Firewall 構築ガイド

ある日、Firewall（ファイアウォール）を構築することになった人による、 Firewall 初心者のための、体験的構築ガイドです。

このガイドは、保護するマシンの台数が、数台から数十台程度の規模の Firewall が対象です。

基礎知識

TCP/IP プロトコルの概要（@IT）

インターネットの基礎知識（Internet Week 2000）

セキュリティ概論

セキュリティ入門（Internet Week 2000）

ファイアウォールの基礎と構築（Internet Week 2000）

初心者のためのセキュリティー講座（JPCERT）

小規模サイト管理者向けセキュリティ対策マニュアル（IPA）

インターネットセキュリティ（IP Meeting 96 Tutorial）

方式の違い

Firewall の方式を３つに分類してみました。

NAT + パケットフィルタは良く使われるようですが、使いこなすのは以外と大変です。 TCP/IP の知識も必要ですし、ちょっとしたミスで全く通信できなくなったり、 素通しになってしまったりします。

パケットフィルタを使うなら、簡単な設定にし、プロキシでカバーできないか検討しましょう。

プロキシは設定が割と簡単で効果的です。接続（使用）状況を確認し易いのもメリットの１つです。

しかし、プロキシはパケットの偽装などをブロックできません。

パケットフィルタ（静的ルール）

• IP パケットのヘッダ情報（アドレス、ポート、フラグ）で判断
• 処理は高速
• CPU、メモリ資源は少なくても良い
• 安全性は低い（以下の２方式に比べて）
• 処理状況は分かりにくい
• ルールはいつでも変更できる

パケットフィルタ（ステートフル／動的ルール）

• IP パケットのヘッダ情報だけでなく、時間や履歴も判断 （アプリケーション・レベルのデータまで判断できるものもある）
• 処理は中速
• CPU、メモリ資源は多少必要
• 安全性は中程度
• 処理状況はやや分かりにくい

プロキシ／アプリケーション・ゲートウェイ

• IP アドレス、ポートとアプリケーション・レベルのデータで判断
• 処理は低速
• CPU、メモリ資源は必要
• 安全性は高い
• 処理状況は分かり易い

構成の違い

装置の構成を分類してみました。

• Firewall の基本構成

• WWW サーバなどの公開サーバを DMZ に置く構成
• 安全性は高い

• 簡易 DMZ の構成
• 上の構成に比べると安全性は低い

• Personal firewall や Host-base firewall と呼ばれるもの

市販品

外部から内部へのアクセスを許すかどうかで、必要なシステムが変わります。

安価な市販品は NAT + パケットフィルタですが、 外部から内部へのアクセスが必要ないなら、それで充分でしょう。 ただし、性能に注意！

ブロードバンドルータ・インデックス（Impress）

ADSL/CATV 対応ルータ一覧（ASCII24、3月29日）

50万円以下のソフトウェア

• FireWall-1 -- パケットフィルタ + α（25ノードで49万円）
• BorderWare -- WWW, mail(POP3), DNS, News, FTP サーバ内蔵（25ノードで40万円）
• GNAT Box -- NAT + DHCP + パケットフィルタ（20万円）
• Microsoft Proxy Server（WindowsNT server 用） -- パケットフィルタ（22万円、アカデミック11.5万円）
• WinWrapper（Windows95,98,NT 用） -- パケットフィルタ（10ノード10万円）
• WinGate（Windows95,98,NT 用） -- プロキシ（50ユーザ7万円）
• VPN-1/FireWall-1 SmallOffice -- NAT + VPN + パケットフィルタ（5ノード6.7万円から）
• Windows 2000 Server はパケットフィルタ、NAT、VPN の機能付き

50万円以下の一体型

• SonicWALL -- NAT + DHCP + パケットフィルタ（10ユーザ14万円、50ユーザ30万円から）
• Fireless -- NAT + パケットフィルタ（34万円から）
• ネットワークガードマン1号 -- NAT（30万円）
• CentreCOM AR320 -- NAT + DHCP + パケットフィルタ（stateful inspection） + α（6.8万円）
• プレステージ 310 -- NAT + DHCP + パケットフィルタ（6.8万円）
• FR314 -- NAT + DHCP + パケットフィルタ（stateful inspection）+ コンテンツフィルタ + 4 ポートスイッチ（5.3万円）
• 子羊ルータ LAMB -- NAT + パケットフィルタ（5万円）
• CA2000 -- NAT + DHCP（4.6万円）
• OpenBlocks -- NAT + DHCP + パケットフィルタ + CF（4万円）
• マイクロ Firewall パーソナル II -- NAT + DHCP + パケットフィルタ（3.5万円）
• bRoad Lanner (BRL-04FW) -- NAT + DHCP + パケットフィルタ（stateful inspection）+ 4 ポートスイッチ（3.3万円）
• bRoad Lanner (BRL-07P) -- NAT + DHCP + 7 ポートスイッチ + プリントサーバ（3万円）
• NetGenesis OPT -- NAT + DHCP + パケットフィルタ + 4 ポートスイッチ（2.7万円）
• EtherFast 8-port Cable/DSL Router (BEFSR81) -- NAT + DHCP + パケットフィルタ + 8 ポートスイッチ + α（2.5万円）
• bRoad Lanner (BRL-04F) -- NAT + DHCP + 4 ポートスイッチ（2.5万円）
• Broadband Gate (CR-110,CR-110Pro) -- NAT + DHCP + パケットフィルタ（1.6万円,5万円）
• RT314 -- NAT + DHCP + パケットフィルタ+ 4 ポートスイッチ（2.4万円）
• NetLINE Broadband Gateway -- NAT + DHCP + パケットフィルタ（2.3万円）
• BEFSRU31 -- NAT + DHCP + DMZ/Forwarding + 3 ポートスイッチ（2万円）
• EtherFast 4-port Cable/DSL Router -- NAT + DHCP + パケットフィルタ + 4 ポートスイッチ（2万円）
• AR220E -- NAT + DHCP + パケットフィルタ + 4 ポートスイッチ（2万円）
• broadDirect SMC7004BR -- NAT + DHCP + 4 ポートスイッチ + プリンタサーバ（2万円）
• bRoad Lanner (BRL-01N) -- NAT + DHCP（1.8万円）
• BAR SW-4P -- NAT + パケットフィルタ + 4 ポートスイッチ（1.8万円）
• NP-BBR -- NAT + DHCP + パケットフィルタ + 4 ポートスイッチ + α（1.7万円）
• bRoad Lanner (BRL-04A) -- NAT + DHCP + パケットフィルタ + 4 ポートスイッチ（1.7万円）
• BroadStation (BLR-TX4) -- NAT + DHCP + パケットフィルタ + 4 ポートスイッチ（1.6万円）
• BLR-TX4L -- NAT + DHCP + DMZ + 4 ポートスイッチ（1万円）

WWW サーバが Firewall の外側に置けるかどうか検討しましょう。
会社ならレンタルサーバ、大学なら計算センターなどに代理サーバを 立ててもらいましょう。

フリーソフト

Freshmeat.net を検索！（Linux 関連が多いです）

Sourceforge.net を検索！

• pktfilter（Windows2000 用）
• Drawbridge（FreeBSD 用）
• T.REX firewall（UNIX 用）
• Zorp proxy firewall（UNIX 用）
• FREESCO（1FD Linux）
• FWTK (FireWall ToolKit)（UNIX 用）
• SOCKS（UNIX 用）
• Dante（socks）（UNIX 用）
• DeleGate（UNIX,Windows,OS/2）
• stone（UNIX,Windows,OS/2）
• IP Filter（UNIX 用）
• WinProxy（Windows95,98,NT 用）
• Linux Router Project

