ファイアウォールの基礎知識:ファイアウォール運用の基礎(1)(1/2 ページ)
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
近ごろ、新聞やTVで、ホームページの不正改ざんのニュースが多数報道されています。2月から3月にかけて、中国のハッカー集団によって日本のサイトが集中的に攻撃されました。特に小さな企業のWebサーバの場合、十分な知識を持った担当者に運用されていることはほとんどありません。その結果、多数のサイトのホームページが、不正に改ざんされてしまったのです。
このようなセキュリティが甘いネットワークを不正アクセスから守るには、ファイアウォールの設置が効果的です。しかしながら、世の中にはファイアウォールについての間違った情報が多く見かけられます。例えば、報道の中で「ファイアウォールがあれば防げた」というコメントを見かけることがあります。これは明らかに間違った情報です。なぜならば、最近のホームページの不正改ざんには、マイクロソフトのIIS(Internet Information Server)や、DNSサーバのbindのバグを突いた攻撃が、多く利用されているからです。これらのバグを利用すれば、簡単にサーバを乗っ取ったり、ファイルを不正改ざんすることができます。そして残念ながらこのような攻撃は「ファイアウォールを設置していても防ぐことができない」のです。
それでは、ファイアウォールの役割と仕組みとは、どういったものなのでしょうか? 本連載では、ファイアウォールの基礎知識や仕組みから、実際の構築や運用について紹介していきます。第1回目の今回は、ファイアウォールの仕組みや役割を、基礎から紹介します。
ファイアウォールは外敵の侵入を防ぐ最初の砦
ファイアウォールは、企業のネットワークのように機密性の高いネットワークを、インターネットのようなオープンなネットワークから分離するためにあります。オープンなネットワークは、さまざまな人が趣味や仕事で利用していますが、当然そこには悪意を持った人も数多く存在します。インターネットに接続するということは、だれでも悪意を持った攻撃にさらされる可能性があります。そのような攻撃から、機密性の高いネットワークを守る“防火壁”の役割を果たすシステムのことを、「ファイアウォール」と呼びます。
しかしながら、ファイアウォールは完全なセキュリティ対策ではありませんので、ファイアウォールを設置しただけでは防御しきれないものもあります。そのため、ファイアウォールと併せて、第1、第2の防御策*1を講じておくのが正しいセキュリティ対策のあり方です。ファイアウォールは、外敵の攻撃から身を守るための最初の砦にすぎないのです。
*1そのほかのセキュリティ対策として、ホストの要塞化、アンチウイルスソフトウェアの導入などがあります。ここでは触れませんが、いずれも重要なセキュリティ対策ですので、検討することをお勧めします
ファイアウォールの機能
以下に、最もシンプルなファイアウォールの設置例を示します。
図1 もっともシンプルなファイアウォール設置の例ファイアウォールは、図からも分かるように、イントラネット*2とインターネット間の唯一の出入り口となるように設置します。ここを通過する通信は、すべてファイアウォールで制御可能です。つまり、ファイアウォールの管理者が意図するようなポリシー(ルール)を、すべての通信に適用(強制)することができます。これによって、インターネットからの攻撃を防ぐだけでなく、イントラネットからの情報の漏洩なども、ある程度防ぐことができます。
複数のネットワークを接続するファイアウォールは、ルータのような役割を果たします。ルータとの違いは、ファイアウォールでは基本的に許可された通信しか中継しないことです。ルータでも簡単なアクセス制限なら実現できますが、以下に示すようなファイアウォールの主要な機能は、専用の製品でないと実現は難しいでしょう。
- アクセス制限
- アドレス変換
- ユーザー認証
- ログ収集/解析
- コンテンツフィルタリング
- ルーティング
このように、ファイアウォールの機能は多岐にわたり、さまざまな特徴を持った製品が存在します。しかも、ひとえにファイアウォールといっても、アプリケーションソフトウェアかもしれませんし、OSレベルで実現されていることもあります。また、製品として販売されているものもあれば、無償で配布されているものもあります。そのため、企業でファイアウォールを導入する際には、環境に合わせて注意深く選ぶ必要があります。
*2ここでは、イントラネットを、外部に資源を公開していないネットワークという意味で使用しています
ファイアウォールにできること/できないこと
以下のようなネットワークがあるとします。
図2 一般的な企業のネットワーク構成。インターネット、DMZ(インターネットにサービスを公開しているネットワーク)、社内ネットワークのイントラネットの3つをファイアウォールで中継しているある会社が、ファイアウォール経由でインターネットに接続しています。ファイアウォールには、3枚のネットワークカードが差さっており、それぞれイントラネット、インターネット、そしてDMZという3つのネットワークに分けられています。DMZとは「DeMilitarized Zone」という意味で、非武装地帯と訳されます。DMZでは、インターネットに公開されるサービスが運用され、イントラネットには業務で使用されるパソコンが接続されるものとします。
ここでは、公開するサービスへのアクセスのみを許可し、DMZからイントラネットへのアクセスは基本的に不許可とします。もし万が一、DMZ上のホストが、悪意を持った人間に乗っ取られたとしても、イントラネット側には影響が及ばないようにするためです。
このように、ユーザーが定めたルールに従って、不必要なアクセスを遮断する(必要なアクセスのみを許可する)のがファイアウォールの仕事です。許可されていないアクセスについてはファイアウォールで遮断されているので、不正アクセスに利用されることはありません。しかし、許可されたアクセスを利用して行われる攻撃については、ファイアウォールでは防ぐことができません。このような攻撃の主なものに、バッファオーバーフローや、サーバアプリケーションの設定ミスを突いた攻撃があります。最初に、最近の攻撃手法の傾向としてIISやbindのバグを挙げましたが、これらの攻撃は許可されたアクセスを利用して行われるため、ファイアウォールを設置しただけでは防ぐことができないのです。
図3 ファイアウォールの概念図。ファイアウォールでは、定められたルールに従って不必要なアクセスを遮断するのが仕事だ。だが、許可されたアクセスを利用した攻撃は防げない。侵入者は、この点をついて、悪意をもったプログラムなどを送り込んで社内ネットワークへの侵入を試みたりするCopyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。