SSH Tectia

透過的トンネルの定義

[透過的トンネル] では、TCP または FTP サービスを使用したアプリケーションの透過的トンネリングの設定を定義できます。一般的な接続キャプチャ設定については接続キャプチャ設定の定義項を、フィルタ ルールの定義についてはフィルタ ルールの定義項を参照してください。

すべての設定は Connection Broker の設定で行われるため、トンネルされるアプリケーションでの変更は不要です。

接続キャプチャ設定の定義

[接続キャプチャ] ページでは、TCP ベースのアプリケーションによって行われた接続を透過的 TCP トンネリングでキャプチャする方法を定義できます。

透過的 TCP トンネリング設定の定義

図 4.35. 透過的 TCP トンネリング設定の定義

キャプチャの詳細オプション

キャプチャとトンネリングによるセキュリティ保護を行わず、ネットワークへの直接接続の使用を許可する例外アプリケーションを定義します。これらのアプリケーションはフィルタ ルールによって処理されません。

アプリケーション名は大文字と小文字を区別せずに扱われます。プロセス名にファイル拡張子も含まれていることを確認してください。正しい名前形式は Windows タスク マネージャで確認できます。エントリを区切るには、次の例のようにスペースを入れずカンマを使用します。

ssh-client-g3.exe,nslookup.exe,ping.exe

直接接続の設定は ssh-broker-config.xml ファイルには保存されず、Windows レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\SSH Communications Security\SSH Tectia Connector キーに直接保存されます。

[Connection Broker が稼動していない時はすべてのアプリケーションが直接接続を利用する]: ネットワーク通信を遮断しないように接続キャプチャを一時的に無効化する必要がある場合は、このオプションを選択します。このオプションが選択されていない場合は、Connection Broker のダウン時にすべてのアプリケーションが遮断されます。このオプションが選択されている場合 (デフォルト)、Connection Broker のダウン時もすべてのアプリケーションがネットワークに接続できます。ユーザがセキュアな通信のみを使用してネットワークにアクセスすることが望ましい場合は、このオプションを無効のままにします。

[接続キャプチャ設定]

[セキュリティ通知を表示する]: 新しいアプリケーションが FTP または TCP トンネルでセキュリティ保護されるときと、トンネリングが終了したときに短い通知を表示するには、このオプションを選択します。通知内容はセキュリティ保護されるアプリケーション、通信の宛先、トンネリング エンド ポイントとして使用される SecureShell サーバです。現在トンネルされているアプリケーションのリストは [SSH Tectia 状態] ウィンドウ (ショートカット メニューから起動) に表示されます。

セキュリティ通知

図 4.36. セキュリティ通知

[起動時に透過的トンネリングを有効にする]: Connection Broker の起動時に透過的 TCP トンネリング機能を有効化するには、このオプションを選択します。今後のセッションで TCP トンネリングを無効化する場合は、[起動時に透過的トンネリングを有効にする] チェック ボックスを選択解除します。Connection Broker は起動時にこの設定を読み取ります。

この設定が選択されていると、[透過的トンネリング有効] の表示が SSH Tectia のトレイ メニューに表示されます。ショートカット メニューには透過的 TCP トンネリングの現在の状態が表示されます。また、メニューで [透過的トンネリング有効] を選択解除することで、この機能を一時的に無効化できます。SSH Tectia のトレイ メニュー内の設定は設定ファイルに保存されません。

フィルタ ルールの定義

[フィルタルール] ページでは、トンネルされるアプリケーションの特性に基づいてフィルタを定義できます。フィルタは、透過的トンネリングの適用方法と対象のアプリケーションを選択するために使用されます。

フィルタ ルール設定の定義

図 4.37. フィルタ ルール設定の定義

アプリケーションがホストに接続するとき、その接続に適用する適切な処理がフィルタ ルールを使用して決定されます。フィルタ リスト全体がスキャンされ、接続に適合するフィルタが検索されます。接続の DNS または IP アドレスと合致する最初のフィルタが使用されます。フィルタは上から下に向かって評価されます。矢印ボタンを使用してリストを整理することができます。

[フィルタルール] ダイアログ ボックスで新しいフィルタ ルールを定義するには、[追加...] ボタンをクリックします。既存のフィルタ ルールを変更するには [編集...] を、削除するには [削除] をクリックします。

新しいフィルタ ルールの追加

図 4.38. 新しいフィルタ ルールの追加

[キャプチャするアプリケーション]

[すべてのアプリケーションをトンネルする]: TCP ベースのアプリケーションによって開始されるすべての接続をキャプチャするには、このオプションを選択します。

一部のアプリケーションのみをキャプチャすることを指定するには、[追加] をクリックし、アプリケーションの名前を入力するか [参照...] をクリックしてアプリケーションの場所を指定します。リストには複数のアプリケーションを追加できます。パスとアプリケーション名は、egrep 構文に従った正規表現を使用して指定する必要があります。[参照] を使用する場合、アプリケーションは自動的に正しい形式で入力されます。構文の詳細については、付録 D を参照してください。

