この記事は、ニフクラブログで2022-12-27に公開された記事を移転したものです。
こんにちは。 ニフクラエンジニアミートアップ事務局の鮫島です。
2022年11月24日(水)に第54回ニフクラエンジニアミートアップを開催しました。
今回は、「ネットワークセキュリティ再入門~境界型セキュリティの基礎をしっかり理解する」というテーマで、ネットワークセキュリティの中でも、基本となるファイアーウォール、IDS/IPS、WAFなどについて解説するという内容でした。 講師はニフクラで提供中の「統合ネットワークサービス(IPCOM VE2シリーズ)」を担当している富士通株式会社の姉﨑 匡俊氏が務めました。
ネットワークセキュリティ再入門
昨今、サイバー攻撃の世界的な蔓延という影響もあり、セキュリティのメソッドとして「ゼロトラストセキュリティ」が主流になりつつありますが、「境界型防御はもう古い」「境界型防御は侵入されたら無意味」といった誤った解釈が広がっています。
・境界型防御=最低限必要な対策
・ゼロトラスト=境界を越えられても被害を拡大しないための対策
侵入されたら意味がないという理由でファイアウォールを設置しない人は居ないと思います。 マンションのオーナーしか持っていないマスターキーを奪われたら鍵をかけても意味がないから、常に開けておくようなものです。極端なたとえですか?
ということで、クラウドでシステムを構築する際に、「どのような対策を・何のために・どのようなしくみで」やるのか?という基礎の基礎を改めて学ぶことが狙いです。
ファイアウォール
まず、ファイアウォールの役割と設計の話からスタートします。
教科書的な説明だとこんな感じ
各ネットワークポリシーに従って接続を制御し、通信ログを取得する
確かに、それはそうですね…。
外のネットワーク(要するにインターネット)と自社のネットワークの境界があることはおそらくこのブログを読んでいる人なら、分かっていると思いますが、自社のネットワーク内には、いくつかのセグメントが存在するはずです。
その各セグメントからの通信に対して
・禁止
・許可
・制限付きで許可
こういった制御を行うのが、ファイアウォールに基本的な考え方です。
もちろん、実際の設計はそんなに単純な話ではありませんが、詳しくは動画のこのあたりからご覧ください。
www.youtube.com
そして、最後によくある疑問についても答えてくださっています。
戻りの通信は設定しないでいいの?
そうそう、これ気になってたんです。
結論からいうと、「何もしないでいい。ステートフルなコネクション管理をしているので自動的に決まる」とのこと。
IDS/IPS
続いて、IDS/IPSのパートに入ります。
・IDS=Intrusion Prevention System
・IPS=Intrusion Detection System
日本語にすると侵入防御システムと侵入検知システムなので、拍子抜けです。
まずIPSを教科書的に説明すると、ファイアウォールで防げない攻撃に対応するものです。
ファイアウォールは、IPと宛先ポートを制御する仕組みですが、IPと宛先ポートは正しいが攻撃に該当する通信(早い話がすり抜けてサービスを妨害したり脆弱性を突くような攻撃を行う)への対策を行うのが、IPS/IDSです。
IPSは防御をIDSは検知を行います。 製品によっては、両方を兼ねているものも存在するようです。
IPS/IDSのサーバーリソースを守る設計の考え方はこんな感じ。
・通信量をカウントする
・中継機能を利用する
また、脆弱性を突くような攻撃に対しては、シグネチャーで識別します。 攻撃パターンのルールを記述したシグネチャーは日々更新されます。
なお、ネットワークのリソースを枯渇させるような攻撃(負荷をかけまくったりするような)については、ネットワーク境界に設置する防御装置では「理屈上」防ぐのは難しいのではないか?とのこと。
そういう場合は、上位のISPに対応をお願いしたり、CDNやクラウド型WAFを利用するしかないようです。
IDS/IPSに関するよくある疑問ですが、「IDSで検知するだけでいいのか?IPSで防御したほうがよくね?」というもの。 これについては、メリットデメリット(誤検知した場合の影響)があるとのこと。
詳しくは動画のこのあたりからご覧ください。 www.youtube.com
WAF
続いて、WAF のパートに入ります。
WAFはWebアプリケーションファイアウォールの略ですが、機能的にはファイアウォールやIDS/IPSで防げない攻撃に対応するものになります。
具体的には、アプリケーションの脆弱性を突く攻撃に対処するためのものになります。
有名どころでは
・SQLインジェクション
・クロスサイトスクリプティング
・クロスサイトリクエストフォージュリー
私もその昔、Webサイトの担当していた頃にはよくお目にかかりました。 それぞれ、攻撃のタイプと被害はさまざまです。
WAFでどうやって攻撃を防ぐかというとブラックリストとホワイトリストで制御します。
ブラックリスト方式はその名の通りシンプルに指定した攻撃を防御しますが、ホワイトリスト方式は「入力できる値を決めて、それ以外は受け入れない」という制御を行うことで防御します。
お待ちかねの、どちらの方式がいいか?というよくある質問です。 WAFの設計を行う場合、ホワイトリスト方式のほうが効果は高いものの設計と運用がかなり大変だそうです。 ブラックリスト方式のほうが効果はそれなりで設計と運用は簡単ではないけどそんなに大変ではないとのこと。 このあたりも、IPS/IDSと同じように、メリットデメリットを考えながら設計が必要になります。
詳しくは動画のこのあたりからご覧ください。 www.youtube.com
まとめ
サーバーというかシステム管理者として重要なポイントがあります。 IPSやWAFで攻撃を検知した後のお話です。 「検知できてよかった!」で終わりではなく、脆弱性を無くす対策を行うことが重要です。
顕在化している脆弱性を根本的に解消するためには、OSやアプリケーションを最新のものにする・パッチを当てる、アプリケーションそのものを改修するなどの対応が必要になります。
EOSの旧いOSやアプリケーションを継続利用するために、IPSやWAFなどで防御されているケースがありますが、これはあくまで暫定的な措置だと考えた方がいいでしょう。
このあたりを突き詰めると境界型防御だけではない情報セキュリティ管理の観点で対策を考える必要があるでしょうね。
QAセッション
姉﨑氏のセッションが終わってすぐに、QAセッションに突入しました。
本編で触れた境界型セキュリティのみならず幅広い分野のまたがる質問が飛び出して、初心者から上級者までなるほど~とうならせる内容になりました。
個人的に、なかなかいい質問だな…と感じたのがIPSとWAFの違いについての質問。 どちらも同じようなこと(パケットチェック)をやっていますが?どこが違うの?というもの。
姉﨑氏いわく、「IPSとWAFはチェックしているレイヤーが異なる…」とのこと。
詳しくは動画のこのあたりからご覧ください。 www.youtube.com
ということで、最後にQAの中でも出てきましたが姉﨑氏が共同主催で関わっている「CEH(Certified Ethical Hacker) 試験勉強会」のコミュニティをご紹介しておきます。 ceh-studygroup.connpass.com
興味がある方は参加してみてください。
それでは、また次回もよろしくお願いします。 ニフクラ公式YouTubeチャンネルへの登録と高評価もよろしくお願いします(定型句)!
