[ IP Network Skill - No. 0316 - ] SSL/TLS その11
発行日: 2007/6/22
‥‥……━━━━━━ IP Network Skill No. 00000316 ━━━━━━……‥‥
〜 SSL/TLS その11 〜
‥‥……━━━━━━━━━━━━━━━━━━━━━━━━━━━━……‥‥
【まえがき】
先週行われたインターロップですが、参加者は
6月13日 45,445人 (46,252人)
6月14日 55,030人 (55,776人)
6月15日 57,442人 (57,790人)
合計 157,917人 (159,818人)
()内は昨年の来場者です。
途中、雨が降ったりした影響もあるかもしれませんが、
昨年にくらべて若干減りました。
それでも展示会の規模としては大きいほうだと思います。
いろいろな方にお会いしましたが、関西より西のほうから
いらした方も多かったです。外人(日本に居るのか海外
からなのか不明でしたが)も結構会いました。
以前勤めていた会社の元同僚や、お付き合いのあったお客
さんなどもたくさん会いました。
ちなみに東京モーターショーは1日に10万人以上訪れる
そうです。
ゲームショーはインターロップと同じくらいの人手だそう
です。
今度は純粋にお客さんとして展示会に行ってみたいです。
╋━━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━━━━━━━━━━……‥‥
┃本┃日┃の┃試┃験┃対┃策┃問┃題┃
╋━━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━━━━━━━━━━……‥‥
〔問題1〕SSL-VPNの特徴として誤っているものはどれか。
1.ユーザ認証機能ではLDAPやRADIUSなどと連携できる
2.ホストインテグリティ機能ではイントラネットアクセス時のデータ
を消去することができる
3.仮想デスクトップ機能ではSSL-VPNセッション内で使用できるアプリ
ケーションを制限することができる
4.IPアドレスだけでなく、ホストのディレクトリ単位でアクセス制御
を行うことができる
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ネ┃ッ┃ト┃ワ┃ー┃ク┃の┃基┃礎┃講┃座┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
-----------------------------------------------------------------
この企画は処女作「TCP/IPネットワークステップアップラーニング」
http://www.Amazon.co.jp/exec/obidos/ASIN/4774116351/ipnetworksk01-22
を基に構成変更、加筆、修正、省略。。。いろいろ手を加えたものです。
TCP/IPネットワークステップアップラーニングは第3刷を重ねました!
講習教科書などでご利用いただいています。
-----------------------------------------------------------------
【11.アプリケーションプロトコル】
11.11. SSLとTLS
11.11.2.5. SSL-VPN
11.11.2.5.2. SSL-VPNの応用
SSL-VPNではIPSec-VPNとは異なり、ブラウザさえあればどのパソコン(また
は携帯電話)からでもアクセスできてしまうという利点がある、ということ
は既に述べました。
そのため、自宅のパソコンやインターネットカフェなどから社内の情報や
会社のメールボックスに届いたメールをチェックする、ということが可能と
なり、非常に便利です。
一方、社内の重要な情報を、会社で管理されていない自宅のパソコンで閲覧
する場合、情報漏えいの心配もあります。
そのため、SSL-VPNではさまざまな方法を使って情報漏えい対策を行うこと
ができます。
11.11.2.5.2.1. ユーザ認証
まずリモートアクセスVPNの基本として、許可された人だけが社内ネットワー
クへアクセスできるように、ユーザ認証が行われます。
ユーザ認証はユーザ名とパスワードを使うか、証明書を使うか、の2つに大き
く分けられます。
小規模であればSSL-VPNコンセントレータ内にユーザ名とパスワードを登録し、
ユーザはそれを利用すればよいです。
外部の認証サーバと連携させるのであれば、RADIUSやLDAPなどが使えます。
LDAPのひとつとしてActive Directoryによる認証があります。
RADIUSの応用としてはワンタイムパスワードや生体認証などがあります。
認証によってユーザやユーザが所属するグループを特定でき、ユーザやグルー
プごとにアクセスできるネットワークやサーバを制限させることができます。
IPSec-VPNの場合、IPアドレスやネットワークアドレス単位でなければアクセス
制限ができないのですが、SSL-VPNの場合、リバースプロキシのようにアプリ
ケーションデータの中身も見ることができるので、サーバのディレクトリ単位
で閲覧の可否を分けることも可能です。
11.11.2.5.2.2. ホストインテグリティチェック
ホストインテグリティチェック(host integrity check)はSSL-VPNでイントラ
ネットにアクセスする前に、クライアントの状況をチェックする機能です。
SSL-VPNではブラウザさえあればどのパソコンからもイントラネットにアクセス
できます。それは便利なのですが、一方でセキュリティ上リスクのあるパソコ
ン、たとえばセキュリティパッチがあたっていないパソコンや、ウイルスに
