Broadband Watch logo
バックナンバー

その116「DLNAの仕組み」
[2007/03/26]
その115「ドメインとActive Directory」
[2007/03/19]
その114「ワークグループができること」
[2007/03/12]
その113「WPSの仕組み」
[2007/03/05]
その112「Gopherの生い立ちと現在」
[2007/02/26]
その111「Wikiの使われ方」
[2007/02/19]
その110「文字コードとは」
[2007/02/05]
その109「IISの生い立ち」
[2007/01/29]
その108「NASの登場と一般への普及」
[2007/01/22]
その107「HomePNAのいろいろ」
[2007/01/15]
その106「Ogg Vorbisの成り立ち」
[2006/12/25]
その105「MIDIの原理とSMFの構造」
[2006/12/18]
その104「AIFFの構造」
[2006/12/11]
その103「WAVの構造と現状」
[2006/12/04]
その102「WMAの歴史」
[2006/11/27]
その101「AACの特徴」
[2006/11/20]
その100「MP3/MPEG Audioの仕組み」
[2006/11/13]
その99「HSDPAの仕組み」
[2006/11/06]
その98「H.264・MPEG-4 AVCの特徴」
[2006/10/30]
その97「IEEE 802.16e(モバイルWiMAX)の特徴」
[2006/10/23]
その96「TIFFの特徴」
[2006/10/16]
その95「PNGの現状と今後」
[2006/10/02]
その94「GIFの構造」
[2006/09/25]
その93「10GBASEの種類(2)」
[2006/09/11]
その92「10GBASEの種類」
[2006/09/04]
その91「GbEのいろいろ」
[2006/08/28]
その90「JPEGの特徴」
[2006/08/21]
その89「DivXの広がり」
[2006/08/07]
その88「MPEGの仕組み」
[2006/07/31]
その87「WMVのこれまで」
[2006/07/24]
その86「AVIの生い立ちとそのコーデック」
[2006/07/10]
その85「QuickTimeの変遷」
[2006/07/03]
その84「Realのこれまでと今後」
[2006/06/26]
その83「ShareとWinny」
[2006/06/19]
その82「DOCSISの仕組み」
[2006/06/12]
その81「SQLインジェクションの流れ」
[2006/06/05]
その80「RSSの動作」
[2006/05/29]
その79「Skypeの仕組み」
[2006/05/22]
その78「BitTorrentの特徴と今後」
[2006/05/15]
その77「Winnyの仕組みと現状」
[2006/05/08]
その76「WinMXの特徴」
[2006/04/24]
その75「Gnutellaの歴史と構造」
[2006/04/17]
その74「Napsterの歴史」
[2006/04/10]
その73「P2Pのいろいろ」
[2006/04/03]
その72「IEEE 802.11nの動向」
[2006/03/27]
その71「ActiveX Scriptingの動作」
[2006/03/20]
その70「Ajaxの仕組み」
[2006/03/13]
その69「DHTMLの動作」
[2006/03/06]
その68「Scriptの定義」
[2006/02/27]
その67「JavaScriptの仕組み」
[2006/02/20]
その66「Javaの動作」
[2006/02/13]
その65「RFCのプロセス」
[2006/02/06]
その64「ActiveX DocumentとActiveX Controlの違いと共通点」
[2006/01/30]
その63「ActiveX Controlの機能」
[2006/01/23]
その62「ActiveXを構成するもの」
[2006/01/16]
その61「Cookieの仕組みと用途」
[2005/12/26]
その60「malwareとその分類」
[2005/12/19]
その59「rootkitの動作」
[2005/12/12]
その58「CSSの役割」
[2005/12/05]
その57「HTMLの変遷」
[2005/11/28]
その56「PONとその種類」
[2005/11/21]
その55「FWAの仕組み」
[2005/11/14]
その54「DoSとDDoS」
[2005/11/07]
その53「SNMPとMIBの動作」
[2005/10/03]
その52「Jumbo Frameとフレームサイズ」
[2005/09/12]
その51「WPA2の仕組み」
[2005/09/05]
その50「WPAとWPA-PSKの違い」
[2005/08/29]
その49「WPAの仕組み」
[2005/08/22]
その48「WebDAVの動作」
[2005/08/08]
その47「OFDMAの仕組みとOFDMとの違い」
[2005/08/01]
その46「OFDMの仕組み」
[2005/07/25]
その45「WiMAXの特徴」
[2005/07/11]
その44「Wi-Fiの役割」
[2005/07/04]
その43「FTPの目的と動作」
[2005/06/27]
その42「UPnPの動作」
[2005/06/20]
その41「ネットマスクの仕組み」
[2005/06/13]
その40「ARPの機能」
[2005/06/06]
その39「DNSの原理」
[2005/05/30]
その38「デフォルトゲートウェイの役割」
[2005/05/23]
その37「MACアドレスの仕組み」
[2005/05/16]
その36「スイッチとその進化」
[2005/05/09]
その35「ルータによるメリット」
[2005/04/25]
その34「ブリッジの原理」
[2005/04/18]
その33「リピータの機能」
[2005/04/11]
その32「IPアドレスのクラス」
[2005/04/04]
その31「ブロードキャスト/マルチキャスト/ユニキャスト」
[2005/03/28]
その30「SMTP AUTHと認証の種類」
[2005/03/14]
その29「Submissionポートとスパムメール対策」
[2005/03/07]
その28「Outbound Port25 Blockingとは」
[2005/02/28]
その27「PGPの仕組み」
[2005/02/21]
その26「PKIと認証局」
[2005/02/14]
その25「公開鍵暗号方式とは」
[2005/02/07]
その24「共通鍵暗号とは」
[2005/01/31]
その23「SSHの仕組みと応用」
[2005/01/24]
その22「SSLの役割」
[2005/01/17]
その21「POP3とIMAP4の違い」
[2004/12/27]
その20「POP3の役割と機能」
[2004/12/20]
その19「SMTPの機能と問題点」
[2004/12/13]
その18「SPIとパケットフィルタリング」
[2004/12/06]
その17「LANの概念とその広がり」
[2004/11/29]
その16「SIPの役割」
[2004/11/15]
その15「プロキシの利用」
[2004/11/08]
その14「VoIPの仕組み」
[2004/11/01]
その13「イーサネットとは」
[2004/10/25]
その12「IP/TCP/UDP/ICMPとは」
[2004/10/18]
その11「DHCPの役割」
[2004/10/04]
その10「MIMOとは」
[2004/09/27]
その9「DMZとその効果」
[2004/09/13]
その8「ファイアウォールとは」
[2004/09/06]
その7「NATとNAPTの違いとIPマスカレード」
[2004/08/30]
その6「VPNとVPNパススルーの仕組み」
[2004/08/23]
その5「無線LANの問題とWEP」
[2004/08/09]
その4「IEEE 802.11a/b/gって何を意味しているの?」
[2004/08/02]
その3「ダイナミックDNSって?」
[2004/07/26]
その2「グローバルIPアドレスとプライベートIPアドレス」
[2004/07/12]
その1「PPPoEって何だろう?」
[2004/07/05]

