iSUC 2002 宮崎 二木 真明(エスシー・コムテクス)

Slides:



Advertisements
Similar presentations
TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.
Advertisements

ご提案書 『ホテル インターネットサービスソリューション』
ファイアウォール 基礎教育 (4日目).
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
第一回 プロキシサーバーを駆使したセキュリティシステムの構築
最新ファイルの提供を保証する代理FTPサーバの開発
第1回.
SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL
(株)アライブネット RS事業部 企画開発G 小田 誠
Android と iPhone (仮題) 情報社会とコンピュータ 第13回
Ibaraki Univ. Dept of Electrical & Electronic Eng.
二木 真明(エスシー・コムテクス) Internet Week 2002 チュートリアル T11
前回の課題 IPv6アドレス IP ARP ICMP NAT インターネット層 2003年12月4日 情報ネットワーク論 新村太郎.
安全・安心なネット生活を送るためのネットワークセキュリティ
仮想ブロードキャストリンクを利用した 片方向通信路の透過的経路制御 藤枝 俊輔(慶應義塾大学)
Internet Week 2001チュートリアル T4 二木 真明(エスシー・コムテクス)
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
一対多通信における ネットワーク障害物対応方法選択プロトコルの設計
TCP (Transmission Control Protocol)
「コンピュータと情報システム」 07章 インターネットとセキュリティ
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
用語から見たファイアウォール技術 ふたぎ まさあき 横浜システム総研株式会社.
第5章 情報セキュリティ(前半) [近代科学社刊]
ネットワーク コミュニケーション トランスポート層 TCP/UDP 6/28/07.
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
Copyright Yumiko OHTAKE
トランスポート層.
ネストした仮想化を用いた VMの安全な帯域外リモート管理
ネットワーク機器接続 2SK 情報機器工学.
情報コミュニケーション入門 総合実習(1) 基礎知識のポイント(2)
ファイアウォール 基礎教育 (2日目).
第2章 第1節 情報通信の仕組み 1 ネットワークの仕組み 2 通信プロトコル 3 認証と情報の保護
情報検索概説II(99秋) 第3回 1999/10/21 インターネットの仕組み(2).
Ibaraki Univ. Dept of Electrical & Electronic Eng.
総合講義B:インターネット社会の安全性 第9回 セキュリティとコスト
セキュリティ(5) 05A2013 大川内 斉.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
IPv6 ネットワークにおける エニーキャスト通信実現のための プロトコル設計と実装
TCP/UDP プロセス間の通信のためのプロトコル TCP:信頼性高、処理時間大 UDP:信頼性低、処理時間小 ftp SMTP HTTP
インターネットの基礎知識 その3 ~TCP・UDP層編~
7. セキュリティネットワーク (ファイアウォール)
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
第9章 Error and Control Messages (ICMP)
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
IPアドレスについて      発表者  M3KI.
ネットワーク技術II 第9.1課 TCP/IPプロトコルスイート
ネットワークの基礎知識 電子制御設計製図Ⅰ   2014年5月2日 Ⅲ限目.
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
第16章 BOOTP:ブートストラップ・プロトコル
Step.12 仮想ネットワーク設計 スケジュール 201x/xx/xx 説明、ネットワーク設計 201x/xx/xx ネットワーク設計
A18 スパムサーバの調査 ~ボットを見抜けるか?~
ネットワーク技術II 第10.3課 サブネット化のメカニズム
TCP制御フラグの解析による ネットワーク負荷の推測
Intel SGXを用いた仮想マシンの 安全な監視機構
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
最低限インターネット ネットワークにつなぎましょ!
コミュニケーションと ネットワークを探索する
仮想環境を用いた 侵入検知システムの安全な構成法
ネットワークのセキュリティを向上する最新技術を搭載! プロファイル形式によるIPsec VPN設定
IDSとFirewallの連携によるネットワーク構築
gate登録システム: 設計ポリシーから使い方まで
トラフィックプロファイラAGURIの設計と実装
4.3 IPとルーティングテーブル 国際産業情報学科 2年 大竹 雅子.
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
情報ネットワーク 岡村耕二.
TCP/IPの通信手順 (tcpdump)
Presentation transcript:

iSUC 2002 宮崎 二木 真明(エスシー・コムテクス) ファイアウォールの概念と構築法 iSUC 2002 宮崎 二木 真明(エスシー・コムテクス)

