ファイアウォールの構築を始める前に
ファイアウォールは、ネットワークにおいて非常に重要な役割を果たしており、ちょっとした設定ミスで、通信ができなくなってしまうだけでなく、セキュリティ上の危険をもたらす可能性もあります。そういった事態を未然に防ぐため、ファイアウォールの構築を始める前に、TCP/IPとファイアウォールの仕組みを正しく理解しておきましょう。
ファイアウォールを学ぶときにお勧めなのは、TCP/IPの基礎はもちろん、ネットワークセキュリティの基礎であるサーバの要塞化から始めて、次にフリーソフトウェアなどを使った簡単なファイアウォールの構築を行うという方法です。ファイアウォールはネットワークにおけるパケットの通過点ですが、パケットの終着点であるサーバよりもはるかに設定が複雑です。そのため、まずサーバの要塞化をよく理解したうえでファイアウォールの構築を始めた方が、順を追って知識を得ることができるでしょう。
それでは、今回は一度ファイアウォールから離れて、サーバの要塞化とTCP/IPの基礎をおさらいしましょう。
アクセス制限とパケットフィルタリング
メールの送受信を例にとると、あるユーザーがメールを送信して、相手がメールを読むまでの間に、さまざまなサービスが使用されています。例えば、メールを送るときとメールを取りに行くときでは、SMTPとPOP(またはIMAPなど)という異なったサービスを使用します。このようなサービスの中には、不用意に立ち上げておくと、悪意を持った人間に悪用されてしまいがちなものや、重要な情報が漏洩してしまうものもあります。
インストール直後のOSでは、これらの不必要なサービスが多く起動されています。さらにデフォルトでは、サービスへのアクセス制限などがまったく行われておらず、悪意を持った攻撃者の絶好のターゲットとなりがちです。このようなサービスを不正に利用されないために、サービスのアクセス制限や、パケットフィルタリングを行います。
アクセス制限は、アプリケーションに制御が移された段階で接続の許可/非許可を決定するのに対して、パケットフィルタリングは、それより前の「カーネル」と呼ばれるOSの基礎部分でパケットの許可/非許可を決定します。多くのOSでは、カーネルが最初から持っている機能か、専用のソフトウェアをカーネルに組み込むことで、パケットフィルタリングを実現しています。
図1からも分かるように、パケットフィルタリングは、アプリケーションによるアクセス制限よりさらに下の層で行われます。そのため、アプリケーションでアクセス制限が用意されていない場合に、その代わりとして使用することができます。パケットフィルタリングの長所と短所を、アプリケーションによるアクセス制限と比べると、表1のようになります。これらの違いは、前回紹介したプロキシ型のファイアウォールとパケットフィルタリング型のファイアウォールのものと、ほぼ同じといえます。
| ポイント | 説明 |
|---|---|
| 長所 | ・高速な処理ができる ・細かな制御が可能 ・早い段階でパケットを拒否することができるので、より強固なセキュリティ対策となる |
| 短所 | ・設定が分かりづらい ・導入に失敗すると、OSの動作に支障をきたすことがある |
| 表1 パケットフィルタリングの長所と短所 | |
Copyright © ITmedia, Inc. All Rights Reserved.