Firewall Piercing mini-HOWTO <author>Francois-Rene Rideau, <tt>fare@tunes.org</tt> <date>v0.3b, 27 November 1998 <trans>高橋聡 <tt>hisai@din.or.jp</tt> <tdate> 4 Sep 1999 <abstract>  インターネット接続しているファイアーウォールを意識せずに、各種のネットワーク・サービスを利用する方法を案内します。telnet プロトコルに PPP プロトコルを乗せて実現します。 </abstract> <toc>  <sect>付記  <sect1>おことわり  <bf>大切なことなので、必ず読んでください！！！</bf> <bf>  このドキュメントの内容について、一切責任は負いません。どんな障害が生じても、それは私の過失ではありません。このドキュメントに書かれている手段をとることによって生じるリスクを理解できないならば、決して利用しないでください。利用する場合は、あなたの職場のコンピュータが壊れても、業務に支障がでても、また会社に多額の損害を与えてもかまわない、と腹をくくってください。私に泣きついたりしないでくださいね。 </bf>  <sect1>法的なこと Copyright © 1998 by Francois-Rene Rideau.  このドキュメントは、フリーソフトウエアです。Free Softweare Foundation が出している GNU General Public License の第二版もしくはそれ以降の版に従う限り、この文書を配布または変更できます。  <sect1>謝辞  「おことわり」以外の部分を大幅に修正しましたが、Term-Firewall mini-HOWTO の著者である Barak Pearlmutter 氏 <URL URL="mailto:bap@cs.unm.edu"> にはたいへんお世話になりました。彼の mini-HOWTO はいくつかの欠点があるとはいえ、ファイアーウォールに穴を開けることについて、必要不可欠な情報を与えてくれました。また、この mini-HOWTO の手本になっただけでなく、書き上げるにあたっての励みにもなりました。  <sect>序論  <sect1>はじめに  システム管理者とユーザでは、システムを利用するに当たって、制限を受ける事項やシステムに対する理解度に差があります。そこでユーザ自身がファイアーウォールの存在に気づいた時に、何とかそれを越えようとしたくても、四苦八苦することになってしまいます。このドキュメントでは、ファイアーウォールを気にせずに、インターネットで良く使われるサービスを利用する方法を説明します。それも特別な手段ではなく、手軽に行えます。telnet セッション越しに IP エミュレータを動かして実現します。  このドキュメントのアイディアは、Barak Pearlmutter 氏 <URL URL="mailto:bap@cs.unm.edu"> が書いた Term-Firewall mini-HOWTO からもらいました。このドキュメントは Term という、あのなつかしい、今ではサポートされていないプログラムを使って書かれています(それでも当時は素晴らしいプログラムでした)。Term は、古くさく、移植性のない実装になっています。標準とはいえない telnet の実装で見られるような独自さと同様に。  <sect1>セキュリティ上の問題  システム管理者がファイアーウォールを立てているのは、もちろん理由があってのことです。したがって、このソフトウエアを使用するに当たっては、管理者から許可を得た方がよいと思います。一方、あなたが外部に telnet できるという事実 (これはハックキングを行うための必要条件です)は、特定の外部のシステムにアクセスする権利を持っていることを意味します。つまり特定のシステムに何らかのかたちでログインするには、あなたがそのシステムのユーザとして認められている必要があります。  セキュリティのことを考えると、ファイアーウォールのすでに開かれている穴を利用することは、とても お手軽な 方法です。この方式なら、あるプログラムが本来利用しているプロトコルをそのまま使えるからです。逆にこの方法がとれない場合は、特定の用途のためにプロクシ機能をもつ特別のプログラムが必要になるか、既存のプログラムの改造(とコンパイル)を行う必要がでてきます。こんなことをすると、不愛想で無能な管理者が設定ミスをおかすことになるかもしれません。また、ファイアーウォールによってサポートされているサービス(Web 等)で、普段使っている通常のサービス(電子メール等)を利用するためには、あるプロトコルを許可されたプロトコルに変換するプログラムを必要なプロトコルの分だけ、インストールするはめになるかもしれません。  その上 SLiRP のようなユーザ・レベルの IP エミュレータを使うことによって、外部からのファイアーウォールの穴を利用した攻撃を防ぐことができるはずです。