このコースの目標 ファイアウォールの「概念」を理解する。 ファイアウォール構築のための手法、技術を理解する。 ファイアウォールにできること、できないことを理解する。 セキュリティ全般の中での位置づけを理解する。 2002/10 ファイアウォールの基礎と構築

ファイアウォールという「概念」について ファイアウォールは「概念」 様々な製品を使って「構築」するもの ルータ、コンピュータ・・様々な製品で構築が可能 ファイアウォール製品は、構築の「道具」 形よりもポリシーが重要 ファイアウォールは一般に、製品の種類のようにとらえられがち。 このことは、ファイアウォール「製品」を導入すれば安心、という誤解につながる危険性をはらむ。 あくまで、ファイアウォール製品はファイアウォールの構築がやりやすいように必要な機能を提供するだけのもの。たとえば、ルータを使うよりは楽に構築ができる…という程度である。 ファイアウォールは形を作っただけではダメ。そこで実現されるポリシーが重要。 2002/10 ファイアウォールの基礎と構築

ファイアウォールはなにをするか ネットワークの関所 セキュリティレベルの異なるネットワークを接続する際、通信の通過を監視・制御することで、双方のレベルを保つ機能を提供する。 セキュリティレベル=Xのネットワーク あえて、セキュリティが高い、低いと言わないのは、セキュリティレベルの高低は、みる立場によってかわる相対的なものであるから。 ファイアウォールへの理解でよくみられる、外側=危険 V.S. 内側=安全という考え方は一面的で危険。 ファイアウォール セキュリティレベル=Yのネットワーク 2002/10 ファイアウォールの基礎と構築

ファイアウォールの仕事 通信の種類、宛先、発信元による通過許可・禁止の制御 通信の相手先の確認・認証 通信の記録(時刻、宛先、発信元、サービスなど) 通信内容の監査(不正行為の検出、コンテンツの確認など) 2002/10 ファイアウォールの基礎と構築

ファイアウォールの基本方式 パケットフィルタ方式 アプリケーションゲートウエイ方式 IPパケットのforwarding時に監査を行う方式 宛先、発信元、サービスなどのヘッダ情報で制御 アプリケーションゲートウエイ方式 IPパケットのforwardingは行わない アプリケーション層でデータを中継・監査 PROXY サービス 2002/10 ファイアウォールの基礎と構築

パケットフィルタ IP / TCP / UDP パケットヘッダ情報をもとに中継処理を制御 宛先・発信元のアドレス、ポート番号をもとに通過の可否を判断 ルータ・ファイアウォールなどパケットの中継点(ゲートウエイ)で処理する。 ホストB  ホストC 外部ネットワーク ファイアウォール たとえば… ホストBからホストDへのパケットは許可 ホストAからのパケットは全部不許可 ホストD ホストA  2002/10 ファイアウォールの基礎と構築

パケットフィルタの特性 たとえばクライアントがファイアウォールの中にあって、外部への一方通行の通信が許可されているだけだとすると・・ To: 1.2.3.4:80 From: 5.6.7.8:1024  ○ ファイアウォール サーバ 1.2.3.4:80/TCP クライアント 5.6.7.8:1024/TCP From: 1.2.3.4:80 To: 5.6.7.8:1024   × 1方向を許可しただけの単純なフィルタリングでは「行きはよいよい、帰りは…」で通信が成り立たない。 2002/10 ファイアウォールの基礎と構築

応答パケットの通過 一般的なネットワークサービスは1023番以下のポート番号を使用。(宛先) 一般的なクライアントは発信元として1024以上のポート番号を自動割り当て 一般的には、応答パケットは内部側ホストの1024番以上のポート番号宛 もちろん例外(たとえば、DNSや ntp などをUNIX系ホストで起動した場合など)はある。 2002/10 ファイアウォールの基礎と構築

Established オプション TCP ACK フラグ付きパケットのみを通す。 TCP ACK flag : ヘッダの ACK No が有効である(つまり、このパケット以前に先行する通信があった)ことを示す。 コネクション開始時の SYN パケットには ACK flag がないので、通さない。(コネクション開設要求は不可) 外部からは ACK 付きのみを通せば、通常の方法でのコネクション確立は不可能。 但し、ACKフラグを立てたパケットを使用した特殊なポートスキャンを通過させてしまう場合がある。 2002/10 ファイアウォールの基礎と構築

