サーバー構築 セキュリティ TCP/IP基礎 TIPS 書籍 ブログ リンク

Web全体 サイト内検索

 セキュリティ予備知識
セキュリティの必要性
攻撃のパターン
トロイの木馬の種類と仕組み
 ファイアーウォール導入編
ファイアーウォールとは?
セキュリティポリシーの策定
パケットフィルタリングとその凡例
Zone Alarmのインストール
Zone Alarmの設定
SygatePersonal Firewallのインストール
SygatePersonal Firewallの設定
SPF 「Advanced Rules」の設定
 セキュリティ強化実践編
NetBIOS over TCP/IPを無効にする
ブラウザのセキュリティ対策
Microsoft Outlookのセキュリティ強化
Spybotによるスパイウェアの駆除
スパイウェアの駆除(文献古いです)
プロキシ(代理)サーバーを利用する
トロイの木馬の駆除
診断サービスを利用する
 ウィルス対策編
ウィルスの基礎知識
 最新ウィルス情報
IPAセキュリティセンター
Symantec Security Response
Trend Micro
McAfee
 セキュリティ診断 関連サイト
PC Flank
Sygate Online Services
Symantec Security Check
Shields Up!!
パーソナルセキュリティ研究所
 FIREWALL DOWNLORD
Zone Alarm
Zone Alarm(日本語化)
ZoneLog Analyser
Sygate Personal Firewall
Agnitum Outpost Firewall
Tiny Personal Firewall
Tiny Personal Firewall(日本語化)
Norton Personal Firewall(体験版)
Kerio Personal Firewall
BlackICE Defender
At Guard
 関連 DOWNLORD
Ad-Aware
Ad-Aware(定義アップデート)
Spybot -S&D
The Proxomitron(日本語サイト)
AVG Anti-Virus
 




次項の「パケットフィルタリングとその凡例」に移る前に「セキュリティポリシー」というものを策定しておく必要があります。ルータやファイアーウォールなどでパケットフィルタリングを行う際には、どのようなパケットを透過し、どのようなパケットを遮断するのかを正しく設定しておかないと、インターネットにすら接続することができなくなってしまいます。セキュリティポリシーとは企業全体の情報セキュリティに関する基本的な方針のことを指し、その方針に基づいてどのような対策基準や実施手順を踏んでいくのかを取り決めたものです。セキュリティポリシーを策定し、そのポリシーをきちんと実践している企業に関しては、機密漏洩、外部からの侵入、コンピュータウィルスへの感染、データ喪失時の対処などあらゆる面で社員一人一人のセキュリティ意識が高く、トラブル発生時の実施すべき対策が明確になっているので、被害を最小限に食い止めることができるようになります。また、そのような企業はそのままイメージの向上にもつながります。企業内でセキュリティポリシーを策定しておくことは、社内を常に綺麗に保っておくだとか、お客様には丁寧な応対をするだとかと同じように最低限の身だしなみであると言えるのです。個人レベルでセキュリティを確保する場合も同じことです。企業レベルほどしっかりとした対策をする必要はないかと思いますが、とりあえず、どのような制限を行うのかに関しては最低限をポリシーを策定しておく必要があるでしょう。




■安全性?それとも利便性?

セキュリティポリシーには一般的に「安全性」を選択するケースと「利便性」を選択するケースの2種類の方法に大別されます。

 安全性:全ての通信を遮断し、必要な通信だけ透過する

例:)80番(HTTP)、20/21番(FTP)、53番(DNS)、443番(HTTPS)、25番(SMTP)、110番(POP)、8080番(Proxy)など他にも必要であればその都度、通信を許可するように設定する。

 利便性:全ての通信を透過し、危険な通信だけ遮断する

例:)23番(TELNET)、135番、137-139番(NetBIOS)、445番(Microsoft-DS)などの危険なポートを遮断する。他にも必要であれば遮断ルールを追加していく


一見、どちらも同じような方針であるような気がしますが、よくよく考えてみると「安全性」の方がセキュリティが強固であることが理解できるでしょう。「利便性」を選択した場合は、とりあえず危険なポートのみ閉じられている状態となっているわけですが、それ以外のポートはすべて開かれているため、予期しなかった不正なパケットの侵入を許し、セキュリティが下がります。逆に「安全性」は基本的に全てのポートが閉じられており、必要な通信を行うためのポートだけが開かれているため、不正なパケットが侵入してくる可能性を、前もって摘むことができるようになり、セキュリティが向上します。

◎フィルタリングルール例




■「内部から外部」と「外部から内部」

セキュリティポリシーには実際のデータの流れにあわせて「内部から外部」(LAN⇒WAN)への通信と「外部から内部」(WAN⇒LAN)への通信のそれぞれに対して行う必要があります。普通にインターネットに接続する際を考えてみましょう。あるWebページを閲覧する際に、「どこどこのホストのなんとかというWebページが見たい」場合には相手側にそのような要求を伝える必要があるので内部から外部への通信を許可しなくてなりません。それとは逆に、そのホストとWebページが存在し、応答を確認した場合には、相手側はその要求に答えるためにヘッダに記載された情報をもとに自分のコンピュータへとデータを返してきます。その時、外部から入ってきたデータを内部へ受け入るように設定することでWebページを閲覧することができるようになります。このようなことから「内部から外部」への通信を許可したら「外部から内部」への通信も同時に許可してあげる必要があるのです。以下にその例を挙げてみます。


■「内部から外部」

・特定のコンピュータから外部にアクセスをできないようにする場合
・特定のアプリケーションの通信を許可する場合(HTTPやFTP、DNSなど)

■「外部から内部」

・特定のコンピュータからはアクセスできないようにする場合
・特定のパケットを遮断する場合(TELNETなど)
・サーバーへのアクセスを許可できるようにする場合

◎データのやり取りができないパターン






ところで、サーバーを公開することを前提とするならば「利便性」よりも「安全性」を選択したいところです。しかしながら、「安全性」を選択するにはそれなりのTCP/IPの理解が必要になってきますし、アプリケーションがどのようなポート番号を使用して動作しているのかも知っておかなければなりません。セキュリティポリシーを適当に考えると通信することのできないネットワークアプリケーションが出てきたり、あるいはシステムの整合性がとれなくなってしまい、返って脆弱点を浮き彫りにすることにもなりかねません。そのような方はある程度の知識がついてくるまでは余計な設定をいじることなしに、デフォルトの設定にしておいた方が良いこともあります(つまり、「利便性」)。特にルータは危険なポート番号がデフォルトでも大抵、閉じられているため、むしろそちらの方が良いという考え方もあるでしょう。

いずれにせよ、フィルタリングの設定を実際に行うのは皆さんです。その際には「何を透過し、何を遮断するのか」といったことをよく考えてからしっかりとしたセキュリティポリシーを策定しておくことが大事であるということを覚えておいてください。



 

Copyrights©KORO 2002-08 All Rights Reserved.Since 02/08/15 | サイトのプライバシーポリシー