サーバー構築 セキュリティ TCP/IP基礎 TIPS 書籍 ブログ

Web全体 サイト内検索

 サーバー構築導入編
はじめにお読みください
自宅サーバー構築前の準備
固定IPアドレスのススメ
参考:自宅サーバー環境
 ルータ設定編
ルータとは何か/ルータの賢い選び方
手動でIPアドレスを設定する
NAT/IPマスカレードとDMZの違い
 Apacheでのサーバー構築
WWWサーバー構築の流れ
Apache2.0の導入/インストール
Apacheの構造
Apache とにかくこれがやりたい!
ブラウザでの確認/Webページ公開
Apache(1.3)の設定 PART①
Apache(1.3)の設定 PART②
制御ファイル「.htaccess」
付録:Apacheの設定 索引
AN HTTPDの設定
ApacheLogViewer でアクセスログ解析
 DynamicDNSを利用する編
Dynamic DNSとは?
Dynamic DNSの管理
無通信状態での自動切断の防止策
急げ!新ドメインは早いもの勝ち!
 FTPサーバーの構築編
War FTPのインストール[ Ver.1.82 ]
War FTPの設定[ Ver.1.82 ]
War FTPの設定:基礎編 [ Ver1.65 ]
FTPサーバーの動作確認/ログイン
コラム:パーミッションの設定
FTPコマンドでファイル転送する
TFTPサーバーの構築/コマンド
 メールサーバーの構築編
メールサーバーソフトのインストール
メールサーバーソフトの基本設定
 VNCサーバーの構築編
TightVNCによるVNCサーバーの構築
 バックアップ編
True Imageのインストール
True Imageによるイメージバックアップ
True Imageによるバックアップからの復元
 自宅サーバー関連書籍

「全部フリーソフトで作るシリーズ」のWindowsXP版。初心者でもわかりやすい解説で人気のある1冊です。これから初めてサーバー構築する方には特にオススメ!


Apache2の逆引きリファレンス。知りたいと思ったディレクティブが簡単に引けて大変重宝しています。内容も非常に濃いのでこんな機能があったのか~と思わず感動してしまう事も。お勧め。
 レンタルサーバー
Xbit(エクスビット)
さくらインターネット
ロリポップ!
 個人情報(IPアドレス)の確認
SSI環境変数
 関連ソフトウェアDOWNLORD
AN HTTPD
Apache
BlackJumboDog
Tiny FTP
War FTP
3CDaemon
ArGoSoft Mail Server
DiCE
九十九電機

 


ネットワーキングの世界においては今日、至る所に「ルータ」と呼ばれる機器が使用されています。ルータの役割は、論理的に分割された2つ以上のネットワークを接続するために用いられる機器です。つまり、ルータを使用するとひとつのグローバルIPアドレスで複数のコンピュータを同時にインターネットに接続させることが可能となります。また、その他にも複数経路の中から最適な経路を選択して、目的のネットワークにデータを中継(ルーティング)したり、パケットフィルタリングというセキュリティ確保のための機能も付属しており、不正なアクセスをゲートウェイ(入り口)で防ぐ役目を担っています。



上記で述べたように、複数のコンピュータを同時にインターネットに接続するためには、ルータの機能であるNAT/IPマスカレード(NAPT)の技術なくしては成り立ちません。NAT(Network Address Translation)とはIPアドレスを変換する技術のことで、プライベートIPアドレス(直接インターネットに接続できない状態)をグローバルIPアドレス(インターネットに接続できる状態)に「1:1」で変換してくれます。しかしながら、複数のコンピュータを同時にインターネットに接続できるようするためには「N:1」(すなわち、「多:1」)で変換しなくてはなりません。それを実現してくれるのがIPマスカレードと呼ばれるものです。マスカレードとは「見せかける」という意味で、その名のとおりIPアドレスが複数あるかのように見せかけているのです。NAT/IPマスカレード機能は、ルータの核ともいえる機能であり、このようなアドレス変換機能はTCP/IPネットワーキングを実現する上での「限られたリソース(IPアドレス)を有効に活用するための技術」として捉えることができます。