ICMP に対するフィルタ ICMP パケットには多くのタイプがある Ping その他の重要なICMP 行きは、 ICMP ECHOを通す 帰りは、ICMP ECHO-REPLYを通す その他の重要なICMP ICMP Destination Unreachable ホストへの経路がない、またはポート利用不可 タイムアウトを待たずに不達を認識 経路途中のMTU減少を認識(RFC1191) ICMP Time Exceeded TTL 以上のホップを経由(Trace route で利用) 2002/10 ファイアウォールの基礎と構築

パケットフィルタの特性 IP詐称攻撃に対する本質的な弱点 内部側ネットワークアドレスの詐称 信頼しているネットワークアドレスの詐称 発信元IPアドレスの詐称は容易 一方通行でも有効な攻撃手法もある DoS (サービス妨害)やシステムダウンを誘発する攻撃 応答を推測可能なサービスへ攻撃 2002/10 ファイアウォールの基礎と構築

パケットフィルタの特性を補う機能 方向性フィルタ ダイナミックパケットフィルタ パケットがどのネットワークインターフェイスから入ってきたか(出ていくか)を区別 内部側アドレス詐称対策 ダイナミックパケットフィルタ コネクション/セッションの認識と管理 応答パケットを自動的に認識して通過させる 2002/10 ファイアウォールの基礎と構築

Ingress/Egressフィルタ(詐称防止策) 方向性フィルタを利用 パケットの通過方向によって制御を行う。 境界ルータで詐称と思われるパケットを阻止 内部側アドレスを発信元に持つパケットが外部から着信した場合(内部アドレス詐称) 内部にないアドレスを発信元に持つパケットが内部から出ていく場合(内部者の外部側アドレス詐称行為) 詐称対策としての限界はある 外部の特定アドレスへのアクセス許可に対する詐称 2002/10 ファイアウォールの基礎と構築

Stateful Inspection …etc. ダイナミックパケットフィルタ 通過する通信のセッションを監視することで、通過を許可したパケットへの応答のみを選択的に通過させる。 TCP はコネクション開設、切断を監視して許可とその取り消しを制御できる。(シーケンスNoなどもチェック可能) UDPやその他の特殊なものについては、行きのパケットの通過で応答通過も許可し、一定時間通信がなければ取り消す。 Stateful Inspection …etc. To: 1.2.3.4:80 From: 5.6.7.8:1024  ○ ファイアウォール サーバ 1.2.3.4:80/TCP クライアント 5.6.7.8:1024/TCP From: 1.2.3.4:80 To: 5.6.7.8:1024   ○ 2002/10 ファイアウォールの基礎と構築

ダイナミックパケットフィルタの課題 コネクションレスタイプのプロトコル(UDPなど)の許可取り消しタイミングが微妙。 一定時間の無通信で許可を取り消すため、その時間、ポートが開きっぱなしになる。 でも、全部開きっぱなしよりは格段に安全ではある。 複数セッションを使用する通信への対応が困難(個別対応)。 古典的には ftp。サーバ 21 番へのコネクションのみではなく、サーバ側からクライアントのダイナミックなポートへの張り返しがある。 Streaming 系アプリ ( Real**, Stream Works, VDO Live, H.323,NetMeeting, CU-SeeMe etc.) 多くは複数の TCP/UDP セッションを複合した通信を行う。 上位プロトコルの通信をモニタして対応するしかない。(新しい技術の登場はファイアウォールメーカ泣かせ) 2002/10 ファイアウォールの基礎と構築

Ftpとダイナミックパケットフィルタ データコネクションに使用するポート番号はコマンドコネクションの 通信内でネゴシエーションが行われ動的に決定される。自動的に 通過許可を行うためには、通信内容の監視が必要。 FTP(通常モード) の通信 ファイアウォール To: 1.2.3.4:21 From: 5.6.7.8:1024  ○ サーバ 1.2.3.4:21/TCP クライアント 5.6.7.8:1024/TCP From: 1.2.3.4:21 To: 5.6.7.8:1024  ○ From: 1.2.3.4:20 To: 5.6.7.8:1025  × FTP の場合は PASV モードで回避できるのだが…。 市販製品のほとんどは、通常モード対応可 2002/10 ファイアウォールの基礎と構築

