Web教材一覧> ネットワーク> ネットワークセキュリティ技術
インターネットなど外部ネットワークから社内ネットワークに不正アクセスを防ぐ代表的な手段にファイアウォールがあります。
ファイアウオール、セキュリティホール、バックドア、ポート閉鎖、ポートスキャン攻撃、パケットフィルタリング型、認証サーバ、ステートフルインスペクション型、アプリケーションゲートウェイ型、コンテンツフィルタリング型、プロキシ型、WAF、UTM、DMZ
ファイアウォール(firewall)とは防火壁のことですが,インターネットなど外部のネットワークから組織内のネットワークへ侵入するのを防ぐ仕組みです。インターネットと内部ネットワークの間に設置されます。専用のハードウェアを設置することもありますが、ファイアウオール機能をもつソフトウェアをルータに組みこんで使用することもあります。
社員が自宅や外出先から社内システムにアクセスするテレワークやモバイル・コンピューティングが普及してきました。その効果を高めるには,社外にいてもインターネットを通して社内のネットワークにアクセスして、オフィスにいるのと同じような環境にする必要があります。
企業では社外に向けてWebサイトを構築していますし、それを用いて顧客との商取引をしていることもあります。このWebサイトは社内からも閲覧・更新できるようになっていなければなりません。すなわち、Webサーバはインターネットと社内ネットワークの両方に接続している必要があります。
このように、インターネットと社内ネットワークを接続すると、不正アクセスの危険があります。この解決をするための基本的な対策がファイアウォールの設置です。
インターネットと社内ネットワークの間に設置して、インターネットからのアクセスが、権限を与えられた人が許可された利用をするときには社内ネットワークへ通すが、そうでないアクセスは通さないための仕組みです。
ファイアウォールの機能は多様です。外部から内部へのアクセスを遮断するだけでなく、内部から外部への情報漏えいや不適切なWebサイト接続など不正な通信を遮断するためにも適用できます。
不正アクセスなどに利用される,コンピュータシステムやネットワークに存在する弱点や欠陥のことです。
ファイアウォールの設定では、セキュリティポリシーやリスク分析により、通過・遮断の方針を明確にすること、不正手口の進化に対応して、ファイアウォールソフトを最新の状態にしておくこと、監視やアクセスログの収集・分析の体制を整えておくことが必要です。
そのような対策を講じていても、不注意や新手口により、セキュリティホールは存在します。それを発見して早期に塞ぐことが重要です。
セキュリティホールの代表的なものにバックドア(裏口)があります。正規のファイアウオールを通さない、社内ネットワークとインターネットの接続口です。
バックドアは、侵入者が通常のアクセス経路以外で侵入するためにひそかに組み込むこともありますし、社内利用者が安易な気持で作成してしまうこともあります、
それへの対処が不十分だと、ファイアウオールを設置しても抜け穴ができ、それを通して不正アクセスが行われます。
ファイアウオールでの通過・遮断の判断には、ユーザIDやパスワードなどによる本人確認が基本なことは当然ですが、ファイアウオール特有なものにポート閉鎖があります。
ポートとは、TCPヘッダのポート番号のことで、Webページ閲覧でのプロトコルHTTPは80、電子メール発信・転送のSMTPは25というように、アプリケーションを指定するものです(参照:「ウェルノウン・ポート番号」)。
外部に公開しているWebサーバやメールサーバは、一般の外部利用者も使うのですから、80や25は開いておく必要があります。それに対して、社内用DBサーバなどをリモートアクセスするTELNET(23)などのポートは、社員以外にはアクセスできないように、閉じておく、あるいは、標準的なポート番号と異なる番号に設定することが必要があります。
アクセス可能なポートを調査する機能をポートスキャンといいます。
ポートスキャンは、サーバ管理者がセキュリティ対策として用いるのが本来の用途ですが、悪意の第三者に使われると、標的サーバが利用できるポート番号をスキャンして攻撃されます。それをポートスキャン攻撃といいます。
ファイアウォールには,不正アクセスをチェックする対象レベルや利用目的などにより、いろいろな種類があります。
パケットフィルタリング型は,主にパケットのヘッダ部分(送信元および送信先のIPアドレス、パケットの種類、ポート番号など)を調べて,アクセスの許可/不許可を決定します。データそのものを調べるのではないので,高速に処理できます。
内部ネットワークのホストをプライベートIPアドレスにしておき,NATあるいはNAPTを用いることにより,外部のグローバルIPアドレスに変換することにより,内部のホストの存在を通信相手から完全に隠すことができます。それにより,外部から直接に内部にアクセスできなくして,セキュリティを高めることができます。
特に、アクセスしてきた利用者の本人確認を主とするサーバを認証サーバといいます。
パケットを調べるだけでなく、そのパケットがTCPで確立済みのセッションのものかどうかもチェックします。すなわち、パケットフィルタリング型では入力パケットだけが対象ですが、これは出力パケットも対象にして、不正な利用をしていないかもチェックします。
この型を発展させたものにマルチレイヤーインスペクション型があります。
コンテンツフィルタリング型、プロキシ型ともいいます。
コンテンツフィルタリング型の機能では,ヘッダ部分だけでなく,パケットのデータの中身まで調べ(コンテンツフィルタリング)ます。登録したキーワードと自動照合するなど、調べる項目やレベルは設定によります。パケットフィルタリング型より細かい設定が可能になります。しかし,それだけ負荷が増大するので,効率が悪くなります。
アプリケーションゲートウェイ型を、代理という意味であるプロキシ(proxy)機能に着目したときの名称です。ファイアウォールとやや性格が異なり、社内LANにあるクライアント(パソコン)とインターネットのWebサーバなどとの仲介をします。
プロキシサーバには、リバースプロキシとフォワードプロキシがあります。
DMZ(De-Minitarized Zone:非武装地帯)とは、企業内ネットワークも,外部ネットワークからも論理的に隔離されたネットワーク領域です。
フアイアウォールによりDMZが設定できます。外部にも公開するWebサーバなどはDMZに設置することにより、企業内ネットワークからも外部ネットワークからもアクセスできます。
社外秘サーバは、DMZの外の企業内ネットワークに設置することにより、企業内ネットワークからはアクセスできるが、外部ネットワークからは見えなくすることができます。
Webサーバはインターネットで公開するが,社外秘サーバはインターネットからはアクセスできないようにしたいのです。そのとき,ファイアウォールは,どのように設置すればよいでしょうか?
図Aのように設置すると,インターネットからWebサーバにアクセスできるが,社外秘サーバにはアクセスできません。ところがこれではWebサーバが全然保護されていないので,Webページが改ざんされる危険があります。
それで,図BのようにWebサーバをファイアウォールの内側に置くと,Webサーバ閲覧のためにHTTPは許可する設定になります。すると,HTTPでアクセスする社外秘サーバをどうするかなど,設定管理が複雑になります。しかも,ファイアウォールでのNAT機能が有効にならない危険もあります。
このような問題を解決するには,図Cのようにファイアウォールを二つ置いて,外側のファイアウォールでWebサーバを守り,内側のファイアウォールで社外秘サーバを守ればよいことになります。この2つのファイアウォールで囲まれた場所をDMZといいます。
しかし,図Cはあまりにも冗長です。それでファイアウォールにインターネット・内部ネットワーク・DMZの三つのポートを持って,個々のネットワークの通過条件を設定することにより,図Dのような構成にしています。