あなたがあえて不正行為を許可しなければ、他の手段を駆使しても、ファイアーウォールの穴を攻撃できないはずです(ただ、攻撃者はずるがしこく、ルートの権限を持つ人やそれに類する人は、リモート・ホストからあなたの行為を監視することもできますが)。  総合的に判断して、この方法は 比較的 安全なはずです。しかしこれは、あなたが設定した特定の環境に全面的に依存した方法なので、私は何の保証もできません。インターネット経由の接続は、この手段を使おうが使うまいが、本質的に安全なものではありません。ですからこの手段に加えて、何らかの暗号化をほどこすといった対策をあなたが講じていないのなら、安全は保証されている、などという思い込みを間違ってもしないでください。  今までのことをまとめると、あなたが何をしているかを理解していないなら、この手段を活用しないでください、ということです。再度「おことわり」を読んでください。  <sect1>他に必要なもの  このドキュメントは、あなたが次のことを理解していると仮定して書かれています。 <itemize> <item>ネットワークの設定方法を知っていること。 <item>ファイアーウォールの両側にシェル・アカウントを持っていること。 <item>相手側にも telnet(もしくは ssh(Secure Shell)やそれと同等の機能をもつもの)が利用できるアカウントを持っていること。 <item>両側にある自分のシェル・アカウントで IP エミュレータを実行できること。 <item>エミュレートされた IP 接続上で動くプログラムを両側に持っていること。 </itemize> どんなプログラムでも、この接続方法を利用できます。ローカルのエミュレータは、 Linux カーネルとやりとりしている pppd か、再コンパイルが必要で、かつ特別なライブラリをリンクする必要がある Term のようなプログラムが使われます。  IP エミュレータについては pppd にしても SLiRPにしても、まともな Linux ディストリビューションであれば付属しているはずですし、ftp サイトでも見つけられます。もしリモートのシェル・アカウントが一般ユーザのものだけならば、SLiRP で実現してください。  <sect1>ソフトウエアのダウンロード  下記にあげたソフトウエアのほとんどは、標準的なディストリビューションに付属しているか、場合によっては、そのコントリビューションに含まれているはずです。少なくとも最後の 2 つを除いて、rpm パッケージで利用できます。もし最新のバイナリやソースを落してきたいならば、下記のアドレスを利用してください(結局最後のソフトウエアの内の 1 つは、 Linux では動かないかもしれませんが)。 <itemize>  <item><tt>SLiRP</tt> は、 <URL URL="http://blitzen.canberra.edu.au/slirp"> か、 <URL URL="ftp://www.ibc.wustl.edu/pub/slirp_bin/"> に、  <item><tt>zsh</tt> は、 <URL URL="http://www.peak.org/zsh/"> に、  <item><tt>ppp</tt> は、 <URL URL="ftp://cs.anu.edu.au/pub/software/ppp/"> に、  <item><tt>fwprc</tt> と <tt>cotty</tt> は、 <URL URL="http://www.tunes.org/~fare/files/fwprc/"> にあります。 </itemize>  <sect>問題点を理解する  問題点を理解すれば、もう最初の半分を解決したことになります。  <sect1>問題点を明確にする  もしこの手段を使いたいなら、まずこれがどのように機能するかを考えてみる必要があります。そうすれば、何かおかしくなった場合に、どこに見当をつけたらよいかがわかります。  問題点を理解するはじめのステップは、関連した考え方に名前をつけて区別することです。  それではまず、「ローカル」という言葉は、相手に接続を仕掛けるマシンを意味し、プログラムやファイルもそのマシン上にあることとします。反対に、「リモート」という言葉は、接続の相手側を意味します。  <sect1>問題点  最終目標は、ローカルの IP エミュレータ入出力を、それに対応するリモートの IP エミュレータに渡すことです。  IP エミュレータ間のやりとりを行う経路は、直接接続されているデバイス(pppd の場合)か「現在使用している tty」のどちらかになります。 telnet セッションは前者ではなく、後者に当てはまるのですが、扱いづらい面があります。というのも、コマンド・ラインからローカルのエミュレータを実行すると、「現在使用している tty」は、リモート・セッションではなく、コマンド・ラインを使っているユーザに接続されてしまうからです。