◎ルーティングの概要図








市販されている5000円~25000円あたりのルータは基本的に性能面で大差はないと言えます。だからといって、闇雲に購入するとあとで痛い目を見ることは目に見えています。性能面での大差はないといいましたが、実は細かい部分でかなり性能に違いが現れてきます。最近のルータはほとんどがブラウザで簡単設定できるようになっています。それだけにカタログやパッケージ裏面の説明を読んだだけではわからないことがたくさんあります。ベンダ側にだまされないためにも事前にインターネットで調べたり、サポートセンターに確認をとるなどして綿密に調査しておくことが必要となります。以下は代表的なルーターメーカーのリンクです。参考にしてください。

代表的なルータメーカーリンク一覧
ACCTON ALLIED-TELESIS ANRITSU
COREGA ELECOM FUJITSU
FURUKAWA ELECTRIC HITACHI-IT I-O DATA
LINKSYS LOGITEC MELCO
MICRO RESEARCH MOTOROLA NEC-Aterm
NETGEAR NISSEI NTT
NTT-ME OMRON PANASONIC
PLANEX YAMAHA ZYXEL



■何を重視するのか

ルータの選び方としてどこに重点を置くかで購入する製品も変わってきます。大別すると、スピードを重視するか、それともセキュリティを重視するかです。現在のところ、5000円~25000円程度の価格帯では、スピードがFTTH(Fiver To The Home)を見越したスループットに対応しつつ、尚且つセキュリティも頑強な製品というのは多くはないと思います。したがって現状では、スピードを取るか、セキュリティを取るか、苦渋の選択をしなくてはならないわけです(最近は、必ずしもそうとはいえませんが)。そこで、当サイトに訪れている方はどちらを取るべきかを考えてみると、答えは明白ですね。セキュリティ重視です。サーバーを公開することによって予期しない不正アクセスや攻撃を受ける可能性が非常に高くなってきます。常時接続しているコンピュータは常に見も知らぬ第3者に侵入されたり、攻撃されたりするといった可能性を孕んでいます。セキュリティ機能の豊富なルータを購入することで、これら不正侵入の芽をゲートウェイ(ルータ)で摘み取っておくことは、セキュリティを確保する上で非常に重要なことなのです。

そこで、じゃぁ、どんなルータを購入すればいいのか、と言うことになりますが、前述したように基本性能はどのルータでもたいした違いはありません。しかし、さらに細かい設定ができるかどうかがポイントです。以下にルータの基本的な機能と注意しておきたい点を簡単にピックアップしてみたので参考にしてください。


■ルータの機能

 機能名  機能の説明と注意点
 
 パケット・フィルタリング
パケット・フィルタリングは、IPアドレスやポート番号などの情報に基づいて実際にやり取りされるデータを中継するべきか、それとも遮断するべきかといった制御を行うことができます。これによって事前に不正なアクセスから自分の身を守ることができます。(詳しくは「パケットフィルタリングとその凡例」を参照してください。

ここで注意すべきなのは、ルータによっては細かくフィルタリング設定できない製品もあります。例えば、既に決められたポート番号が閉じられていて、自分で閉じたいと思ったポート番号を閉じることができないという場合です。また、アプリケーションによっては内部(LAN)から勝手に外部に(WAN)に接続を試みようとしますが、そのような不要なパケットの流出も制御しなくてはなりません。けれども、ルータによってはLAN側からWAN側へ制御できないものもあります。アプリケーションならまだしも、スパイウェアやトロイの木馬などが仕掛けられていた場合には、コンピュータ内のデータが盗まれたりされることもあります。以上のことから、外部(WAN)から自分のパソコン(LAN)への接続を遮断するフィルタリングと自分のパソコン(LAN)から外部(WAN)への接続を遮断するフィルタリングの双方向での設定ができる二重ファイアーウォールの機能を有した製品を買うことをお勧めします。

補足ですが、ルータによってはこのフィルタリングができる数が8個とか16個、32個とかにエントリーが制限されている製品がほとんどです。個人で使用する分には十分な気はしますが、できるだけ最大エントリー数が多いものを選ぶべきでしょう。


