FAQ for YAMAHA RT Series / IP Packet Filter

RTシリーズのIPパケット・フィルタに関するFAQ

ファイアウォール

最終変更日	2010/Jul/21
文書サイズ	12KB

ファイアウォールって何ですか？

[ ファイアウォール ]

ファイアウォールが組み込まれたネットワーク構成例#1

           ISP (インターネット・サービス・プロバイダ)
            #
            # アクセス回線
            #
┳    +-----------+                                                   ┳
┃    |  ルータ   |                                                   ┃
┃    +-----+-----+                                                   ┃
┃          |                                                         ┃
┃          |                                    ＜公開ネットワーク＞ ┃
┃DMZ ------+----------+--------------------------+------------------ ┃DMZ
┃                     |                          |                   ┃
┃           +---------+---------+      +---------+---------+         ┃
┃           | ファイアウォール  |      |    公開サーバ     |         ┃
┻           +---------+---------+      +-------------------+         ┻
┳                     |                                              ┳
┃                     |                         ＜内部ネットワーク＞ ┃
┃MZ  ----------+------+--------------------------------------------- ┃MZ
┃              |                                                     ┃
┃    +---------+---------+                                           ┃
┃    | コンピュータ/端末 |…                                         ┃
┻    +-------------------+                                           ┻

ファイアウォールが組み込まれたネットワーク構成例#2

           ISP (インターネット・サービス・プロバイダ)
            #
            # アクセス回線
            #
      +-----------+
      |  ルータ   |
      +-----+-----+
            |                               DMZ
            |        ┣━━━━━━━━━━━━━━━━━━━━━━━┫
            |                                   ＜公開ネットワーク＞  ┳
            |         ----------+------------------------+----------  ┃DMZ
            |                   |                        |            ┃
            |         +---------+---------+    +---------+---------+  ┃
            +---------| ファイアウォール  |    |    公開サーバ     |  ┃
                      +---------+---------+    +-------------------+  ┻
                                |                                     ┳
                                |               ＜内部ネットワーク＞  ┃
                      ----------+-----------------------------------  ┃MZ
                                |                                     ┃
                      +---------+---------+                           ┃
                      | コンピュータ/端末 |…                         ┃
                      +-------------------+                           ┻
                     ┣━━━━━━━━━━━━━━━━━━━━━━━┫
                                            MZ

ファイアウォールとは？
- ファイアウォール(firewall, 防火壁)という言葉の本来の意味？
  火災を水際で防ぐ機能を持たせた壁です。
  「火災を予防する」意味と「被害を最小限に食い止める(延焼防止)」意味があります。
- ネットワーク用語としての意味は？
  「火災」を「外部ネットワークからの不正アクセス」と読み換えると理解しやすいでしょう。
  1. 不正アクセスの発生を予防します。
  2. セキュリティ的に不十分な内部ネットワークへの不正アクセスを防ぎます。
- 内部の不正は守れるの？
  できません。役割が違います。
- 裏口は守れるの？
  裏口を「セキュリティ的に守られていない出入口」と解釈すると、守ってないのだから守れません。裏口が存在することが、セキュリティホールで、本末転倒ではないでしょうか？
  裏口にも不正アクセスを拒否する機能が必要でしょうが、そうしたら、裏口ではなくて２つ目の玄関ですね。
不正アクセスとは？
- クラッキング (cracking), クラッカー(cracker)
  不正な侵入や破壊行為。
  この場合、クラッカーは、お菓子の一品種のことではなく、不正な侵入や破壊行為をする人いいます。
  
  ネットワーク社会では、秩序を乱す行為とそうでない行為を区別しており、ハッキング(Hacking)やハッカー(Hacker)という言葉と同意ではありません。だけど、善人とか、聖者とか、そういうものでもない。どちらかといえば、特定の分野に異常な程、詳しい人、という感じ。
  
  「Hacked ...」…「... を見ぃ～つけた！」
  もしかすると、クラッキング可能な進入経路の存在を警告してくれているのかもしれない。
- アタック (攻撃, attack)
  不正な侵入やサービス妨害を試みる行為。
  破壊行為や踏み台探しなどの予備行為ともいえるでしょう。
  
