はじめに
様々な攻撃に晒されるWebサイトのセキュリティを強化するためにどんなWebセキュリティ対策あるのかということで
今回、学んだことをアウトプットしてみたいと思います。
前置き
Webシステムへの攻撃を防ぐ方法として、有効なのは攻撃者からアクセスさせないこと。しかし、完全にアクセスを遮断してはWebシステムとしてサービスを提供することが不可能となる。
そこで、サービスに必要な通信だけを許可し、それ以外の通信したら良いという考えになります。
インターネットと内部ネットワークの間に設置し、送受信されるデータを監視の許可、拒否を行うものがファイアーウォールとなります。
ファイアウォール
ファイアウォールとは、自社のサーバーを不正アクセスやサイバー攻撃などから守るために使われるセキュリティ機能です。ファイアウォールを日本語に直訳すると「防火壁」。名前のとおりインターネットと自社サーバーネットワークの間に設置し、外部からの攻撃を監視・制御し、内部ネットワークを保護する役割を果たします。
パケットフィルタリング型
[メリット]
ファイアウォールにはいくつかの方式がある。多く使用されているのがパケットフィルタ型と呼ばれるもの。
事前に、通信を許可するIPアドレス・ポートや、宛先情報をルールとして設定することでルールと違った通信を遮断が可能。
[デメリット]
仕組み自体がシンプルなので、パケットを見ただけでは攻撃されているか判別がつかないバッファオーバーフロー攻撃やウイルス付きEメールなどの攻撃は防ぐことはできません。そのため、他のファイアウォールやセキュリティ製品と組み合わせる必要性がある。
アプリケーションゲートウェイ型
[メリット]
従来のパケットフィルタリングよりも詳細に、通過を許可する通信を特定・制御するための仕組み。HTTP・FTP・SMTPなどアプリケーションプロトコル毎に、通信を制御する仕組みを準備し、外部ネットワークとのやり取りを許可したり遮断したりします。
[デメリット]
アプリケーション層まで確認するため、高精度なアクセス制限を設けることが可能です。しかし、通信内容の処理に時間がかかったり、構築までに高いコストが発生する。
サーキットレベルゲートウェイ型
[メリット]
トランスポート層レベルの通信を監視・制御する方式です。コネクション単位の制御も可能で、パケットフィルタリングよりも設定や管理が簡単です。
コネクション単位で通信可否を判断するため、パケットフィルタリングでは防げない送信元IPアドレスの偽装を防ぐことが可能です。また、どのアプリケーションプロトコルでも汎用的に使用できるのもメリットの一つ.