エンタープライズ:ニュース | 2002/07/05 19:32:00 更新 |
WindowsとISA ServerによるEnd-To-Endのネットワークセキュリティ
Microsoft Tech・Ed Yokohama 2002の3日目、「Windows 2000/Windows XPと」ISA ServerによるEnd-to-Endネットワークのセキュリティ」をテーマにしたセッションが行われた。ネットワークセキュリティについて、ICFによるクライアントの保護や、IPSecによるセキュアな通信、ISA Serverによるネットワーク保護の仕組みなどが紹介されている。
Microsoft Tech・Ed Yokohama 2002の3日目となる7月5日、「Windows 2000/Windows XPと」ISA ServerによるEnd-to-Endネットワークのセキュリティ」をテーマにしたセッションが行われた。ネットワークセキュリティについて、ICF(Internet Connection Firewall)によるクライアントの保護や、IPSecによるセキュアな通信、ISA Serverによるネットワーク保護の仕組みなどが紹介されている。
マイクロソフトのコンサルティング本部でシニアコンサルタントを務める河野隆志氏は、セキュリティを取り巻く状況として、ウイルスやWebページの改ざん、機密事項の漏洩、DoS攻撃、踏み台アタック、バッファオーバーフロー、ソーシャルエンジニアリングなどの問題を挙げた。
システム上の弱点の例としては、悪意を持ったユーザーなどの「人的な要因」、プロトコル設計などの「設計によるもの」、バッファオーバーフローなどの「実装によるもの」の3つがあるという。
一方、運用上の弱点の例としては、サーバやネットワークの設置場所や管理体制など「物理的なセキュリティの甘さ」、内部機密情報の故意/無意識の漏洩などの「社員へのセキュリティ教育の甘さ」、実現性のないセキュリティポリシーや管理者不在などの「インシデント対応策の欠如」を挙げている。
このため、同氏は「制度」(ポリシー、運用、監査)と「技術」(暗号および認証、設定、監視)の両面からの対策が必要という。
講演では、ネットワークのセキュリティについて、外部ネットワークからの接続をドロップする製品として「Internet Connection Server」(ICF)が紹介された。ICFの特徴は、ステートフルなパケットの確認により、外部からの不要なネットワークアクセスを排除することという。また、テーブルでコネクションをトレースし、外部からのコネクションならばそれが許可されたものかどうかなどを検出するという。
ICFの導入シナリオとしては、ビジネスユーザーの場合、ノートPCなどを社外に持ち出して外部ネットワークに接続する場合などが挙げられている。
しかしながら、ICFはあくまでも外部からの不正アクセスを防ぐもので、内部のトラフィックはすべて通してしまう。
そこで紹介されたのが、「Internet Security and Acceleration Server 2000」(ISA Server 2000)。ISAはICFと比較した場合、内外双方のアクセスコントロールができる点や、認証機能が優れていること、 サーバの公開機能、侵入検知やレポートなどの管理機能などが優れている。
セキュリティ面では、アプリケーションレベル、サーキットレベル、パケットレベルと複数のレベルをサポートする「マルチレイヤーファイアウォール」が注目される。
アプリケーションフィルタでは、データの内容(コンテンツ)を検査し、データの分析、ブロック、リダイレクト、内部との分離、修正、などを行う。HTTP、FTP、SMTP、RPCなどの重要なプロトコルのためのビルトインフィルタ機能も持つという。
アタックの検出については、Internet Security Systemsが提供するモジュールをそのまま搭載し、「Port Scan attack」「IP half Scan attack」などにより、外部からのアタックを検出する。
一方、ISA 2000 Serverではサーバを公開することもできる。
SecureNATを利用してサーバを公開する場合、NATによってアドレスを隠蔽することができる。
まず、サーバにアクセスするクライアントの要求はISAが中継する。このとき、クライアントが指定してきたサーバのIPアドレスは、ISAがアクセスポリシーに従って内部用のIPに書き換えてから、要求がサーバに送られる。このため、実際のサーバのIPアドレスは外部に漏れることがなく、安全性が確保されるという仕組みになっている。
そのほか、Webサーバの公開について、Web/Proxyサービス、リバースキャッシュ機能、Web認証、パススルー認証、SSLブリッジなどを利用した方法が紹介された。
関連記事Tech・Ed 2002 Yokohamaレポート
関連リンク
マイクロソフト
[怒賀新也,ITmedia]