  「不正アクセスを受けている」==「アタックされている」
- ポート・スキャン (port scan)
  クラッキングやアタック可能なサービスポートを機械的に探し出す行為。
  侵入しやすいサービスを探すのですから、おのずと狙われるポートは絞られるようです。
  破壊行為や踏み台探しなどの予備行為です。
- サービス妨害
- 盗聴
- 改竄
- なりすまし
- トラフィック解析
- ...
DMZ(a demilitarized zone)、とは？
非武装地帯/非武装領域
セキュリティ対策が行なわれていない領域。
盗聴や改竄の容易な領域。
MZ(a militarized zone)、とは？
武装地帯/武装領域
ファイアウォールなどにより十分なセキュリティ対策が行なわれている領域。
ファイアウォールに必要とされる機能は？
- 不正アクセスの可能性のある通信を監視し、管理者に通知する機能
- 色々な手口の不正アクセスを防ぐ機能。
ファイアウォールは、どのような機器や仕組で実現されていますか？
様々です。
- ファイアウォール専用機器
- コンピュータ＋ファイアウォールのソフトウェア製品
- ワークステーション＋フィルタリングソフトウェア
- ローカルルータ＋パケット・フィルタリング機能
- ...
IPパケットフィルタリングやファイアウォールを導入したら万全ですか？
外部と内部が通信可能である限り、なんらかの不正アクセスが発生する可能性があります。セキュリティ・ツールの導入がセキュリティ対策の始まりであり、終りではありません。情報収集とネットワークの監視が必要です。

[ プロバイダ接続用ルータのIPパケット・フィルタリング機能 ]

IPパケットフィルタで、「守れるもの」と「守れないもの」
不要な通信を禁止すれば、禁止した通信を利用した不正アクセスを未然に防ぐことができます。

しかし、IPパケットフィルタで許可された通信は、何らかのサービスを公開しているか、外部のサービスを利用しているのですから、それらのサービスを利用した(悪用した)不正アクセスを防ぐことはできません。
IPパケット・フィルタリングは、不要でしょうか？
IPパケット・フィルタリング機能は、 MZ, DMZの全体を守るためのセキュリティを確保するひとつの機能/道具と考えることが適切でしょう。

プロバイダ接続用ルータで、IPパケットフィルタリングを利用することで、公開サーバやファイアウォール機能の守備範囲を限定することができます。それぞれの特徴を生かして、セキリティを確保することができます。

また、プロバイダ接続用ルータは、MZに設置されますから、ルータだって守ってあげる必要があります。ルータを防衛する機能も大切なのです。
ファイアウォールは、不要でしょうか？
IPパケットフィルタリングだけで、100%のセキュリティを確保することはできません。可能なら、複数の手段を併用することが理想です。もし、ルータや公開サーバが占拠され「踏み台」にされた場合でも、ファイアウォールで守られていれば、被害を最小限に抑えることができます。

ただ、ファイアウォールも導入したら、OKということはありませんので、日常管理も大切にしましょう。
コンピュータ・ウィルスのワクチン・ソフトウェアは、不要でしょうか？
コンピュータ・ウィルスも、色々なインタネット上のサービス(電子メールの添付書類や公開サーバに置かれたファイルなど)を利用して伝染するようになってきました。しかし、IPパケットフィルタで、コンピュータ・ウィルスの侵入を防ぐことはできません。

コンピュータ・ウィルスも広い意味では、不正アクセスなのかもしれませんね。
IPパケットフィルタリングは、どのようなポリシーで運用するべきでしょうか？
いろいろな考え方があります。 RTシリーズでは、基礎となるフィルタとして「内→外のアクセスは許可し、外→中のアクセスを禁止する」フィルタリングをお薦めしております。設定例は、マニュアルの「設定例集」などを参照してください。

「まず、塞いでおき、公開する必要のあるサービスをひとつづつ許可してゆく」

[ ネットワーク管理者って？ ]

どんな事を知っている必要があるのでしょうか？
ネットワークの規模や守るべき情報の種類によって異なるでしょう。

セキュリティを確保する最前線の管理者は、ハードウェアやソフトウェア、プロトコルからサービスまで、クラッキングの手口から防御手段まで、機器やソフトウェアの導入から日々の監視/管理/運用まで、ネットワークに関する情報を把握していることが望ましいでしょう。
大変ですね！
はい、とっても大変ですね。
苦労の多い割に「クレームは付けられるけど、誉められることは稀」なのではないでしょうか？

[ 関連情報 ]

[ 関連RFC ]

FYI18…RFC1983 (Internet Users' Glossary)
FYI8…RFC2196 (Site Security Handbook)
FYI34…RFC2504 (Users' Security Handbook)
cf.UNIX Magazine 1999/09 (RFC2504の邦訳, 一般ユーザのためのセキュリティ・ハンドブック)

[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]