情報処理センターブルティン(北海道教育大学情報処理センター紀要) 第5号(平成12年3月)No.5 2000 pp.21-26


 

Macintoshをルータとして使用する研究室内LAN

簡便な構築・運用法に関する研究

Building laboratory-LAN with a firewall router running as software on a Macintosh

 

田 口  哲*

Satoshi Taguchi*

北海道教育大学札幌校化学教室

Chemistry Laboratory, Hokkaido University of Education, Sapporo

 


論文概要

 本研究の目的は,ファイヤーウォールを介して研究室内LANをキャンパスLANと接続し,研究室内に設置されたパーソナルコンピュータのセキュリティを低コストで確保する方法を確立する事にある。研究室内のコンピュータが他の学内ホストおよびインターネットにアクセスするのを可能にしつつ,研究室外部のコンピュータが研究室内LANに侵入するのを規制した。ゲートウェイマシーンにはMacintoshを使用し,Mac OS上で動作するIPNetRouterというソフトウエアルータをこの上で走らせることで,ファイヤーウォール機能を実現した。このルータは,分かりやすいGUI上で各種設定が行えるので簡便に運用できた。また,このゲートウェイでは,WWWサーバやファイルサーバも同時に立ち上げて運用することができた。


1. はじめに

 20001月下旬から2月にかけての各省庁のホームページ書き換え事件[1]に象徴されるように,インターネットの普及に伴い,コンピュータへの外部からの侵入・攻撃・電子メール不正中継等の増加が懸念されている。本学においても,19991月に旭川校のサーバが不正侵入されたり,20001月には幾つかの分校・部局のサーバが電子メールの不正中継に利用されるといった問題が起きた。これらは,主に,Unixワークステーションに対する不正使用であるが,キャンパスLANに接続されたパーソナルコンピュータも,OSやネットワークソフトウェアの設定が適切ではなかったりセキュリティホールのあるソフトウェアをそのまま使い続けたりすると,攻撃の対象となる可能性は十分ある。

 今や,学生や教員にとって,Webブラウザや電子メールの使用は一般的になってきており,インターネットに接続されたパーソナルコンピュータは教育研究にとって必需品になりつつある。しかしながら,自分の使用しているコンピュータのネットワークセキュリティにはそれほど注意を払っていない事例も見受けられる。例えば,札幌キャンパスLANに直接接続された複数のMacintoshが,Mac OS付属のネットワークソフトウエア「AppleShare」の「ファイル共有」機能における「ゲスト接続」を認める設定にしていた事があった(図1)。この場合,キャンパスLANの他の全てのMacintoshからそのコンピュータのハードディスクへの接続が可能になる。使用しているOSMac OS 8.6以前であれば,ファイル共有はAppleTalkプロトコルだけで実現されるので,札幌キャンパスLANの外からはこのコンピュータを利用することは出来ない。しかしながら,もしMac OS 9を使用していたとすると,AppleTalkだけでなくTCP/IPによるファイル共有も可能なので,TCP/IPによるファイル共有をゲストにも認める設定にしてしまうと,札幌キャンパスLANの外からもこのコンピュータへの接続が無制限に可能になる。以上のように,ネットワーク関係の設定が不適切だと,学内外問わず悪意あるものに,ハードディスク内のファイルを全て消されてしまったり,ウィルスを送り込まれてしまったりする事は十分考えられる。本学の事例ではないが,ファイル共有のゲスト接続を認める設定にしていた為に,ハードディスク内のデータが何者かによって全て消去されてしまった事例も報告されている[2]

図1 ゲスト接続を認めてしまった場合のAppleShareの設定画面

 上記の問題に対する対策としては,研究室(あるいは教室)で使用している複数のコンピュータで「研究室内LAN」を構築し,ファイヤーウォール機能をあわせ持つルータを介して,研究室内LANをキャンパスLANに接続する方法がある。この方法では,研究室内LAN上のコンピュータが他の学内ホストやインターネット上のホストに接続する事を可能にしつつ,研究室外のコンピュータから研究室内LANに接続することを規制できる。しかしながら,一般に,ファイヤーウォールには高価な専用ハードウエアやワークステーションが必要であると思われているので,研究室・教室単位でのファイヤーウォールの導入には躊躇してしまうのが現状であろう。安価に済ませる方法として,LinuxPC-Unix)をインストールした数世代前のパーソナルコンピュータを用いてファイヤーウォールを構築する方法があるが[3]Linuxの使用経験者はまだそれほど多くはない。

