オープンなネットワーク環境では、すべての端末でネットワーク上の他のコンピュータにサービスを要求できます。 TCP/IP プロトコルを使用すると、多数のサービスを提供できます。 その中には、rlogin、rcp、rsh、ftp、telnet、rexec など、UNIX ベースのすべてのオペレーティング システムに共通するサービスもあります。 その他のサービスは、社内およびサードパーティ ソフトウェアによって提供されます。
CA ControlMinder は、ホスト コンピュータで TCP/IP の受信処理をインターセプトし、受信プログラムを通常どおり続行するか、または変更するかを判断します。 この判断は、ホストおよびサービスを制御する定義したアクセス ルールに基づいて行われます。 データベースで TCP/IP アクセス ルールを作成して、特定のコンピュータからファイル転送、リモート ログイン、リモート シェルなどのサービスを受信するコンピュータとネットワークを指定できます。
以下の例では、TCP/IP アクセス ルールを定義し、不正な部外者を効果的にブロックするための設定方法を示します。 データベースの作成が完了していない場合は、データベースに定義されていない端末が任意のサービスを受信するように設定できます。 その場合は、UACC クラスの HOST レコードを以下のように設定します。
chres UACC HOST defaccess(READ)
ローカル ホストから送信される TCP/IP サービスに関するアクセス ルールを設定する端末を、データベースの HOST クラスのレコードに定義します。 各端末に許可するサービスをこのレコードに指定します。 たとえば、以下の一連のコマンドでは、端末 ws5 のレコードを定義し、その端末がローカル ホストから TCP/IP サービスを受信できないようにします。
newres HOST ws5 authorize HOST ws5 service(*) access(NONE)
以下のコマンドでは、ws5 がローカル コンピュータに対して telnet を実行することを許可します。
authorize HOST ws5 service(telnet)
これらの設定によって、ユーザは、telnet を使用してローカル コンピュータに接続できます。この場合、リモート ユーザは、ローカル システムを使用する前に、ユーザ名とパスワードを指定する必要があります。 service のキーワードにアスタリスクを使用すると、端末はローカル コンピュータからすべての TCP/IP サービスを受信することができます。 たとえば、以下のコマンドを使用すると、端末 ws5 は、ローカル コンピュータから任意の TCP/IP サービスを呼び出すことができます。
authorize HOST ws5 service(*)
サービスは、ポート番号による指定など複数の方法で指定できます。 ポート番号はサービスの識別番号です。 すべてのサービスにはポート番号があります。このポート番号は、/etc/services ファイルでサービスに割り当てられています。 サービスは以下の方法で指定できます。
たとえば、以下のコマンドでは、ws5 に対して、ポート番号が 7045 から 7050 までの TCP/IP サービスの受信を許可しています。
authorize HOST ws5 service(7045-7050)
多くの場合、ホストのグループを定義しこの許可を 1 回で設定する方が、個々のコンピュータに対して許可を与えるよりはるかに効率的です。 CA ControlMinder には GHOST クラスがあり、各 GHOST レコードでホストのグループが定義されます。 GHOST レコードを定義してホストをそのメンバ リストに追加するには、以下のコマンドを入力します。
newres GHOST gh1 mem(ws2, ws3, ws5) authorize GHOST gh1 service(ftp)
newres コマンドによって、メンバ ws2、ws3、および ws5 を含む gh1 というホスト グループが定義されます。 authorize コマンドによって、この 3 台の端末すべてに FTP(ファイル転送)サービスの受信が許可されます。
ホスト グループの管理は個々に端末を管理するより簡単ですが、柔軟性を持たせるために、CA ControlMinder では、ネットワーク アクセス ルールの定義もサポートされています。 ネットワークは HOSTNET クラスで定義します。 例として、以下のような一連のコマンドを考えてみましょう。
newres HOSTNET hn1 mask(255.555.0.0) match(192.168.0.0) authorize HOSTNET hn1 service(*) access(NONE) authorize HOSTNET hn1 service(ftp)
CA ControlMinder で TCP/IP アクセス ルールを定義するためのもう 1 つの方法は、名前パターン アクセス ルールです。 CA ControlMinder では、ワイルドカードを使用して HOSTNP クラス(ホスト名パターン)の包括的なレコードを定義できます。
注: CA ControlMinder で行われる文字列マッチングの詳細については、「selang リファレンス ガイド」を参照してください。
たとえば、以下の一連のコマンドでは、文字列「lin」で始まり、「.org.com」で終わる名前を持つすべてのホストに、ローカル ホスト上のすべての TCP/IP サービスの受信を許可しています。
newres HOSTNP lin*.org.com authorize HOSTNP lin*.org.com service(*).
注: NIS によって管理されるホストは、別名ではなく、NIS マップに示されている公式の名前で識別する必要があります。 以下のセクションのフローチャートに TCP/IP チェックの流れをまとめて示します。
|
Copyright © 2013 CA.
All rights reserved.
|
|