分散ファイアウォール

分散ファイアウォールは、ネットワークのホストマシン上のセキュリティアプリケーションであり、企業ネットワークのサーバーとユーザーマシンを不正な侵入から保護します。ファイアウォールは、 2つのネットワーク間のアクセス制御を実施し、「内部」ネットワークを「外部」ネットワークから保護するための一連のセキュリティルールを実装するシステムまたはシステムグループ（ルーター、プロキシ、ゲートウェイ）です。インターネットまたは内部ネットワークの送信元に関係なく、すべてのトラフィックをフィルタリングします。通常、従来のファイアウォールの背後に展開され、第2の防御層を提供します。分散ファイアウォールの利点は、セキュリティルール（ポリシー）を企業全体で定義および適用できることです。これは、大規模な企業にとって不可欠です

分散ファイアウォールは、多くの場合、オペレーティングシステムのOSIスタックの最下部に位置するカーネルモードアプリケーションです。インターネットか内部ネットワークかに関係なく、すべてのトラフィックをフィルタリングします。インターネットと内部ネットワークの両方を「非友好的」として扱います。境界ファイアウォールがネットワーク全体を保護するのと同じように、個々のマシンを保護します。分散ファイアウォールの機能は、次の3つの概念に基づいています

• どのような接続が許可または禁止されるかを規定するポリシー言語。
• MicrosoftのSMSやASDなどのシステム管理ツールのいずれか、および
• IPSEC は、インターネット プロトコル(TCP、UDP など)のネットワーク レベルの暗号化メカニズムです。

基本的な考え方はシンプルです。コンパイラがポリシー言語を何らかの内部フォーマットに変換します。システム管理ソフトウェアは、このポリシーファイルをファイアウォールで保護されているすべてのホストに配布します。そして、各「内部」ホストは、ポリシーと暗号的に検証された各送信者のIDに基づいて、受信パケットを承認または拒否します。

• ポリシーを設計するための中央管理システム
• これらのポリシーを伝達するための伝送システム、そして
• 設計されたポリシーをクライアント側で実装します。

分散型ファイアウォールのセキュリティポリシーは一元的に定義され、各エンドポイント（ホスト、ルーターなど）でポリシーが適用されます。集中管理とは、サーバーとエンドユーザーマシンにセキュリティポリシーを設定し、適用する機能であり、限られたリソースを最大限に活用するのに役立ちます。レポートを収集し、更新を一元的に管理できるため、分散型セキュリティは実用的です。分散型ファイアウォールのこの機能は、2つの点で役立ちます。1つ目は、リモートのエンドユーザーマシンを保護できることです。2つ目は、ネットワーク上の重要なサーバーを保護し、悪意のあるコードによる侵入を防ぎ、保護されたサーバーが攻撃の足掛かりとして利用されることを防ぐことで、他の悪意のあるコードを「監禁」することです。

ポリシー、つまりセキュリティルールの配布方法は実装によって異なり、異なります。エンドシステムに直接プッシュすることも、必要に応じてプルすることもできます

プル方式では、ホストは起動時に中央管理サーバーに通知し、中央管理サーバーが起動してアクティブかどうかを確認します。ホストは中央管理サーバーに登録し、実装すべきポリシーを要求します。中央管理サーバーはホストにセキュリティポリシーを提供します

プッシュ技術は、ネットワーク管理者が中央管理側でポリシーを更新し、ホストを即座に更新する必要がある場合に使用されます。このプッシュ技術により、ホストは常に最新のポリシーをいつでも利用できます。ポリシー言語は、ネットワークポリシードメインの任意のコンポーネントでどの着信および発信接続が許可されるかを定義し、特定のパケットを拒否または通過させるか、あるいはOSIスタックのアプリケーション層でポリシーを適用するかなど、ネットワークの任意の層のポリシー決定に影響を与えることができます

従来のファイアウォールは、エントリポイントを制御することで機能します。より正確には、エントリポイント（ファイアウォール）の片側にいるすべての人は信頼でき、反対側にいるすべての人は少なくとも潜在的に敵であるという前提に基づいています。分散型ファイアウォールは、保護対象のマシンへの必要なトラフィックのみを許可し、不要な侵入を防ぐために他の種類のトラフィックを禁止することで機能します。中央管理サーバーから送信されるセキュリティポリシーも、ホストによって実装される必要があります。分散型ファイアウォールのホスト側は、ネットワーク管理者がポリシーの実装を制御するための管理制御を提供しません。ホストは、実装したセキュリティルールに基づいてトラフィックを許可します

