバがサポートするあらゆる形式で、パスワードをディレクトリに格納できます。これらの形式の中には、暗号

よりも強力なものがあります。現在、LDAP-UXはシンプルなパスワード認証とSASL Digest-MD5の両方をサポートしています。SSLは、

ディレクトリサーバとの通信を保護するためにサポートされています。

一方、NIS/LDAP GatewayはUNIX暗号変換を使用します。パスワードは、暗号形式でディレクトリに格納されます。ユーザーがログ

インすると、ゲートウェイがディレクトリからパスワードの暗号変換を取得し、NISクライアントに送信します。NISクライアントで、こ

の暗号変換が、ユーザーが入力したパスワードの暗号変換と比較されます。この場合、パスワードがプレーンテキストのままでネ

ットワーク上で送信されることはありません。

ただし、ネットワーク上で詮索された場合、パスワードの暗号変換は、パスワード解読プログラムにより実行される辞書攻撃や暴

力的な攻撃を受けやすくなります。この種のプログラムは簡単に入手でき、安易に選ばれたパスワードに対して強い威力を発揮し

ます。したがって、ディレクトリとゲートウェイの間、および、ゲートウェイとクライアントの間の基盤となる通信チャネルをHP-UX

IPSecまたはSSLで保護する必要があります。

LDAP-UX Integration製品については、別のホワイトペーパーで詳しく説明されています（『Preparing your LDAP Directory for HP-UX

Integration』や『Installing and Administering LDAP-UX Client Services』など）。その他のLDAP-UXドキュメントについては、本書の末尾を

参照してください。

アカウント認可

2001年12月、HPはlibpam_authzをリリースしました。この新しいPAMライブラリは、他のPAMライブラリによる認証と協調して、

ログイン認可を提供します。libpam_authzは、/etc/passwdでのNIS netgroupフィルタリングと同様に、netgroupメンバーシップに

基づいてログインの許可または拒否を決めます。

認証に他のPAMライブラリ（libpam_krbやlibpam_ldapなど）を使用する場合、libpam_unixで使用するNIS netgroupフィルタリン

グ構文が失われることがあります。libpam_authzが必須モジュールとして/etc/pam.confファイルのloginセクションに追加される

場合、この機能は復元されます。NIS netgroupフィルタリングの詳細については、passwd（4）マンページを参照してください。

libpam_authzの詳細については、pam_authz（5）マンページを参照してください。

図7：既存のNISサーバに取って代わるYPLDAP

17

図8：ネットワークアクセスポイントでの認証とアカウンティングに使用するHP-UX AAA Server

AAA Server

HP-UX AAA Serverは、HP-UXプラットフォーム用のAAA（Authentication：認証、Authorization：認可、Accounting：アカウンティング）サ

ーバソフトウェアです。一般に、この製品をRADIUS7サーバと呼びます。HP-UX AAA Serverのプライマリクライアントは、ユーザー

デバイス／コンピュータのネットワークへの接続を許可する前に、エンドユーザーを認証する必要があるネットワークアクセスデ

バイス（VPNゲートウェイ、無線LANアクセスポイント、LANスイッチ、ダイヤルインユーザーを接続するネットワークアクセスサー

バ）です。HP-UX AAA Serverは、請求、監査、および使用量記録の各アプリケーションで利用できる使用状況情報も収集します。

RADIUSは本来、ISP環境用に作成されたものです。しかし現在では、VPNと無線LANのセキュリティを向上するために企業環境に展

開され、データサービスに対するAAAサポートのために電気通信環境に展開されています。

最近では、無線LAN（WLAN）のセキュリティについて多くのことが公開され詳しく調査されています。無線環境では、デバイス（一

般的なユーザーデバイスはラップトップ、PDA、携帯電話）にネットワークアクセスを提供する前に、エンドユーザーを認証するた

めにAAA（またはRADIUS）Serverを使用します。AAA Serverは、各ユーザーに関する情報も提供（つまり「認可」）します。たとえば、

ユーザーが使用を認可されているサービスや、ユーザーのアクセスが制限される時間を提供します。さらに、AAA Serverは請求や

監査のための使用状況情報（ユーザーの活動）も収集します。

HP-UX AAA Serverは、ProCurve Access Point および Switche、Evo Notebook、Internet Usage Managerなど、他のHP-UX無線製品とと

もに使用できます。HP-UX AAA Serverを使用してWLANのセキュリティを向上する方法については、ホワイトペーパー『Wireless

LAN Design and Deployment wi th HP-UX AAA RADIUS Serve r』と次のサイトのドキュメントを参照してください。

http://docs.hp.com/hpux/internet/index.html.