 本研究の目的は,キャンパスLANと研究室内LANとの間に低コスト(設備費・管理の手間の両方を含む)でファイヤーウォールを導入し,研究室内に設置されたパーソナルコンピュータのセキュリティを確保する方法を確立する事にある。キャンパスLANと研究室内LANを仲介するゲートウェイにはMacintoshを使用した。この上で,Mac OS上で動作するIPNetRouter[4]というソフトウエアルータ(シェアウエア:$89)を走らせることでファイヤーウォールを構築した。IPNetRouterは,分かりやすいGUI (Graphical User Interface)上で各種設定が可能である。また,このゲートウエイマシーン上で,ルータに加えて,WWWサーバおよびファイルサーバも同時に運用した結果についても報告する。


. 研究室内LANの概要

 図2に,構築した研究室内LANの概要を示す。キャンパスLANと研究室内LANとの間のゲートウエイマシーンには,Apple Power Macintosh 7300/180CPU: PowerPC604e 180MHz, RAM:192MB, OS: Mac OS 9)を使用した。これには,内蔵のEthernetポート(10BASE-T)の他に,Ethernetカード(Farallon Fast EtherTX 10/100:100BASE-TX)をPCI拡張スロットに増設し,Ethernetポートを二つ持たせた。このうちの,内蔵のEthernetポートはキャンパスLANに,増設したEthernetポートは研究室内LAN側のデュアルスピードHUBAllied Telesis CentreCOM FH716XL)に接続した。このマシーンは,表1に示したソフトウエアをインストールし,これらを全て立ち上げた状態で運用した。また,停電に備えて,このコンピュータへの電力供給は無停電電源装置(APC BK500)を介して行った。研究室内LANは,パーソナルコンピュータ(MacintoshDOS/V)10台程度を上記HUBEthernetで接続して構築した。

 

図2 研究室内LAN

 

表1 ゲートウェイマシーンにインストールしたソフトウェア

ソフトウエア名

販売会社

機能

IPNetRouter

Sustainable Softworks

ソフトウエアルータ(NATIP filtering

AppleShare IP 6.3

アップルコンピュータ

WWWサーバ・ファイルサーバ等

Keep It Up 2.3

シェアウエア 

アプリケーションがエラーで停止してしまった場合に自動的に再起動処理を行う

AutoBoot 1.6.1

シェアウエア 

システムエラーあるいはフリーズを起こしてコンピュータそのものが停止してしまった場合に自動的に再起動処理を行う

Okey Dokey

フリーウェア

システムエラー等でダイアログボックスが表示されたときにデフォルトのボタンを自動的にクリックする

Power Chute

APC

停電等がおこって無停電電源装置からの電力供給に切り替わった際にコンピュータを自動的に終了させる

 


. ゲートウェイおよびクライアントのIPアドレスの設定

 ゲートウェイマシーンのIPアドレス等の設定は,Mac OS 9のコントロールパネルの「TCP/IP」を使用して次の通り行った。

 始めに,キャンパスLAN側のEthernetポートに関する設定を行った。経由先としてキャンパスLANEthernetポートを選択し,設定方法は手入力を選択した。IPアドレスにはキャンパスLAN管理者から割り当てられたグローバルIPアドレスを入力した。グローバルIPアドレスとは,インターネット上で使用するアドレスを指す。 サブネットマスクには255.255.255.0を,ルータドレスおよびネームサーバドレスにはキャンパスLANに関する各々のアドレスを入力した。ここでのルータドレスは,ゲートウェイマシーンの上流のルータのアドレスである。さらに,自分のドメイン名を入力した。設定が終わったら,「オプション」をクリックして,TCP/IPが「入」になっている事と「必要な時にのみロード」のチェックが外されている事とを確認して「OK」をクリックした。その後,コマンドキー+Kで設定ウインドウを開き,「複製」をクリックして「省略時設定」以外の名前(ここではIPNetRouter)を付けた。

