[情報処理安全確保支援士への道]-ファイアウォールについて頑張ってまとめてみた-

Submitted by UltraBirdTech on Sat, 09/16/2017 - 10:22

ファイアウォールとは?

ファイアウォールとは不正なリクエストなどを弾くセキュリティ技術のことです。

社内ネットワークと外部のネットワーク間のアクセスを制御を行います。

具体的には外部ネットワークからのパケットを監視し、ユーザが決めたルール(ポリシー / ACL)に従って、パケットの通過 or 破棄を判断します。

ユーザによって使用可能なサービスを制限したり、外部からのアクセスを識別し、ネットワーク上のやり取りの記録を残したりすることで、外部からの不正アクセスに気づいたり、デジタルフォレンジックスの資料とすることができます。(ここら辺午後問でよく出題される印象)

昨今のファイアウォールは種類として様々なものが存在している。

  • IDS (NIDS)
  • IDS (HIDS)
  • IPS
  • WAF

 

最初は外部ネットワークから内部ネットワークを守るためのものだったが、ウイルスとして悪質なマルウェアや、不正なプログラムをダウンロードさせるサイトの乱立などにより、クライアント側からインターネット側へ攻撃が行われたり、マルウェアがばらまかれるケースが増えたため、内部から外部ネットワーク方向のパケットのフィルタリングにも対応するようになった。

構成の例

1. 公開サーバーをインターネット側のセグメントに接続する

firewall01

概要

Webサーバー、SMTPサーバー、DNSサーバーなどの公開サーバーをインターネット側のセグメントに接続する。

ファイアウォールは外部及び内部のネットワークを監視し、パケットをフィルタリングする。

特徴

  • 外部インターネットから内部への接続はすべて遮断可能
  • 公開サーバーから内部への接続は一部許可する
  • 公開サーバーへの攻撃や不正アクセスは防げない(ファイアウォールを経由していないため)

 

2. 公開サーバーを内部ネットワークに接続

fairewall02

概要

公開サーバをネットワークに接続した構成。

ファイアウォールは外部及び内部のネットワークを監視し、パケットをフィルタリングする。

特徴

  • 公開サーバへのアクセスを最小限に制限することが可能
  • 外部インターネットから内部への接続はすべて遮断可能
  • 公開サーバの脆弱性によって侵入を許した場合、内部ネットワークに被害が及ぶ可能性がある。

 

3. 2台のFWに挟んだDMZに公開サーバーを接続

firewall03

概要

2台のファイアウォールを縦列に接続し、その間のセグメント(DMZ)に公開サーバーを接続する。

特徴

  • 一つ目のファイアウォールで公開サーバーへのアクセスを最小制限にする
  • 一つ目、二つ目のファイアウォールで、外部インターネットからアクセスは内部への接続はすべて遮断
  • DMZから内部へのアクセスは最小制限にする(公開サーバーに侵入されても被害を最小限にできる)
  • 一つ目、二つ目のファイアウォールを別ベンダーの製品にするとファイアウォールのバグによる侵入を制限できる。

 

4.FWに設けた第三のセグメントに公開サーバーを接続

fairewall04

概要

1台のファイアウォールに新たなネットワークセグメント(DMZ)設け、公開サーバーとする。

以上の4つの中ではコスト、セキュリティレベルを考慮してもっともバランスが取れている。

そのため、もっとも普及しているとのこと。

特徴

  • 公開サーバーへのアクセスを最小制限にする
  • 外部インターネットから内部への接続はすべて遮断
  • DMZから内部へのアクセスは最小制限にする(公開サーバーに侵入されても被害を最小限にできる)

 

5.セキュリティレベルに応じて複数のDMZを構築

firewall05

概要

4に加えて、公開サーバーや内部ネットワークのホストはセキュリティレベルの異なるホストを接続するために、さらに別のDMZを設けた構成。

特徴

  • 公開サーバーへのアクセスを最小制限にする
  • 外部インターネットから内部への接続はすべて遮断
  • DMZから内部へのアクセスは最小制限にする(公開サーバーに侵入されても被害を最小限にできる)
  • ホストの用途やセキュリティレベルによってアクセス制御が可能のため、ネットワーク全体のパフォーマンス向上や負荷分散が可能。

 

フィルタリングの型

フィルタリングの型としては主に5つある。

パケットフィルタリング型

通信パケットの送信元 / 送信先のIPアドレスやポート番号、プロトコルの種別(TCP, UDP, ICMPなど)、パケットの方向を確認して不正なリクエストかどうかを判断する。

ネットワーク層で動作するファイアウォール。

パケットフィルタリング型はシンプルかつ、高速な処理を実現できるが、ルールの定義が煩雑になりやすい。

 

アプリケーションゲートウェイ型

HTTP、SMTP、FTPなどのプログラムごとに、別々のプロキシを持ち、アプリケーション層も含めた情報に基づいてパケットの中継の可否を判断できる。

この方式では目的のサーバーとコネクションを確立するのではなく、プロキシサーバーとコネクションを結び、通信が許可された場合は、プロキシが代わりに目的のサーバーとコネクションを結ぶ。

アプリケーション層で動作するファイアウォール。

 

サーキットレベルゲートウェイ型

アプリケーションゲートウェイ型と同様にファイアウォールがクライアントからの接続要求を一旦受け取り、接続を許可(中継)する場合はコネクションを確立し、クラインととサーバを結ぶ仮想適な通信路(バーチャルサーキット)を確立するタイプ。

 

ダイナミックパケットフィルタリング型

※よく午前問題に出てくる!!

最初にコネクションを確立する方向のみを意識した基本的なACLを事前に登録しておき、実際に接続要求があると、ここの通信をセッション管理テーブルに登録するとともに必要なルールが動的に生成され、フィルタリング処理を行う方式。

ステートフルインスペクション型

Check Point 社が開発し、特許を保有するアーキテクチャ。多くのファイアウォール製品で実装されている。

基本的にはダイナミックパケットフィルタリング型と同じだが、アプリケーションごとの通信フローなどの情報を持っており、それに基づいて制御を行うことができる。


まとめ

ファイアウォールについてまとめました。

ファイアウォールに関してはいまいち理解できていない分野でした。

IDS、IPS、WAFがファイアウォールの種類という認識をしていなかった・・・

WAFは( Web Application Firewall )なのでFirewall ってガッツし入っているんですけどね苦笑

今回の勉強を通して、ネットワーク構成図の見方にも自信をつけたかなと思います。

臆せずに、挑みます!笑


過去問

毎年ファイアウォールに関する問題は出ている印象です。

ネットワーク構成図出てくる問題であれば、ファイアウォールは必ずあるので押さえておくべきポイントだとおもいます。


参考資料

http://www.atmarkit.co.jp/ait/articles/0203/01/news002_2.html

情報処理教科書 情報処理安全確保支援士 2017年版