IPCopは、x86マシンをファイアウォールアプライアンスに変えるLinuxファイアウォールディストリビューションです。前回の記事で説明したように、インストールは比較的簡単です。幸いなことに、IPCopのWeb管理インターフェースも同様に使いやすく、IPCopをインストールした後に一般的に行うことになる設定と監視のタスクの多くを順を追って説明していきます。また、IPCopを初めて起動して実行する際に役立つ設定のヒントもいくつか紹介します。
IPCop モニタリング
IPCop をインストールすると、HTTP または HTTPS 経由で Web インターフェースにアクセスできます。以下の形式の URL を使用する必要があります(ipcopまたは192.168.1.1は、インストール時に IPCop に割り当てたホスト名または IP アドレスに置き換えてください)。
- http://ipcop:81
- https://ipcop:445
- http://192.168.1.1:81
- https://192.168.1.1:445
Web インターフェイスに初めてアクセスすると、図 Aのような「ホーム」画面が表示されます。
| 図A |
 |
開始するには、画面左側のナビゲーションバーにある「情報」リンクをクリックしてください。IPCop による認証が行われます。ユーザー名「admin」とインストール時に設定したパスワードを入力してください。認証が完了すると、IPCop ステータス画面(図 B)が表示されます。
| 図B |
 |
IPCop の最新情報を収集する主な場所はここです。まずは「サービス」セクションで、実行中または停止中のサービスが表示されます。これらのサービスのうち 5 つ (IDS、DHCP、Web プロキシ、VPN、SSH) はユーザーが管理でき、必要に応じてオン/オフを切り替えることができます。詳しくはこの記事の後半で説明します。残りの 5 つのサービスは常にオンにしておく必要があります。いずれかのサービスがオフになっている場合は問題が発生している可能性がありますので、IPCop を再起動してオンになるかどうかを確認してください。
次はメモリセクションで、IPCop の RAM とスワップファイルの使用量が表示されます。スワップファイルの使用量は物理 RAM (Mem) の容量と等しく、他のサーバーと同様に、両方の使用量を監視して、マシンの RAM 容量を増やす必要がないことを確認する必要があります。
ディスク使用量セクションには、IPCopファイルシステムが表示されます。ご覧の通り、IPCopはディスク容量をほとんど必要としません。ここで注意する必要があるのは、/var/logボリューム(通常は/dev/harddisk3)だけです。このボリュームは、ログファイルの増加やWebプロキシのキャッシュの増加(Webプロキシを有効にしている場合)に伴い、時間の経過とともに増加していきます。
下にスクロールすると、ステータス画面にさらに詳しい情報が表示されます。次は「稼働時間とユーザー」です。これは説明の必要がないほど分かりやすく、Linux/UNIXの稼働時間に関する一般的な出力を使用しています。次に「インターフェース」セクションがあります。2つのインターフェースを持つ一般的なファイアウォール設定の場合、「インターフェース」セクションにはeth0、eth1、lo(ループバック)が表示されます。これは、IPアドレス、サブネットマスク、インターフェース統計情報を表示するLinuxコマンドifconfig (Windowsのipconfigに類似)を実行したときに表示される情報と同じです。
ステータス画面の最後の2つのセクションは、「ロード済みモジュール」と「カーネルバージョン」です。「ロード済みモジュール」セクションには、ファイアウォールをサポートするために現在ロードされているソフトウェアモジュールが表示されます。これには、NICカード(3Com NICの場合は3c59x)のドライバ、特定の種類のトラフィックをNAT経由で通過させる様々なNATモジュール、その他いくつかのモジュールが含まれます。VPNやFTPなどの特定の種類のトラフィックで問題が発生している場合は、ここでNATモジュールがロードされているかどうかを確認できます。「カーネルバージョン」セクションには、現在実行中のLinuxカーネルのバージョンと、IPCopファイアウォールの完全修飾ドメイン名が表示されます。