FWTK はアプリケーション毎に個別にプログラムを設定する必要がありますが、管理者が認めた以外の通信はブロックできます。

SOCKS は万能プロキシです。１つのプログラムで多くのアプリケーションに対応できます。

複数の技術を組み合わせられるのがフリーソフトを使う利点です。

FreeBSD には IPFW（パケットフィルタ）と NATD が最初から入っています

FreeBSD には IP Filter も最初から入っています

NetBSD と OpenBSD にも IP Filter が最初から入っています

Linux では IP Masquerade（NAT）と IPchains、IPFWADM（パケットフィルタ）が有名です

ZoneAlarm（Windows 用） は個人使用と非営利目的なら無料です

FreeBSD による構築例

実際にマシンを設定して実験してみました。

重要 : IPFilter に重大なバグ -- 詳しくはこちら（4月6日のアナウンス）

重要 : ipfw の established ルールに弱点（パッチ当てが必要） -- 詳しくはこちら（1月23日のアナウンス）

FreeBSD 4.2R で IPFW + Bridge を試してみました（1月23日）

FreeBSD 4.2R で IPFW + NAT を試してみました（1月23日更新）

FreeBSD 4.2R で IPFilter + NAT を試してみました（4月2日更新）

IPFW によるマシンの保護（1月23日更新）

IPF によるマシンの保護（1月23日更新）

FreeBSD 3.4R で IPFW + NAT を試してみました（1月29日更新）

FreeBSD 3.4R で IPFilterも試してみました（1月29日更新）

FWTK(FireWall Tool Kit) も試してみました（2月8日更新）

SOCKS5も試してみました（1月23日更新）

DNS の設定例（2000年3月23日）

テスト風景

参考文献

ファイアウォール＆ネットワークセキュリティ実戦テクニック

インターネットセキュリティ 不正アクセスの手法と防御（3500円）

Linux ファイアウォール -- Linux でのパケットフィルタリング

IP パケットフィルタリングの基礎と応用（Open Design 2001 年 6 月号）（1780円）

UNIX ネットワークセキュリティ導入・運用ガイド（Linux/FreeBSD/Solaris 対応）（3200円）

BSD magazine 2001 No.7 -- 特集２：ファイアウォールを考える

ネットワーク侵入検知（不正侵入の検出と対策）（2900円）

ASCII network PRO 2000年7月号（セキュリティパーフェクトガイド） （1280円）-- 製品一覧

ASCII network PRO 2000年5月号（Webサーバ防衛大網）（1280円） -- 明解簡単な説明

最新インターネットセキュリティがわかる（1980円） -- セキュリティ全般の平易な解説

ファイアウォール管理者ガイド（3800円） -- Linux での解説

イントラ＆インターネットセキュリティ（2000円） -- ファイアウォールと暗号化の解説

インターネットセキュリティ・プロフッショナルリファレンス 構築編（6090円）、運用編（5040円）

誰も教えてくれなかったインターネットセキュリティのしくみ（1700円）

Linux 版クラッカー迎撃完全ガイド（4980円） -- 攻撃的／防衛的ツールを多く紹介

クラッキング防衛大全（3800円） -- 不正アクセス手法の傾向とその対策

TRY!PC 2000年4月号（890円） -- ルーター構築とファイアウオール＋VPN

いつでも使えるインターネット／個人の常時接続環境を考える（白崎博生）（UNIX MAGAZINE 連載）

ファイアウォールの作り方（白崎博生）（UNIX MAGAZINE 連載、1997年11月より） -- FWTK の詳細な解説

UNIX & インターネットセキュリティー（7500円） -- Unix 管理者必読の本

ファイルォール構築（5200円） -- パケットフィルタの基礎知識

インターネットファイアウォール完全技術解説（7800円）

クラッキング対策ファイナルガイド（6800円）

PC-UNIXサーバのためのクラッカー撃退計画（2800円）

ファイアウォール（3873円）

セキュリティー入門 for Linux（4500円）

フリーソフトでできるネットワークセキュリティー ファイアウォール構築ガイド（2400円） -- FWTK、SOCKS、delegate などの解説

インターネットセキュリティー リスク分析、戦略、ファイアウォール（4500円）

Software Design 2001 年 2 月号

ファイアウォール関連記事の一覧（ちょっと古い）

セキュリティ関連書籍、雑誌記事リスト（ちょっと古い）

諸々の情報

Linux Administrators Security Guide

InternetWeek'2000 チュートリアル

Master of Network -- ネットワーク／セキュリティ／データベースなどの技術解説

セキュリティーホール memo -- 定番情報源。リンクも豊富

CERT Coordination Center

CERT Advisory（邦訳版）

JPCERT

IPA セキュリティセンター

小規模サイト管理者向けセキュリティ対策マニュアル（IPA）

National Infrastructure Protection Center

Linux's Security

SecurityFocus

Win セキュリティ虎の穴

Network Intrusion Detection System FAQ（日本語訳あり）

Intrusion Detection Systems page（IDS 一覧）

Computer Security Information

初心者のためのセキュリティー講座（JPCERT）

インターネットセキュリティ（IP Meeting 96 Tutorial）

Firewalling and Proxy Server HOWTO（日本語訳）

Linux Firewall and Security Site

Linux Security HOWTO

ipchains-mini-HOWTO

Linux IP Masquerade mini HOWTO

ファイアウォールと NAT

セキュリティ概論

Application Gateways and Statefull Inspection

Internet Week 99 チュートリアルレクチャーノート