7 RADIUS（Remote Authentication Dial-In User Service）は、ネットワーク接続でのユーザーIDとパスワードを確認する認証サービスを提供します。「リモート」と「ダイヤルイン」という言葉が含まれてますが、RADIUSは、無線LANアクセスポイント、物理LANスイッチ、ファイアウォール、VPN、インターネットなどあらゆる種類のネットワークアクセス接続で動作します。

18

HP-UX AAA ServerはHP-UXオペレーティングシステムの機能の一部であり、http://software.hp.comからダウンロードできます。

HP-UX AAA Server（RADIUS）の機能と利点

HP-UX AAA Serverは、多様なネットワークトポロジと認証要件に対応できる柔軟性を備えた、強力でスケーラブルなソリューショ

ンです。HP-UX AAA Serverはモジュール式のオブジェクト指向アーキテクチャで設計されており、優れたパフォーマンスを発揮しま

す。

HP-UX AAA Serverの主な特長は次のとおりです。

標準のサポート：ネットワークアクセス制御に関する「すべて」の主要な標準と独自仕様をサポートします。

LDAPとOracleの統合：ローカル認証方法に加え、LDAPバージョン3に準拠したディレクトリとORACLEデータベースに対するユーザ

ー認証をサポートします。

無線LANのセキュリティをサポートするEAP：EAP（Extensible Authentication Protocol）をサポートしているため、企業やアクセスプロ

バイダは、無線LANアクセスポイントや有線スイッチを介してLANへ接続する、ユーザーの認証を管理できます。

Cisco Lightweight Extensible Authentication Protocol（LEAP）のサポート：Cisco Aironet 802.11x Wireless LANクライアントとアク

セスポイント間のCisco独自の鍵交換方法をサポートします。

動的アクセス制御：時間と曜日を基準にしてアクセスを制御できます。指定日にパスワードとアカウントを無効にできます。

堅牢なRADIUSプロキシ機能：ダイヤル番号（DNIS）、レルム、またはカスタム基準により認証要求とアカウンティング要求を別の

RADIUSサーバに転送できます。再試行およびタイムアウト時間の設定が可能です。

複数ベンダーのRADIUSクライアントのサポート：属性マッピングが可能な、複数ベンダー辞書により、主要なNASベンダーをサポ

ートします。また、新しいベンダーと機能を簡単に追加できます。

柔軟でカスタマイズ可能なセッションロギング：大量のセッション情報と希望するアカウンティング情報を取得するように、セッシ

ョンログをカスタマイズできます。Livingston CDRとMerit Standard用のセッションロギング形式が含まれます。

ユーザーセッションの制限：並行したログインについて、ユーザー制限、グループ制限、またはカスタム制限を設定することで、同

時セッションを制限できます。

RADIUS RFC標準：RADIUSプロトコルと属性（RFC 2865で定義）、RADIUSアカウンティング（RFC 2866で定義）、RADIUS拡張機能

（RFC 1869で規定）、およびトンネルサポート（RFC 2867とRFC 2868で規定）を提供します。

インターネットサービス製品のセキュリティ機能

HP-UXインターネットサービス製品は、TCP/IPベースのネットワーク上で相互運用するHP-UXユーザーにとって、不可欠なネットワ

ークサービスを提供およびサポートします。セキュリティ問題に対処するために、これらのサービスを開発しました。たとえば、本

書の Kerberosの項で説明した、Secure Internet Services により、ftp、rcp、rlogin、telnet、remshサービスに対する強力なユーザー認

証が可能になります。セキュリティ機能が組み込まれたその他のサービスとして、DNS/BIND、sendmail、WU-FTPD、gated、保護

inetdがあります。

ドメインネームサービス

BIND（Berkeley Internet Name Domain）は、サーバとクライアントの両方を対象としたドメインネームシステム（Domain Name

System：DNS）を実現したものです。DNSは、インターネットドメインネームをIPアドレスにマッピングするための標準的な方法です。

HP-UX 11i v1にはBIND 8が同梱されています。HP-UX 11i v2にはBIND9.2.0が同梱されています。BIND 8.1.2は、IPアドレスベー

スのアクセス制御リスト（Access Control List：ACL）をサポートします。ACLの制限対象は次のとおりです。

19

ネームサーバを照会できるホスト

ネームサーバからゾーン転送を開始できるホスト

照会の送信先として使用可能なネームサーバ

動的な更新を要求できるホスト

これらのアクセス制御は、IPヘッダ内の発信元IPアドレスに基づいて、トランザクション開始者の確認を行います。追加の予防措置

が講じられていない場合、IPアドレススプーフィングによりこの制御機構が破壊されることがあります。これは、既存のインターネ

ットDNSバージョン8.1.2におけるセキュリティ上の周知の制限事項です。しかし、HP-UX IPSecを使用すると、IPアドレススプーフィ

ングを防止できます。

IETFでは、DNSSEC、TSIG、TKEYなどのDNSセキュリティプロトコルを導入する方向で、インターネットDNSのセキュリティ上の制

限問題に取り組んでいます。これらのプロトコルは、BINDバージョン9.2に実装されています。BIND 9.2は、ソフトウェアデポ

（http://www.software.hp.com/）の[security and manageability]からダウンロードできます。BIND 9は、基本的なBINDアーキテクチ