 次に,研究室内LAN側のEthernetポートに関する設定を同様に行った。先の設定ウインドウでもう一度「複製」をクリックして別名(ここではEtherRouter)をつけ,「設定」をクリックした。そうすると,TCP/IPのはじめのウィンドウに戻るので,タイトルバーが「TCP/IPEtherRouter)」になっている事を確認した。経由先として研究室内LANEthernetポートを選択し,設定方法は手入力を選択した。IPアドレスには,プライベートIPアドレス192.168.0.1を入力した。プライベートIPアドレスとは,閉じたネットワークでしか使用できないアドレスを指す。ルータドレスは,このゲートウエイ自身がルータなので,空白にした。それ以外は,上と同じである。最後に,コマンドキー+Kで設定ウインドウを再び開き,現在の設定が「IPNetRouter」になっていることを確認して「設定」をクリックした。なお,コントロールパネル「AppleTalk」の経由先には,研究室内LANEthernetポートを指定した。各クライアント(研究室内LANのコンピュータ)のIPアドレスの設定は,Macintoshの場合は上と同様にコントロールパネルの「TCP/IP」で,Windowsの場合はコントロールパネルの「ネットワーク」で行った。IPアドレス入力欄には,プライベートIPアドレスのうち 192.168.0.XX=2~255)を,サブネットマスクには255.255.255.0を,ルータドレス(Windowsではゲートウエイ)入力欄には192.168.0.1を入力した。


. IPNetRouterの設定

 プライベートIPアドレスを持つ研究室内LANクライアントからは,インターネット上のホストに直接接続する事は出来ない。しかしながら, IPNetRouterを用いると,NAT Network Address Translation )機能によるIP masqueradingが可能になり,研究室内LANからインターネット上のホストに(ゲートウエイを代理として)間接的に接続できるようになる。例えば,クライアントがインターネット上のWWWサーバに接続し,Webページを表示するよう要求したとする。この際,クライアントからのパケットはゲートウェイマシーンに送られ,ここで,始点アドレス(クライアントのIPアドレス)がこのゲートウェイマシーンのグローバルIPアドレスに変換される。その後,このパケットはインターネット上にある目的のWWWサーバに送られる。WWWサーバは,要求されたページのデータを含むパケットを見かけ上の終点であるゲートウェイマシーンに送り返す。ここで,終点アドレスは,このクライアントのIPアドレスに変換される。最後に,クライアントにパケットが送られWebページが表示される。

 

 

図3 IPNetRouterInterface設定画面

 

 IPNetRouterの設定方法は次の通りである。インストールしたIPNetRouterを立ち上げると,図3に示したウインドウが表示された。はじめは,キャンパスLAN側のEthernetポートのIPアドレスだけが表示された。ここで,「Configure Interface」で研究室内LANEthernetポートを選択して,IPアドレス(192.168.0.1)およびマスクアドレス255.255.255.0を入力し「Add」をクリックすると,研究室内LANEthernetポートのIPアドレスも表示された。ここで,キャンパスLAN側のEthernetポートに関しては,「Bring Up」「IP Masquerading」をチエックし,研究室内LAN側のEthernetポートに関しては,「Bring Up」だけをチエックした。これで,ゲートウエイマシーンがルータとして機能し,研究室内LANからTCP/IPで外部ネットワークに間接的に接続できるようになった。

 

 次に,研究室内LANに割り当てられたIPアドレスに偽装して(IP Spoofingという),外部ネットワークから研究室内LANに不正侵入されるのを阻止するために, IPNetRouterIP Filtering機能を利用して研究室内LANとキャンパスLANとの間にファイヤーウォールを導入をした。フィルターの設定は,IPNetRouterのメニューバー中「Window」で「IP Filtering」を選択し,「Configure Entry」に必要事項を入れて行った。全てのプロトコルおよびポート番号に対して,ゲートウェイマシーンのパケット送受信に次のフィルターを設定した。

