パケット フィルターから次世代型へ

パケット フィルターから次世代型へ、
ファイアウォールの進化
パケット フィルターから次世代型へ、
ファイアウォールの進化
ファイアウォールはどのように進化して、現在のように強力で高度なセキュリティー
と洗練された機能を備えるようになったのでしょうか? 比較的短い期間に実にさまざ
まなことが起こり、おそらく皆さんもその一翼を担っています。
1970 年代後半にローカル エリア ネットワーク(LAN)とそれに接続されたシステ
ムが誕生し、企業が従業員にネットワークを介した相互通信やデータ転送の仕組み
を提供できるようになりました。
(1977 年)Chase
Manhattan Bank が民間機
関で初めて LAN を構築。
(1975 ~ 1976 年)DARPA
プログラムによる世界初の
真の IP ルーターが誕生。
LAN によって、社内での電子通信、つまり電子メールが可能になりました。当時の
ネットワークは、社内に限られた、プライベートで会社独自のものでした。また、
サポートできるユーザー数も限られていました。LAN のセキュリティーの基本的な
形態はパスワードによる保護でした。
1980 年代初頭になると、さまざまなネットワークを相互接続してネットワーク間のト
ラフィックを振り分けるマルチプロトコル ルーターが登場しました。ルーターとその
他のインターネット技術によってコンピューターのユーザーは、世界中へ電子的に
到達できるようになりました。インターネット上のトラフィックを振り分けるために使
用されたルーターには、トラフィック伝送とデータ アクセスのセキュリティーを強化
するためのアクセス コントロール ソフトウェアも搭載されていました。
2014
Gartner 社が、いわゆる「次世代
ファイアウォール」の登場を伝える
レポートを発行
2004
Digital Equipment Corporation 社が、
DEC SEAL と呼ばれる初の商用アプリ
ケーション ファイアウォールをリリース
1989 ~ 1990
Digital Equipment Corporation 社が、
初のパケット フィルター ファイアウォール
を開発
図 1:
ファイアウォールの時系列の進化
ジュニパーネットワークスが、
企業の強みとなる、さらに強
化されたシンプルな次世代
ファイアウォールを提供
2009
UTM ソリューションが登場し始める
1991
AT&T Bell Labs が、初のステートフル
ファイアウォールを開発
1988
2
パケット フィルターから次世代型へ、
ファイアウォールの進化
(1981 年)MIT およびスタン
フォード大学の研究者がそれぞれ
世界初のマルチプロトコル ルー
ターを独自開発。
ところがルーターでは、インターネット接続がもたらすさまざまな課題への対応に必要
なセキュリティーを提供できませんでした。グローバル通信によって、企業や家庭にあ
る接続されたコンピューターへの侵入経路が開き、やがてハッカーによるプライベート
アカウントへの不正侵入が発見されるようになりました。このようなハッカーを特定する
ためにさまざまな偵察ミッションが遂行された結果、「デジタル フォレンジック」と呼ば
れるコンピューター関連科学が発展しました。
増大するセキュリティーに関する懸念から、コンピューター ネットワーク セキュリティー
の開発が進められ、最初のネットワーク ファイアウォールが生まれました。これらのファ
イアウォールはポリシーをベースにトラフィックを許可またはブロックするものでした。
ネットワーク ファイアウォールは、火災を封じ込めて延焼を防ぐように設計されている物
理的な防火壁(ファイアウォール)と目的が似ていました。
参考資料
コンピューター ネットワーク ファイアウォールにより、会社の内部にある信頼できるネッ
トワークと、外部にあるインターネットなどの信頼できないネットワークとの間に防御壁
が築かれました。
ジュニパーネットワークスが創立され、ルーターおよびコンピューター ネットワーク セ
キュリティー デバイスの開発で進化を遂げた過程をご紹介します。
http://www.juniper.net/jp/jp/company/profile/history/
LAN、ルーター、インターネットの発展とそれを支えた人々、そしてそのような進化に
おいて DARPA が果たした基本的な役割について、Computer History Museum のプレ
ゼンテーションをご覧ください。
http://www.computerhistory.org/internet_history/internet_history_70s.html
ARPA RFC 823、The DARPA Internet Gateway(1982 年)をお読みください。
http://tools.ietf.org/html/rfc823
第 1 世代ファイアウォール:パケット フィルター ファイアウォール
第 1 世代のファイアウォールは、「パケット フィルター ファイアウォール」と呼ばれる比較
的シンプルなフィルター システムですが、今日のきわめて複雑なコンピューター ネットワー
ク用セキュリティー技術の礎となりました。
(1988 年)Digital Equipment
Corporation 社が、初のパケッ
ト フィルター ファイアウォール
を開発。
ステートレス ファイアウォールとも呼ばれるパケット フィルター ファイアウォールは、フィ
ルタリング ルールをベースにトラフィックを除外およびドロップしました。パケット フィル
ター ファイアウォールでは接続状態が維持されませんでした。つまり、パケットは関連す
るパケットが考慮されない原子単位として処理されました。パケット フィルター ファイア