ャを全面的に書き換えたものです。この書き換えは、予想される次のような需要に応えるために必要でした。

ドメインネームシステムの巨大化。特に、数GB（ギガバイト）の代替バックエンドゾーンデータベースをサポートする.COMなど

の大規模ゾーン。

ゾーンに対する安全な照会と更新のために必要なプロトコル拡張。

IPバージョン6（IPv6）の特定のアーキテクチャ機能を利用するために必要なプロトコル拡張。

BIND 9.2のセキュリティに関する主な特長は次のとおりです。

・DNSSECのサポート

・TSIGのサポート

・監査性

・ファイアウォールのサポート（分割DNS）

ドメインネームシステムのセキュリティ拡張機能－DNSSec

ネットワークレベルで積極的な攻撃を受けると、DNSは攻撃側にとって有用なデータを返送してしまいます。規格案RFC 2535で

規定されているDNSSECでは、ゾーン管理者によるゾーンデータのデジタル署名を可能にする非対称暗号を使用することで、セ

キュリティが考慮されているリゾルバ（resolver）やアプリケーションに対してデータの完全性と認証を提供します。DNSSecはDNS

への、認可されていないアクセスを防止し、回線上でのドメインネームからアドレスへのマッピングの改ざんを阻止します。また、

DNSSECを使用して、DHCPの動的な更新を許可された管理者だけに制限することで、この更新を保護することもできます。

「DNS Security Operational Considerations」（DNS セキュリティに関する運用上の考慮事項）がRFC2541で取り上げられており、

DNSリソースレコード、KEYおよびSIGとともに使用される鍵や署名の運用面について説明されています。

TSIGとTKEYによるトランザクション認証

BIND 9では、Transaction SignatureまたはTSIGを使用して、トランザクションのセキュリティを暗号により確保できます。つまり、リゾ

ルバとネームサーバで共有される鍵を1つ構成し、それを使用して相互の通信を署名します。

特に、トランザクションで交換されるデータの完全性と発信元が、関連サーバ間で1つの鍵を共有するHMAC-MD5により保護され

ます。この鍵は、手動構成プロセスにより関係者に安全に配布する必要があります。

TKEYプロトコルでは、DNSトランザクションの関係者が秘密共有データを規定することにより、TSIGプロトコル用の共有鍵の配布

上の問題に対処しています。TSIGでは、関連するネームサーバ間の時間同期が必要であり、鍵自体だけでなく鍵の名前もサーバ

上で一致しなければなりません。また、TSIGでは、ゾーンデータの完全性や公開鍵の保護バインディングは提供されません。

20

分割 DNS

これまで、DNSでは、領域の境界でDNSを「分割」することにより、ローカルなプライベートネームに到達することが一般的であっ

たため、領域の内側にあるか外側にあるかにより、または、各リゾルバに異なる応答を返し、内側と外側で異なるサーバを使用し

ていました（RFC 1918に規定されているように）。このような比較的複雑な構成は、初期のDNSアーキテクチャが単純なグローバ

ルツリー構造に基づいているため、実装が困難です。

BIND 9.2には、要求元が誰であるかに応じてネームサーバによるDNS照会への応答方法を変えさせるview文が実装されており、

複数のサーバを実行しない分割DNS設定の実装に特に有用です。これは、定義済みのaddress_match_listに一致するIPアドレスを持

つクライアントが参照する、DNSネームスペースの様々なビューを定義することで実現されます。view文内で定義されたゾーンに

アクセスできるのは、そのビューのアドレス一致リスト（address_match_list）と一致するクライアントのみです。複数のビューで、同

じ名前を持つゾーンを定義することで、各クライアント（たとえば、分割DNS設定における「内部」または「外部」クライアント）に

別々のゾーンデータを提供できます。

セキュアな経路指定

標準的な経路指定プロトコルと経路指定構成により、世界中の誰でも経路指定を再構成できます。接続が乗っ取られ、意図してい

ないネットワークに接続されることがあります。しかし、HP-UXは、gatedデーモンとramD、RIP プロトコル、OSPF プロトコル、および

BGPプロトコルにより、安全な経路指定を提供できます。

HP-UXの経路指定デーモンgatedは、2つの内部経路指定プロトコル（RIPとOSPF）と外部経路指定プロトコルBGPをサポートします。

gatedには、信頼度による経路指定情報の送信元をランク付けするための構成可能なオプションや、最も信頼できる送信元からの

特定あて先情報を最初に受け入れるための構成可能なオプションがあります。また、明らかに無効な経路の一部（ループバックア

ドレス127.*.*.* など）を除外する機能もあります。さらに、gatedには、監査に利用できる広範なトレーシング機能もあります。

次世代経路指定情報プロトコル（Next Generation Routing Information Protocol：RIPng）とRoute Administration Manager（ramD）

HP-UX Route Administration Manager（ramD）は、次世代経路指定情報プロトコル（RIPng）をサポートしています。RIPngはIPv6ネットワ

