RTシリーズのIPパケット・フィルタに関するFAQ
ファイアウォール
| 最終変更日 | 2022/Dec/28 |
| 文書サイズ | 13KB |
ファイアウォールって何ですか?
[ ファイアウォール ]
ISP (インターネット・サービス・プロバイダ)
#
# アクセス回線
#
┳ +-----------+ ┳
┃ | ルータ | ┃
┃ +-----+-----+ ┃
┃ | ┃
┃ | <公開ネットワーク> ┃
┃DMZ ------+----------+--------------------------+------------------ ┃DMZ
┃ | | ┃
┃ +---------+---------+ +---------+---------+ ┃
┃ | ファイアウォール | | 公開サーバ | ┃
┻ +---------+---------+ +-------------------+ ┻
┳ | ┳
┃ | <内部ネットワーク> ┃
┃MZ ----------+------+--------------------------------------------- ┃MZ
┃ | ┃
┃ +---------+---------+ ┃
┃ | コンピュータ/端末 |… ┃
┻ +-------------------+ ┻
ISP (インターネット・サービス・プロバイダ)
#
# アクセス回線
#
+-----------+
| ルータ |
+-----+-----+
| DMZ
| ┣━━━━━━━━━━━━━━━━━━━━━━━┫
| <公開ネットワーク> ┳
| ----------+------------------------+---------- ┃DMZ
| | | ┃
| +---------+---------+ +---------+---------+ ┃
+---------| ファイアウォール | | 公開サーバ | ┃
+---------+---------+ +-------------------+ ┻
| ┳
| <内部ネットワーク> ┃
----------+----------------------------------- ┃MZ
| ┃
+---------+---------+ ┃
| コンピュータ/端末 |… ┃
+-------------------+ ┻
┣━━━━━━━━━━━━━━━━━━━━━━━┫
MZ
火災を水際で防ぐ機能を持たせた壁です。
「火災を予防する」意味と「被害を最小限に食い止める(延焼防止)」意味があります。
「火災」を「外部ネットワークからの不正アクセス」と読み換えると 理解しやすいでしょう。
できません。役割が違います。
裏口を「セキュリティ的に守られていない出入口」と解釈すると、
守ってないのだから守れません。
裏口が存在することが、セキュリティホールで、本末転倒ではないでしょうか?
裏口にも不正アクセスを拒否する機能が必要でしょうが、そうしたら、
裏口ではなくて2つ目の玄関ですね。
不正な侵入や破壊行為。
この場合、クラッカーは、お菓子の一品種のことではなく、
不正な侵入や破壊行為をする人いいます。
ネットワーク社会では、秩序を乱す行為とそうでない行為を区別し ており、ハッキング(Hacking)やハッカー(Hacker)という言葉と 同意ではありません。だけど、善人とか、聖者とか、そういうものでもない。 どちらかといえば、特定の分野に異常な程、詳しい人、という感じ。
「Hacked ...」…「... を見ぃ〜つけた!」
もしかすると、クラッキング可能な進入経路の存在を警告してくれているのかもしれない。
不正な侵入やサービス妨害を試みる行為。
破壊行為や踏み台探しなどの予備行為ともいえるでしょう。
「不正アクセスを受けている」==「アタックされている」
クラッキングやアタック可能なサービスポートを機械的に探し出す行為。
侵入しやすいサービスを探すのですから、
おのずと狙われるポートは絞られるようです。
破壊行為や踏み台探しなどの予備行為です。
非武装地帯/非武装領域
セキュリティ対策が行なわれていない領域。
盗聴や改竄の容易な領域。
武装地帯/武装領域
ファイアウォールなどにより十分なセキュリティ対策が行なわれている領域。
様々です。
外部と内部が通信可能である限り、なんらかの不正アクセスが発生する 可能性があります。セキュリティ・ツールの導入がセキュリティ対策の始まりであり、 終りではありません。情報収集とネットワークの監視が必要です。
[ プロバイダ接続用ルータのIPパケット・フィルタリング機能 ]
不要な通信を禁止すれば、禁止した通信を利用した不正アクセスを未然に防ぐ ことができます。
しかし、IPパケットフィルタで許可された通信は、 何らかのサービスを公開しているか、外部のサービスを利用している のですから、それらのサービスを利用した(悪用した)不正アクセスを 防ぐことはできません。
IPパケット・フィルタリング機能は、 MZ, DMZの全体を守るためのセキュリティを確保するひとつの機能/道具と 考えることが適切でしょう。
プロバイダ接続用ルータで、IPパケットフィルタリングを利用することで、 公開サーバやファイアウォール機能の守備範囲を限定することが できます。 それぞれの特徴を生かして、セキリティを確保することができます。
また、プロバイダ接続用ルータは、MZに設置されますから、 ルータだって守ってあげる必要があります。 ルータを防衛する機能も大切なのです。
IPパケットフィルタリングだけで、100%のセキュリティを確保することは できません。可能なら、複数の手段を併用することが理想です。 もし、ルータや公開サーバが占拠され「踏み台」にされた場合でも、 ファイアウォールで守られていれば、被害を最小限に抑えることができます。
ただ、ファイアウォールも導入したら、OKということはありませんので、 日常管理も大切にしましょう。
コンピュータ・ウィルスも、色々なインタネット上のサービス(電子メールの 添付書類や公開サーバに置かれたファイルなど)を利用して伝染するようになってきました。 しかし、IPパケットフィルタで、コンピュータ・ウィルスの侵入を防ぐことは できません。
コンピュータ・ウィルスも広い意味では、不正アクセスなのかもしれませんね。
いろいろな考え方があります。 RTシリーズでは、基礎となるフィルタとして「内→外のアクセスは許可し、 外→中のアクセスを禁止する」フィルタリングをお薦めしております。 設定例は、マニュアルの「設定例集」などを参照してください。
「まず、塞いでおき、公開する必要のあるサービスをひとつづつ許可してゆく」
[ ネットワーク管理者って? ]
ネットワークの規模や守るべき情報の種類によって異なるでしょう。
セキュリティを確保する最前線の管理者は、ハードウェアやソフトウェア、 プロトコルからサービスまで、クラッキングの手口から防御手段まで、 機器やソフトウェアの導入から日々の監視/管理/運用まで、 ネットワークに関する情報を把握していることが望ましいでしょう。
はい、とっても大変ですね。
苦労の多い割に「クレームは付けられるけど、誉められることは稀」なのではないでしょうか?
[ 関連情報 ]
[ 関連RFC ]
[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]