IP Filterの導入
IP Filterの最新バージョン*2をダウンロードしてきて、適当なディレクトリに展開します。展開後、以下のコマンドを実行すると、Solaris 8用のパッケージを作成してインストールします*3。
*2IP Filterの2001年7月1日現在の最新バージョンは3.4.19ですが、3.4.19をSolaris 8で使用したとき、ドキュメントにない挙動が見られましたので、ここでは3.4.18を使用します
*3IP Filterに限らず、Solaris上でソフトウェアをコンパイルするときは、gccなどのコンパイラや、そのほかのツールが必要となります。ここでは、あらかじめそれらのツールがインストールされており、コマンドへのパスも正しく設定しているとします
インストールに成功したら、マシンを再起動します。起動後、dmesgコマンドを実行して以下のメッセージを確認できたら、IP Filterが正しく起動されています。
IP Filterのインストール直後は、すべてのパケットを送受信できる状態ですので、ちゃんとしたルールを適用するまでネットワークにつないではいけません。このインストール直後の状態は、ファイアウォールによって異なります。インストール直後の状態で、すべてのパケットを拒否してしまうファイアウォールもありますが、それでもすぐにネットワークにつないではいけません。ファイアウォール構築の際は、必ず信頼できるネットワークか、専用のネットワークで作業を行ってください。
これは重要なことですが、サーバのセキュリティを維持していくためには、まず導入したサーバがセキュリティ的に信頼できるものでなければなりません。例えば、アパートに入居する際に、前の住人が玄関のドアの合いかぎを作っていたとしたら、安心して住めるでしょうか? そのようなアパートの窓に侵入警報装置を付けたとしても、合いかぎを使って玄関から堂々と入ってこられては、なんの意味もありません。
ルールの適用
まず、ログを取るために以下の1行を「/etc/syslog.conf」に追加します。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
設定後、以下のコマンドを実行して設定を反映させます。これで、IP Filterのルールでログを取るように設定したものについては、「/var/log/ipf.log」にログが記録されます。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
IP Filterのルールは、「/etc/opt/ipf/ipf.conf」ファイルで設定します。最もシンプルな設定は以下のようになります(ルール1)。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
設定後、以下のコマンドを実行して、IP Filterにルールを再読み込みさせます。これ以降、ipf.confを変更した後はこのコマンドを実行して、ルールの適用を行うようにしてください。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
ルール1において、(1)は「すべての内向きのパケットを拒否する」、(2)は「すべての内向きのパケットを許可する」という意味になります。一般のファイアウォールの場合、パケットが(1)にマッチした時点でルールが適用されるため、すべての内向きのパケットが拒否されるという結果になります。しかしIP Filterの場合は、最後にマッチしたルールが適用される、という原則になっています。そのため、(1)にマッチしたパケットも、以降の(2)にマッチするため、「すべての内向きのパケットを許可する」という結果になるのです。
このように、ファイアウォールによって、ルールの適用原則が異なることがあります。そのため、同じような感覚で異なるファイアウォールを設定しようとすると、単純な設定ミスを犯すことがあるので気を付ける必要があります。
Copyright © ITmedia, Inc. All Rights Reserved.