動的アドレスの使用

FQDN －完全修飾ドメイン名 (例えば "www.reallybadwebsite.com" など) は、ファイアウォールの設定で指定されている DNS サーバを使用して (1 つまたは複数の) IP アドレスに解決されます。ワイルドカードエントリもサポートされており、ワイルドカードを指定すると、承認済み DNS サーバへの問い合わせに対する応答が収集されるようになります。

アドレスオブジェクトの作成は単に IP アドレスを入力するよりも手間がかかりますが、アドレスオブジェクトは SonicOS の管理機構を補完する目的で実装されており、それによって以下の特徴が実現されています。

•

ゾーンの関連付け－ホスト、MAC、および FQDN のアドレスオブジェクトを定義する際は、明示的にゾーンを指定する必要があります。インターフェースのほとんどの領域 (アクセスルールなど) では、指定されたゾーンは参照のためにしか使われません。指定されたゾーンが機能上の目的で使用されるのは、「アドレスオブジェクト」ドロップダウンリストの項目をコンテキストに合わせて正確に表示するために利用される場合と、ユーザおよびグループに割り当てる "VPN アクセス" を定義する場合です。アドレスオブジェクトを使用して VPN アクセスを定義する際には、アクセスルール自動作成プロセスによってアドレスオブジェクトのゾーンが参照され、そのルールを割り当てるべき VPN [ゾーン]の共通部分が適切に決定されます。例えば、LAN ゾーンに属する "192.168.168.200 ホスト" というホストアドレスオブジェクトが "Trusted Users" ユーザグループの "VPN アクセス" に追加された場合、自動的に作成されるアクセスルールは VPN LAN ゾーンに割り当てられます。

•

管理と処理－多用途の種別に属するアドレスオブジェクト群は SonicOS インターフェース全域で容易に使用できるため、(アクセスルールなどからの) ハンドルの定義と管理を簡便に行うことができます。また、アドレスオブジェクトグループのメンバーは単純な操作によって簡単に追加または削除できるので、それを参照するルールやポリシーを直接操作する必要なしに、ルールやポリシーの内容を効率的に変更することができます。

•

再利用性－オブジェクトを定義する必要があるのは一度だけで、定義したオブジェクトは必要に応じて何度でも容易に参照できます。

動的アドレスオブジェクトの主要な機

動的アドレスオブジェクト (DAO) とは、MAC AO および FQDN AO の使用を可能にする基底フレームワークのことを表す用語です。「ファイアウォール > アクセスルール」は、アドレスオブジェクトを静的な構造から動的な構造に変換することによって、ネットワークの変化に自動的に対応できます。