ウォールは、主にルーターとスイッチに配置されました。
一般に、パケット処理はレイヤー 3 とレイヤー 4 において、パケットのヘッダー フィール
ドを 4 つの要素について照合することで行われました。この 4 つの要素とは、誰が誰に宛
ててパケットを送信したのか(送信元と宛先の IP アドレス)、ポート(送信元と宛先のポー
ト)、およびトラフィックの伝送に用いたプロトコルです。それより上位のレイヤーの情報
は考慮されませんでした。
パケット フィルター ファイアウォールの主な弱点は、ステートがないことをハッカーが悪用
して、フィルターを通過できるようパケットを加工できることでした。パケット フィルター
ファイアウォールを最初に使用すると、オペレーティング システム スタックは脆弱であり、
たった 1 つのパケットでシステムがクラッシュする可能性がありました。今日ではほとんど
起こらない現象です。パケット フィルター ファイアウォールでは、Web ベースの攻撃を含
むすべての Web ベース トラフィックがファイアウォールを通過できました。このようなファ
イアウォールは、有効なリターン パケットとなりすましのリターン パケットを区別できませ
んでした。この問題や同じような問題にどのように対処すべきか検討することで、将来の
ファイアウォール開発の道筋が決まりました。
3
パケット フィルターから次世代型へ、
ファイアウォールの進化
参考資料
SRX シリーズのステートレス パケット フィルター ファイアウォールについては、こち
らをお読みください。
http://www.juniper.net/techpubs/en_US/junos12.1x46/information-products/
pathway-pages/security/security-processing-library.pdf
ルーティング デバイス用の Junos OS パケット フィルター ファイアウォールについて
は、こちらをお読みください。
http://www.juniper.net/techpubs/en_US/junos14.1/information-products/pathwaypages/config-guide-firewall-filter/config-guide-firewall-filter.pdf
第 2 世代ファイアウォール:ステートフル ファイアウォール
(1989 ~ 1990 年)AT&T ベ
ル研究所が世界初のステート
フル ファイアウォールを開発
し、サーキットレベル ゲート
ウェイと命名。
ほどなくして、パケット フィルター ファイアウォールに続いてステートフル ファイアウォー
ルが登場しました。これらの第 2 世代ファイアウォールはパケット フィルター ファイア
ウォールと同じ機能を持ちましたが、セッションと接続の状態を監視し、保存しました。
関連するパケットが、送信元と宛先の IP アドレス、送信元と宛先のポート、そして使用
されるプロトコルに基づいて 1 つのフローにまとめられました。パケットがこの情報と双
方向的に一致すれば、そのパケットはこのフローに属することになりました。
インターネットの利用が広がり、企業のネットワーク化が進むと、企業がユーザーにイン
ターネット サービスを選択的に提供できるようになりましたが、企業は、LAN の外部か
らの侵入や攻撃に対する資産の安全を保護できる方法で提供したいと考えました。また、
従業員および請負業者やパートナーなど他の会社関係者が許可されないネットワーク リ
ソースにアクセスしようとする試みからネットワークを保護することも必要でした。さらに
企業は、LAN 内部やインターネットを発信源とする、意図しない攻撃や意図的な攻撃
からネットワークを保護したいと考えました。この問題を解決するために、企業はステー
トフル ファイアウォールの導入を考えるようになりました。
ステートレス パケット フィルター ファイアウォールには、システム管理者がセッション内
またはセッション間の通信と接続の状態を監視するためのツールがありませんでした。
このような要求に応えたのがステートフル ファイアウォールです。
ステートフル ファイアウォールが提供するセキュリティーの基本にあるのは、セッション
接続に基づくトラフィックの許可 / 除外の判断でした。ファイアウォールはステート テー
ブルに、許可されるすべてのオープンな接続とセッションの状態、および送信元ホスト
と宛先ホストの間の通信ステータスを保持します。この技術によってシステム管理者は、
ネットワーク接続をインテリジェントに認識し、接続の状態に基づいてトラフィック アク
セスを制御するルールを定義できるようになりました。ステートフル ファイアウォール
ルールには、パケット フィルター ファイアウォールの 4 つの要素に加え、接続の状態を
識別する 5 つ目の要素が含まれていました。
ステートフル ファイアウォールは、パケット フィルター ファイアウォールの問題のうち、
リターン パケットが正当な接続からのものであるかどうかを判断できないという問題を
解決しましたが、適切な Web トラフィックと不適切な Web トラフィックを区別できないと
いう問題は解決できませんでした。Web 攻撃を検出してブロックできるファイアウォール
機能が必要とされ、ほどなく開発されました。
参考資料
企業向け Junos サービス ゲートウェイを実践的に学ぶには、完全版の『Junos Security』ガ
イドをお読みください。
http://shop.oreilly.com/product/0636920001317.do
SRX シリーズ デバイスのステートフル ファイアウォールについては、こちらをお読みください。
