/* * Proxyの誕生 * */ ■イントラネットの憂鬱・・  TCP/IPなどのインターネットの技術を利用し、社内などの限られた組織を対象に企業内 ネットワークを構築する事。イントラネットの構築にはインターネット用のソフトウェア などをそのまま使う場合が多く、このままでは誰でも簡単にイントラネットの中に入り込 み発信された情報を外部の人が簡単に見ることが出来てしまう。これでは、限られた組織 を対象にイントラネットを構築してもまったく意味が無い。そこでセキュリティを確保す るためには、イントラネット内のパケットが外に漏れ出さないようにする必要が生じた訳 である。 ■ TCP/IP (方式)  情報をパケット(小包という意味)という単位に分割してネットワークの中に送り出す 方式。インターネット上では、複数のネットワークが存在し、ルータと呼ばれる装置がパ ケットを中継して 送信者から送られたパケットは途中にあるルータに受け取られ、 その ルータはそのパケットをまた別のルータに転送して最後に目的地に届ける仕組みになって いるのである。 ■ファイアウォール  上記のセキュリティ理由でインターネットとイントラネットの間の出入り口(ゲート) を1つにしぼって外部の侵入を防ぐ(監視する・制限する)検問所を置く事によりイント ラネット内のセキュリティを高める役割を果たすのがファイアウォールである。 ■ファイアウォール補足  イントラネット内のコンピュータ同士で情報のやりとりなどがなされている場合はかた くそのゲートを閉じ、またイントラネット内から外部インターネットにアクセスする場合 は必要な情報のみをやりとり出来るように監視・制限・検問する仕掛けをもったものであ る。この相反する性格をもちあわせたフィルターがファイアウォールである。 ■ファイアウォールの監視・制限・検問の2種類の方式  ゲートウェイ方式  送受信するデータを、HTTP や FTP、Telnet などのアプリケーション・プロトコルのレ ベル輸送方法によって検査する。この方法だと、連続的なデータをまとめて調べることが できてファイアウォール構築も比較的簡単な設定で出来る。  パケット・フィルタ方式  情報を一定の大きさにまとめて、パケットのレベルで送られてくる荷物の送り主を1つ 1つ調べて中に入れるかどうか検査する。ゲートウェイ型よりも細かいチェックが可能で 安全面は上回っているが、1個のパケットを基にそれを通すかどうかを判断するので、VDO LiveやReal Audioなどマルチメディアのストリーミング・データを適切に処理することが 難しい。 ■ルータによるパケット・フィルタリング  ファイアウォールはそのシステムのために専用の非常に高額なハードウェアを購入しな ければならない、セキュリティ防護はしたいがファイアウォールを購入するのはコスト的 に無理という場合は、ファイアウォールのパケット・フィルティングをルータと要塞ホス トにより代用するという方法がある。ルータとは、LAN に結ばれる通信装置であり情報の 流れを制御する役割を持つ。特定のタイプのパケットが外部へ出る、または内部に入ると いう事を禁止するように他のルータを構成したり、特定のルータとの通信を可能にしたり 禁止する事も出来る。これが、ルータによる経路とパケットのフィルタリングである。  このルータによって、外部からのアクセスが要塞ホストだけにしかアクセスができない ように設定する。外部からのアタック・侵入は要塞ホストのみにかかるようにするのであ る。要塞ホストにはプロキシサーバというサーバを用いて、アクセス制限がかけられるた め外部からのリクエストには応えないようになっている。こういった仕組みによって、あ る程度安全にマルチメディア系サービスを導入する事も出来る。 ■インターネットからの不正アクセスを防止(上記の補足的説明)  インターネット上の無数にある Webサーバ経由からのイントラネットへの侵入を防ぐた めには、 侵入してほしくない IPアドレスをルータに設定すればよいのだが、星の数ほど あるコンピュータのIPアドレス全てをルータに設定することは不可能であるためファイア ウォールによってインターネットとイントラネット間の接続を分離して、イントラネット からの Webサーバへのアクセスと、インターネット上のコンピュータからイントラネット へのアクセスが直接できないようにする。 ■ファイアウォールの泣きどころ 〜 プロキシサーバ誕生  外からのアクセスを制限すれば当然イントラネット内から外のインターネット上のサー バを利用する事も制限されてしまう訳である。そこで生まれたのが、ルータの外にインタ ーネットに自由にアクセス出来るコンピュータを用意して、外へのアクセスのすべてをコ ンピュータに代理させる方法である。この代理コンピュータは、イントラネット内のコン ピュータが外にあるインターネット上のWeb サーバの閲覧を必要とした時に、そのIPアド レスを自分のIPアドレスに変換することによって、インターネット上のWeb サーバにアク セスしその内容をコンピュータに逐一報告する働きをもつ。  このように、インターネットの情報は代理をしているコンピュータのIPアドレスによっ てイントラネットに送られることになる。ルータにこの IP アドレスからの情報を通せる ようにすれば、イントラネットからインターネットへの情報のやりとりが可能になる。イ ントラネット内からはインターネットアクセス代理のコンピュータのみしか見ることはで きないが、このコンピュータはすべてのインターネットの情報を自分の情報として教えて くれるので、結果的にイントラネット内からすべてのインターネットにアクセスできるの と同等の結果が得られるのである。このようなインターネットのアクセスなどの代理を行 うコンピュータを代理サーバとかプロキシサーバ (Proxy Server)と呼ぶ。 ■補足  以前は、この問題に対処するためファイアウォールによってアクセスが許可されている マシンにログインし、そこからコマンドを使うという方法を取っていたが、これではせっ かくファイアウォールによって強化したセキュリティレベルを低下させてしまう。そこで 考え出されたのがファイアウォールに内部のクライアントの代理をさせるサーバを設置す る方法である。  出入口に代理サーバを立てておいて外からのアクセスがあれば、その代理人が応対し内 部にはその代理人が情報を伝えるので、内部がどうなっているかという情報を外部に漏ら す事もないので、Proxyサーバはファイアウォールによる セキュリティ・レベルを下げず に外部との接続も可能となる。 ■キャッシュ  イントラネットからインターネットへとアクセスする際、回線の帯域不足によりアクセ スが遅くなる場合がある。Proxy サーバは、中継したデータを保存し同じデータをクライ アントから要求された時には自分のディスクからクライアントに送る Cache機能がある。  この場合外部とのネットワークのトラフィックは発生しないので、インターネット全体 の通信トラフィックを軽減してまた応答レスポンスも向上させられる。 ■補足 Proxy サーバはファイアウォールに内臓されているのものと独立したプログラムのものが ある。 ■補足 プロキシサーバ 少しずれますが……ファイアウォールの話から離れて一般のプロバイダ−接続を仮定して の話です。  串を利用しない場合は、目的のURL(貴方が見たいページ)までは……  貴方の家 → 貴方プロバイダ− → 目的のURL(貴方が見たいページ) 上記のように目的のURLまで直接接続します。  串を利用した場合は、目的のURL(貴方が見たいページ)まで……  貴方の家 → 貴方プロバイダ− → プロキシサーバ → 目的のURL (貴方が見たいページ) 上記のように目的のURLまでプロキシサーバが途中中継します。 注:なーんだ遠くなるじゃないかと言う方は、(WhyProxy?さんの串についての説明を引 用させて頂いています) どうして Proxy を使うと快適なの?モデル図 自分のホスト┰─A─B─C─┳目的のホスト       ┃        ┃       D        G       ┗━E━F━P━┛ Proxy(P)なしのアクセスでは、  自分のホスト→A→B→C→目的のホスト で経由するホスト数は最短ですが、回線が細く非常に重くなっています。 Proxy(P)ありのアクセスでは、  自分のホスト→D→E→F→P→G→目的のホスト となります。経由するホストの数は多くなりますが、回線が太く結果として軽くなります。 利用可能な Proxyをどうやって見つけるか……が、まぁ大変なのですけど……汗。正しく 使えば、快適になります。 特に、ネットワーク利用者全員が常に Proxyをうまく利用して、混雑している回線を避け てアクセスするように心がければ、快適になるでしょう。 ■VPN(Virtual Private Network) VPN とは、仮想社内網、仮想社内広域網と訳される、インターネットを介して構築する専 用ネットワークのことである。各ネットワークにファイアウォールを設置し、ファイアウ ォール間は暗号通信をすることで、インターネットには暗号化されたデータしか流れない ようにして安全なデータのやりとりを実現し、かつVPN として接続したLAN 間は相互に必 要なアクセスが行えるようにする。ファイアウォール構築の結果、以前より不便になった 感じるユーザが増え、それによってVPN に対する関心が高まってきた。  複雑で大きな規模の企業のインターネット利用から、小さい会社の情報リソースに至る まで必要な時にシステムが稼動していて 利用できるかどうかを表している。 ■PGP(Pretty Good Privacy)  暗号化とその類事物である電子署名は、電子メール上では、いわば手紙を送る前に封筒 に封印するようなものである。インターネットの電子メールは、宛先に行き着くまでにい くつかのコンピュータを経由するので、さまざまな人がプライベート・メッセージを読む 可能性が出てくる。  インターネット用で使われている現在の暗号化の事実上の標準はPGP(PrettyGood Priv acy) である。これは機密保持とディジタル署名の機能を兼備するパッケージであり、強 力で事実上ほとんど壊されたことがない。 PGP のサービスは RSA 公開鍵暗号方式による 認証、暗号化アルゴリズムIDEAによる機密保持、圧縮および電子メールの互換性、の4つ があげられる。 最後に(もちろんこれも引用転載です)  今まで、様々なセキュリティについて述べてきたが、これらをすべて利用すれば完全に データを防護できるかといえばそうとも言い切れない。ファイアウォールはそのシステム 自体が故障の原因になりかねないというデメリットを持っているし、スプーフィンクSpoo fing:羊の皮を着た狼の意。なりすましのこと)からは免れることができない。  また暗号化においてはそのシステム自体が簡単に言ってしまうと時間稼ぎのシステムで しかない。今までは解読されたことがほとんどないと言われている PGPにおいてもいつか は必ず解読されてしまうのである。今のところ永久的で絶対的なセキュリティシステムは ないのである。これから先も様々なセキュリティシステムが生まれ、そして破られていく だろう。  そしてその時点でどのシステムが安全であり、どれが危険であるかを判断するのはその ユーザー本人でしかないのだ。ユーザーのセキュリティに対する意識によってユーザー自 身のデータが完全な防護を受けられるかどうかが決まるのである。 引用転載参考元ネタ http://www.center.nitech.ac.jp/~takagi/docs/InternetMagazine/96-03/ http://www.nttpub.co.jp/jcua/keyword/proxy.html http://www.ir.rikkyo.ac.jp/~furuse/96/ykajimura/#chap2