表 29. 動的アドレスオブジェクト:機能と利点
機能	利点
FQDN ワイルドカードのサポート	FQDN アドレスオブジェクトでは“.somedomainname.com"のようなワイルドカードエントリがサポートされています。ワイルドカードエントリが指定された場合は、まず基本ドメイン名が解決されて、それに対して定義されているすべてのホスト IP アドレスに変換され、その後、ファイアウォールを通過するDNS 応答のアクティブな収集が継続的に行われます。例えば、".myspace.com" の FQDN AO を作成すると、まずファイアウォールの設定で指定されている DNS サーバが使用されて、"myspace.com" が 63.208.226.40、63.208.226.41、63.208.226.42、63.208.226.43 に解決されます (このことは nslookup myspace.com、またはそれと同等のコマンドによって確認できます)。ほとんどの DNS サーバではゾーン転送は許可されないので、通常はドメイン内のすべてのホストを自動的に列挙することはできません。それに代わる方法として、SonicWALL は、ファイアウォールを通過する DNS 応答を監視して、承認済み DNS サーバから発信されたDNS 応答を探します。そのため、ファイアウォールの背後のホストが外部 DNS サーバに対して問い合わせを行った場合、そのサーバが SonicWALL 上の設定済み/定義済み DNS サーバであるときには、その応答が SonicWALL によって解析され、いずれかのワイルドカード FQDN AO のドメインに一致するかどうかが調べられます。補足：補足: "承認済み DNS サーバ" とは、SonicWALL ファイアウォールが使用する DNS サーバとして設定されている DNS サーバのことです。承認済み DNS サーバからの応答のみをワイルドカードの学習プロセスで使用する理由は、意図的に不正なホストエントリが設定された未承認 DNS サーバの使用によって FQDN AO のポイズニングが発生する危険を防止するためです。SonicOS の将来のバージョンでは、すべての DNS サーバからの応答をサポートするオプションが提供される可能性があります。アクセスルールを使うと、承認済み DNS サーバの使用を強制することができます。その方法については、この後の「ネットワーク上の承認済みサーバの使用の強制」で説明します。例として、4.2.2.1 と 4.2.2.2 の DNS サーバを使用するようにファイアウォールが設定されていて、ファイアウォールで保護されているすべてのクライアントに対して DHCP 経由でこれらの DNS サーバが提供されている場合を考えてみましょう。ファイアウォールで保護されているクライアント A が vids.myspace.com に対応するアドレスの問い合わせを 4.2.2.1 または 4.2.2.2 に対して行ったとすると、ファイアウォールでは、それに対する応答が検査され、定義済みの .myspace.com FQDN AOに一致するものと判断されます。そして、その問い合わせの結果 (63.208.226.224) は、.myspace.com DAO に対応する解決済みの値として追加されます。補足：上記の例で、.myspace.com AO が作成される前に、クライアント A のワークステーションが vids.myspace.com を解決して、その結果をキャッシュしていたとすると、クライアントは新しい DNS要求を発行する代わりにリゾルバのキャッシュを使用するので、ファイアウォールによる vids.myspace.com の解決は行われません。そのため、別のホストによって vids.myspace.com の解決が行われない限り、ファイアウォールは vids.myspace.com について学習する機会を得られないことになります。Microsoft Windows を使用しているワークステーションでは、ipconfig /flushdns コマンドを使用して、ローカルリゾルバのキャッシュを消去することができます。このキャッシュの消去を行うと、クライアントはすべての FQDN を解決するようになるので、それらのアクセス時にファイアウォールがその解決の情報を取得することが可能になります。ワイルドカード FQDN エントリは、そのドメイン名のコンテキストに含まれるすべてのホスト名に解決されます (アドレスオブジェクトあたり最大 256 エントリまで)。例えば、.sonicwall.com と指定されている場合、www.sonicwall.com、software.sonicwall.com、 licensemanager.sonicwall.com は、それぞれの IP アドレスに解決されますが、 sslvpn.demo.sonicwall.com は別のコンテキストのドメイン名であるため解決されません。