SSH / Secure Shell

■ SSH。Secure Shell。

  UNIX系のシステムで用いられる
  リモート管理用のサービスプログラム。
  フィンランドのTatu Yloenen氏によって開発された。
  ポート番号22番を使用する。

  SSHはTELNETと同様の機能を持ち、
  遠隔地のマシンからネットワーク経由で別のコンピュータにログインしたり、
  いろいろなコマンドを実行したり、
  他のマシンへファイルを移動したりすることができる。

  逆にTELNET等と異なる点は、
  ネットワーク上を流れるデータが全て暗号化されるため、
  インターネット経由でも一連のオペレーションを安全に行なうことができる、
  ということである。

  UNIXにおけるTELNETや、rsh、rloginなどのコマンドは、
  パスワード認証以外に特別なセキュリティ機能は持たない。
  このため自分のパスワードやオペレーション内容が、
  ネット上を暗号化されないままで流れており、盗聴を免れない。

  しかし、SSHはこれらのセキュリティを強化する。
  すなわちSSHは、パスワードを含むすべての通信を暗号化し、
  ネットワークの盗聴などを排除することができる。 

  SSHには開発元の違いから、2つのバージョンが存在する。
  いわゆるSSH1(1.x系)とSSH2(2.x系)である。
  これらは全く別物で、両者に互換性はない。
  暗号化のプロトコルに違いがあるためである。

  SSH1ツールはおおむね無償であり、
  多くのLinuxディストリビューションにはフリーの実装が含まれる。
  Windows版としては、Tera Term ProとTTSSHの組み合わせが有名である。

  SSH2は、ほとんどが有償ライセンス。
  一般にはSSH2の方が洗練され、セキュリティも堅いとされるが、
  ライセンス問題などがあり、SSH1の利用を置き換えるには至っていない。

■ SSHポートフォワーディング。

  特定のポート宛ての通信だけを、
  SSHトンネルを通して暗号化して転送する仕組み。
  他のポートの通信はトンネルを通さない。

  SSHは通信に先立って、
  クライアント/サーバ間で暗号化通信経路を確立する。
  そして、そのSSHトンネルの中に、
  指定したポートへの通信だけを通すようにすることができる。

  具体的にいうと、
  ポート番号110番あてのPOP通信だけを安全にする、
  というようなことが簡単にできるということ。
  これでパスワードもコマンドも暗号化される。

  このような場合、通信をしたいメールクライアント等が、
  ローカルホストのポート9110番にPOP接続する。
  するとSSHクライアントが、あらかじめ確立した暗号化トンネルに
  通信を転送してくれる。

■ r系サービス。

  UNIX系システムで、ネットワーク経由でログインしたり、
  コマンド操作をしたり、ファイルのコピーを行う仕組み。
  rlogin、rsh、rcpなど。

  これらのr系コマンドは、パスワード認証が無く、
  ホストIPアドレスとユーザ名だけを信用してアクセスを許可するため、
  IPスプーフィングに無防備であるほか、
  通信内容が暗号化されないなどセキュリティ上の欠点が多い。

■ 参照URL

  WIDE大学
  http://www.soi.wide.ad.jp/class/20000009/slides/12/

  MYCOM PC WEB
  http://pcweb.mycom.co.jp/series/ityougo/2002/03/28/031.html

  IPA/ISEC
  http://www.ipa.go.jp/security/awareness/administrator/remote/capter6/9.html

以上。

2004/03/18 pm