これらのステータス更新に加えて、情報画面にはトラフィックグラフ、プロキシグラフ、接続の3つのグラフィカルレポートが表示されます。これらのレポートには、情報画面の右上隅にあるリンクからアクセスできます。トラフィックグラフ(図C)には、緑色のインターフェースと赤色のインターフェースにおける当日のトラフィック量が表示されます。プロキシグラフには、Webプロキシのキャッシュの使用状況とトラフィック量が表示されます。接続リンクには、ファイアウォールを介して現在行われているすべての接続がグラフィカルに表示されます。
| 図C |
 |
IPCop入門
IPCop のインストールに関する以前の TechProGuild の記事に加えて、この強力な小型ファイアウォールに関する TechRepublic の記事を参照することで、IPCop の機能、背景、開発に関する詳細を知ることができます。
Webプロキシの設定
デフォルトでは有効になっていないため、最初に設定する必要がある項目の一つはプロキシサーバーです。IPCopには、Webプロキシサーバー設定用の人気のオープンソースプログラムであるSquid Web Proxy Cacheの組み込みバージョンが含まれています。ご存知のとおり、プロキシサーバーは頻繁に使用されるWebページや画像のローカルコピーをキャッシュし、ユーザーにそのコピーを提供することで、ユーザーがアクセスするたびにダウンロードする必要をなくします。これにより、ページの読み込み時間が短縮され、帯域幅を節約できます。
IPCop の Web プロキシを有効にするには、ウィンドウの左側にあるナビゲーションバーの「サービス」リンクをクリックします。「Web プロキシ」は「サービス」画面で最初に表示されるセクションです (図 D )。
| 図D |
 |
有効にするには、「有効」ボックスと「透過」ボックスをクリックするだけです。これにより透過プロキシが有効化され、クライアントの設定が簡素化されます。ファイアウォールのクライアントは、ファイアウォールをデフォルトゲートウェイとして選択する(またはDHCPで選択させる)だけで、プロキシサーバーの利点を自動的に享受できます。
Web プロキシ画面のリモート プロキシ オプションは、社内に既にアップストリーム プロキシ サーバーが存在する場合、または ISP 経由でプロキシ サーバーを使用している場合に使用します。
キャッシュサイズ設定は、キャッシュに割り当てるディスク容量(MB単位)を決定します。RAMが256MB未満の場合は、システムに搭載されているRAMの容量に合わせてキャッシュサイズを設定する必要があります。一方、256MB以上の場合は、キャッシュを1,000MB(1.0GB)に設定することも可能です。必要に応じて、より大きなキャッシュサイズを試すこともできます。一部の管理者は、搭載されているRAMの容量に関係なく、キャッシュサイズを物理RAMの容量と同じにすることを推奨していますが、IPCopのメモリ管理は以前よりも向上しているため、この数値を大きくしても通常は問題ありません。
最小オブジェクトサイズは0に設定できますが、最大オブジェクトサイズはデフォルトで4096(4.0MB)です。これらの設定で問題ありません。それ以下のサイズで、ユーザーがダウンロードできるファイルのサイズを制限したい場合は、「最大受信サイズ」設定を使用できます。例えば、帯域幅を圧迫する可能性のある、大容量のMP3音楽ファイルや映画の予告編などの動画ファイルのダウンロードを禁止したい管理者もいます。
その他のサービスの設定
「サービス」画面では、その他の重要なサービスも設定できます。各サービスには、「サービス」画面の右上隅にあるナビゲーションバーのリンクからアクセスできます。
Web プロキシの次は DHCP サーバー (図 E ) です。これは、多くの管理者がオンにしたいと思う可能性のあるもう 1 つのサービスです。
| 図E |
 |