ワイルドカード FQDN AO によって sslvpn.demo.sonicwall.com を解決するには、 .demo.sonicwall.com というエントリを指定する必要があります。このエントリを指定した場合は、sonicos-enhanced.demo.sonicwall.com、csm.demo.sonicwall.com、sonicos-standard.demo.sonicwall.com などのドメイン名も解決されます。補足：ワイルドカードは、部分一致ではなく完全一致のみをサポートします。つまり、.sonicwall.com は正当な入力ですが、w.sonicwall.com、w.sonicwall.com、および ww.sonicwall.com は違います。ワイルドカードは登録ごとに 1 つだけ指定できるので、例えば .*.SonicWALL.com は機能しません。
DNS の使用による FQDN の解決	FQDN アドレスオブジェクトは、SonicWALL の「ネットワーク > DNS」ページで設定された DNS サーバを使用して解決されます。DNS 登録は複数の IP アドレスに解決される場合が多いので、FQDN AO 解決プロセスは、AO あたり最大 256 個の登録までの範囲で、ホスト名に対応するアドレスをすべて取得します。解決プロセスでは、FQDN の IP アドレスへの解決だけでなく、DNS 管理者による設定に基づいて、登録の TTL (存続期間) の関連付けも行われます。この TTL は、古くなった FQDN 情報が使われることを防ぐために利用されます。
FQDN エントリのキャッシュ	FQDN の最初の解決以後に解決の試行が失敗した場合には、解決済みの値がキャッシュされます。例えば、www.moosifer.com が 71.35.249.153 に解決されて、TTL 値として 300 が設定されたとすると、TTL が失効した時点での解決が (DNS サーバの一時的な障害などが原因で) 失敗した場合には、71.35.249.153 がキャッシュされ、次に解決が成功するまで、またはキャッシュが手動で削除されるまでの間はこの値が使用されます。新規作成後に 1 度も解決が成功していない FQDN エントリや、キャッシュの削除後に解決が失敗したエントリは、未解決状態として表示されます。
動的 ARPキャッシュデータの使用によるMAC アドレスの解決	SonicWALL のいずれかの物理セグメントにおいて、ARP (Address Resolution Protocol) メカニズムによってノードが検出されると、SonicWALL の ARP キャッシュが更新され、そのノードの MAC アドレスと IP アドレスが追加されます。この更新が発生した場合、そのノードの MAC アドレスを参照する MAC アドレスオブジェクトが存在するときには、解決されたアドレスのペアを使用して、そのアドレスオブジェクトが直ちに更新されます。ノードが使われなくなって、そのノードの ARP キャッシュがタイムアウトした場合 (ホストとファイアウォールの L2 接続が切断された場合など) には、その MAC AO は未解決状態に移行します。
MAC アドレスオブジェクトによるマルチホームのサポート	MAC AO ではマルチホームのノードをサポートする設定を使用できます。マルチホームのノードとは、物理インターフェースごとに複数の IP アドレスが割り当てられているノードのことです。各 AO では最大256 個の解決済みエントリを指定できます。この方法を使用すると、1 つの MAC アドレスが複数の IP アドレスに解決される場合でも、そのすべての IP アドレスに対して、その MAC AO を参照するアクセスルールなどが適用されるようになります。
自動と手動の更新処理	MAC AO エントリは SonicWALL の ARP キャッシュに自動的に同期され、FQDN AO エントリには DNS エントリの TTL 値が適用されるため、解決済みの値は常に新しい状態に保たれます。これらの自動的な更新処理に加えて、個々の DAO または定義済みのすべての DAO を対象として手動で更新および削除を実行することもできます。
DNS の使用による FQDN の解決	FQDN アドレスオブジェクトは、SonicWALL の「ネットワーク > DNS」ページで設定された DNS サーバを使用して解決されます。DNS 登録は複数の IP アドレスに解決される場合が多いので、FQDN AO 解決プロセスは、AO あたり最大 256 個の登録までの範囲で、ホスト名に対応するアドレスをすべて取得します。解決プロセスでは、FQDN の IP アドレスへの解決だけでなく、DNS 管理者による設定に基づいて、登録の TTL (存続期間) の関連付けも行われます。この TTL は、古くなった FQDN 情報が使われることを防ぐために利用されます。