エンドツーエンド暗号化は、従来のファイアウォールにとって脅威となります。なぜなら、ファイアウォールは通常、暗号化を覗き見るために必要な鍵を持っていないからです。分散型ファイアウォールは、エンドツーエンドIPSECという実装手法を採用しています。^{[ 1 ]} IPSECは、最近IETFによって標準化されたプロトコルスイートであり、パケットの機密性、認証、データ整合性、リプレイ保護、自動鍵管理といったネットワーク層セキュリティサービスを提供します。これはファイアウォール導入の副作用であり、ファイアウォールで監視できない内部トラフィックはフィルタリングできません。その結果、内部ユーザーはファイアウォールが介入することなく、他のユーザーやネットワークに攻撃を仕掛けることができます。今日の大規模ネットワークは、多数のエントリポイントを持つ傾向があります。さらに、多くのサイトでは、何らかの形で区画化を行うために内部ファイアウォールを採用しています。統一された包括的な管理メカニズムが存在しないため、実用面でもポリシーの一貫性の面でも、管理は特に困難です。エンドツーエンドIPSECでは、各受信パケットは証明書に関連付けられ、その証明書に付与された権限によってパケットへのアクセスが決定されます。^{[ 1 ]}証明書名が異なる場合、またはIPSEC保護がない場合、パケットは不正なものとして破棄されます。強力な分散型ファイアウォールではアクセス権が証明書に紐付けられているため、受け入れる証明書セットを変更することでアクセス権を制限できます。新しい証明書を持つホストのみが「内部」とみなされます。変更が適用されない場合、マシンの権限は制限されます。^{[ 1 ]}

分散ファイアウォールは、トポロジ境界外にあるホストを保護できます。個々のマシンの管理にはシステム管理パッケージが使用されるため、セキュリティ管理者はホスト識別子に基づいてセキュリティ ポリシーを定義し、ポリシーは各ホストで適用できます。従来のファイアウォールは、通過するトラフィックにのみポリシーを適用できるため、保護されたネットワーク内のノード間で交換されるトラフィックは制御できず、すでに内部者である攻撃者や、何らかの方法でファイアウォールをバイパスし、管理者の認識と同意なしにネットワークへの新しい不正なエントリ ポイントを確立できる攻撃者にアクセスを許可してしまいます。従来のファイアウォールでは、エンドポイントで容易に入手できる特定の知識がないため、 RealAudioなどのプロトコルを処理することが困難です。[ ^{1 ]回線}速度の増加とファイアウォールがサポートしなければならない計算集約型のプロトコルの増加により、従来のファイアウォールは輻輳ポイントになる傾向があります。処理速度とネットワーク速度のギャップは、今後さらに拡大する可能性があります。これは、コンピューター (およびファイアウォール) が高速化するにつれて、より複雑なプロトコルと、ファイアウォールを通過する必要があるデータ量の膨大な増加の組み合わせが、ムーアの法則を上回ってきたことと、今後も上回り続ける可能性が高いためです。

分散ファイアウォールは、不適切なサービスへの接続要求を拒否するのに優れています。通常、そのような要求はホストで破棄されますが、代わりに接続の認証を要求する応答を返すこともあり、これによりホストの存在が通知されます。一部の「ステルススキャン」を適切に拒否できない純粋なパケットフィルター上に構築された従来のファイアウォールとは異なり、分散ファイアウォールはポートスキャナーからのパケットを再構成してから拒否します

これらの攻撃は、ネットワークポリシードメイン内からのパケットを破棄するための対応するルールを備えた分散ファイアウォールによってホスト側で対処できます。分散ファイアウォールは、必要なすべての認証情報を含む信頼できるリポジトリ自体が侵害されていないという前提の下、暗号化メカニズムを使用して偽造さ れた送信元アドレスに基づく攻撃を防ぐことができます

