iptablesで商用のファイアウォールを置き換える：Leverage OSS（3/3 ページ）

[John-C.-A.-Bambenek，Open Tech Press]

リポートおよびアクティブレスポンスのアドオン機能

　数々のアドオンツールを使えば、iptablesのログデータをもっと有効に活用できる。標準的なシステムログのスキャナでもうまく設定すれば必要な情報を取り出せるが、そのために作られてはいないので限界がある。これに対し、psadでは、一定のしきい値を超える明らかな攻撃についてメールで警告したり、一度しきい値を超えた悪意のあるIPアドレスを積極的にブロックしたりする設定が可能だ。

　Netfilterのthe conntrack-toolsを使えば、接続テーブルの管理を強化できる。接続テーブルの情報にコマンドラインからアクセスできるほか、その統計情報を取得することも可能だ。また、l7-filterを利用すれば、第7層（アプリケーション層）までファイアウォール処理の設定が可能になる。例えば、大学などの環境ではl7-filterを使ってピアツーピアのトラフィック帯域幅を制限することで、MPAA（米国映画協会）/RIAA（全米レコード協会）からの不愉快な差し止め通知を受けずに済むようになるわけだ。

　半面、iptablesは商用のファイアウォール機器と違ってルール作成機能が充実していないため、ユーザーにはより詳しいファイアウォール処理の理解が求められる。Firewall BuilderやKMyFirewallのようなツールを使えばiptablesの設定は便利になるが、セキュリティ管理者であればファイアウォールの処理とアプリケーションについて全般的に学ぶ必要があるだろう。これは、多大な時間と大量の導入前テストが必要なことを意味する。

　また、何らかの障害が発生してもどこかに電話して直しに来てもらうわけにはいかない、という問題もある。そのため、社内の知識レベルを上げる必要がある。とはいえ、オープンソースソリューションに関する情報はパブリックドメインとしてある程度公開されているので、教育研修のコスト要因といえば時間と、後はおそらくAmazonで何冊か書籍を購入する費用くらいだろう。

　結果的に、組織はファイアウォールの代わりにiptablesを利用することで莫大なコストを節約できる。おまけに、オープンソースソリューションのもたらす高い柔軟性も得られる。

John Bambenekはイリノイ大学アーバナシャンペーン校（インターネットストームセンター）の広報担当マネジャー兼セキュリティ管理者。セキュリティに関する執筆記事が多数あり、数々のコンピュータセキュリティ講座のテキストも手掛けている。最近は『Botnets: Countering the Largest Security Threat』（ボットネット：最大のセキュリティ脅威への対策）の「Botnets: Proactive System Defense」（ボットネットに対する予防的システム防御）という章の執筆を担当。

原文へのリンク