ファイアウォールでLINUX

お世話様です。
弊社では５年位前にWindowsＮＴでインターネットサーバ（メールサーバ）を構築しました。もちろんファイアウォールもWindowsＮＴです。
現在、その構築をして頂いた業者から下記のことを提案されています
「Windowsのファイアウォールは出回りすぎて狙われやすい。セキュリティホールもよく見つかっている。そこでＬＩＮＵＸのファイアウォールに代えましょう！！」
という提案です。
業者の方は新人の営業であまりよくわかってんの？？って感じだったんですが・・・私のほうの勉強も含めこの場で教えて頂きたいと思いまして・・・
linuxにすると先日のｎｉｍｄａウィルスとかも防げるのですか？？
何がどうよくなるかがはっきり分かりません。
よろしくお願いします。

No.5 回答者： akijiro 回答日時： 2001/10/22 15:56

ええと、コードレッドやニムダなんかはIISに対して感染してくるはずなので、IISを使用せず、WINNT用のAPACHEとかに切り替えればそのウイルスは感染しません。

問題なのはOSではなく、サーバーだと思います。
メールサーバーでも、IMS（インターネットメールサービス）よりもSENDMAILのほうがセキュリティーが高いし、SENDMAILサーバーもセキュリティーホールが見つかったりするし、でもqmailはセキュリティーホールが見つかってないとかあるので、OSよりも構築するサーバーが重要だと思います。

私の理想としては、
OS = LINUX or UNIX
MAIL = qmail
www = apache
dns = bind

構築方法も、ルーターにファイアーウォール機能付の物にし、NATを定義によるローカルサーバーがいいと思う。
WWWサーバーのみを隔離するという方法もある。
構築方法にもいろいろあるので、そこらへんを慎重にすることが大切。

qmailのみNTでは使えないので、ここをsendmailにかえればOSをNTにもできる。

No.4 回答者： kaonome2001 回答日時： 2001/10/19 16:34

> linuxにすると先日のｎｉｍｄａウィルスとかも防げるのですか？？

FireWallがLinuxであっても、ウイルス定義されていなければニムダは中に入ってくるよ。

あと、基本的に、○○に変えるとウイルスが防げるという発想はやめたほうが良いよ。確かに、Linux系は、比較的ウイルスの攻撃に強いといわれている。それでも完璧ではないんだし。ちょっと前のRed Hat 6.2を標的にしたRamenウイルスは結構広がったしね。Linuxが安全なんて妄信すると痛い目にあうよ。

何のOSを導入するにしても、１アップデートやバクフィックスの情報をこまめにチェックしそのつど対応すること、２修正バッチがでたら速やかにインストールですること、この２つを守るだけで、ほとんどのウイルスの侵入を防ぐことができる。

確かに、NT系が狙われやすいのは事実だけど、それで被害にあうというのは別問題だよ。質問のように、ウイルスの感染からサーバーを守りたいのであれば、OSをどちらにするかで悩むよりも、先の２つ（１正確な情報の収集と２修正パッチでの最適化）を確実に実行できるかどうかが重要であって、OSの選択で悩むというのはなぁ。ちょっと視点がずれている気がする。


一技術者の独り言でした。

この回答への補足

ウイルス定義というのはどういう意味ですか？？ウィルス対策のことでしょうか？トレンドマイクロでいうとSERVERProtectのようなものですか？専門用語に弱くてすみません。

補足日時：2001/10/20 12:46

No.3 回答者： itohh 回答日時： 2001/10/19 16:09

こんにちは。

itohhといいます。

ファイアウォールをLinuxにしても内側にWindows系のサーバやPCがあれば
nimdaウィルスは内側までやってきますよ！

Linuxには感染しないと言うだけです。

No.2 回答者： selenity 回答日時： 2001/10/19 13:45

LINUXでFirewallを設置するのであれば、最低限UNIXを知っている(使いこなせて管理できる)人間が必要です。

一応LINUX自体もソフトウェアなので全くBUGやセキュリティホールが無いわけではありません。ですから、linuxやUNIX全般のセキュリティホールに関する情報の追跡が常に必要です。
これらの維持/管理の作業を誰が行うのかをマズ第一に明確にしましょう。

多分、業者の方は売るだけなので、あなたが購入した後のことははっきりいって「知らん顔」なのではないでしょうか？

別にWindowsでもきちんと迅速に対処していれば、被害は最低限で押さえられるはずです。
たとえば、パッチ類は当然[米マイクロソフト]から発行されるので日本語版のパッチは当然遅れます。ですから、Serverにはパッチは先に発行される英語版のOSを使う等の方法はあるはずです。
また、Firewall-1等のちゃんとしたセキュリティツールを導入し、正しいサポートを受けていればこれも被害は少なくて済むはずです。

1つ言えることは、linuxではCodeRedは感染しないのは事実です。
Nimdaは今までのセキュリティホールの複合手法で攻撃/感染してきますので、クライアント側の対策も必要不可欠です。ですが、これもLinux自体は感染しません。

この回答への補足

いろいろ聞いてみたところ・・・関連会社ではファイアウォールをlinuxで運用しているとのことでした！！これはっと思い聞いて見ましたが、先日のnimdaにはやられた・・・ということでした。　ｌｉｎｕｘにしたがファイアウォールサーバにウィルス対策のソフトは導入していないということでしょうか？？

補足日時：2001/10/19 14:55

No.1 回答者： kawausok 回答日時： 2001/10/19 13:34

ウィルスは特定のＯＳやアプリケーション（の特定のバージョン）をターゲットに、それらの製品のセキュリティーホールをついて攻撃します。

WindowsとLinuxで、どちらのほうがセキュリティホールが多いとか少ないとかという比較はあると思いますが(私はこの辺りにはあまり知識がありませんが・・・)、それ以上に、Windowsは普及台数も多くターゲットになりやすいということはいえます。

最近流行した、CodeRedやNimdaはいずれもWindowsをターゲットにしたものですから、ＯＳをLinuxにした場合、これらのウィルスに限っては影響を受けないことになるとはいえます。

この回答へのお礼

なるほど！！CodeRedやNimdaはいずれもWindowsをターゲットにしたものなんですね。うちもこれにはやられました。やっぱりｌｉｎｕｘのほうが今のご時世いいのかもしれませんね。

お礼日時：2001/10/19 14:37