ーク内のあて先への複数経路を評価し、基準（またはコスト）値を各パスに割り当て、データを効率的に転送できる最善の経路を

選択します。ramDには、動的経路指定をサポートするRIPngプロトコルが組み込まれています。

ramDは、次の動的経路指定をサポートします。

ネットワークに障害が発生した場合に、既存の経路を自動的に切り替えます。

ユーザー空間とカーネル空間の経路指定テーブルを自動的に維持し同期化します。

ノードを簡単に追加・管理できます。

複雑なインターネットシステムの実装・運用コストを削減できます。

RIPngプロトコルの特長は次のとおりです。

最低の基準値（またはコスト）を持つあて先への経路を選択し、その経路を経路指定テーブルに入れます。

共通のデータリンク層を共有するルータとIPv6接続情報を交換します。

split horizonまたはpoison reverseのいずれかのモードで機能します。

最大ホップ数は15です。

最大30,000のIPv6ルータをサポートします。

HP-UX Route Administration Manager は、ソフトウェアデポ（http://software.hp.com）からダウンロードできます。ramDは、IETF RFC

2080－RIPng for IPv6をサポートします。

21

経路指定情報プロトコル（Routing Information Protocol）－RIP

RIPを使用すると、一次認証方法と二次認証方法を各インタフェースに指定できます。パケットは、一次認証方法を使用して送信さ

れます。受信パケットは、まず一次認証方法でチェックされます。このチェックに失敗した受信パケットは、二次認証方法でチェック

されます。両方の方法に失敗した受信パケットは破棄されます。さらに、ルータ以外の照会では個別の認証鍵が使用されます。

Open Shortest Path First 経路指定－OSPF

OSPFは、自律系ネットワーク内のリンクの状態に関する情報を格納するトポロジデータベースを保守し、この情報を利用して最短

パスを計算します。このプロトコルは、様々なパスワード認証方法を使用することで、経路指定認証を行うことができます。

IETFのRFC 2178に規定されている認証方式は次のとおりです。

認証なし、またはヌル（null）

単純なパスワード認証

メッセージダイジェスト認証（MD5）

デフォルトでは、ルータはヌル認証を使用します。この場合、ネットワーク上での経路指定交換は認証されません。

単純なパスワード認証では、パスワード（最大16文字の鍵）を各領域に構成できます。経路指定ドメインへの加入を希望する領域

と同じ領域内のルータは、同一の鍵で構成する必要があります。この方法の欠点は、パケットがネットワーク上に送信されると、そ

の鍵が詮索される（snooping）可能性があるということです。

メッセージダイジェスト認証は、暗号による認証です。鍵（パスワード）と鍵IDが各ルータ上で構成されます。ルータはOSPFパケッ

ト、鍵、および鍵IDに基づくアルゴリズムを使用して、パケットに付加する「メッセージダイジェスト」を生成します。単純な認証とは

違って、鍵は回線上で交換されません。中継攻撃から保護するために、減少することのないシーケンス番号も各OSPFパケットに含

まれます。

各種の認証方式を利用できますが、各インタフェースに1つの方式を構成する必要があります。様々な方式を利用すると、インタ

フェースのセキュリティレベルを変えることができます。

ボーダーゲートウェイプロトコル（Border Gateway Protocol）－BGP

ボーダーゲートウェイプロトコル（BGP）は、自律系システム間での経路指定情報交換に使用される、外部またはドメイン間の経路

指定プロトコルです。

BGPルータは、TCP接続を介して、他の自律系システム内の指定されたピアBGPルータとのみ経路指定情報を交換するように構成

されています。さらに、経路指定ポリシーを使用して、各ピアルータに通知・受け入れできる経路を制限できます。必要であれば、

IPSecなどの基盤となる IPセキュリティプロトコルを使用して、ピアルータとの通信を保護することもできます。

インターネットサービスアクセスの保護

保護inetd（indetd.sec）は、インターネットサービスのリモートアクセス制御機能を備えています。inetdはインターネットマスタデ

ーモンであり、必要に応じてftpd、telnetd、UNIXコマンドなどのインターネットサービスデーモンプロセスを呼び出します。保護

inetdにより、システム管理者は、リモートからのシステムの使用を許可するホストやネットワークを管理できるようになります。サ

ービスを要求するホストがinetd.secで有効でなければ、inetdはデーモンを起動しません。