プライベートアドレスとNAT IPアドレス枯渇の危機とプライベートアドレス RFC1918による定義と使用の推奨 広大な空間(10.0.0.0/8, 172.16.0.0/12,192.168.0.0/16)を自由に使用可能 一方でインターネットとの通信がそのままでは不可能 2002/10 ファイアウォールの基礎と構築

NAT (Network Address Translation)とは 通過するパケットのヘッダにあるアドレスを書き換えて、サーバやクライアントを騙す手法。 プライベートアドレス(RFC1918)を使用したネットワークをインターネットなどに接続する技術として使われる。 NAT の基本は RFC1631 で規定される。しかし、一般にはさらに広い意味で解釈されており、多少、用語的な混乱もみられる。 NAT の考え方を基本にして様々な応用型が可能で、現実にファイアウォール製品、ルータなどへの実装が行われている。 2002/10 ファイアウォールの基礎と構築

プライベートアドレスを隠すNAT(RFC1631) RFC1631はNATの基本形 内部側クライアント用に一定数のグローバルアドレスをプールしておく。 内部側クライアントが外部と通信しようとする時に、1クライアントについて1個のアドレスを割り当てる。 内部側から外部へのパケットは発信元アドレスを割り当てたアドレスと交換する。 外部から割り当てたアドレスへのパケットは宛先を内部側クライアントのアドレスと交換する。 1クライアント対1グローバルアドレス(1対1)のアドレス変換 インターネットへの同時接続数はプールされているグローバルアドレスの個数に依存する。 2002/10 ファイアウォールの基礎と構築

NAT(RFC1631)の問題点 同時接続数分のグローバルアドレスを消費する。 プールされたアドレスの割り当てと解放のタイミングが難しい。 多数のクライアントの同時接続性を求めると、あまりアドレスの節約にはつながらない。 プールされたアドレスの割り当てと解放のタイミングが難しい。 割り当てたアドレスの使用を終わってから、他のクライアントに割り当てを行う時間をどれくらいに設定するか。(DHCPなどとよく似た問題) 短すぎると同一クライアントでアドレスがころころ変わる。 長すぎると、解放されるまで待たされるクライアントが増える。 2002/10 ファイアウォールの基礎と構築

NAT(RFC1631)の問題点の回避策 1アドレスに複数のクライアントを割り当てる方法 (NAPT) Network Address Port Translation (NAPT) RFC2391(LSNAT:後述)内に記述されている手法 IP Masquerade (Linux への NAPTの実装名)とよぶのが一般的 アドレスのみでなく、ポート番号も変換することで、同じアドレスを異なるクライアントの複数のセッションで共用する。 大量のクライアント(セッション)を1アドレスでさばくことが可能。 1024 - 65535 のポート番号をダイナミックに割り当てれば、計算上は最大64511同時セッションに対応できる。 2002/10 ファイアウォールの基礎と構築

NAPT (IP Masquerade)の考え方 なぜ NAT は1対1でないといけないか。 各クライアントは発信元ポートを1024以上の任意の値に割り当ててくる。 当然、同じ番号を使う可能性があり、その場合、同じアドレスに変換すれば区別がつかなくなってしまう。 ポート番号の変換の考え方 NAT のアドレスプールの考え方と同様にポート番号のプールを考える。 アドレスを1個にするかわりに、クライアントのポート番号をプールから割り当てたポート番号と入れ替える。 ポート番号が重ならなくなるので、セッション単位に識別が可能になる。 プールが大きいので解放タイミング問題も比較的ルーズな解決が可能である。(順次割り当て:一周するころには再割り当て可能になる) ダイナミックパケットフィルタとの親和性がよい パケットフィルタ型ファイアウォールへの実装 2002/10 ファイアウォールの基礎と構築

NAPT の問題点 発信元に固定のポート番号が必要なサービスへの対応が困難。(発信元ポートを変えると動作しないものは不適) NAPTとNATをうまく併用する。固定割り当てと動的割り当ての併用。 複数の動的なセッションを使ったり、サーバからの逆向きセッションが付随するようなアプリケーションへの対応が困難。 ダイナミックパケットフィルタと同じく個別対応が必要(メーカだのみ)。 NAT , NAPT とも、アプリケーション層で IP アドレスを受け渡すような種類のアプリケーションへの対応が困難。(ストリーミング系プロトコルにうまく対応できないケースが多い) 2002/10 ファイアウォールの基礎と構築

