サーバの要塞化とTCP/IPの基礎知識：ファイアウォール運用の基礎（2）（1/3 ページ）

ファイアウォールの構築を始める前に

　ファイアウォールは、ネットワークにおいて非常に重要な役割を果たしており、ちょっとした設定ミスで、通信ができなくなってしまうだけでなく、セキュリティ上の危険をもたらす可能性もあります。そういった事態を未然に防ぐため、ファイアウォールの構築を始める前に、TCP/IPとファイアウォールの仕組みを正しく理解しておきましょう。

　ファイアウォールを学ぶときにお勧めなのは、TCP/IPの基礎はもちろん、ネットワークセキュリティの基礎であるサーバの要塞化から始めて、次にフリーソフトウェアなどを使った簡単なファイアウォールの構築を行うという方法です。ファイアウォールはネットワークにおけるパケットの通過点ですが、パケットの終着点であるサーバよりもはるかに設定が複雑です。そのため、まずサーバの要塞化をよく理解したうえでファイアウォールの構築を始めた方が、順を追って知識を得ることができるでしょう。

　それでは、今回は一度ファイアウォールから離れて、サーバの要塞化とTCP/IPの基礎をおさらいしましょう。

アクセス制限とパケットフィルタリング

　メールの送受信を例にとると、あるユーザーがメールを送信して、相手がメールを読むまでの間に、さまざまなサービスが使用されています。例えば、メールを送るときとメールを取りに行くときでは、SMTPとPOP（またはIMAPなど）という異なったサービスを使用します。このようなサービスの中には、不用意に立ち上げておくと、悪意を持った人間に悪用されてしまいがちなものや、重要な情報が漏洩してしまうものもあります。

　インストール直後のOSでは、これらの不必要なサービスが多く起動されています。さらにデフォルトでは、サービスへのアクセス制限などがまったく行われておらず、悪意を持った攻撃者の絶好のターゲットとなりがちです。このようなサービスを不正に利用されないために、サービスのアクセス制限や、パケットフィルタリングを行います。

　アクセス制限は、アプリケーションに制御が移された段階で接続の許可／非許可を決定するのに対して、パケットフィルタリングは、それより前の「カーネル」と呼ばれるOSの基礎部分でパケットの許可／非許可を決定します。多くのOSでは、カーネルが最初から持っている機能か、専用のソフトウェアをカーネルに組み込むことで、パケットフィルタリングを実現しています。

図1　ホスト内部でネットワークから届いたデータが処理される仕組みを図式化したもの

　図1からも分かるように、パケットフィルタリングは、アプリケーションによるアクセス制限よりさらに下の層で行われます。そのため、アプリケーションでアクセス制限が用意されていない場合に、その代わりとして使用することができます。パケットフィルタリングの長所と短所を、アプリケーションによるアクセス制限と比べると、表1のようになります。これらの違いは、前回紹介したプロキシ型のファイアウォールとパケットフィルタリング型のファイアウォールのものと、ほぼ同じといえます。