以前に他の DHCP サーバーを構成したことがある場合、ここでのオプションは馴染みのあるものになるでしょう。DHCP サーバーをオンにするには、開始アドレスと終了アドレス (DHCP でクライアントに配布する IP アドレスの範囲) を入力し、クライアントが使用するプライマリ DNS を少なくとも入力し、デフォルトのリース期間と最大リース期間を入力します。次に、[有効] ボックスをクリックする必要があります。オプションで、クライアントのセカンダリ DNS、WINS サーバー、およびドメイン名サフィックスを入力することもできます。これらの DHCP オプションは基本的なものですが、本格的な DHCP 実装で利用できる広範なオプションと比較すると、明らかに見劣りします。ただし、IPCop では固定リースが提供されています。[新しい固定リースを追加] セクションで、そのシステムに割り当てる MAC アドレスと IP アドレスを入力し、[追加] ボタンをクリックするだけです。
サービス領域のその他のセクションは次のとおりです。
- ポート転送- ここでは、ファイアウォールの RED インターフェース上のポートを、ファイアウォールの背後にあるサーバーに転送するように設定できます。
- 外部エイリアス— これは、REDインターフェースが静的IPアドレスを持っている場合にのみ選択できるオプションです。これは通常、ISPから一定範囲のIPアドレスを取得しており、IPCopファイアウォールでそれらすべてを処理して、ファイアウォールの背後にある適切なサーバーに転送したい場合に使用されます。
- 外部サービスアクセス— IPCop ファイアウォールをインターネット経由で管理する場合にのみ、このオプションを使用する必要があります(これはもちろん深刻なセキュリティリスクとなりますが、場合によっては必要になります)。IPCop への外部アクセスを許可する場合は、「宛先ポート」に81または445(HTTPS を使用するため、こちらを推奨します)を入力し、「追加」をクリックします。
- DMZピンホール— DMZでホストしているサーバー用に開く必要があるポートの情報を入力します。これは、IPCopのインストール時にDMZにORANGEインターフェースを設定した場合にのみ適用されます。
- ダイナミックDNS — IPCopの背後にサーバーをホストしたいが、固定IPアドレスを持っていないという場合、多くの場合、dyndns.orgやzoneedit.comなどのダイナミックDNSサービスを使用するしかありません。IPCopは、これら2つのサービスに加え、このセクションのドロップダウンメニューに表示されている他のサービスもサポートしています。
IPCop がサポートするもう一つのサービスは VPN サーバーです。これは「サービス」画面には表示されませんが、左側のナビゲーションバーにある「VPN」リンクをクリックするとアクセスできる専用の画面があります。VPN 画面には「コントロール」と「接続」の2つのセクションがあります。「コントロール」セクションでは、「有効」ボックスをクリックして「保存」をクリックすることで、VPN サーバーをオンにできます。RED インターフェースの IP アドレス以外のアドレスを使用する場合は、ここで VPN サーバーの IP アドレスを変更することもできます。コントロールページには、VPN サービスを停止して再起動するオプションもあります。
VPN 画面の「接続」セクション(VPN 画面上部のナビゲーションバーにあるリンクからアクセスできます)では、クライアントやサーバーを IPCop VPN サーバーに接続できるように設定できます。IPCop VPN は、2 つの異なる IPCop ファイアウォール間でサイト間 VPN を設定する場合に最も便利です。これは、例えば、リモート オフィス ネットワークを企業ネットワークに接続する場合に役立ちます。また、Windows クライアントがインターネット経由で IPCop が保護している社内ネットワークに接続できるように IPCop VPN サーバーを設定することもできます。ただし、これは少し複雑なため、この記事では扱いません(IPCop VPN の設定の詳細については、こちらのドキュメントをご覧ください)。
他のサービスをいくつか有効にするには、「システム」画面(左側のナビゲーションバーにある「システム」リンクをクリック)に移動する必要があります。画面上部のナビゲーションバーにある「SSH」リンクをクリックすると、セキュアシェル(SSH)アクセスのセクションが表示されます。SSHを有効にするには、チェックボックスをオンにして「保存」をクリックします。常に有効にしておくのではなく、必要な場合のみ有効にすることをお勧めします。