NAT,NAPT の応用型 仮想ホスト(仮想IPアドレス/静的 [static] NAT/仮想サーバ) アクセス負荷分散への応用 プライベートアドレスにあるホストをグローバルアドレスに見せる手法。 複数サーバの異なるサービスをひとつのアドレスに見せたりすることもが原理的に可能。(固定ポート変換との組み合わせ) ひとつのサーバの異なるサービスを複数のアドレスの同一のサービスに見せることも原理的に可能。(固定ポート変換との組み合わせ) アクセス負荷分散への応用 ひとつのアドレスのサービスへのアクセスをセッション単位で複数のサーバに分散させるような応用も可能。(LSNAT: RFC2391) 2002/10 ファイアウォールの基礎と構築

アプリケーションゲートウエイ 原則としてIPパケット中継はしない。 ゲートウエイ上で動作する PROXYサーバによるアプリケーション層でのデータ中継 「遅いが安全」と言うけれど・・・ 2002/10 ファイアウォールの基礎と構築

PROXYサーバの構成 ファイアウォールは内外の2つのネットワークに接しているが、その間のパケット中継は一切行わないため、内部ネットワークは保護される。クライアントは直接サーバと通信できず、ファイアウォール上の PROXY サーバに中継を依頼する。 × サーバ クライアント PROXYサーバ ファイアウォール 2002/10 ファイアウォールの基礎と構築

PROXYの弱点 パケットフィルタに比べて使い勝手は制限される。 たとえば、Web ブラウザに PROXY を使う設定をする必要があるなど、PROXY を使うために特別な設定が必要な場合もある。 PROXY サーバが用意されているサービスしか利用できない。 アクセスにタイムラグが発生する。(一旦、データを蓄積して転送) 一般にUDPサービスの中継が不得手(だが、可能な製品も) 相性問題が生じやすい(多段Proxyなどの場合) 2002/10 ファイアウォールの基礎と構築

何故Proxyを使うのか では、利点は何? 「遅い」と「遅くていい」の違いとは? アプリケーション層ではリアルタイム性の要求が低く、重い処理でも組込可能 パケットフィルタには困難なアプリケーションレベルのチェックを組み込むことが可能。(ウイルスチェック、 URL のチェック、特定のキーワードやデータパターンによる排除など) キャッシュ機能の組み込みなどでアクセスの効率化が可能。 詳細なログを取ることができる。(どこのサーバに接続したか、だけではなくどのファイルをアクセスしたか…など) NAT が不要。内部側がプライベートアドレスでも問題ない。 2002/10 ファイアウォールの基礎と構築

Proxy のタイプ 専用 Proxy 汎用 Proxy http (URL処理)専用 proxy ftp proxy Streaming系protocol 汎用 Proxy ポートフォワーディング(単純中継)型 Proxy 2002/10 ファイアウォールの基礎と構築

Proxy 導入時の注意点 拒否すべき相手からでも、TCP の接続自体は禁止されないことが多い。(強制切断で拒否) ポートスキャンで「開いている」と見える可能性 踏み台にされないように注意 アクセスコントロールを正確に行うこと http (専用)proxy を外部に公開しない Webサーバ公開は「単純中継型」で 相性問題 多段 Proxy に注意(キャッシュを入れたら遅くなった・・) アクセス(上流)回線と内部(下流)回線のバランスに注意 上流が細すぎると異常な負荷がかかる可能性 2002/10 ファイアウォールの基礎と構築

Proxyのチューニング Web サーバやメールサーバと同様の考え方 同時接続数のチューニング 多ければいいというものではない。 ファイアウォール自身の処理能力、上位回線の太さを考慮 ファイアウォールのリソースを食いつぶさない程度に絞る 処理の滞留を防ぐため、上位回線の能力以上に受け付けないことも必要 2002/10 ファイアウォールの基礎と構築

