Network / OS => ゲートウェイサーバ構築 > 10.その他 セキュリティ向上のヒント
複数のインターフェイスでセグメントを分割し、Linuxサーバー経由させることで、様々なセキュリティ対策が可能になります。幾つかの例を挙げて見ました。
今回構築したネットワーク構成
eth1(192.168.1.56)に 接続されたクライアントに対してインターネット上のWebメールや、MSNメッセンジャーなど特定のサービスポートを使用を禁止する事で、内部からの情報 漏洩を防ぐ対策も講じる事が出来るようになります。例えば、MSNメッセンジャーによるファイル送信を禁止したいのであれば、 6891 から 6900 を破棄するといった具合です。
ホームユースであれば、子供に有害なサイトへの接続を抑制する事も出来ます。どうやって有害サイトを特定するかが問題になりますが。
ローカル クライアントに対して、http などのサービスに限定できる場合は、squid などのプロキシサーバーを併用し、squid が使うポートだけに制限することも有効な方法です。(つまり、サーバーが接続代行を行う。) squid が使用する任意のサービスポートを内部で port 80 に置き換えてクライアントの通信代行を行うため最小限のポートを開くだけで済み、物理的に外部からの侵入経路はなくなります。
このようなアプリケーション型ゲートウェイを併用することで、外部からローカルエリア内に外部からの侵入は極めて困難になります。代理アプリケーションに依存するためローカルホス トが利用できるサービスは限られます。また、利用者が多いとサーバーに高負荷がかかります。
ネットワーク型IDS Snort などのパケットレベルでの侵入検知システムや、SNAPなどのネットワーク トラフィック監視ツールなど、セグメント毎に対する設定、監視が行えるようになります。iptraf や、EtherReal などのツールも同様です。
Norton アンチウイルスなどのクライアント向けの製品では、メールやブラウザ使用時に流れるパケットをチェックして、リアルタイムにウイルスを監視する機能があり ます。このような機能を、Linux ゲートウェイサーバーで実現することで、更に強力なファイアーウォールを構築する事も出来ます。 このようなサーバーソリューション向けのゲートウェイ・アンチウイルス製品は高価です。 また、負荷が高いため、サーバーにはそれなりのスペックが要求されます。
Snort - ClamAV ウイルスキャン プリプロセッサ
http://www.bleedingsnort.com/staticpages/index.php?page=snort-clamav
ネットワーク型 IDS Snort (パケット監視システム) と GPLアンチウイルス ClamAV を組み合わせてパケットレベルでウイルス監視します。これなら無料でゲートウェイ ウイルス スキャン システムが構築できますね。
こちらで公開されています。
http://www.bleedingsnort.com/cgi-bin/viewcvs.cgi/?root=Snort-Clamav
この標題のトップへ 11 / 11