http://www.juniper.net/techpubs/en_US/junos12.1x46/topics/concept/security-branchdevice-stateful-firewall-functionality-understanding.html
SRX シリーズでの Junos OS フローベース ステートフル ファイアウォールの処理について
は、こちらをお読みください。
http://www.juniper.net/techpubs/en_US/junos12.1x46/information-products/pathwaypages/security/security-processing-index.html
4
パケット フィルターから次世代型へ、
ファイアウォールの進化
小中規模向け SRX シリーズデバイスでステートフル ファイアウォール セキュリティーの
設定を始めるには、こちらをお読みください。
http:// www.juniper.net/techpubs/en_US/junos12.1x46/information-products/pathwaypages/security/security-getting-started.html
SRX シリーズ デバイスの豊富で包括的なセキュリティー サービスと、興味深い記事に
ついては、幅広い評価を得た Juniper SRX シリーズの実践ガイドを参照してください。
http://shop.oreilly.com/product/0636920026785.do
ターゲットを絞ったファイアウォール機能
セキュリティー問題がより顕著で具体的になると、その対策としてファイアウォールに搭載さ
れたパワフルなセキュリティー ソフトウェアが登場しました。これらの製品には、ウィルス
対策(AV)アプリケーション、侵入防御システム(IPS)、単一方向リンク検出(UDLD)フィ
ルタリング、統合脅威管理アプリケーションなどがありました。このセクションでは、これら
の技術が促進するネットワーク セキュリティーについて見ていきます。
ウィルス対策(AV)アプリケーション
ウィルス対策アプリケーションについて理解するためには、コンピューター ウィルスにつ
いて理解する必要があります。コンピューター ウィルスが登場するかなり前に、
ジョン・フォ
ン・ノイマンは自著の『自己増殖オートマトンの理論』で、自己増殖するコンピューター
プログラムの設計が可能であると主張しています。
(1983 年)ピーター・スゾーが、
コンピューター ウィルスを「進
化している可能性がある自己の
コピーを再帰的に複製するコー
ド」と定義。
ジョン・フォン・ノイマンの設計したものは、コンピューター ウィルスとして作成された
ものではなく、コンピューター ウィルスとして使用された事実もありませんが、最初のコ
ンピューター ウィルスと見なされています。『自己増殖オートマトンの理論』やその他の
関連書は、コンピューター ウィルス設計者の参考文献の一部となっていると考えられます。
コンピューター ウィルスとは、自己増殖するコンピューター プログラムであり、データ ファ
イルやその他のコンピューター プログラムなどのリソースに自らを挿入します。個々のコ
ンピューターとコンピューター ネットワークに大損害を与え、生産性の低下や多額の損害
を発生させる可能性があります。
(1971 年)「クリーパー」ウィ
ルスを最初のコンピューター
ウィルスとして確認。メインフ
レームに感染するウィルスであ
り、最終的に最初のコンピュー
ター ウィルス対策ソフトウェア
である「リーパー」によって駆
除された。リーパー自体、
クリー
パーの除去を目的としたウィル
スであった。
最も破壊力の高いウィルスは「in the wild(生きているウィルス)」と呼ばれるものです。
このウィルスは通常、すべてのコンピューター ファイルを消去できるペイロードが含まれ、
コンピューターの BIOS を標的としています。「生きているウィルス」と見なされるのは、
感染した一般のコンピューターの間で、日常的な運用の結果、ウィルスが封じ込められ
ずに蔓延している場合です。
約 5 万 種類ある既知のコンピューター ウィルスのうち、「生きているウィルス」と見なさ
れているものは 600 種類未満です。
最初のウィルスは、友人間でフロッピー ディスクをやりとりするスニーカー ネットを介し
て広がったと言われています。シェアウェアや違法コピーされたソフトウェアは、手から手
へ受け渡されました。
電子メールがコンピューター ウィルスの拡散を速めました。ウィルスは通常、インスタン
ト メッセージングやインターネットからのダウンロードを通じて拡散します。セキュリ
ティーの脆弱性を悪用するコンピューター ウィルスの開発戦略は高度化し、やがてソー
シャル エンジニアリングも組み込まれるようになりました。今日では、コンピューター ウィ
ルスの開発者はソーシャル メディア サイトを悪用するマクロ ウィルスを作成するためにス
クリプティング言語を使用することが多くなっています。
コンピューター ウィルスの出現からまもなく、ウィルスを検出して削除するウィルス対策
ソフトウェアが開発されました。ウィルス対策プログラムは、実行可能ファイルとブート
ブロックをスキャンして既知のウィルスのリストに対して照合し、感染の有無を判定して、
もし感染していればウィルスやその他のマルウェアを除去しました。ウィルス対策ソフト
ウェアには、インターネットからダウンロードをチェックし、既知のウィルス群のアクティ
ビティを常時スキャンする動的機能も含まれていました。
ウィルス対策プログラムはシグネチャーを頼りにウィルスを検出しました。シグネチャーと
