RPC ALG

Junos OS は、基本的なリモート プロシージャ コール アプリケーション レイヤー ゲートウェイ(RPC ALG)サービスをサポートしています。RPC は、あるアドレス・スペースで実行されるアプリケーションが、リソースが最初のアドレス・スペースにローカルであるかのように、別のアドレス・スペースで実行されているアプリケーションのリソースにアクセスできるようにするプロトコルです。RPC ALG は、RPC パケット処理を担当します。

Junos OS の RPC ALG は、以下のサービスと機能をサポートしています。

• Sun Microsystems RPC Open Network Computing(ONC)

• Microsoft RPC 分散コンピューティング環境(DCE)

• 動的ポートネゴシエーション

• 特定の RPC サービスを許可または拒否する機能

• 静的ネットワークアドレス変換(NAT)とソースNAT(ポート変換なし)

• セキュリティ ポリシーにおける RPC アプリケーション

NFS や Microsoft Outlook などの RPC ベースのアプリケーションを実行する必要がある場合は、RPC ALG を使用します。RPC ALG 機能はデフォルトで有効になっています。

Open Network Computing Remote Procedure Call(ONC RPC)とも呼ばれる Sun Microsystems Remote Procedure Call(Sun RPC)は、あるホストで実行されるプログラムが別のホストで実行されているプログラムでプロシージャを呼び出す方法を提供します。RPC サービスの数が多く、ブロードキャストする必要があるため、RPC サービスのトランスポート アドレスはサービスのプログラム番号とバージョン番号に基づいて動的にネゴシエートされます。RPC プログラム番号とバージョン番号をトランスポート アドレスにマッピングするために、いくつかのバインディング プロトコルが定義されています。

Junos OSは、事前定義されたサービスとしてSun RPCをサポートし、設定したセキュリティポリシーに基づいてトラフィックを許可および拒否します。ALG(アプリケーションレイヤーゲートウェイ)は、Sun RPCの動的トランスポートアドレスネゴシエーションメカニズムを処理し、プログラム番号ベースのセキュリティポリシーを確実に適用する機能をジュニパーネットワークスデバイスに提供します。セキュリティポリシーを定義して、すべてのRPC要求を許可または拒否したり、特定のプログラム番号で許可または拒否することができます。ALG は、受信要求と送信要求に対してルート モードと NAT(ネットワーク アドレス変換)モードもサポートしています。

アプリケーションまたは PC クライアントがリモート サービスを呼び出す場合、サービスのトランスポート アドレスを見つける必要があります。TCP/UDP の場合、アドレスはポート番号です。このケースの一般的な手順は次のとおりです。

1. クライアントは、リモート マシン上の RPCBIND サービスに GETPORT メッセージを送信します。GETPORT メッセージには、呼び出そうとするプログラム番号、および呼び出そうとするリモート・サービスのバージョンおよびプロシージャー番号が含まれています。

2. RPCBIND サービスは、ポート番号で応答します。

3. クライアントは、返されたポート番号を使用してリモート サービスを呼び出します。

4. リモートサービスはクライアントに返信します。

また、クライアントは CALLIT メッセージを使用して、サービスのポート番号を決定せずにリモート・サービスを直接呼び出すことができます。この場合、手順は次のとおりです。

1. クライアントは、リモート・マシン上の RPCBIND サービスに CALLIT メッセージを送信します。CALLIT メッセージには、呼び出そうとするリモート・サービスのプログラム番号とバージョンおよびプロシージャー番号が入っています。

2. RPCBIND はそのクライアントのサービスを呼び出します。

3. RCPBIND は、呼び出しが成功した場合、クライアントに応答します。応答には、呼び出し結果とサービスのポート番号が含まれています。

Sun RPC ALG は、デフォルト サイズ(512 エントリー)を使用する代わりに、新しいマッピング エントリーを動的に割り当てます。また、制御セッションとデータ セッションの両方を含む、関連するアクティブな RPC セッションに影響を与えることなく、マッピング エントリ(自動クリーン)を削除する柔軟な時間ベースの RPC マッピング エントリも提供します。

Junos OS 15.1X49-D10 および Junos OS リリース 17.3R1 以降では、Sun RPC マッピング エントリーのエージングアウト値を定義できます。コマンドを set security alg sunrpc map-entry-timeout value 使用します。エージアウト値の範囲は 1 時間から 72 時間で、デフォルト値は 32 時間です。Sun RPC ALG サービスが 72 時間後でも制御ネゴシエーションをトリガーしない場合、最大 RPC ALG マッピングエントリ値がタイムアウトし、サービスへの新しいデータ接続が失敗します。

