購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
525
閲覧回数
0
いいね!
2
返信

Firewallの導入について

解決策を見る
hiroaki.sato1
Level 1
Level 1

‎2015-11-17 02:24 PM

いつもお世話になっております。

Windowsも絡む話ではありますが、セキュリティの観点からご助言いただければ幸いです。

 

今回、既存のネットワーク階層中にFirewall(たとえばASA55xx)の追加を検討しています。

使用しているOSはWindows server 2008 R2で、2個のサーバ間で情報をやり取りするアプリケーションの都合上、Dynamic Port 49152 - 65535がランダムに決まるため、Firewallでは 対象のIPアドレスに対してポートが広い範囲で制限できない状態となってしまいます。

 

インターネットで調べてみると、「49152 - 65535 すべてを開けることはセキュリティ上NG」といった情報を見かけます。

「Port レンジ 0 - 65535に対して、0 - 49151は制限されるのだから多少は意味があるのでは?」とも思いますが、実際のところこのサーバ間にFirewallを導入する価値はあるのでしょうか?

また49152 - 65535 すべてを開けることはセキュリティ上NG」についても、「なぜNGか」「どのような危険があるか」をご教示いただければ幸いです。

宜しくお願いいたします。

ラベル:
0 いいね!
1 件の受理された解決策

受理された解決策

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2015-11-17 11:57 PM

satoさん、こんばんわ!

ASAは以下情報も見て、通信やパケットの許可・拒否を判断しています。

①IPアドレスや通信ポート
②通信方向・・・信頼された空間から 開始された通信か否か
③(TCP通信の場合) シーケンスや確認応答番号やフラグが正しい連続性を持つこと
④その他、セキュリティチェック

 
②は例えば、高セキュリティなInterface側から "開始"された通信のみ許可し、低セキュリティ側から"開始"した通信はすべて拒否・・・といった設定が可能です。 ご利用のネットワークでは、サーバAから開始する通信のみ許可、のような設定も可能です。

  inside                     outside
(高セキュリティ)                (低セキュリティ)
 [PC-A]------------------Gi0/0[ASA]Gi0/1--------------[Internet]

 
③について詳しくは、Wikipediaさんや 3分間Networkingさんの記事が参考になると思います。 ASAはTCP通信のパケットの流れを全て監視しており、適切な通信フローか、許可していない方向から通信がなかったか、不正な中間者攻撃がないか、などを常にチェックしています。 

https://ja.wikipedia.org/wiki/Transmission_Control_Protocol

http://www5e.biglobe.ne.jp/%257eaji/3min/40.html

 
④はデフォルトでも、メール通信や簡易スキャニングチェックなどが有効であり、(導入時の技術難易度はあがりますが) ASAにFirePOWERモジュールを追加導入すれば 侵入検知やマルウェア検知といった拡張も可能です。

 
その為、ASAを適切に設定し導入することで、セキュリティは大きく向上します。

 
>>また「49152 - 65535 すべてを開けることはセキュリティ上NG」についても、「なぜNGか」「どのような危険があるか」をご教示いただければ幸いです。

安価なルータやスイッチなどの場合は②や③④の制御が難しい(※サポートしてなかったり、機能が大きく制限されたり、大きな性能低下があったり・・)ため、①のみで主に制御した場合、①の許可範囲が広いと、その分 大きくセキュリティが低下することを意味します。 ですので、このような製品を利用時は、①の 通信ポートの許可範囲の設定は慎重に行う必要があります。 

ご参考になれば。

元の投稿で解決策を見る

0 いいね!
2件の返信2

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2015-11-17 11:57 PM

satoさん、こんばんわ!

ASAは以下情報も見て、通信やパケットの許可・拒否を判断しています。

①IPアドレスや通信ポート
②通信方向・・・信頼された空間から 開始された通信か否か
③(TCP通信の場合) シーケンスや確認応答番号やフラグが正しい連続性を持つこと
④その他、セキュリティチェック

 
②は例えば、高セキュリティなInterface側から "開始"された通信のみ許可し、低セキュリティ側から"開始"した通信はすべて拒否・・・といった設定が可能です。 ご利用のネットワークでは、サーバAから開始する通信のみ許可、のような設定も可能です。

  inside                     outside
(高セキュリティ)                (低セキュリティ)
 [PC-A]------------------Gi0/0[ASA]Gi0/1--------------[Internet]

 
③について詳しくは、Wikipediaさんや 3分間Networkingさんの記事が参考になると思います。 ASAはTCP通信のパケットの流れを全て監視しており、適切な通信フローか、許可していない方向から通信がなかったか、不正な中間者攻撃がないか、などを常にチェックしています。 

https://ja.wikipedia.org/wiki/Transmission_Control_Protocol

http://www5e.biglobe.ne.jp/%257eaji/3min/40.html

 
④はデフォルトでも、メール通信や簡易スキャニングチェックなどが有効であり、(導入時の技術難易度はあがりますが) ASAにFirePOWERモジュールを追加導入すれば 侵入検知やマルウェア検知といった拡張も可能です。

 
その為、ASAを適切に設定し導入することで、セキュリティは大きく向上します。

 
>>また「49152 - 65535 すべてを開けることはセキュリティ上NG」についても、「なぜNGか」「どのような危険があるか」をご教示いただければ幸いです。

安価なルータやスイッチなどの場合は②や③④の制御が難しい(※サポートしてなかったり、機能が大きく制限されたり、大きな性能低下があったり・・)ため、①のみで主に制御した場合、①の許可範囲が広いと、その分 大きくセキュリティが低下することを意味します。 ですので、このような製品を利用時は、①の 通信ポートの許可範囲の設定は慎重に行う必要があります。 

ご参考になれば。

0 いいね!

解決策を見る
hiroaki.sato1
Level 1
Level 1
Akira Muranakaに対する応答

‎2015-11-18 08:45 AM

Muranaka さん、

 

おはようございます。

早速ご回答頂きましてありがとうございます。

非常に分かりやすく、勉強になりました。

頂いた情報をもとに、検討させていただきます。

 

今後とも、宜しくお願いいたします。

0 いいね!
Customers Also Viewed These Support Documents