は、特定のウィルスを一意に識別するテキスト文字列から派生したアルゴリズムまたは
ハッシュ数値です。
5
パケット フィルターから次世代型へ、
ファイアウォールの進化
最初のウィルス対策シグネチャーは、ファイル全体のハッシュまたは特定のマルウェアを
表現するバイト シーケンスでした。
(1987 年)フレッド・コーエンが
「あらゆるコンピューター ウィル
スを完璧に検出できるアルゴリ
ズムなどない」と発言。ヒュー
リスティックなウィルス対策ユー
ティリティー、「FluShot Plus」
(ロス・グリーンバーグ作)およ
び「Anti4us」(アーウィン・ラ
ンティング作)などが出現。
次第に、疑わしいセクション名、正しくないヘッダー サイズ、ワイルドカード、正規表現
を解析に用いる高度なヒューリスティックが利用されるようになりました。マルウェアの増
殖に遅れを取らないように、ウィルス対策ソフトウェアの開発者はより高度なアルゴリズ
ムを利用するようになりました。ほとんどのウィルス対策ソフトウェアは、利用者が最新の
ウィルスに対応できるように、通常のシグネチャー更新サーバーを提供していました。
効果を維持するために、ウィルス対策プログラムは増え続けるファイルの種類に対応でき
る必要があり、
ウィルス チェッカーはより頻繁に更新される必要がありました。やがて、
ウィ
ルスに限らず、ルートキット、ハイジャッカー、トロイの木馬、バックドア、ダイアラー、
不正ツール、アドウェア、スパイウェアなど、その他の形態のマルチウェアをも防止、検出、
削除できるウィルス対策プログラムが登場しました。
侵入防御システム
(2013 年)IPS が復活。NSS
Labs 社のリサーチ ディレク
ターであるロブ・アヨウブは、
IPS の復活について「...IPS
技術がただひっくり返って死ん
だふりをするとは思わない」
と予測している。
必ずしもすべてのサイバー攻撃が防御できるとは限りませんが、侵入防御システムなどの
プリエンプティブなシステムは効果が実証されており、潜在的な損害を大幅に抑えること
ができます。セキュリティーの専門家によると、約 90% 以上抑えることが可能です。21
世紀初頭に侵入防御システムが衰退の危機に瀕したことに一部のセキュリティー プロ
フェッショナルが驚いたのはそのためです。
センサーとアナライザーを組み合わせて使用する侵入防御システムは、ネットワークトラ
フィックを監視し、ファイル シグネチャーの利用を含むさまざまな戦術を用いてフローの
ヒューリスティックな解析を実行しました。侵入防御システムは既知の攻撃を特定する悪
用シグネチャーを監視しました。また、根底にあるシステムの脆弱性を標的とする脆弱性
シグネチャーも検出しました。
侵入防御システム(IPS)の主な特長の 1 つに即時性があります。IPS は潜在的な脅威を
特定するとすぐに先制措置を講じることができ、多くの場合攻撃が開始される前に脅威に
対応します。どのような措置を講じるかは、システム管理者が組織のネットワーク インフ
ラストラクチャ要件に基づいて設定したルールのセットまたはポリシーによって決まりま
す。これらのルールによって IPS は潜在的な脅威を警告するアラームをトリガーしたり、
一時的または永久的にトラフィック(送信元の IP アドレス)をブロックして悪意のあるフ
ローを修復したりします。
正式にはファイアウォールの一部ではないものの、IPS 製品は多くの場合、セキュリティー
保護を多層化するためにファイアウォールの内部に置かれました。IPS ソリューションは、
送信元と宛先の IP アドレスの間の直接通信経路に配置されました。
アプライアンスとも呼ばれる IPS 製品は、ハードウェアまたはソフトウェアに導入すること
も、その両方に導入することも可能でした。ホストのネットワーク レイヤーからアプリケー
ション レイヤーまで、既知の攻撃や未知の攻撃から保護しました。
IPS はどのように機能するのでしょうか? IPS アプライアンスの大部分は、
シグネチャーベー
ス、統計的異常ベース、ステートフル プロトコル解析という 3 種類の検出方法のうち 1
つ以上を利用しています。
■■ シグネチャー ベース検出:あらかじめ定義されたシグネチャーのデータベースに基づ
き、既知の攻撃パターンに対してトラフィック パケットを監視します。
■■ プロファイルまたは統計的異常ベースの検出:正常なネットワーク アクティビティを判
定します。IPS はこの情報に基づいて異常な動作やアクティビティを検出します。異常
検出技術は、必ずしも悪意あるトラフィックを対象とするわけではありません。
■■ ステートフル プロトコル解析検出:シグネチャーベースの検出と同様に動作しますが、よ
り高度なパケット調査を実行します。IPS は、観察されたイベントと、あらかじめ定義され
た無害な動作のプロファイルとを比較することにより、プロトコル状態の違いを特定します。
6
パケット フィルターから次世代型へ、
ファイアウォールの進化
IPS についての議論では、侵入検知システム(IDS)ソフトウェアについて検討するこ
とが重要です。IPS は次世代 IDS と見なされる場合がありますが、これらの技術には重
要な違いがあります。パッシブな監視システムと見なされる IDS アプリケーションは、
通常は不審なアクティビティと潜在的な侵入を監視し、このような侵入が行われている
ことをシステム管理者に警告しました。IDS が潜在的な攻撃を通知するだけなのに対
し、IPS はそのような攻撃を防止し、場合によってはアラームも送信します。
コンテンツ フィルタリング
単一方向リンク検出(UDLD)フィルタリング ソフトウェアでは、ユーザがインターネッ