Open Network computing リモート プロシージャ コール(ONC RPC)とも呼ばれる Sun RPC は、あるホスト上で実行されているプログラムが別のホスト上で実行されているプログラムでプロシージャを呼び出す方法を提供します。Sun RPC サービスは、プログラム識別子によって定義されます。プログラム識別子はトランスポート アドレスに依存しません。ほとんどの Sun RPC セッションは TCP または UDP ポート 111 を介して開始されます。各ホストは、必要な RPC サービスを、ポート 111 制御チャネルでネゴシエートされた動的 TCP または UDP ポートにリンクし、クライアントが TCP ポートまたは UDP ポート 111 のいずれかに接続できるようにします。

事前定義された Sun Microsystems リモート プロシージャ コール(Sun RPC)サービスには、以下が含まれます。

• junos-sun-rpc-tcp

• junos-sun-rpc-udp

Sun RPC ALG は、次の方法を使用して適用できます。

• ALG デフォルト アプリケーション — ポリシー内の制御およびデータ接続には、以下の事前定義されたアプリケーションのいずれかを使用します。

  • junos-sun-rpc-any-tcp

  • junos-sun-rpc-any-udp

  • junos-sun-rpc-mountd-tcp

  • junos-sun-rpc-mountd-udp

  • junos-sun-rpc-nfs-tcp

  • junos-sun-rpc-nfs-udp

  • junos-sun-rpc-nlockmgr-tcp

  • junos-sun-rpc-nlockmgr-udp

  • junos-sun-rpc-portmap-tcp

  • junos-sun-rpc-portmap-udp

  • junos-sun-rpc-rquotad-tcp

  • junos-sun-rpc-rquotad-udp

  • junos-sun-rpc-ruserd-tcp

  • junos-sun-rpc-ruserd-udp

  • junos-sun-rpc-sadmind-tcp

  • junos-sun-rpc-sadmind-udp

  • junos-sun-rpc-sprayd-tcp

  • junos-sun-rpc-sprayd-udp

  • junos-sun-rpc-status-tcp

  • junos-sun-rpc-status-udp

  • junos-sun-rpc-walld-tcp

  • junos-sun-rpc-walld-udp

  • junos-sun-rpc-ypbind-tcp

  • junos-sun-rpc-ypbind-udp

  • junos-sun-rpc-ypserv-tcp

  • junos-sun-rpc-ypserv-udp

• デフォルトの制御アプリケーション — 以下を通して事前定義された制御を junos-sun-rpc使用します。

  • データ用アプリケーションを作成します(USER_DEFINED_DATA)。独自のデータのセットを作成し(例えば)、 my_rpc_application_setポリシーで使用することができます。

  • ALG デフォルト アプリケーション セット - ポリシーで制御およびカスタマイズされたデータ アプリケーションに、事前定義されたアプリケーション セットを使用します。

    • junos-sun-rpc (制御セッション用)

    • junos-sun-rpc-any

    • junos-sun-rpc-mountd

    • junos-sun-rpc-nfs

    • junos-sun-rpc-nfs-access

    • junos-sun-rpc-nlockmgr

    • junos-sun-rpc-portmap (データ セッション用)

    • junos-sun-rpc-rquotad

    • junos-sun-rpc-ruserd

    • junos-sun-rpc-sadmind

    • junos-sun-rpc-sprayd

    • junos-sun-rpc-status

    • junos-sun-rpc-walld

    • junos-sun-rpc-ypbind

    • junos-sun-rpc-ypserv

• カスタムコントロールとカスタムデータアプリケーション - カスタマイズされたアプリケーションを使用します。

  • 制御()とデータUSER_DEFINED_DATA(USER_DEFINED_CONTROL)のアプリケーションを作成します。

  • ポリシーでは、制御およびカスタマイズされたデータ アプリケーションにユーザー定義アプリケーション セットを使用します。

    • USER_DEFINED_CONTROL

    • USER_DEFINED_DATA

表 1 は、事前定義された Sun RPC サービス、各サービスに関連付けられたプログラム識別子、および各サービスの説明を示しています。

Microsoft リモート プロシージャ コール(MS-RPC)は、Microsoft による分散コンピューティング環境(DCE)RPC の実装です。Sun RPC と同様に、MS-RPC は、あるホスト上で実行されているプログラムが別のホスト上で実行されているプログラムのプロシージャを呼び出す方法を提供します。RPC サービスの数が多く、ブロードキャストする必要があるため、RPC サービスのトランスポート アドレスは、サービス プログラムの UUID(ユニバーサル一意識別子)に基づいて動的にネゴシエートされます。特定の UUID はトランスポート アドレスにマッピングされます。

Junos OSを実行するJunos OSデバイスは、事前に定義されたサービスとしてMS-RPCをサポートし、設定したポリシーに基づいてトラフィックを許可および拒否します。ALG(アプリケーションレイヤーゲートウェイ)は、MS-RPCの動的トランスポートアドレスネゴシエーションメカニズムを処理し、UUIDベースのセキュリティポリシーを確実に適用する機能をジュニパーネットワークスデバイスに提供します。セキュリティ ポリシーを定義して、RPC のすべての要求を許可または拒否したり、特定の UUID 番号で許可または拒否することができます。ALG は、受信要求と送信要求に対してルート モードと NAT(ネットワーク アドレス変換)モードもサポートしています。

