F/W(FireWall)の機能と効果 - stwww

防御の仕組み（その２）
F/W(FireWall)の機能と効果
「暗号とセキュリティ」（第１２回目）
今井慈郎（[email protected]）
水際で遮断するファイアウォール
• 防火壁(FireWall， F/W)
「信頼可能ネットワーク」と「非信頼ネットワーク」の間のア
クセス（情報の遣り取り）を制御するために使用．
社内(学内)ネットワーク（「信頼可能ネットワーク」）とイン
ターネット（「非信頼ネットワーク」）の間で出入りする情報
パケットを監視し、決められたルールをもとに通行を許可・
禁止（パケットの破棄）を実行．
• 組織ネットワークの防御
インターネットなどを通じて第三者が侵入し，データやプ
ログラムの盗聴・書換え(改竄)・破壊などが行なわれない
よう，外部との境界を流れるデータを監視し，不正なアク
セスを検出・遮断．
社内あるいは
学内を守る規
模の大きな
F/W
個人のパソコンな
どに設定する規
模の小さなF/W
出典
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/kiso/k01_firewall.htm
F/WとDMZとの関係No1
• インターネットを介した通信は，誰に内容を見られるか不
明という意味でも，不特定の相手から攻撃を受ける可能
性があるという意味でも，セキュリティ問題が存在．そこ
で，ファイアウォールを設けて，外部と内部を分けてセキュ
リティ的なレベルを分割．内部に対しては外側からのアク
セスを禁止すれば，内部は基本的に自分達組織内の通
信のみが存在．外部より安全にする(セキュリティレベル
の向上)ことが可能．
• セキュリティ・レベルの異なるネットワークの境界：外部(イ
ンターネット)と社内LANとの境目．ネットワークとパソコン
内部との境目（前ページを参考）．
しかし，「遮断」だけでは問題！
F/WとDMZとの関係No2
• DMZ(非武装地帯，demilitarized zone)の特徴は，内部ネッ
トワークと外部ネットワークからDMZに接続することは許
容．DMZからは外部ネットワークだけに接続を許容し，
内部へは禁止(DMZ内のホストからは，内部ネットワーク
に接続することが不可)．
• 侵入者がDMZのホストに侵入した場合，内部ネットワー
クを保護し，DMZのホストが外部ネットワークに対してサー
ビスを供給することも可能．DMZは外部の侵入者にとっ
ての袋小路(dead end)として機能する「隔離されたネット
ワーク領域」．
F/WとDMZとの関係No3
• 一般的にDMZには，メールサーバ，ウェブサーバ，DNS
サーバ，Proxyサーバ等，外部ネットワークからのアクセ
スが容易なサーバ群を配置．
• 外部ネットワークからDMZまでの接続は，アドレス変換
(Network Address Translation，NAT)やポートアドレス変
換(Port Address Translation, PAT)などの使用によって制
御・防御を実現．
三脚ファイアーウォール(three-legged firewall)を使うDMZ．
アクセス許可
アクセス禁止
Posts clients：クライアント・ポート，DMZ：非武装地帯，
Firewall：ファイアウォール，Router Internet：インターネット・ルータ
出典：フリー百科事典『ウィキペディア（Wikipedia）』
F/Wの実現方式
• プロトコルの階層別にどのレベルでセキュリティを確保し
ているのかによって、いくつかの方式が存在
• パケットフィルタリング方式：
IPアドレスやポート番号のレベルでフィルタリングを実現
TCP/IPのトランスポート層，ネットワーク層に位置する（そ
のレベルの情報を解析する）方式
• アプリケーション・ゲートウェイ方式：
各アプリケーションごとに中継処理を実現
TCP/IPの最上位層(ApplicationLayer)までのパケットの
中身を解析する方式
パケットフィルタリング方式
• ルータやファイアウォールなどを経由して行われる通信
（パケット）を対象に，IPアドレスやポート番号などの情報
によって，送信ヘッダ情報(送信元アドレス，宛先アドレス
情報，ポート番号)に基づいてパケットを中継（許可）する
か，遮断（拒否）するかを判断する方式．
• パケットフィルタリングは，最近のルータには標準で搭載．
透過すべきものと非透過すべきものの設定を行うことで，
簡易なファイアウォールシステムを構築可能．
• ルータによってはステートフル・パケット・インスペクション
(SPI)という通常のパケットフィルタリングとは異なり，要求
パケットと応答パケットの整合性を検査し，必要なアプリ
ケーションのポートだけを開閉し，よりセキュアな環境構
築が可能な機器も存在．
アプリケーション・ゲートウェイ方式No1
• クライアントは，各アプリケーションごとに中継処理を行う
代理サーバに接続．サーバ内では，最上位層(Application
Layer)までのパケットの中身を解析し，可否を決定．データ
処理に要する時間が増大（パケットフィルタリング方式に
比べ，パフォーマンスが低下）．
• 最上位層まで解析しているため，パケットフィルタリング方
式よりも高度な設定（判定も）が可能という利点．
• HTTPで例示すると，アプリケーション・ゲートウェイでは，