もちろん新たにセッション(ローカルもしくはリモートで)を新規の端末から立ち上げる必要がありますが、両側の IP エミュレータの起動と起動後の接続を同期させなければなりません。あるセッションの不要な出力を、もう一つのセッションのコマンドとして実行してしまうことだけは、避けなければいけません。そうしないと、繰り返し不要なコマンドが実行されてしまいます。  <sect1>さらに面倒なこと  最も簡単な方法は、ローカルの IP エミュレータがカーネルのネットワーク機能である pppd に IPパケットのデータを渡す方法です。しかし pppd は結構まぬけで、 /dev もしくは、現在使用している tty からしかデータを受け取れません。受け取るのは tty からで、パイプ経由ではだめなのです(これはいわゆる仕様というやつでしょう)。つまり、リモートの pppd で telnet セッションの tty を使用する分にはよいとしても、ローカルの pppd では、接続すべき telnet セッションを pppd が横取りしてしまうので、具合が悪いことになります。そのようなわけで、ある種のラッパーが必要になってきます。  telnet は たいていの場合、パイプをうまく利用できます。ただ、やはり現在使用している tty デバイスの制御を行うため、動作に支障が生じてしまいます。また telnet を tty を利用せずに使用すると、データのやりとりが競合状態になってしまいますので、「遅い」コンピュータを使っていると、接続ができなくなるかもしれません(fwprc 0.1 は、Pentium/MMX 233 では問題なく動作しましたが、 6x86-P200+ では 6 回中 1 度だけ動き、486DX2/66 では全く動作しませんでした)  [注: すっきりとしたパイプの対を使わないで、「同じ」仮想ファイルを使ってファイルを読み書きするという "tty" デバイスの原理を発明した馬鹿野郎 (たぶんそいつは MULTICS 使いだと思うけど、それを真似したバカな UNIX な人もいるはず)を見つけたらシメてやる! !]  <sect>解決するには  <sect1>原理  <tt>fwprc</tt>がファイアーウォールに穴を開けるプログラムです。「tty プロクシ」として機能する<tt>cotty</tt>を利用しています。これは仮想的に 2 つの tty デバイスを開きます。それぞれのデバイス上でコマンドを実行すると、その出力がそのままコピーされて、相手へのコマンドの入力として tty に渡されます。コマンドは、リモート側へ telnet 接続を通じて渡され、相手側は、ローカルの pppd が受け取ります。そこで pppd は通常のチャット・スクリプトを扱う場合と同じように、telnet セッションを開いて、制御を行えるようになります。 <sect1>fwprc  私が、ファイアーウォルに穴をあけるスクリプト <tt>fwprc</tt> を書きました。スクリプトのセルフ・ドキュメント化もきちんとしてあります。<tt>cotty</tt> (<tt>fwprc</tt> 0.2 以上のバージョンで必要になります)とあわせて、私のサイトである <URL URL="http://www.tunes.org/~fare/files/fwprc/">から落すことができます。このドキュメントを書いている時点での最新バージョンは、 <tt>fwprc</tt> 0.3a と <tt>cotty</tt> 0.3a です。  「fwprc」という名前はあえて読みづらく、かつ発音しにくくしました。そうすればファイアーウォールの件で日頃イライラさせられている、無能で偏執的な管理者を混乱させることができるからです(もちろん理にかなったファイアーウォールも存在しますし、それらは無くてはならないものです。セキュリティは、正当な 環境設定の一部ですから)。声を出して「fwprc」を読まなければならない時には、思い付く中で一番不快に感じる読み方を選んでください。  <bf>コンテスト！</bf> 私に「fwprc」の読み方を <tt>.au</tt> 形式で録音されたオーディオ・ファイルにして送ってください。最も不快なものには、フリーでアップグレードできる権利を差し上げ、fwprc 1.0 のページにお名前を掲載します！  いくつかの設定でこのプログラムをテストしました。いずれもリソース・ファイルをいじって設定しました。しかしやはりマーフィーの法則には逆らえず、あなたは困った状況に陥るかもしれません。そんな時には、ご自由に改良をしていただいて結構です。そうすれば、これから設定することになる他のみなさんは、より簡単に利用できるようになるでしょうから。 <sect1>.fwprcrc  <tt>fwprc</tt> は、<tt>.fwprcrc</tt> ファイルを使ってカスタマイズしますので、ファイアーウォールの両側で同じような設定ファイルを作る必要があります。異なるいくつかの設定を使い分けることももちろん可能ですが(私は そうしています)、それは読者の方への宿題としておきましょう。  