各方式導入のポイント パケットフィルタ アプリケーションゲートウエイ 比較的ルーズなポリシーの設定が容易 設定が煩雑化しやすい 「全部通せ」が一行で書ける。 段階的導入・段階的なポリシー構築が容易 設定が煩雑化しやすい アプリケーションゲートウエイ 導入前に細部までポリシーを詰める必要あり (ユーザに)できないことはできないと言えるか? 2002/10 ファイアウォールの基礎と構築

適材適所が重要 柔軟性の要求 厳密さの要求 ハイブリッド化の進行 Packet Filter ベースのファイアウォール アプリケーションゲートウエイ方式のファイアウォール ハイブリッド化の進行 1個の製品内での適材適所 どちらの方式がベースかに注意 2002/10 ファイアウォールの基礎と構築

ファイアウォールをどう使うか インターネットから内部ネットワークを保護 公開サーバの保護 複数の異なるネットワーク間のセキュリティ確保 VPNゲートウエイ 2002/10 ファイアウォールの基礎と構築

単純モデル 基本的なポリシーは、内側主導の通信は 必要に応じて通過。外側主導の通信は 通過を拒否。内側にプライベートアドレス を使用することが一般的なため、NAPT (IP Masquerade) を使用。 インターネットへ ルータ バリアセグメント ファイアウォール 内部セグメント (Private addr) クライアント クライアント クライアント クライアント クライアント 2002/10 ファイアウォールの基礎と構築

サーバを保護する場合(単純モデル) ルータ 仮想サーバ ファイアウォール クライアント クライアント 実サーバ クライアント クライアント 単純な2ネットワークモデルで、サーバを保護する場合 内側においたサーバへの通信を限定的に許可する。 プライベートアドレス使用時は NAT またはProxyを 使用して、外部の仮想アドレスへの通信を内部サーバ に振り向ける。 インターネットへ ルータ バリアセグメント 仮想グローバル アドレス 仮想サーバ ファイアウォール NAT(1:1) Proxy 内部セグメント (Private addr) クライアント クライアント 実サーバ クライアント クライアント 2002/10 ファイアウォールの基礎と構築

単純モデルでのサーバ保護の問題点 ルータ 仮想サーバ ファイアウォール 内部サーバ クライアント 実サーバ クライアント クライアント ファイアウォールは、基本的に公開サービスの保護はでき ないため、万一、公開したサービス経由でサーバに侵入さ れた場合、サーバが内側にあれば、それを踏み台にして、 他の内部サーバが攻撃を受ける可能性がある。 インターネットへ ルータ バリアセグメント 仮想グローバル アドレス 仮想サーバ ファイアウォール NAT(1:1) 内部セグメント (Private addr) 内部サーバ クライアント 実サーバ クライアント クライアント 2002/10 ファイアウォールの基礎と構築

DMZ(緩衝地帯 or 非武装地帯)モデル DMZは中間的な保護層 公開サーバ群をファイアウォールで保護し、必要以外のアクセスを排除する。 万一、公開サーバが不正アクセスにより侵入されるなどの事態が生じても、そこから内部に直接入れないようにすることで、安全性の向上をはかる。(不正アクセスに対応する時間をかせぐ) さらに、外部へのアクセスも制限することで、侵入されたサーバを踏み台にして外部を攻撃することも困難にする。(かごの鳥作戦) 不正アクセスによって深刻な事態に陥るような重要なホストは置かない。 2002/10 ファイアウォールの基礎と構築

教科書的DMZの形式 DMZ 安全でないネットワーク 安全なネットワーク 外部→DMZ DMZ→内部 ファイアウォール1 ファイアウォール2 必要なサービスへの アクセスのみ通過 DMZ→内部 基本的に通過できないように設定。 安全でないネットワーク 安全なネットワーク DMZ ファイアウォール1 ファイアウォール2 外部←DMZ 基本的に通過できないように設定。どうしても必要なもののみ通過。 DMZ←内部 必要なサービスへの アクセスのみ通過 2002/10 ファイアウォールの基礎と構築

DMZ(緩衝地帯)モデル ルータ ファイアウォール サーバ クライアント クライアント 内部サーバ クライアント クライアント サーバへの必要なアクセスは許可するが、サーバ から内部セグメントへのアクセスは禁止する。もし、 サーバに侵入されても、踏み台にして内部にアク セスはできない。 インターネットへ ルータ バリアセグメント ファイアウォール DMZセグメント ポリシーが正しく設定されていれば、 プライベートアドレスで構成してNAT 等を併用してもDMZと呼べる。 サーバ 内部セグメント (Private addr) クライアント クライアント 内部サーバ クライアント クライアント 2002/10 ファイアウォールの基礎と構築