リスト内のアプリケーションを変更または削除するには、対象のアプリケーションを選択して [編集] または [削除] をクリックします。

[アドレスによるフィルタ]

接続がキャプチャされるホストを定義します。

[ホスト、IP アドレス無指定]: すべてのホストへの接続をキャプチャするには、このオプションを選択します。

[ホスト名]: 個別ホストへの接続のみをキャプチャするには、このオプションを選択します。ホストの DNS アドレスをカンマ区切り形式で定義します。SSH Tectia Client は DNS クエリを使用して IP アドレスを解決します。値は正規表現で指定することもできます。

[IP アドレス]: 定義された IP アドレスへの接続のみをキャプチャするには、このオプションを選択します。値は正規表現で指定することもできます。

[ポート番号によるフィルタ]

接続をキャプチャするポートを定義します。

[ポート指定なし]: すべてのポートの接続をキャプチャするには、このオプションを選択します。

[単独ポート]: キャプチャする個別のポートのみを定義するには、このオプションを選択します。ポート番号のカンマ区切りリストを入力します。

[ポート範囲]: 接続をキャプチャするポート番号の範囲を定義するには、このオプションを選択します。

[動作]

[直接接続]: ホストの IP アドレスが解決可能な場合に、トンネリングを使用せずその IP アドレスを使ってホストに直接接続するには、このオプションを選択します。アドレスを解決できない場合、接続は失敗します。

[接続ブロック]: 接続を遮断するには、このオプションを選択します。通常は、接続が拒否されたことがアプリケーションからユーザに通知されます。

[透過的 TCP トンネリング設定]: 定義された接続に対して透過的 TCP トンネリングを有効にします。透過的 TCP トンネリングでデフォルトの設定を使用するか、接続プロファイルを使用するかをドロップダウン メニューから選択します。デフォルトの設定では、接続を開始したアプリケーションから受信した接続先ホスト名が透過的 TCP トンネリングで使用されます。プロファイルを使用する場合は、プロファイルに定義された接続先ホスト名とユーザ名を使用するか、アプリケーションから受信した名前を使用するかを選択できます。

接続が DNS 名を使用して行われる場合、トンネルは DNS 名を使用して作成されます。この場合、実際の DNS 名解決はリモート エンドで行われ、ローカル マシンからは見えないホストへのトンネリング接続が可能になります。使用されるポートが特定のポートまたはポート範囲に合致しない場合、接続は直接的になります。

[透過的 FTP トンネリング設定]: 定義された接続に対して透過的 FTP 接続を有効にします。このオプションは SSH Tectia ConnectSecure でのみ利用できます。

[FTP-SFTP 変換設定]: 定義された接続に対して FTP-SFTP 変換を有効にします。このオプションは SSH Tectia ConnectSecure でのみ利用できます。

その他の設定

[アプリケーションのユーザ名を使用する]: このオプションは TCP トンネリングでは使用できません。

[アプリケーションのホスト名を使用する]: このオプションを選択すると、SSH Tectia Client は (DNS クエリを実行する代わりに) アプリケーションから送信されたホスト名を解決して使用することにより、接続先ホストへのトンネルを確立します。このチェック ボックスが選択されていない場合は、通常の DNS クエリが実行されます。この設定は透過的 TCP トンネリングに対してデフォルトで有効です。透過的 TCP トンネリングが接続プロファイルを介して行われる場合は、この設定を無効にすることを選択できます。

[セキュア接続に失敗したら直接接続を試みる]: このオプションを選択すると、トンネルの作成または SecureShell サーバへの接続が失敗した場合に、直接接続 (セキュリティ保護されていない平文接続) を許可することができます。このオプションが選択されていない場合、Connection Broker は通常「host not reachable」 (ホスト到達不能) エラーを返します。

[公衆ネットワークを利用したプライベートネットワーク接続]: 公衆ネットワークから、独自のアドレス空間を持つプライベート ネットワークに向けて接続が行われる場合は、このオプションを使用します。この設定では、Connection Broker が IP アドレスを解決できないときに疑似 IP アドレスを使用するかどうかを指定します。このチェック ボックスが選択されていない場合は、接続先のホスト名を得るために通常の DNS クエリが実行されます。このチェック ボックスが選択されている場合、Connection Broker は接続先ホストの疑似 IP アドレスを割り当て、実際の IP アドレスは SecureShell サーバが解決します。これが必要な理由は、閉じたネットワークの内側に位置するコンピュータの名前解決はネットワークの外側から実行できないためです。