|
セキュリティ ロールおよびセキュリティ ポリシーを使うと、WebLogic リソースをドメイン レベル、アプリケーション レベル、およびアプリケーション コンポーネント レベルで保護できます。接続フィルタを使用すると、ネットワーク レベルでアクセスを拒否できます。つまり、ネットワーク接続フィルタは、追加のセキュリティ レイヤを提供します。接続フィルタを使うと、個々のサーバ、サーバのクラスタ、または内部ネットワークにあるサーバ リソースを保護できます。
接続フィルタは、管理ポートでアクセスを制御する場合に特に便利です。ネットワーク ファイアウォール コンフィグレーションによっては、接続フィルタを使用して管理アクセスをさらに制限できる場合もあります。一般的には、管理ポートへのアクセスを特定のドメイン内のサーバやマシンのみに制限するために使用します。たとえ攻撃者がファイアウォール内のマシンにアクセスできた場合でも、許可されたマシンでない限り、管理操作を実行することはできません。
ネットワーク接続フィルタは、プロトコル、IP アドレス、および DNS ノード名に基づいてフィルタ処理するようコンフィグレーションできる点において一種のファイアウォールです。たとえば、ユーザの企業のネットワーク外部からの非 SSL 接続を拒否できます。これにより、インターネット上のシステムからのすべてのアクセスのセキュリティが確保されます。
この節では、weblogic.security.net
パッケージについて説明します。この API は、ネットワーク接続フィルタを開発するためのインタフェースとクラスを提供します。またこれには、ネットワーク接続フィルタのすぐに使える実装である、ConnectionFilterImpl
クラスが含まれます。詳細については、このリリースの WebLogic Server の WebLogic クラスの Javadoc を参照してください。
接続フィルタ処理を実装するには、接続フィルタ インタフェースを実装するクラスを記述します。接続フィルタの実装用に、以下の weblogic.security.net
インタフェースが提供されます。
このインタフェースでは、接続フィルタ処理を実装するために使用する accept()
メソッドが定義されています。接続フィルタ処理を実行するようにサーバをプログラミングするには、このインタフェースを実装するクラスをインスタンス化し、Administration Console でそのクラスをコンフィグレーションする必要があります。このインタフェースは、接続フィルタ処理に関する最低限の実装要件です。
注意 : | このインタフェースを実装しただけでは、Administration Console を使ってクライアント接続を制限するフィルタ処理ルールを入力および修正することはできません。他の方法 (Administration Console で定義するフラット ファイルなど) を使ってルールを指定する必要があります。Administration Console を使ってフィルタ処理ルールを入力および修正するには、ConnectionFilterRulesListener インタフェースも実装する必要があります。ConnectionFilterRulesListener インタフェースについては、「ConnectionFilterRulesListener インタフェース」を参照してください。 |
このインタフェースを使用する方法を示すコード例については、「接続フィルタのサンプル」を参照してください。
サーバはこのインタフェースを使って、Administration Console の [ConnectionFilterRules
] フィールドで指定したルールが有効であるかどうかを起動中および実行時に判断します。
注意 : | このインタフェースを実装することも、WebLogic Server 製品の一部としてすぐにそのまま使える WebLogic 接続フィルタ実装 weblogic.security.net.ConnectionFilterImpl のみを使用することもできます。 |
このインタフェースでは、接続フィルタ処理を実装するために使用する 2 つのメソッド setRules()
と checkRules()
が定義されています。ConnectionFilter
インタフェースと共にこのインタフェースを実装すれば、クライアント接続を制限するフィルタ処理ルールを、Administration Console を使って入力することができます。
注意 : | Administration Console で接続フィルタ処理ルールを入力および編集するためには、ConnectionFilterRulesListener インタフェースを実装する必要があります。このインタフェースを実装しない場合は、フラット ファイルなどの他の方法を使用する必要があります。 |
このインタフェースを使用する方法を示すコード例については、「接続フィルタのサンプル」を参照してください。
接続フィルタの実装用に、2 つの weblogic.security.net
クラスが提供されます。
このクラスは、ConnectionFilter
および ConnectionFilterRulesListener
