シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。
New Member

Firewallの導入について

いつもお世話になっております。

Windowsも絡む話ではありますが、セキュリティの観点からご助言いただければ幸いです。

 

今回、既存のネットワーク階層中にFirewall(たとえばASA55xx)の追加を検討しています。

使用しているOSはWindows server 2008 R2で、2個のサーバ間で情報をやり取りするアプリケーションの都合上、Dynamic Port 49152 - 65535がランダムに決まるため、Firewallでは 対象のIPアドレスに対してポートが広い範囲で制限できない状態となってしまいます。

 

インターネットで調べてみると、「49152 - 65535 すべてを開けることはセキュリティ上NG」といった情報を見かけます。

「Port レンジ 0 - 65535に対して、0 - 49151は制限されるのだから多少は意味があるのでは?」とも思いますが、実際のところこのサーバ間にFirewallを導入する価値はあるのでしょうか?

また49152 - 65535 すべてを開けることはセキュリティ上NG」についても、「なぜNGか」「どのような危険があるか」をご教示いただければ幸いです。

宜しくお願いいたします。

1 件の受理された解決策

受理された解決策

satoさん、こんばんわ!

satoさん、こんばんわ!

ASAは以下情報も見て、通信やパケットの許可・拒否を判断しています。

①IPアドレスや通信ポート
②通信方向・・・信頼された空間から 開始された通信か否か
③(TCP通信の場合) シーケンスや確認応答番号やフラグが正しい連続性を持つこと
④その他、セキュリティチェック

 
②は例えば、高セキュリティなInterface側から "開始"された通信のみ許可し、低セキュリティ側から"開始"した通信はすべて拒否・・・といった設定が可能です。 ご利用のネットワークでは、サーバAから開始する通信のみ許可、のような設定も可能です。

  inside                     outside
(高セキュリティ)                (低セキュリティ)
 [PC-A]------------------Gi0/0[ASA]Gi0/1--------------[Internet]

 
③について詳しくは、Wikipediaさんや 3分間Networkingさんの記事が参考になると思います。 ASAはTCP通信のパケットの流れを全て監視しており、適切な通信フローか、許可していない方向から通信がなかったか、不正な中間者攻撃がないか、などを常にチェックしています。 

https://ja.wikipedia.org/wiki/Transmission_Control_Protocol

http://www5e.biglobe.ne.jp/%257eaji/3min/40.html

 
④はデフォルトでも、メール通信や簡易スキャニングチェックなどが有効であり、(導入時の技術難易度はあがりますが) ASAにFirePOWERモジュールを追加導入すれば 侵入検知やマルウェア検知といった拡張も可能です。

 
その為、ASAを適切に設定し導入することで、セキュリティは大きく向上します。

 
>>また「49152 - 65535 すべてを開けることはセキュリティ上NG」についても、「なぜNGか」「どのような危険があるか」をご教示いただければ幸いです。

安価なルータやスイッチなどの場合は②や③④の制御が難しい(※サポートしてなかったり、機能が大きく制限されたり、大きな性能低下があったり・・)ため、①のみで主に制御した場合、①の許可範囲が広いと、その分 大きくセキュリティが低下することを意味します。 ですので、このような製品を利用時は、①の 通信ポートの許可範囲の設定は慎重に行う必要があります。 

ご参考になれば。

2 件の返信

satoさん、こんばんわ!

satoさん、こんばんわ!

ASAは以下情報も見て、通信やパケットの許可・拒否を判断しています。

①IPアドレスや通信ポート
②通信方向・・・信頼された空間から 開始された通信か否か
③(TCP通信の場合) シーケンスや確認応答番号やフラグが正しい連続性を持つこと
④その他、セキュリティチェック

 
②は例えば、高セキュリティなInterface側から "開始"された通信のみ許可し、低セキュリティ側から"開始"した通信はすべて拒否・・・といった設定が可能です。 ご利用のネットワークでは、サーバAから開始する通信のみ許可、のような設定も可能です。

  inside                     outside
(高セキュリティ)                (低セキュリティ)
 [PC-A]------------------Gi0/0[ASA]Gi0/1--------------[Internet]

 
③について詳しくは、Wikipediaさんや 3分間Networkingさんの記事が参考になると思います。 ASAはTCP通信のパケットの流れを全て監視しており、適切な通信フローか、許可していない方向から通信がなかったか、不正な中間者攻撃がないか、などを常にチェックしています。 

https://ja.wikipedia.org/wiki/Transmission_Control_Protocol

http://www5e.biglobe.ne.jp/%257eaji/3min/40.html

 
④はデフォルトでも、メール通信や簡易スキャニングチェックなどが有効であり、(導入時の技術難易度はあがりますが) ASAにFirePOWERモジュールを追加導入すれば 侵入検知やマルウェア検知といった拡張も可能です。

 
その為、ASAを適切に設定し導入することで、セキュリティは大きく向上します。

 
>>また「49152 - 65535 すべてを開けることはセキュリティ上NG」についても、「なぜNGか」「どのような危険があるか」をご教示いただければ幸いです。

安価なルータやスイッチなどの場合は②や③④の制御が難しい(※サポートしてなかったり、機能が大きく制限されたり、大きな性能低下があったり・・)ため、①のみで主に制御した場合、①の許可範囲が広いと、その分 大きくセキュリティが低下することを意味します。 ですので、このような製品を利用時は、①の 通信ポートの許可範囲の設定は慎重に行う必要があります。 

ご参考になれば。

New Member

Muranaka さん、

Muranaka さん、

 

おはようございます。

早速ご回答頂きましてありがとうございます。

非常に分かりやすく、勉強になりました。

頂いた情報をもとに、検討させていただきます。

 

今後とも、宜しくお願いいたします。

126
閲覧回数
0
いいね!
2
返信