Copyright © 2000-2005 eazyfox. All Rights Reserved.
HOME| Firewall | Security| 製品紹介| SecuTool| Forest| Hello| Link| 掲示板| 雑談掲示板| SiteMap| Contact

Firewallは内部のネットワークに存在する機器を外部からの不正なアクセスから守ることが主たる目的である。ここでいう内部とはルーターの中のであったり、モデムとPCであったりするのだが、要するにインターネットとの接点の内側で自分が管理している(インターネットの世界では管理する義務がある)機器やネットワークのことを指す。また外部とはモデムやルータの外側で自分が管理できない(する義務の無い)機器やネットワークのことである。

セキュリティ対策を施すためには目的を定めなくてはならない。これをセキュリティポリシーと呼ぶ。

• 守るものは何か？機器か、データか、社会的信用か
• 何から守るのか？攻撃か、侵入者か、事故か
• どうやって守るのか？パスワードか、Firewallか、IDSか

上記のようなことを定めて機器やネットワークの構成、セキュリティシステムを構築していく。ここではFirewallを導入することでインターネットからの不正アクセスから自分のPCやLANを守ることを考えてみる。セキュリティポリシーをあてはめて行くと

• 自分のPCまたはLANを守る
• インターネットからの攻撃や侵入などの不正アクセスから守る
• Firewallにより外部からのアクセスを遮断し、内部からのアクセスを制限する

つまりFirewallとは外部から内部へのアクセスを制限する、また内部から外部へのアクセスも制限するためのシステムである。FirewallとはZoneAlarmの表現を借りれば「あなた専用のドアマン」だそうだ。つねに出入り口で入ろうとする人間と出ようとする人間を監視して、不信な人物は入らないようにする。また許可無く外部へ出ようとする人間は押し戻すといったことだ。 このためFirewallでは出入りをコントロールするためのルールを決めなくてはならない。このルールの設定を誤ればFirewallの機能を活かせなくなり、危険にさらされた状態となる。Firewallとはルールの設定で活かすも殺すも決まってしまうというものなのだ。したがってルールは厳密に、慎重に決めなくてはいけない。そのルールとは

• 許可されたポートだけ通過を許可する。
• 許可されたアドレスだけ通過を許可する。
• 許可された機器にだけアクセスを許可する。
• 許可されたプロトコルだけ通過を許可する。
• 許可されたアプリケーションだけ通過を許可する。
• 許可された時間帯だけ通過を許可する。

この規制の組み合わせによってルールを組み立てていく。例としてWeb、FTPサーバを立ち上げてインターネットからのアクセスを許可する場合をあげてみると

のようになる。Srcとは送信元、Dstは送信相手先、acceptは許可するという意味である。
一般的にセキュリティポリシーで設定されないプロトコルはすべてFirewallの通過は拒否される。上記の設定では内部からメールも見ることができないし(POPは通過を許可していないので拒否される)、ニュース(NNTP)を見ることもできないようになっている。

内部と外部と非武装地帯

インターネットにWebやメールのサーバを公開するとき、外部からの不正アクセスに対応するためにFirewallを入れてアクセスの制限を行うが、不正なアクセスは外部からだけとは限らない。実際に不正なアクセスは内部犯行の場合が多く、このためサーバを内部からも守る必要がある。このために非武装地帯(DMZ：Demilitarized Zone)を設ける。

ある程度信頼のおける内部とまったく信頼できない外部を分ける必要がある。一般的にはFirewallがルータとして機能することでルータの内側を内部、インターネット側を外部とする。 内部は操作する人間は社内の人間であり、外部へのアクセスはある程度許可する。また外部はライバル会社の社員もいれば犯罪者もいる危険な地帯であり外部から内部への侵入は規制しなければならない。 また、内部の人間の信用がないと考えられるときには、内部からも外部からも操作を規制する非武装地帯(DMZ)を設けるのが最近の傾向である。

個人用Fireawallの必要条件

上記で示したセキュリティポリシーの例やDMZといったものは個人用Firewall(パーソナルFirewall)には必要ない。しかしパーソナルFirewallには専用のFirewallサーバには無い機能が要求される。それは以下のようなものである。