インタフェースの WebLogic 接続フィルタ実装です。いったん Administration Console を使ってコンフィグレーションされると、この接続フィルタはデフォルトですべての着信接続を受け入れ、また、サーバが現在の接続フィルタを取得できるようにする静的なファクトリ メソッドを提供します。この接続でアクセスを拒否するには、Administration Console で接続フィルタ ルールを入力するだけです。
このクラスは、WebLogic Server 製品の一部として提供されます。このクラスをコンフィグレーションして使用するには、「WebLogic 接続フィルタのコンフィグレーション」を参照してください。
これは、すべてのイベント ステート オブジェクトが派生する元のクラスです。すべてのイベントは、そのオブジェクト、つまり特定のイベントが最初に発生したオブジェクトであると論理的に見なされるソースを基準に作成されます。新しい ConnectionEvent
インスタンスを作成するには、アプリケーションでこのクラスが提供するメソッド (getLocalAddress()
、getLocalPort()
、getRemoteAddress()
、getRemotePort()
、および hashcode()
) を使用します。
このクラスを使用したコード例については、コード リスト 7-1 を参照してください。
この節では、接続ルールの記述方法と評価方法について説明します。接続ルールが指定されていない場合は、すべての接続が受け入れられます。
接続フィルタ ルールは、接続フィルタ処理の実装方法に応じて、フラット ファイルで記述したり、Administration Console で直接入力したりできます。「接続フィルタのサンプル」には、両方の方法を示してあります。
以下の節では、接続フィルタ ルールを記述するために必要な情報とガイドラインを説明しています。
フィルタ ルールの形式は、フィルタ ルールを入力するフィルタ ファイルを使用するか、Administration Console でフィルタ ルールを入力するかによって異なります。
targetAddress localAddress localPort action protocols
targetAddress action protocols
targetAddress
では、フィルタ処理を行うシステムを 1 つ以上指定する。 localAddress
では、WebLogic Server インスタンスのホスト アドレスを定義する。アスタリスク (*
) を指定すると、すべてのローカル IP アドレスが返されます。 localPort
では、WebLogic Server インスタンスがリスンしているポートを定義する。アスタリスク (*
) を指定すると、サーバで利用可能なすべてのポートが返されます。 action
では、実行するアクションを指定する。この値は、allow
または deny
でなければなりません。 protocols
は、一致するプロトコル名のリスト。指定できるプロトコルは、http
、https
、t3
、t3s
、ldap
、ldaps
、iiop
、iiops
、com
です (giop
、giops
、および dcom
プロトコル名は、このリリースでもサポートされていますが、リリース 9.0 以降、実際に使用することは推奨されていません。同等のプロトコル名である iiop
、iiops
、および com
を使用してください)。注意 : | SecurityConfigurationMBean には、以前の接続フィルタとの互換性を維持するための CompatibilityConnectionFiltersEnabled 属性があります。 |
ファスト ルールは、ホスト名またはネットマスク (オプション) を含む IP アドレスに適用されます。ホスト名が複数の IP アドレスに対応する場合は、複数のルール (順序は不定) が生成されます。ネットマスクは、数値またはドットで区切った 4 つの値の形式で指定できます。次に例を示します。
dialup-555-1212.pa.example.net 127.0.0.1 7001 deny t3 t3s #http(s) OK
192.168.81.0/255.255.254.0 127.0.0.1 8001 allow #23-bit netmask
192.168.0.0/16 127.0.0.1 8002 deny #like /255.255.0.0
ファスト ルールに対してホスト名を指定すると、WebLogic Server インスタンスの起動時に 1 回だけルックアップされます。この方法は、接続時のオーバーヘッドの大幅な削減には有効ですが、ホスト名とアドレスの対応について古い情報をフィルタが取得する可能性があります。数値の IP アドレスを使用することをお勧めします。
スロー ルールは、ドメイン名の一部に適用されます。一致検査を実行するにはクライアントサイドで接続時の DNS ルックアップが必要なので、スロー ルールはファスト ルールよりかなり遅くなる場合があります。また、スロー ルールは DNS スプーフィング攻撃の対象になる可能性があります。スロー ルールの指定方法は次のとおりです。