ト Web サイトへのアクセスを制御することができます。Web サイトのカテゴリー全体か
ら 1 つの URL まで、さまざまなレベルでブロックまたは許可することにより、従業員
や家族、その他のユーザーがアクセスできるサイトを制御することができます。
統合脅威管理
(2004 年)企業の機密性の
高いデータ システムに対する
ハッキング、ウィルス、ワー
ム攻撃を止めるソリューショ
ンが出現。
統合脅威管理(UTM)ソリューションは、ファイアウォールの進化の一段階とは見な
されないものの、単一プラットフォームに統合された一連のセキュリティー サービスを
もたらしました。標準のファイアウォール機能に加え、AV、VPN、コンテンツ フィルタ
リング、負荷分散、通知などさまざまな機能が搭載されていました。多層防御のセキュ
リティーを実現するものの、大規模企業ではパフォーマンスが課題として残りました。
参考資料
ウィルス対策
ウィルス対策保護に関する情報は、ジュニパーネットワークス SRX シリーズのマニュア
ルをご覧ください。
http://www.juniper.net/techpubs/en_US/junos12.1x46/information-products/
pathway-pages/srx-series/book-software-srx-series-volume-1.pdf
ジュニパーネットワークスの定義したウィルス対策ポリシーについては、こちらをお読
みください。
http://www.juniper.net/techpubs/en_US/junos12.1x45/information-products/topiccollections/security/software-all/getting-started-guide/security-getting-started-guide.
pdf#search=%22SRX%20Series%20Kaspersky%20antivirus%20protec- tion%22
ジュニパーネットワークスの Sophos ウィルス対策保護については、こちらをお読みくだ
さい。
http://www.juniper.net/techpubs/en_US/junos12.1x44/topics/concept/utm-antivirussophos-overview.html
Kaspersky、Sophos、Antivirus Express による保護の設定方法は、ジュニパーネットワー
クスのナレッジ ベース記事をお読みください。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB16620
よく知られている広く蔓延した一部のコンピューター ウィルスについて、レポートを
ご覧ください。
■■ 1999 年:Melissa:http://malware.wikia.com/wiki/Melissa、
http:// bubbleboy.8m.com/bubble-boy.html
■■ 2001 年:Nimda:http://nakedsecurity.sophos.com/2011/09/16/memories-of-thenimda-virus/
■■ 2003 年:SoBig.F:http://virus.wikidot.com/sobig
Wild-List Organization International が公開する、まだ「生きている」コンピューター
ウィルスのリストは、こちらをご確認ください。
http://www.wildlist.org/CurrentList.txt
7
パケット フィルターから次世代型へ、
ファイアウォールの進化
侵入防御システム
ジュニパーネットワークスの侵入防御システム製品の概要は、こちらをご覧ください。
http://www.juniper.net/jp/jp/products-services/network-edge-services/
ジュニパーネットワークスのライブラリーで、侵入検出および防止に関する情報をご確
認ください。
http://www.juniper.net/techpubs/en_US/junos12.1x47/information-products/
pathway-pages/security/security-idp-index.html
Junos 侵入防御システム製品を集中的に学び、専門知識を身に付けるには、ジュニパー
ネットワークスの提供するコースを受講してください。
https://learningportal.juniper.net/juniper/user_activity_info.aspx?id=2320
ジュニパーネットワークスの侵入防御システムについての詳しい情報は、定評ある
『Juniper SRX Series』ハンズオン リファレンスの該当する章をお読みください。
http://chimera.labs.oreilly.com/books/1234000001633/ch13.html
書籍はこちらから購入できます。
http://shop.oreilly.com/product/0636920026785.do
ジュニパーネットワークスの YouTube 動画「How to Configure IDP for SRX Series
Devices」をご覧ください。
https://www.youtube.com/watch?v=0a1-Qr3IODo
統合脅威管理
ジュニパーネットワークスの統合脅威管理ソフトウェアの概要は、こちらでご確認ください。
http://www.juniper.net/techpubs/en_US/junos12.1x46/topics/concept/utm-over-view.
