パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

松竹のWebサーバ、不正アクセスで個人情報流出」記事へのコメント

  • Webサーバをファイアウォールなしでインターネット直結かよ…。

    ハードウェアとしてのファイアウォールなし、という意味だと信じたいが、ソフトウェアも含めなしだと…。
    3年前の設置だとしても、さすがに危機意識がなさすぎないか?

    WHOISしてみると自社運用のようだが、誰かコンサルしてあげたらどうだろ。
    • by Anonymous Coward
      いまどきファイアウォール無しなんて信じられない
      とか言うエンジニアって「初心者です」と言ってるようなもの。

      最近は大手企業でなくてもギガビットクラスの
      設計が必要な案件もたまにありますが、
      そういう場合どうするのでしょうか?
      まさか、NetScreenの最上位機種をいれて見積もりを出すのでしょうか?

      しかも無知な業者の提案を鵜呑みにして、導入しても
      サイトも実用に耐えられないものになるのがオチです。
      • ふむ、私の書き方も悪いか。

        上で指摘頂いていますが、私の書いた「ファイアウォール」は「パケットフィルタや攻撃検知を簡易に行なえる機能」のイメージです。アプライアンスでもいいし、ソフトウェアでもいいです。

        仰ることは、「ギガビットクラスの設計が必要な案件ではファイアウォールは入れるべきではない」ということでしょうか?
        ソフトウェア処理(例えばルータのソフトウェア処理パケットフィルタ)のものも含めて?

        いずれにせよ、インターネット直結ならハードウェアないしソフトウェア的なファイアウォール機能は必須だと思ってます。

        各種attackを、ファイアウォール機能なしで防ぐ運用が可能なら確かに不要ですが、それってかなり厳しいんではないかと。
        んで、少しでも脆弱性を守る可能性のある手が現実的にあるのなら、実施すべきではないかと。
        かように思う次第であります。
        • by Anonymous Coward on 2006年01月19日 20時24分 (#867362)
          >上で指摘頂いていますが、私の書いた「ファイアウォール」は
          >「パケットフィルタや攻撃検知を簡易に行なえる機能」の
          >イメージです。アプライアンスでもいいし、ソフトウェアでも
          >いいです。

          全てのサーバ環境に入れてるのが普通といえるくらい安価で容易に使えて、
          さらに脆弱性を突く不正アクセスを未然に防げるような便利な
          ソリューションって存在するんですか?
          少なくとも私は聞いたことありませんね。

          Webサーバなんてのは外部からアクセスされるためのものが多いので、
          ファイアーウォールでもポートはスルーされていると思います。
          ファイアーウォールで効果があるのは、80番ポートに対するSynflood攻撃などを
          検知するようなアノマリ型くらいでしょう。
          正常アクセスの範囲で行われる攻撃に対してはパターンのシグネチャを
          使った検知をしなくてはいけませんが、メンテナンスが大変ですし、
          パフォーマンスが問題となるWebサーバにそんなのを導入すると
          ボトルネックになって逆効果です。
          結果的にDoS攻撃喰らってるのと同じこと。

          それよりは脆弱性をきちんと修正しておくというのが現実的な解でしょう。
          ファイアーウォールやIDSに頼って脆弱性を放置するなど、愚の骨頂です。

          ファイアーウォールの内部にはサーバを置くDMZゾーンとTRUSTゾーンを
          別々に分け、TRUSTゾーンへの外部からのアクセスは厳しくしましょう。
          逆にDMZゾーンは、インターネットに直結してるつもりでサーバを
          置いて管理しましょう。
          親コメント
          • by 65535 (25198) on 2006年01月19日 21時23分 (#867393)
            >ファイアーウォールで効果があるのは、80番ポートに対するSynflood攻撃などを
            >検知するようなアノマリ型くらいでしょう。

            攻撃を検知するのはIDSもしくはIPSであって、
            ファイアーウォールではありませんよ。
            それにシグネチャ型でも製品によってはSynflood攻撃を検知可能なものもあります。

            アノマリ型IDS(IPS)は・・・。
            チューニングが難しいので私は運用したくはありませんね。
            親コメント
            • by wisteria (10432) on 2006年01月20日 1時19分 (#867548)
              IDS 機能や IPS 機能を持っているファイアウォールも世の中にいっぱいあります。

              "ファイアウォール"という単語が一人歩きしてしまっていて ファイアウォール = ○○ とは言い切れないのが現状ではないでしょうか。

              私の中ではファイアウォール装置は、 L4 以上のフィルタリング機能を持ち、IDS 機能を有し(重要度によってはIPS機能も)、セキュアな VPN を構築することが出来る機能を持つことが最低の要求事項としていますが。

