[Subject Prev][Subject Next][Thread Prev][Thread Next][Subject Index][Thread Index]

[vine-users:030304] Re: IPフィルタリングの検証


鴨田と申します。
宜しくお願いいたします。

現在、IDS(Intrusion Detection System)の開発をしているので、
いくつか情報提供できるでのはと思いメールいたします。
的はずれな意見な場合は、無視してください。

> パケットフィルタリングを行い外部からの侵入を防ごう
> として、IPとポートによってフィルタリングをして
> います。

まず、「侵入」というのは、「不正アクセス」の一部であるという認識をされている
と思って宜しいでしょうか?

つまり、上記の文面ですと、あくまで、「侵入」されることだけを防げれば、その他
の不正アクセスに対しては防御をする必要が無いという風にとらえることが出来るの
ですが…。 

「全ての不正アクセス」を防ぐことが出来るのか? という意味でご質問されたもの
と解釈して、コメントさせていただきます。

結論から申しますと、IPとPortによるフィルタリングだけで、不正アクセスを防ぐこ
とは不可能です。
それが出来るなら、FireWallやIDSは今ほど売れてはいないでしょう。

文脈から判断するに、少なくとも、WebサーバーとMailサーバーを内部で立ち上げる
ことを考えていらっしゃるようですが、HTTPや、SMTPを悪用した不正アクセスは数多
く知られています。

例をあげますと
(非常に古い攻撃で今ではまったく効果がないと確信して例をあげる
のですが…)、

1.ブラウザのURL欄に非常に長い無意味な文字列(8Kバイト程度)を記入して送
信すると、相手方のWebサーバーがダウンする。

2.PHFのバグを付いて、ある特定のURL
(http://target.co.jp/cgi-bin/phf?Qalias=…)
を送信すると、/etc/passwdの中身を返却する

といった、攻撃手法が存在しています。これらは、あくまで1例であり、その他にIP
とPortのフィルタリングのみで防ぐことの出来ない不正アクセスは多数存在します。

また、最近流行(?)のSYNフラッド(DOS攻撃)等も防ぐことは出来ません。

> saintでは、特に問題はないようなのですが、誰が見ても(職場の上司)
> 納得いく検証とはどのようなものでしょうか?

検証する以前に、セキュリティ対策が不十分なことは明らかです。
あくまで、一宮様が想定されている攻撃のみを防御できるればよいのでしたら、話は
別ですが、おそらく、上司の方はそれでは納得されないと思います。 
仮に、言葉巧みに、上司の方を言いくるめられたとしても(!)、
万が一の事があった場合に、責任をとらされるのは、一宮様だと思います。

遠藤様のメールにもありましたように、この手の事は、専門業者に依頼するのが一番
だとは存じますが、予算の都合等もあるかとは存じます。

そこで、しっかりとしたセキュリティポリシーを策定し、防御すべき不正アクセスの
種類を決め、想定外の不正アクセスが行われた場合にはあきらめる とでもするしか
方法はないとおもます。

以上、ご参考になれば幸いです。
って、結局、何の参考にもなっていないかも…。

この情報があなたの探していたものかどうか選択してください。
yes/まさにこれだ!   no/違うなぁ   part/一部見つかった   try/これで試してみる

あなたが探していた情報はどのようなことか、ご自由に記入下さい。特に「まさにこれだ!」と言う場合は記入をお願いします。
例:「複数のマシンからCATV経由でipmasqueradeを利用してWebを参照したい場合の設定について」
References: