連載ではこれまで、ファイアウォールの仕組み、そしてフリーソフトウェアを用いてのファイアウォール構築について解説してきました。今回からは、市販のファイアウォール製品であるCheck Point社の「FireWall-1」を使用したファイアウォール構築法を紹介していきたいと思います。
FireWall-1とは?
イスラエルのCheck Point社のファイアウォール製品であるFireWall-1(2001年8月現在の最新バージョンは4.1)は、世界で最も多く使われているファイアウォール製品です。その特徴は、以下のとおりです。
- ステートフルインスペクション
ステートフルインスペクションとは、パケットのステート(状態)を使用して適切なアクションを設定できるため、非コネクション型の通信(UDPやICMP)に対しても、簡単にルールを適用することができます
- 分散クライアント/サーバ構成
FireWall-1は、ファイアウォールモジュール、管理サーバ、GUIクライアントなどから成り、1台のGUIクライアントで複数のファイアウォールを管理することができます。ここでは、最もシンプルな導入例として、ファイアウォールモジュールと管理サーバを1台のマシンにインストールし、GUIクライアントをもう1台のマシンにインストールする構築例を紹介します
- さまざまな種類のOSに対応
Windows NT/2000、Solaris、Linuxなどを始めとする多様なOSに対応しているため、選択の幅が大変広くなっています。また、専用のOSを使ったアプライアンス型の製品もあります(例:ノキアの「IP」シリーズなど)
FireWall-1の導入法
ここでは、FireWall-1を使用したファイアウォールの構築手順を紹介します。おおまかな手順は以下のとおりです。
- ハードウェア/OSの選択
- OSのインストール
- FireWall-1のインストール
- GUIのインストール
- オブジェクトの作成
- デフォルトのルール
- プロパティの設定
- ポリシーの作成と適用
- そのほかの設定
- ポリシー作成のコツ
●ハードウェア/OSの選択
ハードウェアはできる限り信頼性の高いものを使用します。また、RAID(特にミラーリング)を使用して、RAID内のいずれかのHDDが故障しても、残りのHDDで動作し続けるような構成にしておいた方が安全です。さらに、高信頼性や高いスループットを必要とする場合は、専門のベンダーに依頼した方がよいでしょう。
OSは、安定性やメンテナンスのしやすさを考慮して選びましょう。UNIX系のOSならば、メンテナンスや要塞化も容易に行えます。特にSolarisは、安定性も高く、ソフトウェア RAID*1などの優れた機能を持っているため、ファイアウォール用のOSとしてお奨めです。
*1ソフトウェアRAIDは、ソフトウェアレベルでRAIDを実現する機能です。Solarisでは、「DiskSuite」というソフトウェアを用いてRAIDを実現できます
●OSのインストール
OSをインストールする際には、余計なものをインストールしないように気をつけます。余計なものがインストールされていると、セキュリティホールが発生しやすくなります。Solarisの場合は、インストールクラスタに「Core System Support」を選択しておけば、余計なもの*2はインストールされません。ただし、Core Systemでは、FireWall-1 のインストールに必要なコマンドがインストールされないので、Solaris 7のSoftware CD-ROMが「/mnt」にマウントされている状態で、以下の手順でコマンドをインストールしておきます。
# pkgadd -d /mnt/Solaris_2.7/Product SUNWlibC (メッセージに従いパッケージをインストールする) # mkdir /usr/ucb # ln -s /usr/bin/ln /usr/ucb/ln
さらに、追加で以下のパッケージも追加しておきましょう。これには、パッチのバージョンの管理に便利な「showrev」コマンドと、オンラインマニュアルの参照に必要なファイルが含まれています。
# pkgadd -d /mnt/Solaris_2.7/Product SUNWadmc SUNWadmfw SUNWdoc SUNWman (メッセージに従いパッケージをインストールする)
OS のインストール後は、必ず最新のパッチを適用しましょう。その後、可能な限りの要塞化を施します。ここでは、前回までの記事を参考に、余計なサービスを停止させておきます。また、メンテナンス用のリモートログインを許可するときは、「telnet」ではなく「ssh」を使うようにしましょう。その際に、sshのアクセス制限で、ログインを許可するIPアドレスをイントラネット側のみに限定します。
*2実は、「Core System」でも一部余計なパッケージがインストールされてしまいます。これらを削除することも可能ですが、多少リスクが伴います。詳しくは、以下のURLを参考にしてください
http://www.enteract.com/~lspitz/core6.txt
http://www.enteract.com/~lspitz/core7.txt
http://www.enteract.com/~lspitz/armoring2.html
●FireWall-1のインストール
FireWall-1のインストールは、マニュアルどおりに行ってください。ここでは、「ファイアウォールモジュール」と「管理サーバ」を同じマシンにインストールします。この2つのモジュールの機能は、FireWall-1の特徴でもあります。ここでは説明しませんが、あらかじめマニュアルをよく読んで理解しておいてください。
FireWall-1のインストール後は、必ず最新のサービスパックおよびパッチを適用してください。2001年9月15日現在、FireWall-1 version 4.1には、SP5と2つのhotfixがリリースされています。特に2つのhotfixについては、セキュリティ関係の修正となっているので、必ず適用してください。
インストール後、次に紹介するGUIクライアントマシンのIPアドレスと、管理用アカウントを指定する必要があります。ここでいうアカウントとは、FireWall-1の設定を行う管理者用のアカウントであり、OSのアカウントとは異なります。特に、OSで使用するアカウントと同じ名前はもちろん、同じパスワードを使わないように注意してください。
(追記:2001/10/1)
9月19日に、Windows NTまたはWindows 2000で動作するVPN-1 /FireWall-1管理サーバに存在する問題のhotfixがリリースされています
http://www.checkpoint.co.jp/techsupport/alerts/buffers_overflow.html
●GUIのインストールとログイン
FireWall-1の設定は、FireWall-1のGUIから行います。GUIは、FireWall-1本体とは別のWindowsマシンにインストールします。GUIにもサービスパックが提供されているので、最新のものを適用しておきます。
FireWall-1の設定を行うには、まずGUIでFireWall-1マシンにログインする必要があります。Policy Editor 4.1(ポリシーエディタ)を起動して、ユーザー名、パスワード、IPアドレスを入力します(画面1)。
ログインに成功するとポリシーエディタのウィンドウが表示されます(画面2)。ここで、FireWall-1の設定のすべてを行うことができます。
Copyright © ITmedia, Inc. All Rights Reserved.