ファイアウォール セキュレィテイポリシーの設定について

こんにちは。

職場でDMZ付きのファイアウォール導入が決定しました。
DMZにメールサーバとウェブサーバ（両者Win2000 Server)を設置することになり、
セキュレィティポリシーを見直しているところです。
「どのプロトコルを許可し、どのポートを開けとくか。」
という所で早速わからなくなってしまいました。

ベストのセキュレィティ状態にするにはどうすればいいのでしょうか？
どなたかご教示いただけたら幸いです。

No.2 ベストアンサー 回答者： noname#41381 回答日時： 2002/05/10 09:41

ファイアウォールの設定だけを考えると

基本的に必要最低限のホストとサービス解放する　ということですね。

各サービスでどういったポートを使うのかは、
たいていファイアウォールの基本サービスに入っていると思いますが（通常はそれを利用しますね）
ベストのセキュア状態となると、やはり個々に設定するのがよろしいかと。

そうなると各サービスの通信手順等を詳しく知る必要があります。
例えば単純にDNSサービスとした場合、普通ファイアウォールの基本サービスに入っているDNSなら
「53/TCP」「53/UDP」とTCP,UDPの両方が入っていると思いますが、
実際53/TCPはゾーンの転送等で使われるため運用によっては止めることができます。
メールならIDENTはふさぐとか、pingだけならICMPのTYPE0,8のみ開けるとか
個々に設定すれば（できればですが）セキュリティ向上になるでしょう。

あとは、内部PCから全て外部にhttp等接続するのではなく、
プロキシを立ててそれのみ外部接続を許可するとかでしょうか。


現在の状況をもっとくわしく記載すると回答がつくかもしれません。
・DMZのメールサーバ
　→MTAの種類は？(IISのSMTPかな？）
　　内部には別にメールサーバがありそこにSMTPリレーしているのかな？
・DMZのWebサーバ
　→httpのみでいいかな？SSLは使わない？
・DNS(内部、DMZのDNSサーバ)
・内部PCからインターネット接続
　→http,https,ftpくらいかな？
　　ftpはPORTとPASV両方つかうのかな？
　　　　　　...etc

実際にはこのように詳細に設定していくというよりは、
サーバのセキュリティホールを埋める作業の方が
セキュアということであればウェイトを占めているかもしれませんね。

この回答への補足

早々のご回答ありがとうございます。

>・DMZのメールサーバ
>→MTAの種類は？(IISのSMTPかな？）
> 内部には別にメールサーバがありそこにSMTPリレーしているのかな？

メールサーバーはトータルでDMZ内に一台のみ設置を
予定しています。MTAを使用してリレーをしないと
LANからはメールはとれなくなるのでしょうか？
(すいません。ファイアウォール初心者なので全くわかりません。）

>DMZのWebサーバ
>→httpのみでいいかな？SSLは使わない？

SSLの使用は今のところありません。

>内部PCからインターネット接続
　→http,https,ftpくらいかな？

今のところはそんな感じです。

>ftpはPORTとPASV両方つかうのかな？

FTPについてはPORTのみ使用予定です。（問題でしょうか？？）

補足日時：2002/05/10 21:43

No.5 回答者： gold8 回答日時： 2002/05/11 13:52

> 内部には別にメールサーバがありそこにSMTPリレーしているのかな？

メールサーバーはトータルでDMZ内に一台のみ設置を予定しています。
MTAを使用してリレーをしないとLANからはメールはとれなくなるのでしょうか？
(すいません。ファイアウォール初心者なので全くわかりません。）
⇒ ファイアウォールは全く関係ありません。SMTP と SMTPの中継の問題です。

SMTP のアプリケーションの解説は以下のサイトで。

＠IT：公開と隠ぺいのジレンマ「SMTP」
http://www.atmarkit.co.jp/fnetwork/rensai/netpro …
http://www.atmarkit.co.jp/fnetwork/rensai/netpro …

>ftpはPORTとPASV両方つかうのかな？

FTPについてはPORTのみ使用予定です。（問題でしょうか？？）
⇒ファイアウォールを通過しませんので、PASVモードの使用をお勧めします。

＠IT：過去からの贈り物「FTP」
http://www.atmarkit.co.jp/fnetwork/rensai/netpro …
http://www.atmarkit.co.jp/fnetwork/rensai/netpro …

ちなみに、このサイトのシリーズは、書籍でも販売してます。プロトコルレベルはすべて解説してあります。このさい是非購入しても損はないと思います。
「インターネットプロトコルがわかる」技術評論社：ISBN4-7741-1383-2、1780円

あと、Windows サーバのセキュリティ構築についても書籍がでてます。
「Windows NT/2000 Server インターネットセキュリティ」オライリー・ジャパン
オライリーURL：http://www.oreilly.co.jp/BOOK/wnt2ksec/

この回答へのお礼

有難うございます。この本を是非購入したいとおもいます。

お礼日時：2002/05/15 00:41

No.4 回答者： noname#5179 回答日時： 2002/05/10 23:37

スニファリングツール、LANパケットアナライザなどとよばれるようなソフトでチェックしてはいかがでしょうか？

探せばフリーのものもありますから、これらで流れているパケットをすべてキャプチャーして使われているものを見てみるのが良いと思います。

ちなみに、プロトコル制限では、あいているポートに対しての攻撃は可能ですから、使っているサービスに関するのセキュリティ対策は、きっちりしておきましょう。

No.3 回答者： selenity 回答日時： 2002/05/10 13:57

ベストなセキュリティレベルを模索する前に最低限必要な設定のリストアップをしましょう。

DMZ内のサーバは「MSのセキュリティパッチを必ず充てておく」のが基本です。
これだけは絶対に忘れないでください。

ベストなセキュリティレベルは「ネットワークにつながない」ことです(笑)。
これぞ究極のセキュリティ！！

この回答への補足

返答ありがとうございます。

そうですね。わたしも日頃からパッチ当てだけは神経をとがらしてやってます。

>ベストなセキュリティレベルは「ネットワークにつながない」ことです(笑)。

確かに！！

補足日時：2002/05/10 22:10

No.1 回答者： asuca 回答日時： 2002/05/10 03:20

取りあえずTCP/IPのポートを利用するプロトコルの一覧がありますのでそれをみてみてください。

職場であればネットゲームなんかの設定は必要ないかと思いますのでそれほど難しくないかと思います。

http://www.airstation.com/menu/tech/soft/info.html

余り開ければ色々出来るがセキュリティの問題があるということで最低限HTTP,FTP,TELNET,gopherなんかのポートを開けておいて時々SyslogをみてRejectされているプロトコルをチェックして必要そうなプロトコルだったら開けてやる程度で良いかと思います。

参考URL：http://www.murashima.matsudo.chiba.jp/mura/tcpip …

この回答への補足

ご解答ありがとうございます。

やはりその手が一番早く正確なのでしょうか？
ただファイアウォールの導入後に社内からのクレームの嵐だけは、なんとしてでもさけたいです。（笑）

現在社内で使用している全てのプロトコルを調べる事ができる無料ツールなどはないのでしょうか？

補足日時：2002/05/10 22:03