html
http://www.juniper.net/techpubs/en_US/junos12.1/topics/reference/general/securityfeature-utm-support.html
ジュニパーネットワークスによる UTM の実装に関する情報は、「Junos OS Attack
Detection and Prevention Library for Security Devices」でご確認ください。
http://www.juniper.net/techpubs/en_US/junos12.1x46/information-products/
pathway-pages/security/security-adp-index.html
第 3 世代ファイアウォール:アプリケーション ファイアウォール
(1991 年)DEC 社が世界初の
商用アプリケーション ファイア
ウォール DEC SEAL を発表。
マーカス・ラナムの調査と設
計に基づくもの。
ファイアウォール技術の開発はその後も急速に進みました。攻撃者が OSI モデルの
より上位レイヤーで脆弱性を探すようになると、ファイアウォール技術の開発も、ト
ラフィックとアクセスの保護を強化し、攻撃に対する可視性を高めるために、OSI モ
デルのより上位レイヤーを対象とするようになりました。
従来のステートフル ファイアウォールは、プロトコルとポートに対する制御をベース
に保護を行い、特定の IP アドレスで送受信するトラフィックを制限してしまうため、
インターネットの成熟とともに一般的になった Web ベース攻撃の件数と種類の増加
に十分に対応できないと考えられました。
Web ベースの攻撃は、ウェルノウン ポート、すなわち HTTP(ポート 80)、HTTPS
(ポート 443)、電子メール(ポート 25)を簡単に通過できました。プロトコルとポー
トをベースとしたファイアウォールには、それらのプロトコルとポートを利用する正
当なアプリケーションを不正な攻撃やアプリケーションと区別することができなかっ
たためです。また、同じポートを用いるある種の Web トラフィックと別の種類の
Web トラフィックとを区別することができませんでした。
8
パケット フィルターから次世代型へ、
ファイアウォールの進化
(1993 年)DARPA との契約
により、マーカス・ラナム、ウェ
イ・シェイ、ピーター・チャー
チヤードが世界初の無料で使
用できるアプリケーション ファ
イアウォールである「Firewall
Tookit(FWTK)」を開発し、
共通の開発基盤を提供。
(1999 年)Perfecto
Software 社の AppShield
が、Web アプリケーション ファ
イアウォール(WAF)技術の
提供をリード。
アプリケーション ファイアウォールは、あらゆるポートであらゆるアプリケーションを実
行できるという事実に起因する問題を解決しました。システム管理者はこのファイア
ウォールにより、アプリケーション レイヤーまでを対象にネットワークを制御し、セキュ
リティー強化することが可能になりました。アプリケーション ファイアウォールは、許可
されるポートやオープンなポートを通過してファイアウォールを突破または迂回するアプ
リケーションを発見しました。システム管理者は、悪意があると考えられるアプリケーショ
ンおよびサービス コールを発見し、ブロックできるようになりました。
ほとんどのアプリケーションはポート 80 番で実行されるため、セキュリティー ソフトウェ
アでアプリケーションの種類の識別を可能にする必要がありました。Web ベースの攻撃
は、ウェルノウン ポートである HTTP(ポート 80)はもちろん、HTTPS(ポート 443)、
電子メール(ポート 25)も簡単に通過することができました。プロトコルとポートをベー
スとしたパケット フィルタリング ファイアウォールおよびステートフル ファイアウォール
には、それらのプロトコルとポートを利用する正当なアプリケーションを不正なアプリ
ケーションや攻撃と区別することができなかったためです。
アプリケーション ファイアウォールでは、トラフィックのコンテンツを検査し、Web サービス
や既知のウィルスなどの特定のコンテンツをブロックすることができました。こうしてアプリ
ケーション ファイアウォールは、Web ベースの攻撃に関連する多くの問題を解決したのです。
ホストベースのアプリケーション ファイアウォールは、アプリケーションの入力、出力、
およびアプリケーションに関連するシステム サービス コールを監視するものでした。
Web アプリケーション ファイアウォール(WAF)は、アプライアンスまたはサーバー
プラグインとして提供され、HTTP のやり取りに一連のルールを適用することでトラフィッ
クを除外しました。
Web アプリケーション ファイアウォールはファイアウォール技術の急激な発展とともに進
化を続け、パケットに関する情報やパケットに関連付けられたアプリケーションだけで
はなくパケット自体の内容をも可視化されました。
参考資料
SRX シリーズのデバイスにアプリケーション セキュリティー機能群を提供する Juniper
Networks AppSecure については、こちらをお読みください。
http://www.juniper.net/jp/jp/products-services/security/appsecure/
