web-dev-qa-db-ja.com

サーバー:IPスプーフィングの削減またはパフォーマンスの向上を除いて、ファイアウォール用に別のデバイスを使用する理由

これらの2つの項目を除いて、ファイアウォールをサーバーの外側に配置する理由

  • サーバーのノイズによるパフォーマンスへの影響を排除します。
  • デバイス間に物理層を追加して、デバイスを別々のサブネットに配置できるようにし、ACLを使用してIPスプーフィングを防止します。このようにして、IPアドレスを確実に使用して、パケットの送信元の内部ネットワークを確認できます。 (IPアドレスが一致しない場合、内部ネットワークからのデータはドロップされ、IPアドレスが内部ネットワークの1つと一致した場合、Webからのデータはブロックされます。)これは、おそらく、代替イーサネットポートを使用して実現できます。サーバーが、別のデバイスを管理する方が簡単に見えます。

    実際、私はソースIPチェックを秘密鍵と暗号化ハンドシェイクで置き換えることができると思う傾向がありますが、これは非現実的である可能性があることを理解しています。

それとは別に、ソフトウェアファイアウォールは、プロトコルのブロック、「接続拒否」の抑制など、すべてを処理する必要があるようです。

それはこれらを残します

  • 優れたソフトウェアファイアウォールソリューションの欠如(たとえば、私のWindows PCはおそらくインターネットに直接接続されるべきではありません)。
  • ソフトウェアファイアウォールが正しく構成されていない場合に備えて、2番目のレイヤーを追加します。
  • 搭載されているソフトウェアの欠点を「補う」。たとえば、ファイアウォールが最新の検査ルールで自動的に更新される可能性があるが、ソフトウェアがそもそも安全である場合、これはすべきではない問題。

別のデバイスの正しい目的で何か不足している場合は、教えてください。最初の2つの項目だけが正当な目的だと思います。残りはサーバーの欠点を補うだけです。

4
Bryan Field

別のデバイスのポイントは、悪用される可能性を減らすことです。デバイスで実行するサービスには、攻撃者が悪用する可能性のある脆弱性が存在する可能性があります。

ファイアウォールの仕事は、文字通り、一連のルールに基づいてトラフィックへのアクセス制御を決定することです。たとえば、ftpサーバーも実行している場合、攻撃者はそのftpサーバーを悪用してファイアウォールの制御にエスカレートし、アクセス制御ルールを変更してすべてのアクセスを許可することができます。

Netstatを使用すると、すべてのデバイスでアクセス制御を実行でき、実際に環境をロックダウンするのに役立ちますが、実際には、ネットワークにトラフィックを送受信するデバイスに制御を配置する方が簡単です。

最近のほとんどの企業では、すべてのエンドポイントに対する制御が制限されています。アンチウイルス、特定のWebサイトのブロック、スプリットトンネリングを防止するファイアウォールなどですが、同程度ではありません。

1
Rory Alsop

別のデバイスを使用する理由の1つは、ファイアウォールを安全に運用するために厳密に必要ではないすべてを削除できるようにするためです。これにより、デバイスへの攻撃の可能性が減り、セキュリティが向上します。

5
user400

個別のデバイスとして実行される多くの優れたソフトウェアファイアウォールがあります。問題は何よりも「別のデバイス」です。

別のデバイスのポイントは、それがネットワーク全体の単一の制御ポイントであることです。

たとえば、誰かがノートブックコンピュータをネットワークに接続するとします。ファイアウォールデバイスがない場合は、インターネットとローカルインターネットの両方に開かれており、ハッカーはそれを悪用してネットワークに侵入することができます。

技術的には、サーバーにファイアウォールは必要ありません。netstatを実行し、開いたり聞いたりすることを想定していないすべてのポートを無効にします。中央制御を提供する別個のファイアウォールデバイスがある理由は、ファイアウォールよりも、多くの場合、それを行うことで間違いを犯すためです。

ご想像のとおり、大企業の場合、ファイアウォールルールセットは非常に大きくなり、エラーが発生しやすくなるため、単一の制御点ではなく単一の障害点になります。

3