2000年11月13日 更新
インターネットサイドを構築するには、利用するファイヤーウォールの特性によって実現方法が異なります。
例えば、専用型または専用ソフト型のファイヤーウォールの多くは、3つ以上のLANインターフェイスが用意されており、そのうちの1つをDMZ用としていることで、インターネットサイドへはサーバを置く必要が無いようになっています。
ルータは、インターネットと接続された最初の部分で、すべてのインターネット向けのパケットおよびインターネットからのパケットの出入り口にあたります。 セキュリティの確保はまずこのルータの設定から始めましょう。 ルータには一般的に簡単なパケットフィルタの機能が提供されており、これをきちんと設定すると安全性が格段に高まります。
特にDoS攻撃やSyn flooding等の攻撃にはファイヤーウォールで守るよりルータで守った方が効果的だと思います。
ルータでのパケットフィルタの設定は、利用するルータの種類によって色々な方法があるのですべてをここで説明することはできませんが、わたしが良く知っているルータであるYAMAHA RTシリーズの兼価版であるRTA50iを例にして説明しますが、基本的にはどのようなルータであっても同等の機能を有していると思います。なお、設定例は2000/11/23 現在、最新のファームウェアを使った場合のものとします。
以外と忘れている事が見受けられるもが、ルータ自身のパスワード設定です。 仮に設定している場合でデフォルトのままであったり、外部から強制パスワードを有効にしてあってはパスワードの役目を果たしていません。まず確実にルータへのパスワードを設定して下さい。
コマンド 設定内容 # login password
(パスワード入力)ルータへ接続する際のパスワードを定義します # administrator password
(パスワード入力)ルータの管理用モードへのパスワードを定義します。 # security class 2 on off ルータへの遠隔操作のセキュリティを設定します。
外部(インターネット側)からくるパケットを抑制します。 その際、大原則は不要なパケットを内部に通さないことと、明らかに攻撃を目的としたパケットを拒否することでしょう。
コマンド 指定内容 # date 2000-11-03
# time 13:52:02日付と時間を設定。ルータのログに残る情報にはアタックに関するものもあるので、時間をしっかりと合わせておき、あとで解析し易いようにしておく。 # ip lan address 202.10.10.1/28 ルータのLANインターフェイスのIPアドレスを定義
この例では、202.10.10.1を指定している。
(ネットマスクは28ビット、すなわち255.255.255.240)# nat use off
# nat masquerade offNAT及びNAPT(IP Masquerade)をOFFにする # pp line L128 WAN側のインターフェースの通信速度を128Kbpsと定義 # pp select leased WAN側の回線として専用線を使う事を定義 # ip filter 10 reject 192.168.0.0/16 * * * *
# ip filter 11 reject 172.16.0.0/12 * * * *
# ip filter 12 reject 10.0.0.0/8 * * * *外部からプライベートアドレスでくるパケットは攻撃パケットの可能性が高い為、これを拒否するようにフィルタを作成する。 # ip filter 13 pass * 202.10.10.0/28 masquerade * * 外部からのパケットだが、内部からの要求に対しての応答としての戻りパケットは透過させる為のフィルタ # ip filter 20 pass * 202.10.10.2/32 tcp,udp * 53,113 外部からのパケットのうち、DNS関係のパケットは内部へ通過させる。この時、内部のDNSサーバのアドレスだけを許可すること。(この例では、202.10.10.2がDNS) # ip filter 21 pass * 202.10.10.3/32 tcp * 80,443 外部からのパケットのうち、WWW関係のパケットは内部へ通過させる。この時、内部のWWWサーバのアドレスだけを許可する。(この例では、202.10.10.3がWWW) # ip filter 100 reject * * * * * 外部からのパケットをすべて拒否するフィルタ。本来は定義不要だが、混乱を少なくする為に明示的に定義している。 # ip pp secure filter 10 11 12 13 20 21 100 パケットフィルタを有効にする
透過できるのはパケットは13,20,21のルールのみとなる(DNS、WWW、内部からのアクセスへの応答)# ip pp route add net default 1 WAN側のポートをデフォルトゲートウェイとして設定 # pp enable leased WAN側のポートを有効にする
上記の例では、DNSとして「202.10.10.2」、WWWとして「202.10.10.3」があたかもルータの下にあるようにルータを設定していますが、利用するファイヤーウォールによってこれらは実際にルータの直後に配置する必要はなく、DMZに配置されたマシンを仮想化したものにする事が可能です。このとき仮想化の方法として、実際にDMZ上のアドレスを仮想アドレスと同じものにする方法と、DMZ上ではまったく別なIPアドレスにしておきファイヤーウォールにすべてのパケットを集めて、仮想アドレス宛てのパケットをアドレス変換してDMZ上のマシンへ送る方法の2つがあります。
例えば、前者の方式のもので有名なものとしては、SonicSystem社のSonicWALLがあります。
後者の方法の場合にはファイヤーウォールでの設定以外にルータへの設定(仮想アドレス宛てのパケットをファイヤーウォールに集める)が必要ですが、私の知っているファイヤーウォールでこの方式を取るものとしては、Axent社のRapror FireWall(旧商品名:EAGLE)というファイヤーウォールがあります。
有名なファイヤーウォールしてFireWall-1という製品がありますが残念ながら、とても高価なので触れたことがありませんので、どちらの方式か知れません。(誰か奇特な人がいたら私に寄付してくれれば評価します。(^_^;))
前者の方式は設定が楽で混乱がおき難いので、あまりファイヤーウォールに詳しくない人でも結構簡単に設定できると思います。
後者の場合には、ルータの設定として更に、仮想化されたアドレスへのアクセスが発生した場合にはそのパケットをファイヤーウォールに転送して処理できるようにする為にルータにルーティングの設定が必要になります。
コマンド 設定内容 # ip lan route add host 202.10.10.2/32 202.10.10.14 1 DNS(202.10.10.2)宛にきたパケットをファイヤーウォールである「202.10.10.14」へ転送する # ip lan route add host 202.10.10.3/32 202.10.10.14 1 WWW(202.10.10.3)宛にきたパケットをファイヤーウォールである「202.10.10.14」へ転送する
現在SOHO用のルータとして、YAMAHA以外でも富士通やNTT、NECなどが同じようなコンセプトの製品を出していますが私が使った感想では、
YAMAHAのルータは多分、CISCOのルータを意識しているような感じがします。その為、価格の割にはCISCOのルータと同等の事ができたりするので個人的には最もお勧めできるルータです。ただし、機能を使いきるにはコマンドを使う必要があるので初心者には向いていないかも知れません。
- NEC Comstar: TAから初めてルータに乗り換える人には簡単かも。しかし業務用ルータとしては機能不足。
- NTT-ME MN128: 作り込みは結構うまい。しかしフィルタ関係や安定性ではYAMAHAに及ばず
- 富士通: 使ったことありません。(結構、期待している)(^_^)
- 古川:使った事がありません。しかし古いTAなどではアナログサポートなど他社にない機能があったりしたので、以外と良いかも。誰か寄付しくれませんか。(^_^;)
しかし、SIをやっている方は、是非このルータを評価してみるべきです。