[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:1792] Re:Re:Re:ad2001とInternetWeek2001
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:1792] Re:Re:Re:ad2001とInternetWeek2001
- From: hama <hamamoto@xxxxxxxxxxx>
- Date: Thu, 13 Dec 2001 09:37:30 +0900
はまもとです。
> こばやしです
ども。返答いただいてどうもありがとうございます。
> >まぁ、そういう意見もありますが、安価でそれなりの効果が期待できるという
> >意味で、NATはセキュリティにとって良い選択肢でありつづけると思いますよ。
> >すくなくとも内部のIPアドレスを隠蔽するという意味で、パケットフィルタリ
> >ングよりも、一段、セキュリティが高いでしょう。
> う〜ん、そうなんですか。たとえアドレスが知られたところで、きちんとガードして
> いれば問題ないと思っていたのですが、甘い考えなんでしょうか。
直接と、間接というだけで、1段乗り越えないと行けない壁が安価にできるわけ
ですから、その上でちゃんとガードをすれば2重に防御できますよね。
防御というのは、いかに相手の侵攻を遅らせて、発見を早くするかという所だ
と思いますので、多段の防御という意味ではNATはまだまだ必要なのじゃないか
なぁと思います。
企業の情報統制において、外部との接点にはgatewayが必要でそこで情報チェッ
クを行う仕組みが必要なのですが、IPv6でコロンブスの卵的な方法でNATが必要
なくなる技術が出れば、それによってNATが廃れていくと思います。
現在は、まだそういうキラーアプリが出てきていませんが。。。。
> それでも、NAT *だけ*というのはやはりまずいですよね。出て行くパケットに対して
> NAT は無力なので。少なくとも NAT によるセキュリティがパケットフィルタリング
> のそれを包含することはないと思うのですが...
受動的攻撃で内部からリバースtelnetとかを掛けられないためにも、HTTPはProxy
を通して、メールは自社のメールサーバだけに通信できるようにするとか、内から外に
出て行くパケットに関しても当然フィルタリングするとか、ログをとるとか、コンテン
ツフィルタリング(WEB、メール)でログをとるとかが、東京などでは普通になってきて
いるのではないでしょうか。
> # もちろんパケットフィルタリング程度では守れないものもたくさんありますけど。
多段防御が重要でしょう。;-)
> >受動的攻撃や 蛙飛び などが行える、あるレベル以上の攻撃者にとっては、
> >NATもパケットフィルタリングも役に立たないかも知れませんが、そのレベル
> >の攻撃者にその企業が積極的に狙われるというリスクを考えた場合、NATレベル
> >で十分な企業のほうが多いでしょうしね。
> NAT の内側に入れることによって守ろうとするマシンは、クライアント機であるこ
> とが多いと思うのですが、だとすると特定の listening port を狙ってくるような
> 能動的攻撃よりも、むしろ受動的攻撃のほうが要注意な気がするのですが。
> 受動的攻撃のほうが能動的攻撃よりもレベルが高いというわけでもないでしょうし。
これは御意。
> # 最近の傾向をみると、むしろ受動的攻撃のほうがお手軽に行なわれている気すら
> # します。
受動的攻撃対策で、内から外に対しても簡単にセッションをはれないようにする必要
はあると思います。
> ところで、受動的攻撃を受けたり、内部に不心得者がいるなどで自組織内から外部
> への不正アクセスが生じてしまった場合、NAT を使っていると発信元の調査が難し
> くなると思うのですが、どうするのがいいのでしょう。
NATだけだと難しいかもしれませんが、自由に内部から外に対するセッションを張らせ
ないようにFirewallの設定を行って、Proxy、メールサーバのログから調査ができるよ
うにするべきかも。
> 全 NAT セッションのログを取っておくべき?
ログはとっておくべきでしょう。(SonicWallや単なるルータとかじゃ難しいでしょ
うが。。。)
> >実際、NATの持つ複雑さとありますが、じゃぁ、企業にとってNATが無いほうが
> >幸せなアプリケーションがあるか?というと、そんなアプリはまだまだ無いわ
> >けで、NATを捨ててまで導入したいアプリケーションが出てこない限りには、
> >NATは安価なセキュリティ実現の有力手段として生きつづけるでしょうね。
> H.323 なアプリケーションとかは動機になりませんかね?
それが無いと仕事にならないようなもの、例えば、電話が駆逐できるほどのキラー
アプリが出たら動機になるかもしれませんね。;-)
+---------------------------------------------------------------------
| はまもと
| ■セキュリティスタジアム 2001
| http://sec-stadium.hawkeye.ac/
| ■常時接続の宴(インターネット常時接続ニュースサイト)
| http://cn24h.hawkeye.ac/
| ■24 時間常時接続メーリングリスト開催中
| http://cn24h.hawkeye.ac/connect24h.html
| ■セカンダリDNS互助会
| http://cn24h.hawkeye.ac/dns.html
+----------------------------------------------------------------------
--[PR]------------------------------------------------------------------
。*°Д。°。
ヽ(‥)ノ。*
*°( )°。
⌒⌒⌒⌒⌒⌒⌒
http://ad.freeml.com/cgi-bin/ad.cgi?id=aCnZM
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp