パケットフィルタリングでのセキュリティ確保 |
実際にフィルタリングを行うべきものとして考えられるのは,以下のような場合だろう。
1,外部から内部で使用しているプライベートIPアドレスを送信元とするパケット
内部LANのプライベートIPアドレスを持つパケットが,外部から届くことは通常ありえない。しかし,IPアドレスが偽装され,内部のIPアドレスを偽ったパケットが送信される可能性がある(IPスプーフィング攻撃)。したがって,これらのパケットは排除する。
2,自身のIPアドレスが含まれるパケット
プライベートIPアドレス同様,自分が利用しているグローバルIPアドレスを持つパケットが,外部から届くことは通常ありえない。マシンごとに利用できるグローバルIPアドレスは,それぞれ世界中にただ1つずつだからだ。したがってこれらのパケットも排除する。
3,Windowsファイル共有が利用するポート(NetBIOS over TCP/IP)
前回,前々回で解説したとおり,特別な理由がないかぎりファイル共有に対する外部からのアクセスは排除する。
4,そのほか
各自の環境によって適宜フィルタリングを行う。常時接続環境を利用してサーバを構築しているならば,運用しているサービスごとに設定する。たとえばWebサーバ用の80番,FTPサーバ用の20,21番など,必要なポートだけを開いて,あとはすべて閉じておく必要がある。
パケットフィルタリングの設定は,あらかじめどのポートをふさぐのか,どのIPアドレスを許可,拒否するのかといった規則を決めておくものだ。たとえば,Windows98/Meを使用し「ファイル共有の設定は外部(インターネット側)からは拒否し,内部ネットワークのみ許可する」という設定を行うのであれば,
外部からTCP/UDPポート137-139へのパケットをフィルタする |
という方針を立てる。また逆に,Hotlineなどのコミュニケーションツールを使用したサーバ運営などを行っているのであれば,そのサービスが利用するポートを開けておく必要がある。つまり,各々が自分の環境に合わせたフィルタリングを行う必要がある。
●パケットフィルタリングは万全か?
パケットフィルタリングで完璧なセキュリティ対策が行えるわけではない。たとえば,サーバを公開している際に流れてくるパケットなどは,それを排除するわけにいかない。Webサーバを公開しているのに,ポート80番をフィルタリングしてしまうと通常の閲覧もできなくなる。つまりそのサービスを利用した攻撃を防ぐことはできないことに注意したい。
|
●セキュリティチェックを行う
パケットフィルタリングでセキュリティ対策を行った際に困るのが,実際に外部(インターネット側)からのチェックを行うことができない点だ。もちろん知人にポートスキャンしてもらうよう頼むのもいいが,それも面倒だ。
そういった際にはセキュリティチェックを行ってくれるウェブページを利用しよう。たとえばシマンテックのWebサイトには「Symantec Security Check」というページがあり,実際に外部からのチェックを無料で行ってくれる(写真1,2,3)。こういったサイトを利用し,パケットフィルタリングが確実に機能しているか確認しておこう。
|
2/4 |