透過的 TCP トンネリングは、オプションの機能です。この機能は、インストールの段階で別途選択する必要があります。サポートされるバージョンの詳細については、『SSH Tectia Client/Server Solution Product Description』の「Product Specification」を参照してください。

透過的 TCP トンネリング機能は、SSH Tectia の設定で定義されたホストへの TCP トラフィックをキャプチャし、暗号化されたトンネルを使用してデータを送信します。アプリケーション ソフトウェアの設定を変更する必要はありません。

透過的 TCP トンネリングは、Connection Broker の設定で有効にします。この設定では、トンネルされるアプリケーションを指定したり、トンネルの設定を詳細に制御するフィルタ ルールを定義したりすることもできます。透過的 TCP トンネリング機能が有効になると、この機能によって、定義されたアプリケーションが自動的にキャプチャされるとともに、定義されたサーバ (SSH Tectia Server、SSH Tectia Server for IBM z/OS、任意の SSH2 対応 SecureShell サーバのいずれか) への SecureShell トンネルが Connection Broker によって作成されます。

XML ファイルでの設定についてはfilter-engine エレメント項を、Windows GUI での設定については透過的トンネルの定義項を参照してください。

グローバル設定ファイルが存在し (SSH Tectia Client が SSH Tectia Manager によって制御されている場合など)、そのファイルに filter-engine エレメントが含まれている場合は、それらの設定が適用されます。グローバル設定ファイルは、UNIX では /etc/ssh2/ssh-broker-config.xml、Windows では "C:\Program Files\SSH Communications Security\SSH Tectia\SSH Tectia Broker\ssh-broker-config.xml" にあります。

電子メール サービスのトンネリングの例 (Windows)

本項では、Windows 上で電子メール サービスのための暗号化されたトンネルを設定する例を示します。透過的 TCP トンネリングは、インターネット経由で通信する電子メール クライアントと電子メール サーバの間のセキュアなトランスポートとして利用できるトンネルを確立するために使用されます。

このシナリオでは、リモート ユーザが企業の内部の電子メール サービスに透過的にアクセスするための標準的な設定について説明します。このテスト シナリオでは、クライアントのプライベート ネットワークからインターネットへのアクセスが SOCKS4 サーバを通過し、クライアント側には SSH Tectia Client がインストールされています。企業の内部ネットワーク (電子メール サービスを含む) へのアクセスは、SSH Tectia Server が実行されているゲートウェイ ホストを経由します。

図 7.2. 電子メール接続をセキュアにする透過的 TCP トンネリング

SSH Tectia Client は、電子メール配信の前に、クライアント ホストと SSH Tectia Server ゲートウェイの間に SMTP/IMAP/POP プロトコルのための透過的 TCP トンネルを自動的に作成します。この暗号化されたトンネルはゲートウェイで終了し、そこから先は、電子メール トラフィックは企業の内部ネットワーク内を暗号化されていない状態で転送されます。

SSH Tectia 構成ツールを使用して設定を作成するには、以下の手順を実行してください。

1. [接続プロファイル] ページで、[プロファイル追加] をクリックして、ゲートウェイ サーバ ホストの新しい接続プロファイルを追加します。プロファイル名を入力し、[OK] をクリックします。この例では、プロファイルの名前は paper です。

   [接続プロファイル] リストから作成したプロファイルを選択し、以下のビューで接続の詳細を指定します。

   

   図 7.3. 接続プロファイルの設定

   デフォルトでは、プロファイル名は接続先サーバのホスト名であると見なされますが、ここではプロファイル名を host1234 という名前のサーバに関連付けます。設定の準備ができたら、[適用] をクリックします。

2. [透過的トンネル] → [接続キャプチャ] ページで、[起動時に透過的トンネリングを有効にする] チェック ボックスを選択します。

   

   図 7.4. 透過的 TCP トンネリング設定の定義

3. [透過的トンネル] → [フィルタルール] ページで、[追加] をクリックして、キャプチャしてトンネルするアプリケーションとポートを定義するフィルタ ルールを追加します。この例では、電子メール配信 (IMAP、POP、SMTP) に関連した TCP ポートのみが、プロファイル paper を通してゲートウェイ サーバに転送されます。

   

   図 7.5. 電子メール サービスのためのフィルタ ルールの追加

   [動作] で、接続先ホストの定義方法 (接続プロファイルで定義されたホストを使用するか、ホストの定義をアプリケーションから受信するか) を選択できます。この例ではすでにゲートウェイ サーバが存在し、プロファイルで定義されたホスト名を使用するため、[アプリケーションのホスト名を使用する] は選択解除したままにします。各接続先サーバ上で SecureShell サーバが実行されている場合は、アプリケーションからのホスト名を使用できます。

4. 作成されたルールが [フィルタルール] ビューに一覧表示されます。[編集] をクリックすると、選択したルールの編集に戻り、上矢印と下矢印を使用してルールの順番を並べ替えることができます。最も特有なルールを最初に置きます。この例では、順番は重要ではありません。

   

   図 7.6. フィルタ ルールの定義

透過的 TCP トンネリング機能を有効に設定すると、SSH Tectia の設定で定義されたホストへの電子メール トラフィックをキャプチャし、暗号化されたトンネルを使用してデータを送信します。電子メール アプリケーションの設定を変更する必要はありません。

トンネルが開かれているとき、ユーザはゲートウェイ サーバから認証を受けるよう求められます。サーバに対する公開鍵認証を設定することを推奨します。手順については、鍵と証明書の管理項を参照してください。