ファイアウォールによる認証 サービス単位の認証 IPアドレス認証 Proxy サーバ等で接続中継時に認証を行う サービス(アプリケーション)ごとに認証操作 IPアドレス認証 一回の認証操作でそのIPアドレスを使っているユーザを認証 複数のサービスに対するアクセス権を一括して与える 2002/10 ファイアウォールの基礎と構築

ファイアウォール製品とVPN ファイアウォール製品の多くがVPN接続に対応 IPSecへの対応による相互接続性 ファイアウォール、ルータなどとの相互接続による仮想ネットワーキング モバイルクライアントへの安全・安価なアクセス手段の提供 2002/10 ファイアウォールの基礎と構築

VPNの方式と互換性 独自方式の VPN 標準方式のVPN 初期のファイアウォールなどに搭載されたメーカ独自の方式 基本的に他社製機器との接続性は保証されない 高いシェアのメーカによる顧客の囲い込みに有利 互換性がないことが利点である場合もないではないが… 標準方式のVPN IPsec の標準化の進行(RFC24xx) 標準に準拠した異なるメーカの機器を相互接続 暗号鍵を自動的に交換、定期的な再発行(IKE) 複数の認証方法 (X.509認証/PKI 、 暗証による認証) 企業連合によるエクストラネットの構成などに利用しやすい VPNの世界は従来はファイアウォールの独断場でした。 各所が独自の方式でVPNを実装したため、シェアの高い(どことは言いませんが(笑))ファイアウォールが顧客を囲い込む道具になったりもしました。 これに対して、Ipsec のような標準VPN手順は、基本的に準拠している複数のメーカーの製品間でVPNが構成でき、エクストラネットのような複数組織間でのVPN構成に威力を発揮します。 独自と標準のどちらがいいかという議論があります。たしかに、自分の会社内だけで使うならば、ブラックボックスである独自方式の法が安全であるかのように思えます。 しかし、一方で、アルゴリズムとプロトコルが公開され、その強度が証明されている標準方式は、多くのメーカーや研究者によって検証されているとも言え、こちらのほうが安全ではないかという議論もあります。また、PKIのようなインフラを構築しやすく、安全のみでなく柔軟なネットワーク作りが可能になると言えます。 2002/10 ファイアウォールの基礎と構築

VPNの利用目的 同一組織のブランチ間のインターネット経由接続 モバイルアクセスのコスト削減と安全性の確保 専用回線の代替えまたはバックアップ、回線費用の節約 モバイルアクセスのコスト削減と安全性の確保 複数組織の協同ネットワーク(エクストラネット)構築 回線費用の節約 インターネットの利用による柔軟性の確保 組織内のネットワークセキュリティーの階層的強化 組織内 LAN のセキュリティー階層化 セキュリティーの低いネットワークを使って重要なネットワークを接続 ワイアレスLANのセキュリティ強化策 VPNを使用する目的について考えてみます。 多くの場合は、回線費用の低減です。従来ならば専用線や公衆回線で接続していた比較的トラフィックの低いネットワーク間接続をVPNに置き換えることになります。 これは自社の視点、営業所といったブランチばかりでなく、取引先や協力企業などとのいわゆるエクストラネットの構築にも便利です。 ここには書いていませんが、インターネットを経由し社内へのモバイルアクセスを行う際のダイヤルアップVPNも今後多く使われていくことになるでしょう。 もうひとつ重要な使い方があります。 2002/10 ファイアウォールの基礎と構築

組織内でのVPN利用例 重要なネットワーク ゲートウエイ 一般のネットワーク WAN接続 一般のネットワーク ゲートウエイ 管理職の端末など 一般のネットワーク ルータ WAN接続 ルータ 一般のネットワーク Wireless AP ゲートウエイ Wireless PC VPNによるトンネル 重要なネットワーク 2002/10 ファイアウォールの基礎と構築

