7. セキュリティネットワーク (ファイアウォール) 情報工学専攻 川島 亮
7.1 イントラネットの構成要素 インターネット側からの不正 アクセスを防ぐためにファイ アウォール(FW)を設置する ゲートウェイとも呼ばれる ルータの内側に設置する イントラネットのセキュリティはファイアウォールの設定によっ て安全にも脆弱にもなる
7.1.1 ファイアウォール 「防火壁」から転用 パケットの通過・拒否・破棄 フィルタリングは、 宛先・送信元のIPアドレス ・ポート番号を用いる egress通信に伴うingress通信に関しては、 FW内で状態を持たせて動的にポートの開放・閉鎖を行う
7.1.2 侵入検知システム・侵入防御システム 侵入検知システム(IDS) 通信路を監視し、攻撃パターンもしくは攻撃の特徴のデータ ベースに基づいて攻撃を検知する 侵入防御システム(IPS) IDSに加えて検知したものを遮断する機能を持つもの トラフィック量が処理能力を超えると 取りこぼしがある ホストの処理に影響を与える 可能性がある
7.1.3 WAF(Web Application Firewall)
7.1.4 VPN 接続するVPNサーバが設置されているネットワークに カプセル化によってIPアドレスなどをトンネリングする技術
7.1.4 VPN インターネットVPN・IP-VPN インターネットVPNはインターネット を中継網に利用するためコストは安い が、安全性はVPN機器の暗号化機能に 依存するため、IP-VPNに比べて低いと いえる。 IP-VPNは通信事業者の提供する閉域網 を利用するため、安全性は高いといえ るが、コスト面ではインターネット VPNに比べればやや高くなる。
7.2 FWを用いたネットワーク構成例 ネットワークの利用を開始する前に、インターネット側から 「ぺネストレーションテスト」と呼ばれる脆弱性を探し出す 検査を行うケースが多い。
7.2.1 公開サーバ群をFWの外に置く構成 内部ネットワークはFWに よって直接の接続が禁止さ れ守られる。 外側にある公開サーバ群は ポートスキャンやOSの脆弱 性を悪用する攻撃にさらさ れているため、不要なポートを閉じるなど、セキュリティの強 化に努めなければならない。 インターネットからイントラネットへの直接接続は一切禁止し、 公開サーバ群を経由してイントラネットへの通信を行う。
7.2.2 公開サーバ群をFWの中に置く構成 FWにおいてサービスごと にサーバとポートを指定す るフィルタリングルールを 作るのが一般的。 公開が必要なIPアドレスと ポート番号のみしかインタ ーネットに開放されないので、安全性は高まる。 公開サーバ群が社内ネットワークと同じセグメントにあるため、 Webサーバソフトウェアなどの脆弱性については特に気を付け なければならない。そこから社内サーバへの侵入を許す可能性 がある。
7.2.3 公開サーバ群をFWの別ポートに 設置する構成 3つのネットワークインタ ーフェースを持つFWにイ ンターネット・イントラネ ット・DMZを接続する。 DMZ(DeMilitarized Zone) インターネットとイントラネットの通信を直接行わずに各種 サーバ群を経由するネットワーク構成とする際に、イントラ ネットとサーバ群を別のセグメントに分離したもの。 イントラネットとインターネットとの直接の通信は禁止し、 DMZのサーバ群を経由させる。
7.2.3 公開サーバ群をFWの別ポートに 設置する構成 トラフィックが集中し単一障害点と なる。 障害対策としてシステムの2重化など の冗長化を行う。
7.2.4 FWによって公開サーバ群を挟む 構成 DMZの公開サーバ用に必 要なIPアドレスとポート番 号を開放するフィルタリン グルールを設定する。 イントラネットとインタ ーネットとの直接の通信は 禁止し、DMZサーバ群を 経由させる。 FWの単一障害の問題を解消し、1台目のFWに侵入されても2台 目でさらなる侵入から守る。
北朝鮮のマルウェア「Volgmer」、米当局がアドレスなど公表 北朝鮮が各国の企業やインフラを狙ったサイバー攻撃を仕掛けて いるとされる問題で、米セキュリティ機関のUS-CERTは11月14日、 こうした攻撃に使われているトロイの木馬型マルウェア 「Volgmer」に関連するIPアドレスなどの詳細を突き止めたと発 表した。