iptablesで商用のファイアウォールを置き換える:Leverage OSS(3/3 ページ)
iptablesを擁するフリーの代替ファイアウォール「Netfilter」でエンタープライズファイアウォールが実現できることを事例を踏まえて説明しよう。
リポートおよびアクティブレスポンスのアドオン機能
数々のアドオンツールを使えば、iptablesのログデータをもっと有効に活用できる。標準的なシステムログのスキャナでもうまく設定すれば必要な情報を取り出せるが、そのために作られてはいないので限界がある。これに対し、psadでは、一定のしきい値を超える明らかな攻撃についてメールで警告したり、一度しきい値を超えた悪意のあるIPアドレスを積極的にブロックしたりする設定が可能だ。
Netfilterのthe conntrack-toolsを使えば、接続テーブルの管理を強化できる。接続テーブルの情報にコマンドラインからアクセスできるほか、その統計情報を取得することも可能だ。また、l7-filterを利用すれば、第7層(アプリケーション層)までファイアウォール処理の設定が可能になる。例えば、大学などの環境ではl7-filterを使ってピアツーピアのトラフィック帯域幅を制限することで、MPAA(米国映画協会)/RIAA(全米レコード協会)からの不愉快な差し止め通知を受けずに済むようになるわけだ。
半面、iptablesは商用のファイアウォール機器と違ってルール作成機能が充実していないため、ユーザーにはより詳しいファイアウォール処理の理解が求められる。Firewall BuilderやKMyFirewallのようなツールを使えばiptablesの設定は便利になるが、セキュリティ管理者であればファイアウォールの処理とアプリケーションについて全般的に学ぶ必要があるだろう。これは、多大な時間と大量の導入前テストが必要なことを意味する。
また、何らかの障害が発生してもどこかに電話して直しに来てもらうわけにはいかない、という問題もある。そのため、社内の知識レベルを上げる必要がある。とはいえ、オープンソースソリューションに関する情報はパブリックドメインとしてある程度公開されているので、教育研修のコスト要因といえば時間と、後はおそらくAmazonで何冊か書籍を購入する費用くらいだろう。
結果的に、組織はファイアウォールの代わりにiptablesを利用することで莫大なコストを節約できる。おまけに、オープンソースソリューションのもたらす高い柔軟性も得られる。
John Bambenekはイリノイ大学アーバナシャンペーン校(インターネットストームセンター)の広報担当マネジャー兼セキュリティ管理者。セキュリティに関する執筆記事が多数あり、数々のコンピュータセキュリティ講座のテキストも手掛けている。最近は『Botnets: Countering the Largest Security Threat』(ボットネット:最大のセキュリティ脅威への対策)の「Botnets: Proactive System Defense」(ボットネットに対する予防的システム防御)という章の執筆を担当。
関連記事
- iptablesを使って特定のネットワークアプリケーションをブロックする
社員がこっそりIMでチャット――会社で許可していないのであれば、IT部門はそうしたトラフィックをブロックするように指示されるかもしれない。そんなとき、iptablesの知識は問題解決の道しるべとなってくれる。 - SSHのセキュリティを高めるためのハウツー
SSHといえどもデフォルトのままで使っているなら、そこには危険な落とし穴が存在する。本稿では、SSHのセキュリティを高めるのに役立つ簡単な方法を幾つか紹介する。 - SSHで簡単ホームネットワーキング
SSHを使えば、Linuxが動作するコンピュータ同士を接続して、ファイルの共有やアプリケーションのリモート実行が簡単に行える。またXサーバと併用して、ホームネットワーク上で1台のコンピュータを簡単に共有することもできる。 - Bastille:自学にも適したセキュリティ評価ツール
Bastilleはセキュリティの侵害が起こるのを待って反応するのではなく、システムの脆弱性を取り除くことによってセキュリティ侵害を未然に回避する。システムセキュリティを向上させるためのこのソフトウェアを紹介する。
Copyright © 2010 OSDN Corporation, All Rights Reserved.