アプリケーション レベルでのポリシー決定を可能にする分散ファイアウォールのフレームワークとポリシー言語は、アプリケーションおよび中間レベルの通信トラフィックに存在するさまざまな脅威を回避できます。Javaなどのコードで決定を下す必要がある、複雑でリソースを消費する状況では、分散ファイアウォールは、そのような通信パケットのコンテンツがポリシー検証メカニズムによって意味的に解釈できることを条件として、脅威を鎮めることができます。パケットのステートフル インスペクションはこれらの要件に簡単に適応できることが示されており、よりきめ細かい意思決定を可能にします。 従来のファイアウォールとは異なり、仮想プライベート ネットワークと、ネットワーク境界のスクリーニング ユニットへの暗号化された通信トラフィックを使用して悪意のあるコード コンテンツが完全に偽装されている場合でも、分散ファイアウォールのポリシー適用は損なわれません。

分散型ファイアウォールは侵入の試みを検知できますが、プローブの収集が困難な場合があります。ネットワーク内の各ホストはプローブを検知し、処理と相関のために中央の場所に転送する必要があります。前者の問題は難しくなく、多くのホストがすでにそのような試行を記録しています。収集は、特に中央サイトへの接続が不安定な場合に、より問題になります。また、事実上、協調攻撃が発生し、中央マシンに対する サービス拒否攻撃を引き起こすリスクもあります

分散ファイアウォールはトポロジカル制約に依存しないため、ホストがポリシードメイン全体のメンバーであるか外部であるかに関わらず、ポリシーの適用を容易にします。ファイアウォールは、ネットワークレイアウトに固有の特性ではない認証メカニズムに基づいて決定を下します。さらに、正当なユーザーまたは侵入者によるエンドポイントへの侵入は、仮想プライベートネットワークの導入により、攻撃対象マシンが関与していない通信トラフィックのスニッフィングが防止されるため、ネットワーク全体のセキュリティを弱体化させ、他のマシンのセキュリティ侵害に直接つながることはありません。しかし、エンドポイント自体において、マシンが攻撃者に乗っ取られたと仮定すると、ポリシー適用メカニズム自体が破られている可能性があるという結論に至ります。セキュリティメカニズムに欠陥があれば、このマシンにバックドアを設置することは非常に容易です。境界ファイアウォールが存在しないため、侵入されたホストへの任意のトラフィックの出入りを阻止できる信頼できるエンティティは存在しません。さらに、他のアプリケーションの通信をトンネリングするツールが使用される可能性があり、復号に必要な資格情報を適切に把握しなければ、これを防ぐことはできません。さらに、攻撃が成功したという事実を考慮すると、マシン自体の検証メカニズムはもはや信頼できない可能性があります。

一見すると、分散型ファイアウォールの最大の弱点は、ユーザーの協力不足に陥りやすいことです。分散型ファイアウォールは、小規模なユーザーグループの設定を容易にするだけで、内部者による実際の攻撃の脅威を軽減できます。したがって、社内の誰もがファイルサーバーにアクセスできるようにするのではなく、必要なユーザーのみにアクセスを制限することができます。ポリシーの偶発的な改ざんを防ぐためにも、ある程度の労力を費やす価値があります。ポリシーはデジタル署名され、交換が困難な場所で頻繁に変更される鍵によって検証される可能性があります。より厳格な保護のために、ポリシーの適用を改ざん防止機能を備えたネットワークカードに組み込むことができます

1. ウェス・ゾンネンライヒ、トム・イェーツ共著、『LinuxとOpenBSDファイアウォールの構築』、シンガポール：Addison Wiley
2. Zwicky, D. Elizabeth, Simon Cooper, Brent D. Chapman, Building Internet Firewalls O'Reilly Publications
3. ストレベ、ファイアウォール24セブン、BPBパブリッシャー

1. ビル・ハンコック博士「ホスト常駐ファイアウォール: Windows NT/2000 サーバーとデスクトップをネットワーク攻撃から防御する」
2. Bellovin, SM および WR Cheswick、「ファイアウォールとインターネット セキュリティ: 狡猾なハッカーの撃退」、Addison-Wesley、1994 年。
3. Ioannidis, S.、Keromytis, AD、Bellovin, SM、JM Smith、「分散ファイアウォールの実装」、Proceedings of Computer and Communications Security (CCS)、pp. 190–199、2000 年 11 月、アテネ、ギリシャ。