              提案要求書に "ファイアウォールを用意すること" みたいな抽象的なことは書かないですねえ。
              親コメント
              • おいおい

                > L4 以上のフィルタリング機能を持ち、IDS 機能を有し(重要度によってはIPS機能も)

                ここまではまぁ、分からんでも無いけど

                > セキュアな VPN を構築することが出来る機能を持つこと

                そんなん、Firewallの仕事じゃねぇよ

              • この解説が間違ってると言われればそれまでですが、atmarkitの5分で絶対に分かるIDS [atmarkit.co.jp]にはIDSはFirewallでは足りない部分を補うものとして説明されます。IPSも同様です。ここの議論を見てると、要は「世の中でFirewallと言って売ってる製品を導入する際、自分が必須だと思う機能」=「俺的Firewallの定義」と主張してる人が多いですねぇ。

                まぁ「OS = kernel」とか言い出すと、OSだけじゃ何もできないことになるので、普通はuserlandも含めてOSと言うのと同様だと思えば良いんでしょうが、ふと「Internet ExplorerはOSの一部だから、Windowsから分離することは不可能だ」というMicrosoftの主張に世界中が失笑した頃のことを思い出しました。
              • >> セキュアな VPN を構築することが出来る機能を持つこと
                > そんなん、Firewallの仕事じゃねぇよ

                元のコメントに有るとおり、"私" が、 "ファイアウォール装置" に要求している機能です。

                最近のファイアウォール装置は上記機能、 パケットフィルタリング IDS IPS SecureVPN (PPTP L2TP + IPsec など) 機能を具備している物がおおい(大半?)のですが。
                SecureVPN 機能持ってないけど IDS 機能はあるという物の方が珍しいかと。
                TRUST と UNTRUST の間にファイアウォール装置を置き、UNTRUST むこうがわにある TRUST な空間と接続するために VPN 機能が欲しいという要求があるのは自然なことで、世に出回っている多くのファイアウォール装置はその要求に応えるために SecureVPN 機能を搭載しています。

                別に VPN の為に別箱用意してもかまわないですが、VPN 箱を別で作らなきゃいけないという結論に至る程 --ファイアウォール装置の VPN 機能じゃ手に負えないほど-- VPN を酷使する程の案件には逢ってないですねえ。
                "数百~数千 Firewall-instance を作ることができ、且つそれぞれの instance が個々に別のネットワークと VPN 接続をし、全ての instance が論理的に分解されていること" という要求を、 ファイアウォール装置 と VPN 装置を分けて作ると大変ですよ。

                # 要求がニッチであることは受け入れます。
                 サービスプロバイダ側の人なので、ユーザサイドの要求事項ではないでしょうから。

                # 複数の "分離された VPN " を作れる VPN 専用装置ってあるのかな、あったらちょっと見てみたい。

                # 是非、SecureVPN 機能は Firewall じゃねーから機能を削れと世界中の Firewall箱ベンダに働きかけてみてください ;-)

                親コメント
          • >安価で容易に使えて、さらに脆弱性を突く不正アクセスを未然に防げるような便利な
            >ソリューションって存在するんですか?少なくとも私は聞いたことありませんね。
            相手が言ってない事を勝手に付け加えて、そこに突っ込む幼稚な論法はやめましょう。

            ・「安価で容易に使え」る事が必要とは書かれていない
             こういう類の製品 [f5networks.co.jp]を自社内で検討するか、コンサルに見積もってもらうかみたいな話
             時間も金もケチケチ出来るという話ではないはず。

            ・脆弱性を突く不正アクセスを未然に防げる便利ソリューション
             「銀の弾丸」の存在について言い出せば、「未知の…」とか
             いくらでも突っ込めるのでキリが無い

            >脆弱性をきちんと修正しておくというのが現実的な解

            • いちいち反論するのも面倒くさい突っ込みどころ満載ですが。

              >相手が言ってない事を勝手に付け加えて、そこに突っ込む幼稚な論法はやめましょう。
              >・「安価で容易に使え」る事が必要とは書かれていない

              もっと頭を使いましょ。
              そういっているに等しい。そこまで洞察しましょう。
              インターネットに公開したWebサーバ全てにファイアーウォールが
              あってしかるべきだというような事を言ってる。
              それは「安価で容易に使える」ということ。

              >アナタもそういう事を言ったのだと思うが、誤解を招いては「現実的な解」とはいえない。

              あのね、脆弱性が公開/非公開、修正パッチのある/無しは
              ファイアー

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...