MS-RPC クライアントと MS-RPC サーバーの両方が 64 ビット対応(MS Exchange 2008 など)の場合、ネットワーク通信中に NDR64 転送構文を使用するようにネゴシエートします。NDR64を使用する場合、NDR64のパケット形式はNDR20のパケット形式(32ビットバージョン)とは異なるため、インターフェイスパラメータはNDR64構文に従ってエンコードする必要があります。

MS-RPC には、ISystemActivator(IRemoteSCMActivator とも呼ばれる)と呼ばれる DCOM リモート プロトコルのリモート アクティブ化インターフェイスがあります。Windows 管理インスツルメンテーションコマンド ライン (WMIC)、インターネット インフォメーション サービス (IIS)、および広範囲に使用されるその他の多くのアプリケーションで使用されます。

MS-RPC ALG は、デフォルト サイズ(512 エントリー)を使用する代わりに、新しいマッピング エントリーを動的に割り当てます。また、制御セッションとデータ セッションの両方を含む、関連するアクティブな RPC セッションに影響を与えることなく、マッピング エントリ(自動クリーン)を削除する柔軟な時間ベースの RPC マッピング エントリも提供します。

Junos OS リリース 15.1X49-D10 および Junos OS リリース 17.3R1 以降では、MS-RPC マッピング エントリーのエージングアウト値を定義できます。コマンドを set security alg msrpc map-entry-timeout value 使用します。エージアウト値の範囲は 1 時間から 72 時間で、デフォルト値は 32 時間です。MS-RPC ALG サービスが 72 時間後でも制御ネゴシエーションをトリガーしない場合、最大 MS-RPC ALG マッピングエントリ値はタイムアウトし、サービスへの新しいデータ接続は失敗します。

MS-RPC は、Microsoft による分散コンピューティング環境(DCE)RPC の実装です。Sun RPC と同様に、MS-RPC は、あるホスト上で実行されているプログラムが別のホストで実行されているプログラムのプロシージャを呼び出す方法を提供します。MS-RPC は、サービス プログラムの UUID(ユニバーサル一意識別子)に基づいて動的にネゴシエートされます。特定の UUID はトランスポート アドレスにマッピングされます。

Junos OSリリース15.1X49-D90以前では、 すべての SRX シリーズ デバイスでは、Microsoft リモート プロシージャ コール(MS-RPC)のカスタム アプリケーションユニバーサル一意識別子(UUID)に、先行ゼロと nil UUID(00000-0000-0000-0000-000000000-00000000)はすべての TCP トラフィックと参照されているポリシーに一致する場合があります。これにより、MS-RPC ALG チェックに入る代わりに、すべての TCP トラフィックを許可できます。

Junos OS リリース 15.1X49-D100 および Junos OS リリース 17.3R1 以降、先行ゼロのカスタム アプリケーション UUID は、すべての TCP トラフィックと参照ポリシーに一致せず、MS-RPC ALG チェックに入ります。この新しいアプリケーションでは nil UUID は許可されません。

事前定義されたMicrosoftリモートプロシージャコール(MS-RPC)サービスには、以下が含まれます。

• junos-ms-rpc-epm

• junos-ms-rpc-tcp

• junos-ms-rpc-udp

MS-RPC アプリケーションのデフォルトには、以下が含まれます。

• junos-ms-rpc-iis-com-1

• junos-ms-rpc-iis-com-adminbase

• junos-ms-rpc-msexchange-directory-nsp

• junos-ms-rpc-msexchange-directory-rfr

• junos-ms-rpc-msexchange-info-store

• junos-ms-rpc-uuid-any-tcp

• junos-ms-rpc-uuid-any-udp

• junos-ms-rpc-wmic-admin

• junos-ms-rpc-wmic-admin2

• junos-ms-rpc-wmic-mgmt

• junos-ms-rpc-wmic-webm-callresult

• junos-ms-rpc-wmic-webm-classobject

• junos-ms-rpc-wmic-webm-level1login

• junos-ms-rpc-wmic-webm-login-clientid

• junos-ms-rpc-wmic-webm-login-helper

• junos-ms-rpc-wmic-webm-objectsink

• junos-ms-rpc-wmic-webm-refreshing-services

• junos-ms-rpc-wmic-webm-remote-refresher

• junos-ms-rpc-wmic-webm-services

• junos-ms-rpc-wmic-webm-shutdown

MS-RPC アプリケーション セットのデフォルトには、以下が含まれます。

• junos-ms-rpc

• junos-ms-rpc-any

• junos-ms-rpc-iis-com

• junos-ms-rpc-msexchange

• junos-ms-rpc-wmic

表 2 に、事前定義された MS-RPC サービス、各サービスに関連付けられた UUID 値、および各サービスの説明を示します。