感染しているパソコンでもアクセスできてしまうことになります。
そのようなパソコンをアクセスさせないよう、認証時にSSL-VPNコンセントレー
タよりホストインテグリティチェック用のアプリケーションをActiveXやJava
経由でクライアントに渡します。その後、アンチウイルスソフトが入っている
か、最新のアンチウイルス定義データが入っているか、OSのセキュリティパッ
チはあたっているか、などをチェックします。チェックする内容は管理者が
SSL-VPNコンセントレータに登録します。
11.11.2.5.2.3. キャッシュ削除
どのパソコンからでもイントラネットにアクセスできるSSL-VPNですが、社内
の情報を自宅やインターネットカフェなど社外のパソコンで閲覧したあと、そ
のキャッシュ情報が残ってしまうと、その後社外のパソコンを利用する第三者
に社内情報を閲覧されてしまう恐れがあります。
そのような状況をなくすよう、SSL-VPNのセッションがアクティブである(動作
している)間は、閲覧した情報はパソコン内の特定のキャッシュディレクトリ
にだけ保持するようにし、セッションが終了したあとはそのディレクトリ内の
情報をすべて削除します。この機能がキャッシュ削除(キャッシュクリーン)
です。
11.11.2.5.2.4. 仮想デスクトップ
この機能はいろいろな名前で各ベンダが出していますが、行いたいのはSSL-
VPNセッションがアクティブである間は仮想領域にデータを保持し、仮想領域
から実領域、つまり実際のハードディスクやリムーバブルディスク(メモリ
スティックなど)、CDやDVDライターなどに書き込みができないようにします。
ユーザがSSL-VPNでイントラネットにアクセスすると、ユーザの作業領域が
仮想領域に移行し、仮想領域内ではSSL-VPNコンセントレータで管理者が設定
した特定のアプリケーションしか利用できなくなります。
たとえば、仮想領域内ではインターネットエクスプローラとマイクロソフト
Wordしか動作できないようにする、といったことができます。
SSL-VPNセッションが終了すると、仮想領域内のデータをすべて削除します。
キャッシュ削除機能のみでは、キャッシュ領域以外にデータを保存できて
しまいますが、仮想デスクトップ機能ではクライアント側にアクセス時のデー
タが一切残らないようになります。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
かんたんネットワーク入門
http://www.amazon.co.jp/exec/obidos/ASIN/477412124X/ipnetworksk01-22
私のもう一冊の著書ですが、また増版されました。
ネットワーク入門の絵本で、初心者の方を中心に好評を得ています。
新入社員やネットワークを扱う企業のバックオフィスの方々(営業や
SEではなく、庶務、総務、アドミニストレータの方々)に自分の会社
で扱っている製品やネットワークの基礎知識を持ってもらうのにも
よい入門書です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
解┃答┃と┃解┃説┃
━┛━┛━┛━┛━┛
《本日の試験対策問題》
(解答)2
(解説)
ホストインテグリティ機能は、SSL-VPNでイントラネットに
アクセスするクライアント内をチェックして、ウイルスに
感染していないか、セキュリティパッチはあたっているか、
などを調べる機能です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◆◆◆◆◆ ┃ あとがき ┃ ◆◆◆◆◆◆
最近、ほぼすべての外貨に対して円安が続いています。
数年前に、「もうこれ以上円安にならないかな、でも金利
が高いからやってみよう」と始めた外貨定期がありますが、
そのときには思っても見ないほどさらに円安になっていま
す。ちなみにニュージーランドドルです。
投入資金はそれほど多くないのですが、金利と円安で年率
に換算すると10パーセント以上のリターンになっています。
最近ようやく、円定期の金利も上がってきましたが、それで
もここ数年でゼロコンマのパーセントしか上昇していません。
株価も日本、アメリカと最近はよいですし、都市部では土地
の価格も上がっています。
これまで塩漬けにしていた資産がようやく売却できそうです。
「止まない雨はない」「朝の来ない夜はない」という格言が
ありますが、腰を据えて待てばかなりの確立で上昇する資産
に資金をシフトしよう、とこういう時期になると思うように
なります。
adzuki
………………………………………………………
IP Network Skill vol.000316 06/22/07
発行者:adzuki http://www.xai.nu/ipnet
…………… ipnet7@xai.nu ……
◎ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄◎
| 新規購読・購読解除・バックナンバー ⇒ http://www.xai.nu/ipnet
| IP Network Skill 掲示板
| ⇒ http://www.xai.nu/cgibin/ipnet/bbs.cgi
| バックナンバー一覧
| ⇒ http://xai.nu/ipnet/stack/index.html
| 間違いご指摘
| ⇒ メルマガにコメントを添えて返信ください。
◎_________________________________◎
![メルマガスタンド[メルマ!]](/img/common/melma_logo.gif){kind=logo}
>> メルマ!の会報誌もお届けします