GET，POST，PUTなどのコマンドやURLなどのデータを
チェックすることが可能．結果として，TCPパケットのペイロー
ド部のチェックも可能となり(バッファオーバーフロー攻撃な
どを検出可能)．
アプリケーション・ゲートウェイ方式No2
• アプリケーション・ゲートウェイは，スループットの
低さが欠点．しかし，他ベンダのウィルス・スキャ
ンやWebサイト規制ソフトなどと連携させて，きめ
細やかなアクセス制御が実施可能という点では非
常に魅力的．
設定によっては非常に高いレベルの
セキュリテイを確保可能
TCP/IPネットワークプロトコル
filtering/analyzing
Application
TCP+UDP
OS
IP(ARP+ICMP)
Device Driver
Hardware or Cable
filtering
F/W(Applicat
ion Gateway)
HUB/L2SW
Router/L3SW
F/W(packet filtering)
F/Wの拡張としてのIDS/IPS
• F/Wはセキュリティ向上を目的に導入．効率的な運用を
図るためには，「第三者の侵入」を検知・防御を効果的に
実現する仕組みが必要．
• 侵入検知システム(Intrusion Detection System, IDS)： 特
定のネットワークおよびコンピュータへの不正な侵入の
兆候を検知し，ネットワーク管理者に通報する機能を持
つソフトウェアまたはハードウェアの名称．
• 侵入防止システム (Intrusion Prevention System または
Intrusion Protection System，IPS) ：このような不正な侵入
を未然に防御するシステム（多くの場合，ハードウェア）．
侵入検知システム(IDS)とは
• 不正アクセスや侵入の企てを防護する必要はあるが，それら
の防護措置をとっても，「なりすまし」などによる侵入を総て防
ぐことは困難．防護の網をかいくぐって侵入してきた不正なア
クセスにより，データ改竄，システム破壊，データ窃盗などの
懸念払拭も困難．このような侵入に対処するため，IDS を用
いて不正なアクセスの兆候を検知し，管理者へ通知．
• 管理者は実際の被害に先立って警戒でき，必要なら回線切
断などの防衛策を講じ，システム破壊などを未然に防止可能．
• 一般には，IDSは自動的な通信切断／サーバ・シャットダウン
などの防衛を実行せず，管理者には，速攻性を重視するため
携帯電話へのメール通知など実施（異常の通知だけなのは，
検知した異常が必ず，攻撃であるとは限らないため）．
侵入防止システム(IPS)とは
• IDS は不正アクセス検知を通知するのみ． また，ネットワー
クに流れる通信内容を一旦コピーしてから解析を行うため，
最初の侵入は防ぐことが困難で，新手の攻撃や亜種の攻
撃に対して脆弱．そこで，受身的発想の IDS を発展させ，
不正アクセスに対して自動的に通信遮断やサーバ・シャッ
トダウンを実施する能動的発想でIPSを構築．
• IDSでは，管理者は事前に不正アクセスのパターンを予測
して運用する必要があったが，IPS では，管理者はアラート
やログを確認してからでも充分に対応可能．
• 最近では Winny などの P2P アプリケーションを検知・防御
できる IPS も登場．
• 但し，誤検知の問題（危険性）は不可避
ネットワーク型 VS ホスト型
• ネットワーク型：専用アプライアンス製品という形で提供．，
ネットワークの境界に設置．コンピュータ・ウイルスや
DoS攻撃 (サービス妨害攻撃) などのパターンを事前に
記憶．侵入検知時には，通信の遮断などの防御をリアル
タイムに実行(IPS)．管理者への通知やログ記録の機能
有(IDS/IPS)．
• ホスト型：ソフトウェアの形で提供．サーバにインストール．
不正アクセスを OS レベルで阻止，アクセスログの改竄
防止，サーバの自動シャットダウンなどの機能を保持
(IPS)． 基本的には，管理者権限を乗っ取ろうとするアク
セスに対して防御(IPS)．対象サーバの異常発生を監視，．
異常確認時には通知(IDS)．
UTM(Unified Threat Management)
• 敢えて日本語化すると「統合脅威管理」と和訳．セキュリティ機
能を一台でまとめて提供するゲートウェイ型ハードウェア．
• ウイルス・スパイウェア対策，ファイアウォール，IDS/IPS，スパ
ム対策，URLフィルタリングなど，複数のセキュリティ機能が一
台に搭載されている機器（オールインワン・アプライアンス）．
• 従来，ファイアウォール，メールのウイルス対策製品，スパイウェ
ア対策，URLフィルタリング等のセキュリティ製品が個別に導
入され，結果として，コスト高．そこで価格を押さえ，設定・運用
を簡素化することで，普及の促進化．
• UTMはファイアウォールが基本，社内ネットワークとインター
ネットの中間に設置．インターネットの出入口で，不正なURL
へのアクセスをブロック，メールのウイルスチェック，不正侵入
の通信等を阻止する「門番」の役割．（きめ細かい設定が困難
な場合もあり，セキュリティ機器全体が不要，とはならない）
不要データ等を濾過するフィルタリング
• フィルタ(filter)
対象物から特定成分を取り除く(弱める)作用を行う機能
をもつもの．その作用をフィルタリング(filtering)．