定評ある『Juniper SRX Series』ハンズオン リファレンスの、AppSecure の基本に関す
る章全体をお読みください。
http://chimera.labs.oreilly.com/books/1234000001633/ch12.html
書籍はこちらから購入できます。
http://shop.oreilly.com/product/0636920026785.do
SRX シリーズ AppSecure に関する短期コースを受講していただけます。製品の説明と
設定方法を、YouTube 動画「Basic Application Firewall Learning Byte」でご確認
ください。
http://www.youtube.com/watch?v=_chtTmzrJTY&list=PLqANiksldRZd1uw0E7Ux
dSu4qtvcN7GF-&index=10
「Junos OS AppSecure Services Library for Security Devices」で主なマニュアルを直接ご
覧ください。
http://www.juniper.net/techpubs/en_US/junos12.1x46/informa- tion-products/
path- way-pages/security/security-appsecure-index.html
9
パケット フィルターから次世代型へ、
ファイアウォールの進化
次世代ファイアウォール
(2009 年)Gartner 社の
Greg Young と John
Pescatore が『Defining
the Next Generation
Firewall』を出版。
2003 年、Gartner 社は次世代ファイアウォール(NGFW)のアイデアについて調査を
開始し、2004 年にそれに関するノートの公開を開始しました。Gartner 社は、初期バー
ジョンのエンタープライズ NGFW の萌芽が見られたことを確認すると、2009 年に次
世代ファイアウォールを定義する正式なレポートを公開しました。NGFW は、従来の
セキュリティー技術の数々を新規開発された技術と融合させたものが登場しました。
NGFW は、アプリケーションの可視化と制御、ディープ パケット インスペクション、
高度な脅威防御、サービス品質によって形作られ、中断のないインラインの「bumpin-the-wire」構成およびパフォーマンスと管理性の向上が特徴でした。
NGFW が提供するサービスのポートフォリオには従来のファイアウォール サービスが
含まれていましたが、認識されていたパフォーマンス上の問題はありませんでした。
また、ユーザー、ユーザー グループ、およびユーザーの役割をベースとした機能も
搭載され、ユーザーのアイデンティティがシステムに割り当てられた IP アドレスとは切
り離して表示されました。
(2014 年)ジュニパーネット
ワークスの NGFW ソリュー
ションにアプリケーション認
識、侵入防御システム、役
割ベースのユーザー制御オ
プション、クラス最高の統合
脅威管理を搭載。
NGFW は、ネットワーク セキュリティーの未解決の課題をいくつか解決しただけでは
なく、システム管理者がコンピューター技術の急激な進化や変わり続けるインターネッ
ト ランドスケープに対応するセキュリティーを実装することを可能にしました。たとえ
ば、紐なしのコンピューター(USB ケーブルに接続されていないシステム)、サポー
トされたデバイス検出技術および over-the-air 設定、セルフサービス ポータルなど
を使用する選択肢をユーザーに提供したり、ネットワークへの個人所有デバイスの持
ち込み(BYOD)をユーザーに許可したりできるようになりました。
NGFW は旧世代のファイアウォールの強みを備えつつ、パフォーマンスを犠牲にせず
に偵察と制御の機能を進化させました。搭載されたディープ パケット インスペクショ
ン機能により、攻撃の試行を認識し、修復できるようになりました。このような機能に
より、トラフィックを詳細に検証して攻撃の兆候を判定することができます。
ジュニパーネットワークスの NGFW ソリューションには、以下の機能が含まれています。
■■ ハイ パフォーマンスなディープ(またはフル)パケット インスペクション(DPI)。
パケットに対してフル インスペクションを行ってトラフィックに関する膨大な情報を
生成し、標準的な通信の正常化に使用します。また、より高速で効果的な異常検出
も可能です。DPI システムが収集するデータによりシステム管理者は、ネットワーク
トラフィックを包括的に認識することができます。
■■ エ
ンドツーエンドのネットワーク アクセス コントロール(NAC)およびアプリケーショ
ン認識。アプリケーションの状態とリソース要件情報を保持します。アプリケーショ
ン認識機能によりインテリジェントなトラフィック分析が可能になり、システム管理
者は、可用性の妨害やデータ侵害を意図して Web アプリケーションにより実行され
る分散型サービス拒否(DDoS)攻撃を阻止できるようになりました。
■■ Active Directory(AD)統合とユーザー アイデンティティ管理。ユーザーのアイデ
ンティティが追加され、ユーザー ファイアウォールのセキュリティー ポリシーが拡張
されました。ユーザーを、役割別(ユーザー役割ベースのファイアウォール)、属す
るグループ別、または個別のユーザー ID 別(ユーザー ファイアウォール)によっ