ネットワーク上の承認済みサーバの使用の強制

ネットワーク上の承認済みサーバ (許可されたサーバ) の使用を強制することは必須ではありませんが、そのような設定を行うことをお勧めします。この設定は不正なネットワーク活動の抑止に有効であるだけでなく、FQDN ワイルドカードの解決プロセスの信頼性を確保するためにも役立ちます。一般に、既知のプロトコルによる通信のエンドポイントは可能な限り明確に定義することが望ましいと言えます。そのためには、例えば、以下のような方法を使用することが考えられます。

•

承認済みサーバ (SMTP サーバ、DNS サーバなど) のアドレスオブジェクトグループを作成します。

•

該当するゾーンのアクセスルールを作成して、内部ネットワーク上の承認済み SMTP サーバにのみ SMTP 通信の発信を許可し、それ以外のすべての SMTP 発信トラフィックを遮断することにより、意図的または意図しないスパムの送信を防止します。

•

該当するゾーンのアクセスルールを作成して、内部ネットワーク上の承認済み DNS サーバに対して、すべての宛先ホストとの DNS プロトコル (TCP/UDP 53) による通信を許可します。


	重要：内部ネットワーク上に DNS サーバを設置している場合は、必ずこのルールを定義したうえで、アクセスを制限する次の DNS ルールを設定する必要があります。

•

該当するゾーンのアクセスルールを作成して、ファイアウォールで保護されたホストからの DNS (TCP/UDP 53) 通信を承認済み DNS サーバに対してのみ許可し、それ以外のすべてのDNS アクセスを遮断することにより、未承認の DNS サーバとの通信の発生を防止します。

•

上記のルール設定後に、許可されていないアクセスが試行された場合は、ログの表示によってそのことを確認できます。

MAC および FQDN 動的アドレスオブジェクトの使用

MAC および FQDN の動的アドレスオブジェクトを使用すると、アクセスルールを非常に柔軟な形で作成できるようになります。MAC アドレスオブジェクトおよび FQDN アドレスオブジェクトの設定は、静的アドレスオブジェクトの場合と同じ方法で「ネットワーク > アドレスオブジェクト」ページから行います。動的アドレスオブジェクトの作成後に、その表示項目にマウスを合わせると、そのオブジェクトの状況が表示されます。また、動的アドレスオブジェクトの追加や削除を行うと、その操作がイベントとしてログに記録されます。

動的アドレスオブジェクトは、さまざまな用途に使用できます。以下に示す例は、可能な活用方法のごく一部にすぎません。SonicOS の将来のバージョンでは、動的アドレスオブジェクトの汎用性がさらに拡張される可能性があります。

FQDN DAO の使用による、ドメインに対するすべてのプロトコルのアクセス遮断

非標準ポートを使った処理や、未知のプロトコルの使用、暗号化やトンネル化 (またはその両方) によるトラフィックの意図的な不明瞭化などを行っているという理由から、特定の送信先 IP アドレスへのすべてのプロトコルのアクセスを遮断することが望ましい場合があります。具体的な例としては、ホームネットワークのトンネルを通すことによってトラフィックを不明瞭化するという目的で、DSL モデムまたはケーブルモデムに接続されたホームネットワーク上に HTTPS プロキシサーバを設定した場合 (あるいはその他の方法で、53、80、443 などの“信頼できる"ポート、および 5734、23221、63466 などの非標準ポートのポート転送/トンネル化を行っている場合) などが考えられるでしょう。このようなネットワークではポートが予測不能であるだけでなく、多くの場合、IP アドレスも動的に設定されるため同様に予測不能となり、状況はさらに複雑化します。

これらのシナリオでは、通常、ユーザがホームネットワークを特定することを可能にするために動的DNS (DDNS) が利用されるので、FQDN AO を積極的に活用することによって、DDNS レジストラに登録されているすべてのホストに対するアクセスを遮断することができます。


	補足：ここでは例として DDNS ターゲットの場合を示しています。非 DDNS ターゲットドメインも同様に使用できます。

想定条件

•

SonicWALL ファイアウォールは、10.50.165.3 および 10.50.128.53 の DNS サーバを使用するように設定されているとします。

•

SonicWALL は、ファイアウォールで保護されているすべてのユーザに対して DHCP リースを提供しているものとします。ネットワーク上のすべてのホストは上記の設定済み DNS サーバを使用して解決を行います。

•

未承認 DNS サーバへの DNS 通信は、必要に応じてアクセスルールを使って遮断できます。ネットワーク上の承認済みサーバの使用の強制を参照してください。

•

DSL ホームネットワークのユーザが DDNS プロバイダの DynDNS に登録しているドメイン名は、
moosifer.dyndns.org であるとします。このセッションで ISP がこの DSL 接続に割り当てたアドレスは、71.35.249.153 であるとします。

•

同じ IP アドレスに対して別のホスト名を登録することは容易なので、後からホスト名が追加されることを想定して FQDN AO を使用しています。必要に応じて、別の DDNS プロバイダに対応するエントリを追加することもできます。