その23「SSHの仕組みと応用」


SSHとは

 SSHとは「Secure SHell」の略で、リモートからUNIXのシェルを使用する場合に暗号化を施すというもので、前回説明した「SSL」と非常に良く似たものです。

 SSHは本来、リモートからUNIXを使うときに、途中で通信の傍受や改ざんなどがされてしまわないようにするためのものでした。しかし、これを利用してさまざまな通信をさせようという拡張が行なわれており、また比較的簡単に実装できることや、ほとんどのLinuxディストリビューションが標準でSSHを搭載しているといったことから、広く利用されるに至っています。


シェルというもの

 まず最初に、UNIXのシェルについて簡単に説明しておきます。このシェルというのは、UNIXにおいてはユーザーとの直接的なインターフェイスを提供するプログラムです。こうしたものを「コマンドインタープリタ」と呼びますが、昔のMS-DOSならば「COMMAND.COM」、今のWindowsで言えば「Exploler」や「デスクトップ」、Mac OSで言えば「デスクトップ」(Mac OS Xからは下でUNIXが動いている関係で、コマンドインタープリタ=シェルになってしまったりしていますが)、といったものがこれに該当するでしょうか。つまり、UNIXにおいてはこのシェルが動けば、基本的にはUNIXでできるすべてのことがシェルから呼び出すことが可能になります。

 この汎用性が、SSHをSSLより使い勝手の良いものにしています。SSLはWebのアクセス“のみ”をメインとしたもので、その後NNTP/LDAP/FTP/Telnet/IMAP4/IRC/POP3などもカバーされたのは前回説明した通りですが、いずれも特定のプロトコル専用であって、汎用的というわけにはなかなか行きません。これに対してSSHでは、とにかくSSHを経由して動作すれば、どんなプロトコルでもSSHの恩恵にあずかることが可能だという点が、SSLと異なる点です。


SSHの仕組み

 さて、まずは基本的なSSHの仕組みについて紹介します。SSHもSSLと同様に、通信の暗号化とサーバーの認証を提供するほか、SSLにない概念としてユーザーの認証機能も提供します。

 SSLの場合は、不特定多数のWebクライアントと通信することが多いので、ここでユーザー認証を入れてもどうしようもないという話もあり、基本的なレベルでのユーザー認証の仕組みは含まれていません。これに対してSSHでは、サーバーにログインして利用するという形態となるため、ユーザー認証が必須であり、これが当初から含まれています。

 その代わりといっては何ですが、サーバー認証に関してはSSLほど厳密ではありません。SSLの場合、サーバー側で第三者機関による証明書を使うのが前提となっています。ただ、このためには第三者機関に費用を払って証明書を発行してもらう必要があり、Webサーバーによるショッピングモールといったケースはともかく、自分で立てたLinuxサーバーに接続する際に、「いちいちこうした立派な証明書を用意してはいられない」という話は当然出てきます。

 このため、通常SSHサーバーは“finger print”と呼ばれるホスト固有の値を生成し、このfinger printの値をクライアントに提示するという形をとります。この方式だと、最初の1回目に接続する場合には相手が正しいサーバーかの判断はできませんが、2回目以降は前回入手したfinger printと比較することで、同じサーバーに接続しているかどうかを判断できるという仕組みです。