*.script-kiddiez.org 127.0.0.1 7001 deny
アスタリスクは、パターンの先頭に対してのみ使用できます。ルールの他の位置でアスタリスクを使用すると、パターンの一部として扱われます。アスタリスクはドメイン名の一部として認められていないので、このようなパターンはドメイン名と一致しなくなります。
クライアントが WebLogic Server に接続すると、記述されている順序でルールが評価されます。一致する最初のルールにより、接続の処理方法が決まります。一致するルールがない場合には、接続は許可されます。
サーバの保護をさらに厳しくし、特定のアドレスからの接続だけを許可するには、最後のルールを次のように指定します。
0.0.0.0/0 * * deny
最後のルールをこのように指定すると、それまでのルールで許可されている接続だけが認められて、他の接続はすべて拒否されます。たとえば次のルールを指定したとします。
<Remote IP Address> * * allow https
0.0.0.0/0 * * deny
Remote IP Address を持つマシンだけが、接続フィルタを実行する WebLogic Server のインスタンスへのアクセスを許可されます。その他のシステムはすべて、アクセスを拒否されます。
注意 : | デフォルトの接続フィルタの実装では、対象アドレス 0 (0.0.0.0/0) を「ルールはすべての IP アドレスに適用される」という意味であると解釈します。設計上、デフォルトのフィルタはポートまたはローカル アドレスを評価せず、アクションのみを評価します。デフォルトのフィルタを使用する場合の制限を明確に指定するには、ルールを変更します。 |
注意 : | この他に、カスタム接続フィルタを実装する方法もあります。サンプル フィルタは、http://www.beasys.co.jp/dev2dev/code/security.html にあります。FastFilterEntry.java サンプルには、ルールの処理方法を決定する match() メソッドが含まれています。 |
WebLogic Server には、そのまま使用できるネットワーク接続フィルタが用意されています。このフィルタは、Administration Console でコンフィグレーションするだけで使用できます。接続フィルタのコンフィグレーションの方法については、『WebLogic Server のセキュリティ』を参照してください。
WebLogic 接続フィルタを使用せず、独自に開発する場合は、weblogic.security.net
パッケージで提供されているアプリケーション プログラミング インタフェース (API) を使用できます。この API については、「ネットワーク接続フィルタ API」を参照してください。
WebLogic Server でカスタム接続フィルタを開発するには、次の手順を実行します。
ConnectionFilter
インタフェースを実装するクラスを記述します (最低限の要件)。
または、Administration Console を使用して接続フィルタ処理ルールを入力したり、既存のフィルタ処理ルールを直に編集したりする場合は、ConnectionFilter
インタフェースおよび ConnectionFilterRulesListener
インタフェースを実装するクラスを記述します。
ConnectionFilter
インタフェースだけを実装して手順 1 の最低要件を満たす場合、接続フィルタ処理ルールをフラット ファイルで入力し、ConnectionFilter
インタフェースを実装するクラスでそのファイルの場所を定義します。その後、Administration Console を使用して WebLogic Server 内のクラスをコンフィグレーションします。Administration Console でクラスをコンフィグレーションする方法については、『WebLogic Server のセキュリティ』の「接続フィルタの使用」を参照してください。接続フィルタ処理を実装するためのフラット ファイルの使用例については、「接続フィルタのサンプル」で参照されている SimpleConnectionFilter.java
ファイルを参照してください。ConnectionFilterRulesListener
インタフェースの使用例については、「接続フィルタのサンプル」で参照されている SimpleConnectionFilter2.java
ファイルを参照してください。
Java クライアントまたは Web ブラウザ クライアントが WebLogic Server インスタンスへの接続を試行する際に接続フィルタ処理を実装すると、WebLogic Server インスタンスは ConnectionEvent
オブジェクトを作成して、接続フィルタ クラスの accept()
メソッドに渡します。接続フィルタ クラスは、ConnectionEvent
オブジェクトを調べて、接続を受け付ける場合はオブジェクトを返し、接続を拒否する場合は FilterException
を送出します。
実装されたクラス (ConnectionFilter
インタフェースのみを実装するクラスと、ConnectionFilter