そのほかの付加機能 コンテンツスキャニング 障害対策 URLフィルタ、コンテンツフィルタ機能 ウイルス検出、排除機能 なんでもかんでもファイアウォールで・・は問題あり? 障害対策 ファイアウォールの二重化(Hot Stand-by/fail over) 負荷(トラフィック)分散(Load balancing) トラフィックの分散が必要な局面では、設定内容も複雑になりがちなことに留意する必要がある。すべてのポリシーを入り口のファイアウォールで管理することは本当に妥当だろうか。 2002/10 ファイアウォールの基礎と構築

ファイアウォールの日常管理 物理的管理(物理的セキュリティ) ファイアウォール設置場所の入室管理 ファイアウォールのシステム管理 ログイン、設定変更記録の管理 アラートへの対応 電子メールなどによる警告への緊急対応 ログの管理・監視 定期的なログ解析やログのバックアップ 2002/10 ファイアウォールの基礎と構築

ファイアウォール自身の管理 ファイアウォールそのものを物理的に守る ファイアウォール設置場所はなるべく入室管理可能な場所にする。 ファイアウォール装置のログインパスワードは厳重に管理し、定期的に変更を。 ファイアウォールへのログインは、できればアラート対象にし、記録を確実にとる。 2002/10 ファイアウォールの基礎と構築

アラートへの対応 アラートを受けたら必ず原因の確認を アラートのチューニングも大切 誤りも多いが、こまめに原因確認を 詳細ログから警告原因を特定して対処 アラートのチューニングも大切 発生原因がわかっていて頻繁に出るアラートは出ないようにできればベター 「オオカミが…」の結末にならないように 2002/10 ファイアウォールの基礎と構築

ログの管理・監視 最終的には、やはりログを読むしかないが・・。 ログの安全確保 市販の解析ツールの利用も有効 問題発生時に原因を特定するための足ががりに ログの安全確保 root はログ改竄も可能(ファイアウォールに侵入されたらアウト!) 定期的なバックアップや、別マシンに転送しておくほうが安全(cron による別ディレクトリへの自動コピー、syslog転送などが有効) 2002/10 ファイアウォールの基礎と構築

ファイアウォールでは難しい仕事 通過許可した通信に対するチェックは限定的 DoS(サービス妨害)的攻撃への対応 アプリケーションレベルの攻撃の検知が困難 攻撃シグネチャ検出は理論的には可能だが性能面で問題 DoS(サービス妨害)的攻撃への対応 大量のトラフィック負荷を伴うような妨害攻撃への有効な対策手段は少ない ファイアウォールに頼り切らないことが必要 保護下のサーバの公開サービスの確実な管理 侵入検知システム(IDS)などとの併用 2002/10 ファイアウォールの基礎と構築

ファイアウォール製品を選ぶ際に 操作性と安全性は別 プラットホームは問題ではない アプライアンスかソフトウエアか Windows だから設定が簡単という「誤解」 UNIX系 だから安全という「誤解」 プラットホームは問題ではない プラットホーム(Windows/UNIX etc.)が持つGUIなどの特性よりも、目的とするポリシーをいかに設定しやすく設計してあるかがポイント アプライアンスかソフトウエアか 導入・保守の容易さを取るか、自由度をとるか 2002/10 ファイアウォールの基礎と構築

参考文献・サイト一覧 ファイアウォール構築 (オライリー・ジャパン) 用語から見たファイアウォール技術(二木真明) ファイアウォール構築 (オライリー・ジャパン) 用語から見たファイアウォール技術(二木真明) http://www.kazamidori.jp/SECURITY/ 参考RFC http://www.ietf.org/rfc.html RFC1631 (NAT) RFC1191(Path MTU Discovery) RFC1918 (Private Address) RFC2391 (LSNAT) 2002/10 ファイアウォールの基礎と構築

資料ダウンロード先: http://www.kazamidori.jp/SECURITY/ まとめ 「ファイアウォールがあれば安心」は× なにができるか、できないかを正しく把握する 機能比較表に惑わされないこと 機能の多さよりも、必要な機能があるかどうか 「導入すること」よりも「正しく設定・運用すること」 資料ダウンロード先: http://www.kazamidori.jp/SECURITY/ 作成:2000/12 二木 真明(住友商事) 改訂:2001/12 二木 真明(エスシー・コムテクス) Copyright reserved by M.Futagi (futagi@kazamidori.jp) 2002/10 ファイアウォールの基礎と構築