手順 1 － FQDN アドレスオブジェクトの作成

•

「ネットワーク > アドレスオブジェクト」ページで「追加」を選択し、次のアドレスオブジェクトを作成します。

•

最初に作成された時点では、このエントリの解決先は dyndns.org のアドレス (63.208.196.110など) のみです。

手順 2 －ファイアウォールアクセスルールの作成

•

「ファイアウォール > アクセスルール」ページで「追加」を選択し、「送信元ゾーン」を「LAN」に、「送信先ゾーン」を「WAN」にそれぞれ設定して、次のアクセスルールを追加します。


	補足：送信元として LAN Subnets を指定する代わりに、必要に応じて、より限定的な送信元を指定することによって、特定のホストからの送信のみを対象としてターゲットへのアクセスを禁止することもできます。

•

ファイアウォールで保護されているホストが承認済み DNS サーバを使用して moosifer.dyndns.orgの解決を試行した場合、その問い合わせに対する応答として返された (1 つまたは複数の) IP アドレスが FQDN AO に動的に追加されます。

•

この FQDN に含まれるターゲットホストへのアクセスはプロトコルに関係なく遮断され、アクセスが試行された場合は、そのイベントがログに記録されます。

FQDN ベースのアクセスルールに適した内部 DNS サーバの使用

DHCP で動的に構成されるネットワーク環境は、内部ホストの登録を動的に行うために、内部 DNSサーバと組み合わせて運用されるのが一般的であり、広く使われているマイクロソフトの DHCP サービスと DNS サービスもその一例です。このようなネットワークでは、ネットワーク上のホストを設定することによって、適切に設定された DNS サーバ上の DNS レコードの動的更新を容易に実現することができます (詳細については、Microsoft のサポート技術情報「Windows Server 2003 で DNS 動的更新を構成する方法」
(http://support.microsoft.com/kb/816592/ja) などを参照してください)。

次の図は、典型的な DNS 動的更新プロセスのパケットの詳細情報を示したものです。この例では、動的に設定されたホスト (10.50.165.249) が、(DHCP で提供された) DNS サーバ (10.50.165.3) に対して、完全なホスト名 (bohuymuth.moosifer.com) を登録していることがわかります。

このような環境では、FQDN AO を利用して、ホスト名によるアクセス制御を行うことが有益な場合があります。この方法が最も有効に適用できるのは、ネットワーク内のホスト名が既知の場合 (ホスト名のリストが保持されている場合や、一貫した名前付け規則が使用されている場合など) です。

MAC アドレスによる動的ホストのネットワークアクセスの制御

ほとんどのネットワークでは静的なアドレス設定よりも DHCP が利用されることの方がはるかに多いため、特に、動的な DNS 更新が行われていない場合や、ホスト名が常に確定しているとは言えない環境では、動的に設定されるホストの IP アドレスを予測するのが困難な場合があります。このような状況では、MAC アドレスオブジェクトを使用することにより、ほぼ不変の MAC (ハードウェア) アドレスに基づいてホストのアクセスを制御することができます。

その他のほとんどのアクセス制御方法と同様、MAC アドレスによるアクセス制御も、アクセスを原則的に許可して特定のホストまたはホストのグループを送信先/送信元とするアクセスのみを禁止する方法と、アクセスを原則的に禁止して特定のホストまたはホストのグループに対してのみアクセスを許可する方法のどちらでも利用できます。ここでは、例として後者の場合を示します。

DHCP に対応した複数の無線クライアントがあり、これらのクライアントでは独自のオペレーティングシステムが実行されているため、ユーザレベルの認証は一切利用できないと仮定しましょう。そして、これらのクライアントに対して、LAN 上のアプリケーション固有サーバ (例えば、10.50.165.2) へのアクセスのみを許可する必要があるとします。WLAN セグメントではセキュリティのために WPA-PSK が使用されていますが、これらのクライアントからのアクセスを許可する対象は 10.50.165.2 のサーバのみであり、LAN 上のそれ以外のリソースへのアクセスはすべて禁止しなければなりません。また、その他のすべての無線クライアントに対しては、10.50.165.2 へのアクセスのみを禁止し、それ以外の場所へのアクセスはすべて許可する必要があります。

