2015-11-17 02:24 PM
いつもお世話になっております。
Windowsも絡む話ではありますが、セキュリティの観点からご助言いただければ幸いです。
今回、既存のネットワーク階層中にFirewall(たとえばASA55xx)の追加を検討しています。
使用しているOSはWindows server 2008 R2で、2個のサーバ間で情報をやり取りするアプリケーションの都合上、Dynamic Port 49152 - 65535がランダムに決まるため、Firewallでは 対象のIPアドレスに対してポートが広い範囲で制限できない状態となってしまいます。
インターネットで調べてみると、「49152 - 65535 すべてを開けることはセキュリティ上NG」といった情報を見かけます。
「Port レンジ 0 - 65535に対して、0 - 49151は制限されるのだから多少は意味があるのでは?」とも思いますが、実際のところこのサーバ間にFirewallを導入する価値はあるのでしょうか?
また「49152 - 65535 すべてを開けることはセキュリティ上NG」についても、「なぜNGか」「どのような危険があるか」をご教示いただければ幸いです。
宜しくお願いいたします。
解決済! 解決策の投稿を見る。
2015-11-17 11:57 PM
satoさん、こんばんわ!
ASAは以下情報も見て、通信やパケットの許可・拒否を判断しています。
①IPアドレスや通信ポート
②通信方向・・・信頼された空間から 開始された通信か否か
③(TCP通信の場合) シーケンスや確認応答番号やフラグが正しい連続性を持つこと
④その他、セキュリティチェック
②は例えば、高セキュリティなInterface側から "開始"された通信のみ許可し、低セキュリティ側から"開始"した通信はすべて拒否・・・といった設定が可能です。 ご利用のネットワークでは、サーバAから開始する通信のみ許可、のような設定も可能です。
inside outside
(高セキュリティ) (低セキュリティ)
[PC-A]------------------Gi0/0[ASA]Gi0/1--------------[Internet]
③について詳しくは、Wikipediaさんや 3分間Networkingさんの記事が参考になると思います。 ASAはTCP通信のパケットの流れを全て監視しており、適切な通信フローか、許可していない方向から通信がなかったか、不正な中間者攻撃がないか、などを常にチェックしています。
https://ja.wikipedia.org/wiki/Transmission_Control_Protocol
http://www5e.biglobe.ne.jp/%257eaji/3min/40.html
④はデフォルトでも、メール通信や簡易スキャニングチェックなどが有効であり、(導入時の技術難易度はあがりますが) ASAにFirePOWERモジュールを追加導入すれば 侵入検知やマルウェア検知といった拡張も可能です。
その為、ASAを適切に設定し導入することで、セキュリティは大きく向上します。
>>また「49152 - 65535 すべてを開けることはセキュリティ上NG」についても、「なぜNGか」「どのような危険があるか」をご教示いただければ幸いです。
安価なルータやスイッチなどの場合は②や③④の制御が難しい(※サポートしてなかったり、機能が大きく制限されたり、大きな性能低下があったり・・)ため、①のみで主に制御した場合、①の許可範囲が広いと、その分 大きくセキュリティが低下することを意味します。 ですので、このような製品を利用時は、①の 通信ポートの許可範囲の設定は慎重に行う必要があります。
ご参考になれば。
2015-11-17 11:57 PM
satoさん、こんばんわ!
ASAは以下情報も見て、通信やパケットの許可・拒否を判断しています。
①IPアドレスや通信ポート
②通信方向・・・信頼された空間から 開始された通信か否か
③(TCP通信の場合) シーケンスや確認応答番号やフラグが正しい連続性を持つこと
④その他、セキュリティチェック
②は例えば、高セキュリティなInterface側から "開始"された通信のみ許可し、低セキュリティ側から"開始"した通信はすべて拒否・・・といった設定が可能です。 ご利用のネットワークでは、サーバAから開始する通信のみ許可、のような設定も可能です。
inside outside
(高セキュリティ) (低セキュリティ)
[PC-A]------------------Gi0/0[ASA]Gi0/1--------------[Internet]
③について詳しくは、Wikipediaさんや 3分間Networkingさんの記事が参考になると思います。 ASAはTCP通信のパケットの流れを全て監視しており、適切な通信フローか、許可していない方向から通信がなかったか、不正な中間者攻撃がないか、などを常にチェックしています。
https://ja.wikipedia.org/wiki/Transmission_Control_Protocol
http://www5e.biglobe.ne.jp/%257eaji/3min/40.html
④はデフォルトでも、メール通信や簡易スキャニングチェックなどが有効であり、(導入時の技術難易度はあがりますが) ASAにFirePOWERモジュールを追加導入すれば 侵入検知やマルウェア検知といった拡張も可能です。
その為、ASAを適切に設定し導入することで、セキュリティは大きく向上します。
>>また「49152 - 65535 すべてを開けることはセキュリティ上NG」についても、「なぜNGか」「どのような危険があるか」をご教示いただければ幸いです。
安価なルータやスイッチなどの場合は②や③④の制御が難しい(※サポートしてなかったり、機能が大きく制限されたり、大きな性能低下があったり・・)ため、①のみで主に制御した場合、①の許可範囲が広いと、その分 大きくセキュリティが低下することを意味します。 ですので、このような製品を利用時は、①の 通信ポートの許可範囲の設定は慎重に行う必要があります。
ご参考になれば。
2015-11-18 08:45 AM
Muranaka さん、
おはようございます。
早速ご回答頂きましてありがとうございます。
非常に分かりやすく、勉強になりました。
頂いた情報をもとに、検討させていただきます。
今後とも、宜しくお願いいたします。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます