■安全性?それとも利便性?
セキュリティポリシーには一般的に「安全性」を選択するケースと「利便性」を選択するケースの2種類の方法に大別されます。
 |
| 安全性:全ての通信を遮断し、必要な通信だけ透過する |
|
例:)80番(HTTP)、20/21番(FTP)、53番(DNS)、443番(HTTPS)、25番(SMTP)、110番(POP)、8080番(Proxy)など他にも必要であればその都度、通信を許可するように設定する。
|
| 利便性:全ての通信を透過し、危険な通信だけ遮断する |
|
例:)23番(TELNET)、135番、137-139番(NetBIOS)、445番(Microsoft-DS)などの危険なポートを遮断する。他にも必要であれば遮断ルールを追加していく
一見、どちらも同じような方針であるような気がしますが、よくよく考えてみると「安全性」の方がセキュリティが強固であることが理解できるでしょう。「利便性」を選択した場合は、とりあえず危険なポートのみ閉じられている状態となっているわけですが、それ以外のポートはすべて開かれているため、予期しなかった不正なパケットの侵入を許し、セキュリティが下がります。逆に「安全性」は基本的に全てのポートが閉じられており、必要な通信を行うためのポートだけが開かれているため、不正なパケットが侵入してくる可能性を、前もって摘むことができるようになり、セキュリティが向上します。
◎フィルタリングルール例
■「内部から外部」と「外部から内部」
セキュリティポリシーには実際のデータの流れにあわせて「内部から外部」(LAN⇒WAN)への通信と「外部から内部」(WAN⇒LAN)への通信のそれぞれに対して行う必要があります。普通にインターネットに接続する際を考えてみましょう。あるWebページを閲覧する際に、「どこどこのホストのなんとかというWebページが見たい」場合には相手側にそのような要求を伝える必要があるので内部から外部への通信を許可しなくてなりません。それとは逆に、そのホストとWebページが存在し、応答を確認した場合には、相手側はその要求に答えるためにヘッダに記載された情報をもとに自分のコンピュータへとデータを返してきます。その時、外部から入ってきたデータを内部へ受け入るように設定することでWebページを閲覧することができるようになります。このようなことから「内部から外部」への通信を許可したら「外部から内部」への通信も同時に許可してあげる必要があるのです。以下にその例を挙げてみます。
■「内部から外部」
・特定のコンピュータから外部にアクセスをできないようにする場合
・特定のアプリケーションの通信を許可する場合(HTTPやFTP、DNSなど)
■「外部から内部」
・特定のコンピュータからはアクセスできないようにする場合
・特定のパケットを遮断する場合(TELNETなど)
・サーバーへのアクセスを許可できるようにする場合
◎データのやり取りができないパターン
ところで、サーバーを公開することを前提とするならば「利便性」よりも「安全性」を選択したいところです。しかしながら、「安全性」を選択するにはそれなりのTCP/IPの理解が必要になってきますし、アプリケーションがどのようなポート番号を使用して動作しているのかも知っておかなければなりません。セキュリティポリシーを適当に考えると通信することのできないネットワークアプリケーションが出てきたり、あるいはシステムの整合性がとれなくなってしまい、返って脆弱点を浮き彫りにすることにもなりかねません。そのような方はある程度の知識がついてくるまでは余計な設定をいじることなしに、デフォルトの設定にしておいた方が良いこともあります(つまり、「利便性」)。特にルータは危険なポート番号がデフォルトでも大抵、閉じられているため、むしろそちらの方が良いという考え方もあるでしょう。
いずれにせよ、フィルタリングの設定を実際に行うのは皆さんです。その際には「何を透過し、何を遮断するのか」といったことをよく考えてからしっかりとしたセキュリティポリシーを策定しておくことが大事であるということを覚えておいてください。
サーバー構築