• インターネット接続のフィルタ（フィルタリング）
コンテンツフィルタリング：不適切な内容のウェブサイト等
への接続を遮断．
(1)有害サイトアクセス制限：特に，青少年に有害なサイト
を接続を遮断することでアクセス制限を実施．
(2)パケットフィルタリング（ファイアウォールの機能）：不
法侵入防止の目的で，不審パケットの受信を拒否．
(3)電子メールフィルタリング（orスパムフィルタ）：ウィルス
メールやスパムメール等を判別し隔離．
香川大学の事例
• F/W（Firewall）の存在
• IPSの存在
• 一括加入のウィルス対策ソフトの購入
• 学生用PCへの対応
• 原量宏先生による医学部ネットワーク紹介
http://www.itc.kagawa-u.ac.jp/tmp/annual2007/34.pdf
統合情報伝達システムのネットワーク概念図（２回目）
F/W：２台
キャンパ
ス内F/W
キャンパス間接続とセキュリティ対策の概要
医学部キャンパス
SINET
Fortigate
事務系
ネット
L2 SW
幸町キャンパス
Fortigate
Fortigate
L2 SW
キャンパス間 広域イーサネット
事務系
ネット
L2 SW
事務系ネット
L2 SW
事務系
ネット
Fortigate
工学部キャンパス
Fortigate
農学部キャンパス
統合脅威管理システム
（Unified Threat Management ）
アンチウイルス
ファイアウォール
VPN(Virtual Private Network)
IPS(ネットワーク侵入検知・防
御システム)
Webコンテンツフィルタリング
アンチスパム
アプリケーション(P2P)制御
以下は導入当時(平成１９(2007)年後半）の情報
月別ウイルス数（個数）
UTMで解析された外部
からの攻撃情報
500
450
400
350
300
250
200
150
100
50
曜日別ウイルス数（％）
0
5月
工学部キャンパス
6月
幸町キャンパス
7月
35
医学部キャンパス 30
25
20
％
4月
15
10
5
0
月
火
水
工学部キャンパス
木
幸町キャンパス
金
土
医学部キャンパス
日
キャンパス別送信（UTMで検出された）ウイルスNo1
工学部キャンパス
ウイルス名
幸町キャンパス
% of
Total
数
ウイルス名
53
56.38
W32/SWF!exploit.CVE2007
071
3
3.19
W32/OnLineGames.AME!t
r
PossibleThreat!015115
W32/BDH!tr.dldr
3
3.19
JS/Iframe.DR
3
W32/FARFLI.VR!tr
Heuri.E!tr
医学部キャンパス
% of
Total
数
ウイルス名
% of
Total
数
W32/Netsky!similar
221
17.54
7.73
W32/Netsky.D@mm
143
11.35
14
6.01
W32/Klez.fam@mm
138
10.95
JS/BadPopUp.A!tr.dldr
13
5.58
MIME.Exploit.gen
108
8.57
2.13
HackerTool/Reboot
11
4.72
Pushdo!tr
64
5.08
2
2.13
10
4.29
HTML/Iframe_CID!exploit
62
4.92
W32/Agent.WFP!tr
2
2.13
9
3.86
JS/Iframe.DR
47
3.73
W32/Agent.VWL!tr.dldr
2
2.13
JS/Zlob!tr.dldr
HTML/StormIframe!exploi
t
VBS/Redlof.A@m
7
3
W32/OnLineGamesEncPK
.fam!tr.pws
47
3.73
W32/OnLineGames.AMOW!
tr.pws
2
2.13
W32/PackFakeAV!tr
7
3
W32/Pushu.EV@mm
42
3.33
Dorf.BN!tr
2
2.13
Spy/ONLINEG
7
3
JS/BadPopUp.A!tr.dldr
38
3.02
Other(19)
20
21.28
Other(54)
108
46.35
Other(42)
350
27.78
Total(29)
94
100
Total(64)
233
100
Total(52)
1260
100
29
12.45
18
JS/Agent.DW!tr.dldr
3.19
2
W32/ANI07.A!exploit
キャンパス別送信（UTMで検出された）ウイルスNo2
工学部キャンパス
幸町キャンパス
医学部キャンパス
■ウィルス対策ソフトの一括契約（全学レベルでの購入）につ
いて
参照URL
http://www.itc.kagawa-u.ac.jp/tmp/annual2007/07.pdf
■学生用ノートPCへのウィルス対策ソフト導入の義務付け
参照URL
http://dev-vsign.sevenagent.co.jp/kagawa/fresh/coop_assign
http://naruhodo.nazo.cc/modules/plzXoo/index.php?action=detai
l&qid=257
http://www.okayama-u.ac.jp/user/nagataki/notePC.html