セキュリティチェックに失敗した接続を記録できます。このロギング情報は、特定のリモートシステムからシステムに繰り返しアク

セスしようとしている者がいないかどうか判断する際に役立ちます。

22

inetd.secは、受信パケットの送信元IPアドレスを信頼して送信者を識別する、旧来の UNIXセキュリティ機能であるため、IPスプーフ

ィングにより無効にされる可能性があります。このため、inetd.secを実装する際は、HP-UX IPSecによりIPアドレス情報を保護してく

ださい。

別の方法として、新しいインターネットサービス製品であるTCPラッパー（HP-UX 11i用にhttp://software.hp.comからダウンロード

できます）を利用することもできます。この製品には、ホスト名とホストアドレスのスプーフィングに対する保護機能が装備されて

おり、inetd.secのセキュリティ上の問題に対処します。この製品は、inetdで制御されているサービスへのアクセスを防止または許

可するために、アクセス制御ファイルを使用するという点でinetd.secと似ていますが、次のような機能が追加されています。

受信ネットワーク接続を監視およびロギングすることで、完全なアクセス制御を実現できます。

ホスト名とホストアドレスのスプーフィングを防止します。

RFC 931プロトコルを使用してクライアントユーザー名を検索します。

ソケットだけではなく、TLI（XTI）を使用するサービスをサポートします。

追加チェックや通知などのためのプログラムを起動します。

バナーメッセージを表示します。

TCPサービス拒否攻撃の防御

HP-UX 11iでは、SYN攻撃に対する防御機能が、TCPに初めて組み込まれました。この攻撃は、攻撃者がターゲットシステムに偽の

TCP SYNパケットを大量に送信するというものであり、ターゲットシステムが偽の受信TCP接続要求のためにリソースを消費してし

まいます。

新しいIPアドレス（これまでTCP接続を確立したことがないシステム）からSYNパケットを受信したTCPは、SYN-ACKで応答しますが、

発信元のリモートシステムがACKを送信して接続ハンドシェークを完了するまで、リソースを完全にはコミットしません。

Sendmailのセキュリティ機能

Sendmailは、電子メールをネットワーク経由で最終あて先に経路指定するメール転送エージェントです。Sendmail v8.9.3は、HP-UX

11iに同梱されています。

アンチスパム

Sendmailのリリース8.9.3は、「アンチスパムリリース」と呼ばれています。このリリースで初めてアンチスパムルールセットが組み

込まれました。リリース8.9.3のこれらのルールセットとその他の機能により、メール管理者はスパムを寄せ付けない強力な能力

を手に入れることができます。

Sendmail v8.9.3で使用可能な主なアンチスパム機能は次のとおりです。

デフォルトでの中継拒否：中継（自ドメイン以外のサイトから自ドメイン以外の別のサイトへのメッセージ伝送）がデフォルトで拒否

されます。構成オプションを使用すると、特定のホストからのメッセージを選択して中継できます。

送信者情報の適切なチェック：送信者のドメインネームを解決できない場合、Sendmail 8.9.3はメールを拒否します。この動作は、

次に説明するアクセスデータベースを使用して有効にできます。特定の受信者へのメールを拒否するようにSendmailを構成する

こともできます。

アクセスデータベース：アクセスデータベースは、ユーザーがメールメッセージを発信元のドメインに応じて受け入れたり拒否

する場合に、そのドメインを設定することができるユーザー定義ファイルです。アクセスデータベースファイル内のエントリは、ド

メインネーム、IPアドレス、およびホスト名（または電子メールアドレス）がキーになっています。各エントリは、発信元とキーが一

致するメッセージを受け取った場合に実行する動作を決めます。この動作としては、メッセージの受け入れ、メッセージの中継、メ

ッセージの拒否、特定のエラーメッセージの返信などがあります。

23

ヘッダチェック：Sendmail 8.9.3は「from（発信者）」および「to（あて先）」以外のヘッダをチェックできるため、ヘッダ内の値に基づい

てメッセージを選別することが可能です。この機能により、「subject（件名）」またはその他の標準ヘッダフォーマットに基づいて、メ

ッセージを拒否できます。ただし、この機能を有効にするとヘッダ全体の解析が必要になるため、sendmailの性能が影響を受ける

ことがあります。

Realtime blackhole list（RBL）ベースのフィルタ：sendmailにRBLベースのフィルタを設定すると、各受信メッセージがRBLと照合してチ