 NAT/IPマスカレード
NAT/IPマスカレード機能(NAPT)はアドレス変換機能を実現する技術の一つです。個人でサーバーを公開する場合には、通常、プロバイダから1つのグローバルIPアドレスが配布されます。NATはローカルIPアドレスとプロバイダから配布されたグローバルIPアドレスを「1:1」で変換することができます。つまり、1台のパソコンしか使用しない場合にはNAT機能だけあれば問題ないということになります。しかし、複数のパソコンにグローバルIPアドレスを割り当てるには、ネットワーク上の1台の端末がセッションを確立している間は、他のコンピュータからはインターネットに接続することができなくなるという事態が発生します。そこで登場するのがNAT機能を拡張したIPマスカレード機能でローカルIPアドレスとグローバルIPアドレスを「多:1」で変換することができるようになるのです。これによって同一ネットワーク上に存在するどのコンピュータからでも同時にインターネットに接続することが可能になります(参考:「NAT/IPマスカレードとDMZの違い」)。

そこで、いざルータを購入するといった際に、消費者を惑わせる問題が生じてきます。それはNAT/IPマスカレードという名称が各ベンダによって表記が異なるのです。使い勝手はほとんど同じにも関わらず、独自の名称で表記してあるから初めてルータを購入する方はどれを購入すればいいのか戸惑ってしまうわけです。以下に各ベンダごとの異なる表記を記述しておきますので参考にしてください。

 メーカー名  NAPT機能の表記
YAMAHA、メルコ、LYNKSYS IPマスカレード
NTT-ME AutoNAT
富士通 マルチNAT(動的NAT)
NEC NATe、アドバンストNAT
アイ・オー・データ機器 Extension NAT、IPマスカレード
古河電工、ELECOM NAT+
アライドテレシス ENAT,NAF
シスコシステムズ PAT
Ascend ADIA
ZyXEL(ザイゼル) SUA


 バーチャルサーバー
ポートフォワーディング、DMZホスト設定などと表記されている場合もありますが、ほとんど同様の意味で解釈して良いでしょう。特定のポート番号のファイアウォール機能を無効にしてサーバー公開をしたり、ネットワークゲームなどを楽しむことができるようになります。サーバーの種類に応じてWAN側とLAN側のサービスポートを静的に「1:1」に対応づけする(これを静的IPマスカレードといいます)ことによってサーバーを公開できるように実現しています。ただし、NAT/IPマスカレードテーブルの設定ができるルータであれば必ずしも必要になる機能ではありません(参考:「NAT/IPマスカレードとDMZの違い」)。

 DHCPサーバ機能
DHCPの機能を使用することによってクライアントPCに自動的にIPアドレスを割り当てることができるようになります。複数台のパソコンで同時にインターネットに接続する場合に、端末ごとにプライベートアドレスを割り当てる必要がなくなりますので入力の手間を省くことができます。SOHOのような小規模LANにおいてはさほど威力を発揮しませんが、100台単位の端末に手入力で割り振るとなると相当な手間がかかりますし、間違ってプライベートIPアドレスが重複してしまったりすると、LAN上にある特定の端末と通信ができなくなるなんてことにもなりかねません。そこで、DHCPサーバー機能を使って、自動的にプライベートアドレス割り当てるように設定してあげれば相当な労力と時間を省くことができますし、管理もより一層、楽になります。大抵のルータには付属している機能だと思うのであまり意識する必要はないと思います(参考:「手動でIPアドレスを設定する」)。

 PPPoE対応
PPPoE(Point to Point Over Ethernet)とは、ダイヤルアップで利用されているPPPの接続手順(ユーザー認証方式など)をLAN上(Ethernet上)で行えるように拡張した技術です。これは、NTTが採用している接続方式なので、フレッツADSLの方は必ずPPPoEに対応した製品を購入してください。また、最近はほとんどのルータにこの機能がついているので特に意識する必要はないでしょう。

イーアクセスやアッカネットワークスなどのキャリアはPPPoA(Point to Point over ATM)という別の接続方式を採用しています。また、Yahoo!BBのようなプロバイダと通信キャリアが一体となっているケースでは、専用モデムを用意するだけで接続できる場合もあります。

 ログ出力機能
外部からポートスキャンや不正アクセスなどの攻撃を受けた場合に、ルータ側でログを取り、インターネット上のどのIPアドレスから受けたものなのかといった攻撃を仕掛けてきた相手の様々な情報をコンピュータに出力してくれる機能です。しかし、実際は安い価格帯でログ機能がついているものはあまりありません。もし、自分が欲しいと思ったルータにこの機能がついていなくても辛うじて妥協することができる点だと私は思います。ただ、あればあったほうが断然良いので是非ともログ機能のついたルータを推奨します。

