ネットワークセキュリティに関して、建物内のルーターのファイアウォールがオンになっているため、ネットワークが安全になり、Windows PCのファイアウォールをオフにできると主張する人がいます。これらの人々はITで働いています。
私はこれに同意せず、前に戻るための確かな議論が必要です。ネットワーク上のコンピューターがマルウェアに感染した場合、このコンピューターを制御している攻撃者は既にルーターのファイアウォールを通過しており、Windowsファイアウォールがオフになっているため、LANを介して任意のコンピューターにアクセスできます彼らは望む。
まず、私の分析は正しいですか?次に、上で提示した議論に何を追加/削除しますか?
あなたの議論はとても良いものです。仰るとおりです。
IT担当者にとって抽象的すぎる場合は、これをより具体的にする方法を次に示します。同僚の1人が出張中にウイルスやワームに感染し、ラップトップを持ち帰って会社のネットワークに接続したとします。その後、ワームは、ファイアウォールを停止することなく、企業ネットワーク内で自由に拡散します。私はこれが実際に何度か起こるのを見ました、そしてそれは痛いです。
ITスタッフがファイアウォールを処理するためのサポートコストを懸念しており、機能が壊れてIT担当者へのサポートコールが増える可能性があると心配している可能性があります。すべてのWindow PCにローカルファイアウォールを導入している場合、増加したレベルのサポートに対処する必要があるのはITスタッフであることを覚えておいてください。したがって、彼らの懸念は正当なものかもしれません。
もし私が決断を下したのであれば、Windows PCでファイアウォールを実行することの欠点は何でしょうか。ローカルファイアウォールが重要なシステムへのアクセスを妨害したり、ビジネスのコアミッションを妨害したりする場合は、ローカルファイアウォールを実行しません。内部マシンを保護する他の方法を探します。ただし、お客様の状況でローカルファイアウォールがコンピューティングの使用を妨げず、不当なサポートコストが発生しない場合は、ローカルファイアウォールを有効にします。
人々がよくわからない場合は、パイロットから始めてください。少数のWindow PC(おそらく最も重要な情報(給与やコア知的財産など)を処理するもの)でローカルファイアウォールを有効にして、問題が発生するかどうかを追跡します。その後、パイロットは、組織の残りの部分全体でローカルファイアウォールを有効にするかどうかを決定するための有益な情報を会社に提供できます。
マルウェアは、電子メールの添付ファイルや悪意のあるWebサイト、自宅から持ち込まれたUSBスティックなど、さまざまな方法で組織に侵入する可能性があります。 Confickerは、組織内のコンピューターからコンピューターへと拡散することができました。前述の多層防御は、組織を確実に保護するためのベストプラクティスです。すべてのコンピューターに定期的にパッチを適用し(Microsoft、Adobe、Javaを含む)、ウイルス対策を使用して最新の状態に保ち、境界と個別のファイアウォール保護の両方を使用するようにします。
以前に述べたことに加えて、ファイアウォールの種類が実際には異なる場合があることに注意することが重要だと思います。境界ファイアウォールがステートレスである場合、デスクトップ上のステートフルファイアウォールによって提供される保護は、境界のステートレス保護に追加できます(たとえば、接続を開始するプロセスの知識を使用して、このプロセスに向けられたリターントラフィックを判断できるため)。
私はいつもゼロデイからの保護などはないと言っているので、すべてをレイヤーで設計することを考えてください。ファイアウォールにはIDSがあり、Kaspersky AVと呼ばれています。システムにはソフォスのファイアウォールが有効になっていて、ジョブを実行するために必要なトラフィックのみを許可しています。既知のサイトをゲートウェイのコンテンツフィルターとしてブロックし、ごみのトラフィックを127.0.0.1にルーティングするローカルマシンにホストファイルも展開します[最下位のソフトウェアレイヤー])感染または侵害されにくくするため。最後に、独自のネットワークをスニッフィングして、奇妙なことが何も起こっておらず、マシンとMACアドレスのみがそこにあることを確認します。