図1:SSHでの通信手順(共通鍵方式)
 さて通信方法ですが、大きく分けて2種類の方法があります。1つは共通鍵方式で、図1に示すようなものになります。前回説明したSSLに極めて似ており、違うのは最初に証明書をサーバー→クライアントに送る手順がないこと程度です。

 もう1つは公開鍵方式です。これはサーバーとクライアントの間で、お互いの公開鍵をあらかじめ交換しておくというものです。こうすれば、事前に交換した公開鍵を通じて共通鍵を受け渡し、以降は共通鍵を使ってサーバーとクライアント間の通信を各々暗号化すれば良いわけです。

 この方式の欠点は、最初にお互いが公開鍵を交換し合わなければいけないところでしょう。ただ、例えば筆者が自分の立てたサーバーと通信するといった場合は、安全なLANの中で交換しあっておくという方法が可能なので、使い方に応じてこのあたりは使い分けるのが賢明でしょう。


さまざまなSSH

 さて、SSHには大きく3種類のバージョンがあります。そもそもSSHを作成したのはフィンランドのTatu Ylonen氏ですが、彼はその後1995年にSSH Communications Securityという会社を興し、現在もこの会社のCTOを務めています。

 この会社は商用のSSHを販売することを目的としており、この結果SSHを自由に使うことができなくなってしまいました。厳密に言えば、SSHにはVersion 1とVersion 2があるのですが、後者のVersion 2が商用製品として提供される形になり、おおむね無償で利用できるのはVersion 1のみとなってしまいました。Version 1とVersion 2は内部のプロトコルが異なっており、Version 2がより安全なものです。また、両者の間に互換性はありません。

 そこで、SSHの枠組みを変えないようにしつつ、SSH Version 2で使われている特許に抵触しない範囲でSSH Version 2とほぼ同じ機能を提供しようという取り組みがOpen SSHです。このOpenSSHは完全に無償で利用できるため、今ではほとんどLinuxディストリビューションがこれを実装しています。

 このOpenSSHは、OpenBSDプロジェクトによって開発されており、まずOpenBSD 2.6に実装されて登場しました。その後は、さまざまなプラットフォームに移植されており、主要なプラットフォームとしてAIX/HP-UX/Irix/Linux/NeXT/SCO Unix/SNI/Reliant Unix/Solaris/Digital Unix/Tru64/OSF/Mac OS X/CygwinといったUNIXベースのOSがラインナップされています。また非UNIX OSに対してのOpenSSH互換SSHも開発されており、WindowsやMac OS、Palm OS、Javaなどが、すでにSSH対応になっています。


SSHの応用

 さてこのSSHですが、現在提供されているのはTELNET/RLOGINの代わりになるSSHのほかに、FTPの代わりとなるSFTP、およびRCPの代わりとなるSCPという3つのコマンドが提供されます。サーバー側には、これに対応してSSHD/SFTPD-SERVERというデーモンのほか、認証/暗号化を行なうために必要となる鍵を生成したり、管理するためのコマンドが提供されます。

 このうちSSHに関してはこれまで説明してきた通りですが、SFTPやSCPはバイナリファイルを暗号化して転送するためのもので、これを利用することでバイナリファイルなどを途中で改ざんしたり盗聴されたりするのを防ぐことが可能になります。

 このSSHやSCP/SFTPの仕組みを使えば、それ以外のプロトコルを転送することも可能になります。ASCIIデータに関してはSSHを使ってやり取りし、バイナリデータはSCP/SFTPを使えば済むからです。そこで登場するのが、ポートフォワーディングという技術です。


図2:ポートフォワーディングを使わない場合
 例えば、POP3のケースを考えてみましょう。通常POP3は図2のように、ユーザー認証やデータの送受信がすべて暗号化されない状態でやりとりされます。そこで、間にSSHを介することで、図3のように構成することができます。こうすることで、POP3クライアントやPOP3サーバーからは、あたかも暗号化しないでデータを送受信しているかのように見えて、実際はSSHを使って通信データをすべて暗号化することが可能になるため、大幅に通信の安全性が高まるというわけです。

 図3では、SSHサーバーとPOP3サーバーを同じマシンとしましたが、図4のように異なるマシンであっても構いません。ついでに言えば、クライアント側も厳密には同じマシンである必要はないのですが、実際には同じマシンにすることが普通です。


図3:SSHのポートフォワーディングを使う場合(その1)

図4:SSHのポートフォワーディングを使う場合(その2)

 このSSHのポートフォワーディングは単にPOP3だけではなく、さまざまなプロトコルに応用ができるため、今では広く利用されるようになっています。




2005/01/24 10:56
槻ノ木 隆
 国内某メーカーのネットワーク関係「エンジニア」から「元エンジニア」に限りなく近いところに流れてきてしまった。ここ2年ほどは、企画とか教育、営業に近いことばかりやっており、まもなく肩書きは「退役エンジニア」になると思われる。(イラスト:Mikebow)
Broadband Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.