て識別することができます。
■■ 流出やデータ損失に対する確実な攻撃者プロファイリング防御。ハッカーに関する
インテリジェンスのグローバル共有を促進して、検出と監視を高速化しました。
10 パケット フィルターから次世代型へ、
ファイアウォールの進化
侵入防御システム
(IPS)
ウィルス対策
(AV)
攻撃を識別しブロックするために異常な動作や異常なトラフィック
をネットワーク監視。
シグネチャー(アルゴリズムまたはハッシュ値)に依存したウィルス検出。
ウィルスやその他のマルウェアの防止、検出、削除。
単一方向リンク検出
(UDLD)
フィルタリング
カテゴリー全体から単一の URL までブロック / 許可することにより、
インターネット Web サイトへのアクセスを制御。
ステートフル
ファイアウォール
セッションおよび接続の状態を監視、保存。
パケットはフローに紐付けられる。発信元と宛先の情報およびセッション接続
に基づいてアクセスを決定。
アプリケーション
セキュリティー
オープン ポートでファイアウォールの迂回を試みる許可されないアプリ
ケーションから保護。同じポート上で実行されるアプリケーションを
識別することでアクセスを制御。
アクセス
コントロール
リスト(ACL)
パケット
フィルター
ファイアウォール
図 2:
オブジェクトへのアクセス権限が認証されるユーザーとシステム プロセスを指定。
パケット ヘッダーの内容、送信元と宛先の IP アドレスおよびポート、
使用されるプロトコルに基づいてアクセスを決定。
次世代ファイアウォールの機能
参考資料
Junos OS SRX シリーズの IDP 技術についてご確認ください。
http://www.juniper.net/techpubs/en_US/junos12.1x46/information-products/
pathway-pages/security/security-idp-index.html
AppSecure についてはこちらをお読みください。
http://www.juniper.net/jp/jp/products-services/security/appsecure/
Junos Spotlight Secure は、クラウド型のハッカーデバイス情報ソリューションとして、
個々の攻撃者をデバイスレベルで特定し、グローバルなデータベースで継続的に管理
します。これについては、こちらをご覧ください。
http://www.juniper.net/jp/jp/products-services/security/
YouTube 動画「Hacker Interrupted: Detecting and Preventing Hackers on
Your Website」をご覧ください。
http://www.youtube.com/watch?v=9jXXL5S_e4M
パケット フィルターから次世代型へ、
ファイアウォールの進化
パケット フィルターから次世代型へ、
ファイアウォールの進化
著者:Judy Thompson-Melanson
ファイアウォールはどのように進化して、現在のように強力で高度なセキュリティーと洗練された
機能を備えるようになったのでしょうか? 過去 40 年でファイアウォールがどのようにパケット
フィルターから進化を遂げ、攻撃者を制限してインターネットのより安全なナビゲーションを
可能にした真の次世代デバイスが登場したのかを理解しましょう。これは比較的短い期間内に
起きた興味深いストーリーで、おそらく皆さんもその一翼を担っています。ぜひお読みください。
ジュディ・トンプソン=メランソンは、25 年以上の業界歴を持つジュニパー ネットワークスのスタッ
フ テクニカル ライターです。彼女は、Apple、Sun Microsystems、Cisco Systems、Intuit の各社
を含む多くの企業向けに、API 文書、設計ガイド、ネットワークおよびセキュリティーの文書を執
筆しました。著者は、
このプロジェクトに参画した以下の方々に感謝の意を表しています。パトリッ
ク・エームス(編集長)、ナンシー・コールバル(コピーエディター)、カレン・ジョイス(イラ
ストレーター)、リネア・ウィックストローム(プロジェクト プロモーター)
ぜひお読みください。
juniper.net/documentation
Copyright 2014 Juniper Networks, Inc. All rights reserved.
Juniper Networks、Juniper Networks のロゴ、JUNOS、Steel-Belted Radius、NetScreen、
ScreenOS は、米国およびその他の国々における Juniper Networks, Inc. の登録商標です。JUNOS
は Juniper Networks Inc. の商標です。その他すべての商標、サービス マーク、登録商標、登録サー
ビス マークは、各所有者に所有権があります。
ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。ジュ
ニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。
ISBN:1-941441-0-08 改版履歴:第一版、2014 年 10 月
23456789
ISBN 978-1941441008
9 781941 441008
50500