まず <tt>fwprc</tt> の該当する部分をコピーして、<tt>.fwprcrc</tt> という名前のファイルをホーム・ディレクトリに作ってください。次に、あなたの環境にあった設定になるように、変数の値を変更します。最後にその設定ファイルを相手側のホストにコピーして、テストしてください。  デフォルトの設定では、pppd をローカルで使用して、リモートでは slirp を使うようになっていますので、下記のように適切に再設定してください。 <tscreen> remote_IP_emu () { remote_pppd } </tscreen>  SLiRP は pppd より安全性が高く、相手側にアクセスする方法も簡単です。なぜなら、リモート側のマシンで root の権限を必要としないからです。安全な理由はまだあります。接続されているマシンから直接くるパケット以外は、まったく受けつけないためです(マスカーレーディングでサブネットのルーティングをするとこのメリットはなくなります)。 SLiRP の基本機能はうまく動きますが、まだまだこれからの機能(例えばランタイムな制御)もあります。もちろんフリーソフトですから、ソースをハックして、必要な機能をどんどんインプリメントしてください。  <sect>反対側から穴をあける  <sect1>基本的な考え方  telnet がファイアーウォールの片側からしかできない場合があります。しかしそういう状況でも、いくつかの通信手段を利用することが可能です(電子メール等)。その通信手段が用いているメッセージの交換方法がどのように行われていても、 telnet が「許されている」側から、ファイアーウォールの反対側のマシンに接続できれば、ファイアーウォールを通過してメッセージを伝えることが可能です。  <tt>fwprc</tt> は PGP(Pretty Good Privacy)を使って認証された電子メールのようなメッセージがくると、自動的に相手に対して接続を行う機能をもっています。 <tt>fwprc</tt> にメッセージを伝えるプロトコルのフィルタとして <tt>procmail(1)</tt> を登録するだけで OK です(具体的な設定方法は <tt>fwprc</tt> に付属しています)。ただし注意してもらいたいのは、pppd を適切なユーザ権限で実行するためには、 root に setuid するラッパーをつくらなければならないことです。具体的な方法は <tt>fwprc</tt> に付属する解説書を読んでください。  また、通信内容が認証されていても、決して接続自体がセキュアなわけではありません。本当にセキュアな接続をしたいなら ssh(できたら telnet を経由して)を使用すべきです。このようなわけで telnet 経由の通信で行われていることに対して、注意を払う必要があります。また本当にセキュアな通信をしたいなら、ssh を使用してください。これに関連した情報およびご意見をどしどしお寄せください。  <sect1>電子メールのやりとりのしかた  あなたが、ファイアーウォールに守られている環境にいるならば、procmail も telnet も許可していないメール・サーバを利用している可能性があります。でもご心配なく！ <tt>fetchmail(1)</tt> をデーモンとして動かして、クライアントの Linux マシンとやりとりさせれば大丈夫です。さらに cron で自動的に 1 ～ 5 分間隔でポーリングさせます。fetchmail は、ローカル・アドレス宛のメールを <tt>sendmail(8)</tt> を利用してフォワードすることができます。配送に <tt>procmail(1)</tt> を使うように設定することもできます。もしバックグラウンドのデーモンとして <tt>fetchmail</tt> を動かすと、 <tt>fwprc</tt> から fetchmail を動かそうとした時に、すでにデーモンとして動いている fetchmail がじゃまをして起動できません。もちろんダミーのユーザの権限でデーモンの fetchmail を動かすというのも 1 つの手です。あまりに頻繁にポーリングすることは、サーバにとっても、自分のクライアント・マシンにとっても、好ましくありません。反対にポーリングをあまりしないようにすると、メッセージが読めるまでに時間がかかり、投稿とのタイミングがずれてしまいます。私は 2 分間隔でポーリングしています。  <sect>最後の注意点  <sect1>その他の設定  telnet を許している他にも、いろいろなポリシーを持つファイアーウォールが存在しています。パケットがファイアーウォールを経由して常にやりとりされて情報が行き来しているならば、それを利用してファイアーウォールに穴を開けることは可能です。要するに、穴を開けるプログラムを書きあげるのが、手間がかかるか、かからないか、という違いがあるだけです。  簡単に解決できる場合もあります。pty 越しに <tt>ssh</tt> を動かしてそのスレーブの tty で <tt>pppd</tt> を動かす方法です。 <tt>cotty</tt> 0.3a を使って実現できるはずですが、<tt>fwprc</tt> を改造して、この機能を組み込んでいる人はまだいません。今晩の練習問題としていかがですか? 面倒くさいファイアーウォールをわきに置いといて、何とかしたいと思われる方には、セキュアな「VPN(Virtual Private Network)」を構築することをお勧めします。詳しくは、VPN mini-HOWTO を見てください。  もし 7 ビットしか通さない回線をまたぐ必要がある場合は、PPP ではなく SLIP を使う必要があると思います。私は試していませんし、今後も試せないと思います。というのも、最近はおよそ 8 ビットクリーンな回線がほとんどですから。  さて、もしファイアーウォールを通過できる手段が WWW プロクシだけなら(普通にインターネット接続しているネットワークの最低条件でしょう)、入出力用のバッファを持つデーモンを書いて、HTTP 接続を利用してバッファのデータを送り出したいと思うのではないでしょうか。これは fwprc を動かして、HTTP 越しに telnet を行うことで実現できます。速度が遅く、きびきびと反応しないでしょうが、<tt>fetchmail(1)</tt> や <tt>suck(1)</tt> といったバッチ処理系のプログラムで利用する分には、十分です。  これ以上にパフォーマンスを上げたかったり、もっと厄介なプロトコル(DNS クエリー・パケットや ICMP パケット等)を素通ししたい場合は、かなり面倒になります。たとえば、Fox プロジェクトで行われているように IP スタックをハックして、パケットやプロトコルの種類に依存しない、統一的にネットワークを扱える機能を自分で実装する必要がでてきます。それを行った上ではじめて、HTTP や DNS、ICMP 越しに IP で接続できます。プロトコルが複雑なだけでなく、カーネルとのインターフェースを作り込む必要があるので、インプリメントはかなりたいへんな作業になります。<newline> <bf>訳註：</bf>「Fox プロジェクト」については、 <url url="http://www.cs.cmu.edu/afs/cs.cmu.edu/project/fox/mosaic/HomePage.html" name="The Fox Project: Advanced Languages for Systems Software"> を参照してください。<newline> またこのプロジェクトによるネットワーク・プロトコル・スタックの実装についての資料は、 <url url="http://www.cs.cmu.edu/afs/cs.cmu.edu/project/fox/mosaic/papers.html" name="Fox Project Publications"> にある、「Signatures for a Network Protocol Stack: A Systems Application of Standard ML, Edoardo Biagioni, Rober Harper, Peter Lee, and Brian G. Milnes」を見てください。  ところで、HTTP プロトコルを利用してファイアーウォールに穴を開けるなら、ダミーのページを用意することを忘れないでください。そうしないと、あれこれ気にする管理者を混乱させてしまいます。  <sect1>このドキュメントの改訂について  必要性を感じて、このドキュメントを書きあげましたが、現状ではこれ以上時間をさくことができません。そのため、このドキュメントはまだまだ大ざっぱな内容になっています。改訂を進めるには、このセクションをもっと詳しく、といったみなさんのアドバイスが必要です。フィードバック、助言、はたまたこのドキュメントを私のかわりに更新してくれる方、いずれも歓迎します。  ともかく、まだ多くの問題点が残されています。誰かが見つけた解決方法が、みなさん(あなたも含めて)のために役立ちます。少々の時間(もしくは人を雇うお金) を割いていただいて、あなたが書いてみませんか。細かいところを見ると厄介でトリッキーなのですが、コンセプトは明解ですから。  どうかためらわずに、いろいろな問題を解決するお手伝いをしてください。そうすれば、このドキュメントがさらによくなると思います。  <sect1><bf>とても大切なおことわり</bf>の繰り返し --- <bf>本当です！！！</bf> <quote> <bf>  このドキュメントの内容について、一切責任は負いません。どんな障害が生じても、それは私の過失ではありません。このドキュメントに書かれている手段をとることによって生じるリスクを理解できないならば、決して利用しないでください。利用する場合は、あなたの職場のコンピュータが壊れても、業務に支障がでても、また会社に多額の損害を与えてもかまわない、と腹をくくってください。私に泣きついたりしないでくださいね。 </bf> </quote> </article>