次に、「侵入検知システム」のリンクをクリックし、IPCopファイアウォールでSnort IDSを有効にする場合は、チェックボックスをオンにして「保存」をクリックします。IPCopシステムに256MB以上のRAMが搭載されている場合は、IDSを有効にすることを強くお勧めします。アラートは「ログ」画面で確認できます。この画面については、次に説明します。
ログファイルの監視
左側のナビゲーションバーにある「ログ」リンクをクリックします。「その他」画面が開き、ドロップダウンメニューをクリックして、カーネル、SSH、IPSec、DHCPサーバーなど、表示するログを選択できます。画面上部のナビゲーションバーにある「Webプロキシ」リンクをクリックすると、IPCopプロキシサーバーがキャッシュしたファイルのリストが表示されます。ここでの便利な機能の一つは、ソースIPを選択して、特定のシステムによってキャッシュされたファイルのみを表示できることです。これは、フォレンジック分析や従業員のインターネット利用状況の監視に役立ちます(インターネット利用状況を監視する前に、ポリシーを策定する必要があることに注意してください)。
次に、「ファイアウォール」リンクをクリックすると、IPCopファイアウォールがブロックしたパケットのリストが表示されます。最後に、「侵入検知システム」をクリックすると、Snortが検出したセキュリティアラートのリストが表示されます。これらのメッセージの中には難解なものもありますが、メッセージのテキストをGoogleで検索すれば、ニュースグループやフォーラムで簡単に意味が見つかるはずです。
IPCop のアップデート
IPCop が使用する Linux ソフトウェアにセキュリティ上の欠陥が見つかった場合、IPCop が迅速にアップデートされるのには驚かされます。Linux の欠陥に関するニュースアラートを何度か目にし、それが私の IPCop ファイアウォールにも影響しているのではないかと疑ったことがあります。しかし、確認するたびに、その欠陥を修正した IPCop のアップデートが既にリリースされていました。
最新情報を入手
IPCopファイアウォールをご利用の場合は、IPCop-Announceメーリングリストに必ずご参加ください。これは、パッチやアップデートに関するアナウンスのみを送信する、配信頻度の低いメーリングリストです。
幸いなことに、IPCopのアップデートは非常に簡単です。左側のナビゲーションバーにある「システム」リンクをクリックするだけで、最初に表示される画面が「アップデート」セクションです(図F)。この画面には、お使いのIPCopのバージョンで利用可能なすべてのアップデートが一覧表示され、それぞれの機能の説明と、インストール済みかどうかが表示されます。
| 図F |
 |
「更新リストを更新」ボタンをクリックすると、新しい更新を確認できます。インストールしていない更新がある場合は、更新の右側にある「情報」リンクをクリックすると、IPCopのダウンロードページに移動し、適切なパッチをローカルシステム(管理者のワークステーションやファイルサーバーなど)に手動でダウンロードできます。次に、IPCop画面下部の「新しい更新のインストール」セクションまでスクロールし、「参照」をクリックして、IPCopサイトから取得した更新ファイルを選択します。「アップロード」ボタンをクリックします。これで更新のアップロードとインストールが同時に実行されます。
アップデートの説明には、アップデートに再起動が必要かどうかが記載されています。再起動が必要な場合は、「システム」画面の上部ナビゲーションバーにある「シャットダウン」リンクをクリックしてください。「再起動」と「シャットダウン」の2つのオプションがあります(図G)。「再起動」をクリックしてください。なお、IPCopのアップデートで問題が発生したことは一度もありません。アップデートによって動作が停止したことは一度もありません。
| 図G |
 |
最後に
IPCop ファイアウォールを完全に設定および監視するために必要なことはほぼすべて説明しました。説明していない管理タスクもいくつかありますが、それらはほとんど説明を要しないため、IPCop Web インターフェースのリンクやメニューをたどるだけで理解できるはずです。IPCop のドキュメントでは、さまざまな設定オプションの詳細な説明もご覧いただけます。
