連載
» 2001年06月19日 00時00分 公開

ファイアウォール運用の基礎(2):サーバの要塞化とTCP/IPの基礎知識 (1/3)

[田原祐介,株式会社ラック/不正アクセス対策事業本部]

ファイアウォールの構築を始める前に

 ファイアウォールは、ネットワークにおいて非常に重要な役割を果たしており、ちょっとした設定ミスで、通信ができなくなってしまうだけでなく、セキュリティ上の危険をもたらす可能性もあります。そういった事態を未然に防ぐため、ファイアウォールの構築を始める前に、TCP/IPとファイアウォールの仕組みを正しく理解しておきましょう。

 ファイアウォールを学ぶときにお勧めなのは、TCP/IPの基礎はもちろん、ネットワークセキュリティの基礎であるサーバの要塞化から始めて、次にフリーソフトウェアなどを使った簡単なファイアウォールの構築を行うという方法です。ファイアウォールはネットワークにおけるパケットの通過点ですが、パケットの終着点であるサーバよりもはるかに設定が複雑です。そのため、まずサーバの要塞化をよく理解したうえでファイアウォールの構築を始めた方が、順を追って知識を得ることができるでしょう。

 それでは、今回は一度ファイアウォールから離れて、サーバの要塞化とTCP/IPの基礎をおさらいしましょう。

アクセス制限とパケットフィルタリング

 メールの送受信を例にとると、あるユーザーがメールを送信して、相手がメールを読むまでの間に、さまざまなサービスが使用されています。例えば、メールを送るときとメールを取りに行くときでは、SMTPとPOP(またはIMAPなど)という異なったサービスを使用します。このようなサービスの中には、不用意に立ち上げておくと、悪意を持った人間に悪用されてしまいがちなものや、重要な情報が漏洩してしまうものもあります。

 インストール直後のOSでは、これらの不必要なサービスが多く起動されています。さらにデフォルトでは、サービスへのアクセス制限などがまったく行われておらず、悪意を持った攻撃者の絶好のターゲットとなりがちです。このようなサービスを不正に利用されないために、サービスのアクセス制限や、パケットフィルタリングを行います。

 アクセス制限は、アプリケーションに制御が移された段階で接続の許可/非許可を決定するのに対して、パケットフィルタリングは、それより前の「カーネル」と呼ばれるOSの基礎部分でパケットの許可/非許可を決定します。多くのOSでは、カーネルが最初から持っている機能か、専用のソフトウェアをカーネルに組み込むことで、パケットフィルタリングを実現しています。

図1 ホスト内部でネットワークから届いたデータが処理される仕組みを図式化したもの

 図1からも分かるように、パケットフィルタリングは、アプリケーションによるアクセス制限よりさらに下の層で行われます。そのため、アプリケーションでアクセス制限が用意されていない場合に、その代わりとして使用することができます。パケットフィルタリングの長所と短所を、アプリケーションによるアクセス制限と比べると、表1のようになります。これらの違いは、前回紹介したプロキシ型のファイアウォールとパケットフィルタリング型のファイアウォールのものと、ほぼ同じといえます。

ポイント 説明
長所 ・高速な処理ができる
・細かな制御が可能
・早い段階でパケットを拒否することができるので、より強固なセキュリティ対策となる
短所 ・設定が分かりづらい
・導入に失敗すると、OSの動作に支障をきたすことがある
表1 パケットフィルタリングの長所と短所
       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。