1. インストール(実行)しているPCを守ることを目的とする
2. ダイヤルアップ接続で使用することを可能としている
3. 機器構成が低スペックでも使用可能とする
4. NATやIPマスカレードは無くてもよい

１の条件が主たる目的であり、内部ネットワークの機器を外部の攻撃から守るという通常のFirewallの考え方とは大きく異なる点だと思う。自PCを保護する目的であるため外部からの攻撃と内部からLANやインターネットへ不正アクセスに対応する必要があり、信頼できるPC(IP)の設定は必ず必要となる。上記のDMZ内に自PCを設置するという考え方が近いだろうか。
たとえばドメインコントローラとのNBTを不許可にするなら、ブラウジングされないし、たとえアドレスがわかっているとしてもファイルの共有などもできない。当然LANでつながっている他のPCのファイルを参照することもできない。ドメインコントローラやファイルを共有したいPCとの通信を許可する設定が必要となるのだ。これが信頼するIPの設定となる。
仮にLAN内で使用するとなるとEthernetカードの入出力にフィルタリングができないと意味をなさない。筆者はLANとダイヤルアップの両方を使用しているので2つの出入り口(アダプタ)ごとにルールが設定できないと意味が無い。
2〜4の条件はサーバ使用目的で無いPCでなおかつ低いスペックてCPUの使用率が低いこと等を考慮して、妥当な要求ではないだろうか？

個人用 Firewallができること・できないこと

個人用(Personal) Firewallの導入すれば使用するPCが完全に安全を保てるというものではない。AntiVirusツールの導入は必須だと考えるし、Windowsの弱点を修正するためのWindowsUpdateの実行も行わなければならない。繰り返しになるがPersonal Firewallができることは

• 外部から内部にすでに仕組まれているトロイの木馬への接続を遮断する
• Windowsが実行している色々なサービスに対しての接続を遮断する
• 内部のプログラムが勝手にインターネットへ接続し内部データの送信を行うことを防止する

つまり内部と外部との遮断を行うことがPersonal Firewallの仕事となる。ではできないことは

• メールの添付ファイルや危険なサイトからVirusをDownloadして感染することを防止する
• Sharewareなどに付属するスパイウェアのインストールを防止する
• 危険なサイトが自サーバが設定した以外のCookieを盗み見する

Personal FirewallはVirusを発見し駆除する能力はない。SymantecやTrendMicroのようにAntiVirusツールと同梱または機能を組み合わせた複合ツールも存在するが、Firewallはあくまでも前述のようにネットワークの遮断を行うことが役目だということを認識していただきたい。

ルーターと個人用Firewall

ブロードバンドが一般化してきてパケットフィルタ内蔵のルーターが広く使われるようになったおかげで「ルーターがあれば個人用Firewallは不要」ということを考察してみる
一般に企業では必ずFirewallで社内のLANとInternetを区切っている。簡単に企業で取られているセキュリティの対策をあげると

• Firewallで外部からはWeb・メールサーバなど特定のサーバへのみアクセスを可能とする
• 内部から外部webサーバへのアクセスはFirewallとコンテンツチェック機能を持つProxyサーバ型のAntiVirusを経由する
• メールサーバも同様に内外部のメールをチェックするsmtp-Proxy型のAntiVirusを経由する
• 個人デスクトップには集中監視が可能なAntiVirusを導入する

つまり家庭で言うルーターとAntiVirusで保護されている。これで大企業内でVirus感染が瞬く間に広がり社外の得意先にまでVirusメールをばら撒くということは発生するはずがないが、頻繁に発生するのである。内外部のデータ転送(メール・Web・FDやCDなど）の量が一般家庭よりはるかに多く、新種のVirusのパターンデータが適用される前に感染してしまうからである。

個人用Firewallを使用すれば不正なデータやメールの送信を防ぐことができる。しかしルーターにはそのような機能はない。つまり外部へ送信することは一切制限されないということだ。一番いいのは当然ルーターと個人用Firewallの共用である。

それでは、FirewallとTCP/IPと不正アクセスについて知っておいたほうが役立つ事項について述べていく。

SecurityのTopに戻る