ェックされ、リストにあるホストからのメッセージが遮断されます。

Paul Vixie氏は、インターネットソフトウェアコンソーシアム（BIND、DHCP、INNの維持管理団体）のテクニカルディレクタとしてよ

く知られている人物です。彼は、Mail Abuse Prevention System（MAPS）と呼ばれるプログラムも運用しています。これは、彼が名付

けたRealtime Blackhole Listを特徴付けるものであり、スパム送信者に対して「友好的」であると彼が判断したネットワークとのイン

ターネットトラフィックをすべて停止するように設計されています。

このリストの利点は、スパミングから数分以内にスパミングホストがRBLに登録されるということです。ただし、RBLは、遮断された

ことを通知しないでホストを遮断します。

サービス拒否

Sendmail 8.9.3には、システム負荷をチェックし、現在の負荷に基づいて要求を待ち行列に入れるか、または接続を中断するよう

に構成できるオプションがあります。

その他のセキュリティ拡張機能

Sendmail 8.9.3は、ファイルやディレクトリのパーミッションを厳しくチェックして、セキュリティが損なわれないようにします。たと

えば、ユーザーのホームディレクトリに.forwardファイルがあれば、そのファイルのパーミッションを必ず600にします。これにより、

このファイルの読み取り／書き込みはそのユーザーにのみ許可されます。さらに、実効ユーザーIDとしてrootを、実効グループIDと

してmailを必ず使用して実行します。

Sendmailは、syslog機能を広範に使用します。また、受信または交換したあらゆるメッセージのアカウンティングデータを編集して、

各ユーザーまたは各ドメインに対する使用量統計を提供します。

Sendmailは、真のユーザーを認証するためにidentdを使用します。これは、偽のユーザーを識別して隔離し、システムの悪用を防

ぐために役立ちます。

Sendmailの新機能

Sendmail 8.11.1では、アンチスパムと認証にかかわる機能が追加・強化されています。Sendmail 8.11.1はHP-UX 11iとHP-UX

11.0で使用可能であり、http://software.hp.com/の[security and manageability]からアップグレードを入手できます。HP-UX 11i v2

には、Sendmail 8.11.1が最初から同梱されています。

Sendmail 8.11.1のセキュリティ関連の拡張機能は次のとおりです。

Message Submission Agent（RFC 2476）を使用したスパム制御

RFC 2554準拠のSMTP認証

WU-FTP

ファイル転送プロトコル（ftp）を使用すると、クライアントホストシステムとリモートサーバホストシステム間でファイルを転送で

きます。クライアントシステム上では、ファイル転送プログラムがファイル転送プロトコルにユーザーインタフェースを提供し、サ

ーバ上では、ファイル転送プロトコルデーモンftpdが要求を処理します。

HP-UX 11i以降用のftpデーモンは、ワシントン大学で開発された代替ftpデーモンを基に実装されています。一般に、この実装は

WU-FTPDと呼ばれています。

HP-UX 11iシステム用のFTPデーモンであるWU-FTPD 2.4には、旧来のftpに勝る、次のようなセキュリティ関連の拡張機能がありま

す。

24

/etc/ftpaccess構成ファイルを使用することで向上したアクセス制御機能

パーミッション機能の制御

ユーザーによる個別コマンドの実行やファイル転送に対する、強化されたログ機能

基本的な仮想ホストのサポート

WU-FTPD 2.6.1はWU-FTPDの最新バージョンであり、http://software.hp.comの[security and manageability]からアップグレードを入

手できます。WU-FTPD 2.6.1のセキュリティ関連の拡張機能は次のとおりです。HP-UX 11i v2では同梱されています。

仮想ホストの完全サポート

RFC 1413（Identification Protocol：識別プロトコル）のサポート

デーモンがロード時に直ちに、指定されたrootdirへchrootする

さらにアクセスを制限するための新しいftpaccess構成オプション

暗号化、ネットワークセキュリティの基礎

安全な電子商取引では通常、支払い拒否を防止し、認証、プライバシ、機密性を提供するために、セキュリティ機能を採用していま

す。これは、暗号化やデジタル署名などの暗号ベースの技術を利用して、公衆ネットワークにおける信頼の確立を意味しています。

HP-UX 11iで使用可能な暗号APIと暗号ツールキット

ネットワーク環境におけるデータの保護には、暗号化が必要です。これまで説明してきたネットワークセキュリティプロトコルには、

暗号アルゴリズムが組み込まれています。開発者は、分散ネットワークベースのアプリケーションにおける特定のセキュリティニ

ーズを満たすために、暗号アルゴリズムを使用することもあります。

HP-UX 11iでは、HP SpeedCardにアクセスするためのSwiftAPIとCryptokiを始め、BSAFE、Entrust Toolkits、GSS-APIなどの広範な暗号

APIと暗号ツールキットを使用できます。GSS-APIは、HP-UXに同梱されています。GSS-APIの詳細については、前述のKerberosの項

を参照してください。

暗号アルゴリズムでは計算を多用するため、暗号計算が、システム全体の性能に悪影響を与えるボトルネックになることがありま

す。このため、暗号アルゴリズムの性能が、ネットワークセキュリティソリューションの費用対効果に直接影響することもあります。

HPは、暗号性能の面でリーダーシップを確立し、その地位を維持するために、強い決意で努力を続けて行きます。

HP-UX 11i v1およびv2におけるBSAFE RSAバージョン6.0.4の高速化

定評のあるRSA Security社のBSAFEツールキット（バージョン4.1 以降）には、PA-RISCプラットフォーム用に最適化されたバージョン

のRSAアルゴリズムが含まれています。HPの技術者が、RSA処理用のモジュラー指数計算アルゴリズムの内部ループを、PA-RISCア

センブリ言語で作成しました。このため、BSAFEツールキットを使用して構築されたアプリケーションによる、HP-UXプラットフォー

ム上でのRSA処理は、他のプラットフォーム上での処理よりもはるかに高速に実行できます。

バージョン6.0から新しい最適化が導入され、1,024ビットモジュールでのRSA秘密鍵処理の場合、440MHzのCPUで遅延時間が

わずか6.4msです。また、PA-RISC 2.0上でDES、トリプルDES、AES、およびSHA-1の各アルゴリズムについて、さらなる最適化が統

合されています。

25

HP-UX 11iにおけるNES 4.0性能の向上

多くの場合、RSA処理によりボトルネックが生じ、Webサーバの保護性能が制限されます。しかし、HPはNetscape社と協力して、サ

ーバ認証においてSSLが使用するRSA処理の性能を最適化し、前述のアセンブリ言語の内部ループを適用しました。

最適化されたコードは、Netscape Security Servicesのバージョン2.7に含まれています。このコードは、Netscape Enterprise Server

