Jump to content 日本-日本語
日本HPホーム 製品 & サービス サポート & ドライバー ソリューション ご購入方法
≫  お問い合わせ

製品とサービス  >  ソフトウェアとOS  >  HP- UX Developer Edge

Install Time SecurityとBastilleで実現する盤石のホスト構築

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
Install Time SecurityとBastilleで実現する盤石のホスト構築 HP-UXで実現するネットワーク&セキュリティ
セキュアなホストをゼロから構築していくというのは、システム管理者にとって時間と手間、そしてスキルを要求される面倒な作業だ。HP-UX 11i v2より搭載された「Install Time Security」は、OSのインストール時に、そのサーバの使用目的に合わせたセキュリティ・レベルを設定できるというもの。これにより、「はじめからセキュアなホスト」を実現することができるのである。
Install Time SecurityとBastilleで実現する盤石のホスト構築
「はじめからセキュアなホスト」を作る
ホストを「要塞化」するツール、Bastille
2004年5月
テクニカルライター:吉川 和巳

「はじめからセキュアなホスト」を作る


周知のとおり、Webサーバやメールサーバ、DNSサーバなど、インターネット環境に直接さらされるホスト(DMZホスト)のインストールと管理には、セキュリティの確保という頭の痛い問題が常についてまわる。不要なポートは開けないようにし、使用していないプロセスやサービスを停止し、絶えず更新されるパッチを当てて・・・・。「ここまでやれば大丈夫」と言い切れないのが、セキュリティ対策のやっかいなところである。

しかし一方で、現在の多様化するネットワーク環境に対応すべく、OSのあり方も変化を遂げつつある。つまり、システム管理者のチューニング作業によってセキュアなホストをゼロから構築していくのではなく、一通りのセキュリティ対策を済ませたDMZホストをOSのインストール時点で提供するという考え方だ。

この考えを具体化したテクノロジーが、HP-UX 11i v2より搭載された「Install Time Security」だ。Install Time Securityとは、HP-UXに備わる以下の4種類のツールでさまざまなセキュリティ設定をインストール時に自動的に実施するための機能である。

 
  • Bastille(セキュリティ強化)
  • IPFilter(パケットフィルタリング)
  • SSH(暗号化シェル)
  • Security Patch Check(パッチ管理)
  これら4つのツールのうち、最初の3つ(BastilleおよびIPFilter、SSH)はいずれも広く普及しているオープンソースのセキュリティ・ツールであり、それらをHPがHP-UX向けに移植し機能拡張を施したものである。Install Time Securityのメリットは、これらツールの機能詳細や設定方法を十分に習得していないシステム管理者であっても、それらの能力をOSインストール時点でフルに引き出せることだ。これにより、管理者のセキュリティ対策のスキルに左右されることなしに、「はじめからセキュアなホスト」を実現できるのである。

Install Time Securityの実際


ここで、Install Time Securityの機能を具体的に紹介しよう。同機能を利用するには、HP-UXのインストール作業時に、以下のセキュリティ・レベルのいずれかを選択する(図1)。

  • Sec00Tools
  • Sec10Host
  • Sec20MngDMZ
  • Sec30DMZ
図1:HP-UX 11i v2インストール時のセキュリティ・レベル選択
図1:HP-UX 11i v2インストール時のセキュリティ・レベル選択

セキュリティ・レベルを選択すると、Install Time Securityによって上述した各種ツールの機能が呼び出され、HP-UX全体が指定されたセキュリティ・レベルにまで強化される仕組みだ(図2)。各レベルの内容は以下の通りである。

図2:Install Time Securityのメカニズム
図2:Install Time Securityのメカニズム

【Sec00Tools】
レベルSec00Toolsは、セキュリティ設定をまったく行わないレベルである。BastilleおよびIPFilter、SSH、Security Patch Checkのインストールだけを実施し、それらの機能は起動しない。全てのセキュリティ設定をシステム管理者自らがカスタマイズしたい場合に適したレベルである。

【Sec10Host】
Bastilleを利用した約50種類のロックダウン(不要なサービスの停止)を実施する(ただしtelnetおよびftpは利用可能)。そのままインターネット上に公開できるほどのセキュリティ強化は施されないため、社内ネットワークで利用されるホストに適したレベルと言えるだろう。

【Sec20MngDMZ】
BastilleおよびIPFilter、SSHを起動し、ロックダウンに加えてパケットフィルタリングの設定も実施する。セキュアなプロトコルによる通信(SSHやWebmin、WBEM、IDSなど)のみ許可し、pingなど通常のプロトコルによる通信はすべて拒否される。例えば、ファイアウォール・アプライアンスなどにより保護されたDMZホストへの適用が考えられる。

【Sec30DMZ】
ロックダウンとパケットフィルタリングをフルに実施し、SSH以外の通信は一切拒否する構成である。インターネット環境に直にさらされるDMZホストに適した、強固なセキュリティ保護を提供する。

このように、Install Time Securityの利用はごく簡単に行える。インストール時のメニューにおいて、ホストの利用目的に合ったセキュリティ・レベルを選択するだけである。あとは、BastilleやIPFilterなどの各ツールの設定を変更し、必要に応じたカスタマイズを行えばよい。例えば、Webサーバであればポート80番へのアクセスを許可したり、メールサーバであればsendmailを起動したり、といった具合である。

では、Bastilleによるセキュリティ強化とはどのような内容なのか、もう少し掘り下げて紹介しよう。

トップへ   次のページへ ※本文の続きを閲覧するには、HP-UX Developer Edgeへの会員登録が必要です。

本ページの内容は執筆時の情報に基づいており、異なる場合があります。

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

オンラインサポート
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項 ウェブマスターに連絡