インタフェースおよび ConnectionFilterRulesListener
インタフェースを実装するクラス) は両方とも、クライアント接続に関する情報を収集後に、accept()
メソッドを呼び出す必要があります。ただし、ConnectionFilter
インタフェースだけを実装している場合、収集される情報にはリモート IP アドレスと接続プロトコル (http
、https
、t3
、t3s
、ldap
、ldaps
、iiop
、iiops
、または com
) が含まれます。どちらのインタフェースも実装している場合、収集される情報には、リモート IP アドレス、リモート ポート番号、ローカル ポート番号、および接続プロトコルが含まれます。
この節で参照するサンプルは、BEA の dev2dev サイトで入手できます。net
ディレクトリには、ant
ビルド ファイル、package.html
ファイル (手順説明)、接続フィルタ ファイル、および以下の Java ファイル (接続フィルタのサンプル 2 つを含む) が含まれています。
接続フィルタの各サンプルは、効率の良い一般的な接続フィルタを提供します。これらを使用することで、ルールを解析し、接続フィルタ処理によって WebLogic Server 接続に付加されるオーバーヘッドが最小限になるようなルール照合アルゴリズムを設定できます。必要に応じて、このサンプル コードを変更して再利用できます。たとえば、ローカルまたはリモートのポート番号を、フィルタ、またはフィルタ処理のオーバーヘッドを軽減するサイト固有のアルゴリズムに合わせることができます。サンプルをビルド、コンフィグレーション、および実行する方法については、サンプルと同じ場所にある package-summary.html
ファイルを参照してください。
サンプル SimpleConnectionFilter
は、ConnectionFilter
インタフェースを実装し、フィルタ ファイルで定義されているルールを使って接続のフィルタ処理を行います。
public class SimpleConnectionFilter implements ConnectionFilter {
public static final String FILTER_FILE = "filter";
private FilterEntry[] rules;
...
サンプル SimpleConnectionFilter2
は、ConnectionFilter
インタフェースと ConnectionFilterRulesListener
インタフェースを実装し、Administration Console で定義されたルールを使って接続のフィルタ処理を行います。
public class SimpleConnectionFilter2
implements ConnectionFilter, ConnectionFilterRulesListener {
private FilterEntry[] rules;
private Vector entries;
...
コード リスト 7-1 では、WebLogic Server は、ConnectionEvent
で SimpleConnectionFilter.accept()
メソッドを呼び出しています。SimpleConnectionFilter.accept()
メソッドは、リモート アドレスとプロトコルを取得してプロトコルをビットマスクに変換し、ルール適合時に文字列が比較されることを防ぎます。次に、SimpleConnectionFilter.accept()
メソッドは、ルールごとにリモート アドレスとプロトコルを比較して、一致するものを見つけます。
このコードは、ネットワーク接続フィルタのコード例のファイル SimpleConnectionFilter.java
からの抜粋です。
public void accept(ConnectionEvent evt)
throws FilterException
{
InetAddress remoteAddress = evt.getRemoteAddress();
String protocol = evt.getProtocol().toLowerCase();
int bit = protocolToMaskBit(protocol);
if (bit == 0xdeadbeef)
{
bit = 0;
}
// 記述された順でルールをチェック
for (int i = 0; i < rules.length; i++)
{
switch (rules[i].check(remoteAddress, bit))
{
case FilterEntry.ALLOW:
return;
case FilterEntry.DENY:
throw new FilterException("rule " + (i + 1));
case FilterEntry.IGNORE:
break;
default:
throw new RuntimeException("connection filter internal error!");
}
}
// 一致したルールがない場合でも、接続を成功させることができる
return;
}