（NES）4.0で使用されます。最適化の結果、他のプラットフォームよりもはるかに高速なNES 4.0がHP-UX上で実現しました。

優れた暗号性能

HPは、HP-UX IPSec製品の特長であるCBCモードのDES、トリプルDES（3DES）、およびAESの実装も業界に先駆けて開発しました。

CBCループはPA-RISCアセンブリ言語で記述されており、PA-RISC 2.0プロセッサの64ビットレジスタを利用しています。これは、市

販製品で使用可能な唯一の64ビットのDES、トリプルDES、およびAESの実装です。これには、学術上の実装における最新技術とHP

独自の技術が組み込まれています。

トリプルDES実装のスループットは、550-MHzのPA-RISC CPUで74.8Mb/sを達成しています。これはビットあたりわずか7.35クロ

ックであることを意味しており、他の主要な実装のほぼ2倍の速さです。

HPには、暗号アルゴリズムのItanium実装を手作業で作り上げる独自の専門技術とツールがあります。HP研究所の研究員はこのよ

うな技術とツールを駆使して、高度暗号化規格（Advanced Encription Standard：AES）を決めるために米国標準技術局（National

Institute of Standards and Technology: NIST）が企画した公募で最終選考に残った5種類のアルゴリズムの高速な実装を行いました。

これらの結果については、最近のNISTのワークショップで紹介されました8。また、研究員は、RSAアルゴリズムの超高速な Itanium

実装も実現しています。

次の表は、HP研究所がItaniumアーキテクチャ用に開発したアルゴリズム最適化の性能係数を示しています。テストはすべて1GHz

McKinleyシステムで実行しました。

暗号化の種類 CPUサイクル/バイト MB/s

DES（CBCモード暗号化/復号化） 30 31

3DES（CBCモード暗号化/復号化） 78 12

AES（CBCモード、128ビット鍵暗号化/復号化） 8.5 112

RC4（暗号化/復号化） 4.1 231

SHA-1（漸近的性能） 6.2 153

RSA（1024ビットモジュール秘密鍵処理） 253,000 4000処理/秒

まとめ

HP-UX 11i v1およびv2は、PA-RISCとItaniumの双方のプラットフォーム上で、安全なネットワークインフラストラクチャを実

現するための最新セキュリティ技術を提供します。HPのプラットフォームはこれらの組織を、インターネットを介して1つ

のe-ビジネスに統合します。HP-UX 11i v1やv2を使用すると、企業は、費用対効果に優れ、効率的で柔軟性に富んだ方法で、

企業の安全性を損なうことなく、ダイナミックなビジネスニーズに対応できます。

8 第3回AES Candidate Conferenceにおける、J. Worley、B. Worley、T. Christian、およびT. Worleyの講演AES Finalists on PA-RISC and IA-64：Implementations & Performance（議事録の入手先：http://csrc.ncsl.nist.gov/encryption/aes/）

26

付録A：製品情報

HP-UX 11iセキュリティソリューションおよび製品

セキュリティソリューション利用可能な HP-UX 11i製品

VPN（仮想プライベートネットワーク） HP-UX IPSec

BINDv9

認証、認可、アクセス制御 AAA Server

Kerberosスイート

LDAPスイート

安全な企業イントラネット HP-UX IPFilter

HP-UX IPSec

HP-UX 11iセキュリティ製品の入手先

製品

Secure Shell

SSL

HP-UX IPSec

HP-UX IPFilter

PAM Kerberos（ J5849AA）

Kerberosクライアントライブラリ/ユーティリティ

GSS-API

Secure Internet Service

LDAP Client Services

NIS/LDAP Gateway

AAA Server

Netscape Directory Server

LDAP-UX Integration

BIND 8.1.2

BIND 9

RIP、OSPF、BGP、保護inetd

Sendmail

TCPラッパー

WU-FTPD

HP-UX 11iに同梱（追加料金なし）

アプリケーションCD（0902）に含まれています。

アプリケーションCDに含まれています。（ J4256AA）

アプリケーションCDに含まれています。


HP-UX 11i v1、v2オペレーティング環境に含まれています。





アプリケーションCDに含まれています。（ J4258BA）



HP-UX 11i v2オペレーティング環境に含まれています。



HP-UX 11i v2オペレーティング環境に含まれています。

Webからダウンロード可能

http://software.hp.com/








27

詳細情報

HP-UXセキュリティ

HP-UX 11iオペレーティング環境セキュリティについての情報は、次のホワイトペーパーをご覧ください。

『HP-UX 11i system security』ホワイトペーパー

http://www.hp.com/products1/unix/operating/infolibrary/whitepapers/hpux11isecuritywp.pdf