1 ゲートウェイの外側から,研究室内LANIPアドレスでの受信を拒否

2 ゲートウェイの内側から,研究室内LANIPアドレスでの受信を許可

3 ゲートウェイの外側から,ゲートウェイのIPアドレスでの受信を拒否

4 ゲートウェイの内側から,ゲートウェイのIPアドレスでの受信を拒否

5 ゲートウエイの外側へ送信は,ゲートウェイのIPアドレスでのみ許可 

6 ゲートウエイの内側へ送信は,ゲートウェイのIPアドレスでのみ許可 


. ゲートウェイおよび研究室内LANの運用状況

 キャンパスLANに直接接続された Macintoshから,研究室内LAN上の「ファイル共有」をONにしたコンピュータが利用できるかどうかを「セレクタ」で確認したが,利用できない状態になっていた。したがって,研究室内LAN上のコンピュータがゲスト接続を許可しても,研究室内LAN外から接続する事は防止できた。次に,研究室内LANに接続されたコンピュータ4台から,ゲートウェイを介して,インターネット上のWWWサーバに同時に接続する実験を行った。この結果,Webページの表示速度は,キャンパスLANに直接接続されたコンピュータから接続した場合と体感的にはほぼ同じであった。さらに,表1に示したように,このゲートウェイは,IPNetRouterの他にWWWサーバやファイルサーバの機能を持つAppleShare IP 6.3[5]なども同時に運用したが,システムやアプリケーションが不安定になったり通信速度が低下する様なことはなかった。ただし,AppleShare IP 6.3の動作条件として80MB以上のRAMが必要であり,他のソフトも同時に走らせるにはそれ以上のRAMが必要である。AppleShare IP 6.3のファイルサーバ機能は,研究室内LANからはAppleTalkで,外部ネットワークからはTCP/IPで,適切な接続権を持っていれば使用する事ができた。このファイルサーバ機能は,研究室内LAN上のコンピュータのバックアップデータをハードディスクに保存する事と,研究室外からこのデータをインターネット経由で利用する事とを可能にした。


. まとめ

 Mac OS上で動くIPNetRouterというソフトウエアルータを使用し,研究室内LANとキャンパスLANとの間のゲートウェイマシーンであるMacintoshにファイヤーウォール機能を持たせることで,研究室内に設置されたパーソナルコンピュータのセキュリティを低コスト且つ簡便に確保する方法を確立した。ルータの設定はGUI上で行うことができ,Mac OS使用経験があれば比較的簡単に各種設定が行えた。研究室内LANとインターネット上のホストとの通信において,速度低下は殆ど感じられなかった。ゲートウェイマシーンでは,ルータの他に,ファイルサーバやWWWサーバなどを同時に立ち上げて運用することができた。


文献

[1] 毎日インタラクティブ,http://www.mainichi.co.jp/digital/netfile/archive/200001/25-1.html (2000)

[2] MacWIRE Onlinehttp://www.zdnet.co.jp/macweek/9904/13/c_future.html (1999)

[3] 佐藤 肇,菅 正彦,大内 定,高柳 滋,北海道教育大学情報処理センター紀要,3 (1998) 45

[4] Sustainable Softworks, http://www.sustworks.com/

[5]  ソフトバンクPub.編集部編, AppleShare IP 6 実践ガイドブック,ソフトバンクパブリッシング,(1999)

謝辞

 本研究は,北海道教育大学情報処理センター開発プロジェクト経費(ネットワーク開発部門)を使用して行われた。研究室内LAN構築にあたっては,北海道教育大学大学院教育学研究科(札幌校)教科教育専攻理科教育専修の大学院生 竹岡良太氏と今渡政成氏の多大なる協力をいただいた。ここに記して感謝の意をあらわす。