 ステルスモード機能
ちょっと勘違いしやすいのがこの「ステルスモード機能」と呼ばれているものです。これは、別にルータに付属するある特定の機能をさして「ステルスモード」と言っているのではなく、要はPingに応答するか応答しないかといったことを制御できようにしているために、ベンダ側が勝手にステルスモード機能と呼んでいるものです。つまりパケットフィルタリングでICMPを制御できるルータならどれでも「ステルスモード機能」と呼んでいいことになります。

「Pingに応答しない」とは、わかりやすく言うとLAN内にあるコンピュータをインターネット上(WAN側)から完全に隠蔽することで、ICMPをフィルタリングするとPingには応答しなくなり、結果的にWAN側からは自分のコンピュータが存在するかどうかすら確認できなくなりセキュリティが向上します。もし、「Pingに応答する」ようにしていると、Pingを仕掛けた相手に対して自分のコンピュータが応答してしまうので、ネットワーク上に自分のコンピュータが存在することがバレてしまいます。もし、コンピュータが存在することが相手にわかってしまうと、次にはポートスキャンなどの攻撃を仕掛けてきます。そこでセキュリティの甘いポートが見つかり次第、攻撃のレベルをあげていきます。このような攻撃への対処としてICMPをフィルタリングするわけです。ルータを購入する際にはプロトコルごとにパケット・フィルタリングすることのできるもの、ここではICMPをフィルタリングできる製品を選択するようにしましょう(参考:「ICMPとは?」)。

注意しておきたいのは、ルータによってはICMPそのものを拒否してしまうものもあります。確かにインターネット上からは完全に隠蔽された状態となり、セキュリティ上安全になりますが、LAN内での通信確認を行う際にもPingを実行できないとなると不便だという方もいるでしょう。そういう方は方向を指定できるルータを選びましょう。

 ステートフル・パケット・
 インスペクション(SPI)
ステートフル・パケット・インスペクションとはLAN側が送信元であるコネクションだけを通信できるように、パケットレベルの整合性を検査して通信を制御することができる機能です。つまり、通常のパケットフィルタリングとは異なり、要求パケットと応答パケットの整合性を検査して、必要なアプリケーションのポートだけを開くようになります。通信を終了すると全てのポートが自動的に閉鎖されるので「穴の無い」強固なセキュリティを実現することが可能となります。また、インターネット側からのDoS(Denial of Services)攻撃パターンを認識することによって不正なアクセスを遮断します。ステートフル・パケット・インスペクションでは、より優れた通信の制御を行うことができ、FTPサーバーなどを構築する際には重宝するでしょう。

しかし、実際には安い価格でステートフル・パケット・インスペクションの機能を持つルータは決して多くはありません。SPIがついているに越したことはありませんが、もしかしたら他の機能を犠牲にすることにもなりかねないので、各自ちゃんと調査してから購入するようにしましょう。また、ステートフル・パケット・インスペクション搭載のルータは要求パケットと応答パケットの整合性を検査するという性質上、スループットが低下する事実は否めないでしょう。

 スイッチングHUB
複数のコンピュータを接続することが可能になります。自宅で何台のパソコンを使用しているかにも依ると思いますが、通常は4ポートぐらいあれば特に問題はないでしょう。それ以上のポートが必要である方は別途、HUBを購入する必要があります。

 パスワード設定
ルータの設定をするにはブラウザで設定することになりますが、そのルータの設定画面へは通常、ユーザ名とパスワードを入力し、認証が成功すると設定画面へといけるようになっています。しかし、ルータによってはパスワード設定がついてないものがあります。つまり、誰でもルータの設定をいじることができてしまうわけで、非常に危険です。ルータの設定画面へいけてしまう(=侵入されてしまう)ということはルータが保持するルーティングテーブルを書き換えられることを意味し、ICMP ECHO攻撃の踏み台とされる可能性もでてきます(詳しくは「攻撃のパターン」を参照してください)。ちゃんとパスワードの設定できるルータを購入しましょう。



 

Copyrights©KORO 2002-08 All Rights Reserved.Since 02/08/15 | サイトのプライバシーポリシー