Kerberos

KerberosプロトコルおよびGSS-APIの詳細については、次のWebサイトをご覧ください。

MIT Webサイト：http://Web.mit.edu/kerberos/www/

共通認証技術（Common Authentication Technology：CAT）に関するIETF作業部会：http://www.ietf.org/html.charters/cat-charter.html

『Configuration Guide for Kerberos Products on HP-UX』（ J5849-90003）：

http://docs.hp.com/hpux/internet/index.html#Kerberos

『PAM Kerberos Release Note』（ J5849-90002）：

http://docs.hp.com/hpux/internet/index.html#Kerberos

LDAP-UX

詳細については、次の文書をご覧ください。

『Integrating HP-UX 11.x Account Management and Authentication with Microsoft Windows 2000』：

http://docs.hp.com/hpux/internet/

『Preparing your LDAP Directory for HP-UX Integration』：


『Installing and Administering LDAP-UX Client Services（J4269-90016）』：


規格

IETF規格の詳細については、次のWebサイトをご覧ください。http://www.ietf.org/

IPSecプロトコルファミリの詳細については、IPセキュリティプロトコルに関するIETF作業部会のWebページをご覧ください。

http://www.ietf.org/html.charters/ipsec-charter.html

オープングループの出版物については、次のWebサイトをご覧ください。http://www.opengroup.org/

BINDについては、次のインターネットソフトウェアコンソーシアム（Internet Software Consortium：ISC）のWeb

サイトをご覧ください。http://www.isc.org/

暗号化

暗号化に関する一般情報は、『Applied Cryptography』（Bruce Schneier著、John Wiley and Sons, Inc.発行）または『Handbook of

Applied Cryptography』（A. Menezes、P. C. van Oorschot、S. A. Vanstone共著、CRC Press LLC発行）をご覧ください。

HP-UX IPFilter

HP-UX IPFilterに関する製品情報は、次のWebサイトをご覧ください。

http://docs.hp.com/hpux/internet/index.html

HP-UX IPSec

HP-UX IPSecに関する製品情報は、次のWebサイトをご覧ください。

http://docs.hp.com/hpux/internet/index.html

28

付録B：用語集

3DES Triple-Data Encryption Standard：トリプルデータ暗号化規格

AAA Authentication, Authorization, and Accounting：認証、認可、アカウンティング

AES Advanced Encryption Standard：高度暗号化規格

DES Data Encryption Standard：データ暗号化規格

DH The Diffie-Hellman key agreement public-key cryptosystem：Diffie-Hellman鍵合意型公開鍵暗号システム

DMZ De-Militarized Zone：非武装地帯（インターネットとイントラネット間）

DSS Digital Signature Standard：デジタル署名規格

EDI Electronic Data Interchange：電子データ交換

HTTP Hyper-Text Transport Protocol：ハイパーテキスト転送プロトコル

IETF Internet Engineering Task Force：インターネット技術特別調査委員会

KDC Key Distribution Center：鍵配布センター

MD Message Digest：メッセージダイジェスト（MD5はメッセージダイジェストすなわち暗号ハッシュアル

ゴリズムです）

NIST National Institute of Standards and Technology：米国標準技術局

RC Rivest Cipher：Rivest暗号（RC4はストリーム暗号です）

RFC Request For Comments：コメント要求

RSA Rivest-Shamir Adleman公開鍵暗号化および署名暗号システム

SHA Secure Hash Algorithm：保護ハッシュアルゴリズム（SHA1はNIST暗号ハッシュ規格のリビジョン1です）

SSH Secure Shell：保護シェル

SSL Secure Sockets Layer：セキュアソケットレイヤ

TLS Transport Layer Security：トランスポート層セキュリティ

仲介者攻撃仲介者（man-in-the-middle）攻撃は、通信中の2者間のトラフィックを両方向に中継し、2者間の会話を

監視して、選択したメッセージを変更することで、一方または両者になりすまします。

JHS04036-01

日本ヒューレット・パッカード株式会社〒140-8641 東京都品川区東品川2-2-24 天王洲セントラルタワー

お問い合わせはカスタマー・インフォメーションセンターへ　

03-6416-6660　月～金 9:00～19:00　土 10:00～18:00（日、祝祭日、年末年始および5/1を除く）

HP-UX製品に関する情報は　http://www.hp.com/jp/hpux

Microsoft、WindowsおよびWindows NTは、米国におけるMicrosoft Corporationの登録商標です。記載されている会社名および商品名は、各社の商標または登録商標です。記載事項は2004年2月現在のものです。本書に記載された内容は、予告なく変更されることがあります。本書中の技術的あるいは校正上の誤り、省略に対して、いかなる責任も負いかねますのでご了承ください。 © Copyright 2004 Hewlett-Packard Development Company,L.P.

HP-UX ネットワークセキュリティ Whitepaper

Documents