無敵のファイアウォール

先日、書店でハッキングマニュアルの類いの怪しげな本を見た。 インターネットから攻撃を受けないためには、
大事なコンピュータをネットワークに繋がないのが一番。 でもインターネットの美味しいところは利用したい。
そんなワガママをちょっとだけかなえる機械を作ってみたので紹介しよう。

プライベートなイントラネット

企業の内部に張り巡らされたコンピュータネットワーク。 そのネットワークに接続されたコンピュータには、
業務の遂行に必要な大切なデータがある。ときには秘密情報も扱っているかもしれない。
企業の内部では、お互いのデータをネットワークでやり取りしながら、 その情報システムが動いているわけだ。

ところで、ネットワークに接続されたコンピュータに、
データの破壊や盗用などを目的としてあらかじめ許された手続きを経ずにアクセスすることを、 不正アクセスという。 プライベートなネットワークに外部から不正アクセスされてはたまらないので、
ふつうはまず閉じたネットワークを構成する。 インターネットに対し、このネットワークのことをイントラネットという(※1)。

出入口には防火壁を

一方、自分のコンピュータがせっかくネットワークに接続されているのだから、 イントラネットから外部のサーバーにアクセスしたい、
という要求はごく自然な発想といえる。 そのためには、インターネットに接続する出入口をイントラネットに設ける必要がある。
その出入口でアクセスのコントロールを行なうシステムが 「ファイアウォール」である。

ファイアウォールは、その名の通り防火壁の役割りを担う。 外から容赦なく攻撃してくる不正アクセスの猛火を全て撥ね除け、
内側のイントラネットを平和に保つことが重要だ。

究極的ファイアウォールへの道

さて今回、とある PC をプライベートなネットワークとインターネットの両方に接続する必要が生じ、
まずは市販のファイアウォールの導入を検討した。ところが、 ファイアウォール機能を内蔵したルータ製品というのは意外とお高いものなのである。
確かにいろいろな機能を持ち様々な設定が可能なのだが、予算的にやや敷居が高い。

次に考えたのが PC にネットワークカードを2枚差し、Linux など PC-UNIX
を入れてファイアウォール用の設定で運用することだ。 これは使われなくなった古い PC
の廃品利用もでき、なかなかよいアイデアではあったながら、 やはり安全性を懸念する筋を説得できず断念。
結局、物理的にネットワークを切り替えることによりイントラネットとインターネットを切り離して利用する、
そのための機器を自作することになった。
このようないきさつで製作した機械が今回紹介するネットワーク切替器、「ねっと切り替え君」である。

ネットワーク切替器「ねっと切り替え君」

なんといってもこの「ねっと切り替え君」の最大の売りは、 各ネットワークへの配線が物理的に切り離されている、
ということだ。どんな手練れのクラッカーでも、線が繋がっていないことには手も足も出まい(※2)。


ネットワーク切替器

上図で、赤い部分が本体である。 PC からはパラレルポート経由でコントロールすることができ、
ネットワークの接続先を切替えることが可能である。 ふだんはイントラネットに接続されている PC だが、
必要なときだけ接続先を切替えてインターネットを利用することができる、というわけだ。


ネットワーク切替器の内部回路(※3)。


コードを全て接続したところ

この機械は実際に某サイトで運用されているものなので、ここでの紹介は残念ながらこれまで。 興味のある方はeasy2005@mri.co.jp | 電話:
03-3277-4515 (広報部)をいただければ、 詳しい技術的情報を紹介します。

※1 より正確には、インターネット技術を用いた LAN
のことである。また、 ここでは内部の人間によるネットワーク犯罪は考えない。内部に閉じたネットワークだけでなく、
データを暗号化して外部をうまく利用しながら、 インターネット上に仮想的なプライベートネットワークを構築する例もあるが、
本記事では割愛する。

※2 外部からイントラネットへのアタックはほぼ防御可能であるが、
いわゆる「トロイの木馬」型ウィルスの侵入を防ぐことはできない。

※3 B、M、C とあるのがイーサネット用の RJ-45
コネクタ。それぞれ、 ボード上に搭載されたリレーのブレーク(B)接点、メーク(M)接点、コモン(C)接点に接続されている。
順に、イントラネット、インターネット、共通 PC にそれぞれ接続される。 各接点の名称などリレー用語の解説は NEC
のサイト
を参照のこと。