FreeS/WANによるIPSecの導入と運用[前編]
− LinuxでIPSecを使おう −
宮本 久仁男<kmiya@coe.nttdata.co.jp>
NTTデータ COEシステム本部
システム技術開発部第三技術開発担当
2002/2/26
FreeS/WANの概要
FreeS/WANはLinuxにおけるIPSecスタックの実装であり、IPSecの仕様の大部分を満足する作りとなっています。具体的な構成についてはこの後述べていきますが、Linuxカーネルにも手が入るため、導入にはそれなりの手間とスキルが必要となります。本稿では、FreeS/WANの概要から導入、そして動かすまでを一通り説明します。なお、IPSecそのものについては技術解説 IT管理者のためのIPSec講座」に分かりやすい説明があるので、そちらを参考にしてください。
IPSecの仕様の中には、実装が必須の部分とオプションの部分とがあります。FreeS/WANでは、必須であってもセキュリティが弱いなどの理由で実装していない項目があります(注)。こういった部分に留意して運用する必要はあるものの、LinuxにおけるIPSecカーネルの定番であることに変わりはありません。
注:例えば、DESによる暗号化はセキュリティ上の理由で実装されていません。 |
■FreeS/WANの構成
FreeS/WANは、大きく分けて3つのものから構成されています。
- KLIPS
KLIPSは、カーネルにIPSecの暗号化通信機能を提供します。Linuxカーネルに対するパッチという形で提供されるため、導入するにはカーネルの再構築が必要となります。
- PLUTO
PLUTOは、IPSecの鍵交換をつかさどるIKEデーモンです。ユーザープロセスとして動作するため、カーネルに対する変更は特に必要ありませんが、動作に当たってはKLIPSが機能していることが前提になります。
- 管理用コマンド/スクリプト類
KLIPSとPLUTOの制御のために、多くのコマンド/スクリプト類が用意されています。通常は「ipsec」というスクリプト経由でこれらのコマンド/スクリプト類を使用します。システム管理者がipsec以外のコマンドを直接実行する必要はありません。
1/2
|
|
||||
|
Linux Square全記事インデックス |
Linux Squareフォーラム セキュリティ関連記事 |
連載:習うより慣れろ! iptablesテンプレート集(全4回) 初心者にとって、iptablesは難しい。そこで、学習の第1歩としてテンプレートを自分の環境に適応させることから始めよう |
|
連載:ゼロから始めるLinuxセキュリティ(全11回) 奥が深いセキュリティ対策の世界をゼロから解説。ホストレベルのセキュリティからファイアウォール、IDSの構築、ログ管理方法まで、システム管理者必見 |
|
特集:WebDAV時代のセキュリティ対策[前編] WebDAVのメソッドは便利な反面、セキュリティホールとなり得る。しかし、適切な対策を講じることでメソッドの危険性は取り除くことができる |
|
特集:FreeS/WANによるIPSecの導入と運用[前編] LinuxでIPSecを利用するには、「FreeS/WAN」というIPSecスタックを用いることになる。まず、これをインストールすることから始めよう |
|
特集:Linux以外のIPSecスタックとの相互接続[前編] 別のOSや異なるIPSecスタックとの相互接続が可能なら、その用途は大幅に広がる。前編では、FreeBSDのKAMEと相互接続を試みる |
|
特集:sshでセキュアネットワーク サーバにリモートログインする場合は、暗号化して転送するsshを使おう。sshをサーバとクライアントにインストールすれば、インターネット上でも安全な通信が可能になる |
|
|
Linux & OSS フォーラム 新着記事
- 【 pidof 】コマンド――コマンド名からプロセスIDを探す (2017/7/27)
本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、コマンド名からプロセスIDを探す「pidof」コマンドです。 - Linuxの「ジョブコントロール」をマスターしよう (2017/7/21)
今回は、コマンドライン環境でのジョブコントロールを試してみましょう。X環境を持たないサーバ管理やリモート接続時に役立つ操作です - 【 pidstat 】コマンド――プロセスのリソース使用量を表示する (2017/7/21)
本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、プロセスごとのCPUの使用率やI/Oデバイスの使用状況を表示する「pidstat」コマンドです。 - 【 iostat 】コマンド――I/Oデバイスの使用状況を表示する (2017/7/20)
本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、I/Oデバイスの使用状況を表示する「iostat」コマンドです。
|
|