手順 1 － MAC アドレスオブジェクトの作成

•

「ネットワーク > アドレスオブジェクト」ページで「追加」を選択し、次のアドレスオブジェクトを作成します (マルチホームのオプションは必要に応じて選択します)。

•

アドレスオブジェクトの作成完了時点において、対象のホストが SonicWALL の ARP キャッシュに含まれている場合は、直ちにその解決が行われます。ARP キャッシュ内にホストの情報が存在しない場合は、ホストが有効化されて ARP によって検出されるまでの間、「アドレスオブジェクト」テーブルにはそれらのアドレスが「未解決」状態として表示されます。

•

ハンドヘルド機器をメンバーとして含むアドレスオブジェクトグループを作成します。

手順 2 －ファイアウォールアクセスルールの作成

•

アクセスルールを作成するには、「ファイアウォール > アクセスルール」ページに移動して「すべてのルールを表示」ラジオボタンを選択し、ページの下部が表示されるまでスクロールして「追加」ボタンを選択します。

•

次の 4 つのアクセスルールを作成します。

表 30. サンプルのアクセスルール
設定	アクセスルール1	アクセスルール2	アクセスルール3	アクセスルール4
送信元ゾーン	ＷＬＡＮ	ＷＬＡＮ	ＷＬＡＮ	ＷＬＡＮ
送信先ゾーン	LAN	LAN	LAN	LAN
サービス	MediaMoose サービス	MediaMoose サービス	すべて	すべて
送信元	ハンドヘルド機器	すべて	ハンドヘルド機器	すべて
送信先	10.50.165.3	10.50.165.3	すべて	すべて
許可するユーザ	すべて	すべて	すべて	すべて
スケジュール	常に有効	常に有効	常に有効	常に有効


	補足：この例では、ハンドヘルド機器によって使用される特定のアプリケーションを表すために「MediaMoose サービス」というサービスを使用しています。固有サービスの宣言はオプションであり、必要に応じて行ってください。

ドメイン全体へのアクセスの帯域幅管理

ストリーミングメディアは、ネットワークの帯域幅を最も大量に消費するサービスの 1 つです。ストリーミングメディアを配信しているサイトでは、ほとんどの場合、多数のサーバからなるサーバファームが利用されているため、これらのサイトへのアクセスを制御したり、サイトへの接続に割り当てられる帯域幅を管理したりすることは容易ではありません。さらに、これらのサイトではメディアが再エンコードされてから HTTP で送信される場合が多いので、種別による分類や分離を行うことはいっそう難しくなっています。これらのサイトを構成しているサーバのリストを手動で管理するのは困難な仕事ですが、ワイルドカード FQDN アドレスオブジェクトを使用すると、その作業を簡単化することができます。

手順 1 － FQDN アドレスオブジェクトの作成

•

「ネットワーク > アドレスオブジェクト」ページで「追加」を選択し、次のアドレスオブジェクトを作成します。

アドレスオブジェクトが最初に作成された時点では、youtube.com は 208.65.153.240、208.65.153.241、208.65.153.242 の IP アドレスに解決されますが、内部ホストがyoutube.com ドメイン内のすべての要素に対応する各ホストの解決を開始した後は、v87.youtube.comサーバ (208.65.154.84) のエントリなど、内部ホストからの問い合わせによって取得されたホストエントリが追加されていきます。

手順 2 －ファイアウォールアクセスルールの作成

•


	補足：「帯域幅」タブが表示されない場合は、WAN インターフェース上の帯域幅を宣言することによって帯域幅管理を有効化します。


	補足：「アクセスルール」テーブル内に、帯域幅管理が有効であることを示す帯域幅管理アイコンと統計情報が表示されるようになります。*.youtube.com のすべてのホストに対するアクセスは、どのプロトコルを使用している場合でも、累積的に、すべてのユーザセッションで利用可能な合計帯域幅の 2% までに制限されます。