Cisco Secure PIX Firewall

Cisco PIX Firewall とステートフル・ファイアウォール・セキュリティ

Cisco PIX Firewall とステートフル・ファイアウォール・セキュリティ

• Cisco Secure PIX Firewall の製品情報ページ

インターネットとオンライン・アクセスの劇的な成長に伴い、インターネット上でビジネスを展開する各会社はより深刻なセキュリティの脅威に直面しています。会社は、自社の外部公開用 Web サイトにアクセスするユーザが、機密性の高いプライベート・ネットワーク・リソースへアクセスすることをどのように防ぐことができるでしょうか。また、社員が、機密性の高いデータを企業イントラネットから外部へ伝送する場合についてはどうでしょうか。会社全体のセキュリティが侵害される可能性のある場合について、いくつかの例を挙げてみましょう。

ここ数年、組織の知的資産とインターネットの間には、ほとんど例外なくルータが配置されてきました。ルータは、パケットフィルタリング・テクノロジーと ACL（Access Control List）を使って、アクセスできるユーザや、アクセスの対象となるコンピュータとネットワークを制限します。たとえば、ACL フィルタを使うと、会社は特定のネットワーク・セグメントから送出されるすべての FTP（File Transfer Protocol）トラフィックを制限することができます。ほとんどの会社がすでにルータを導入しているため、これはコスト効果の高いオプションとなります。また、高いパフォーマンスも発揮します。

ただし、通常のパケット・フィルタはセッション・ステートを維持できないため、会社によっては、このようなセキュリティでは不十分な場合があります。パケットフィルタはセッション確立を保証するために、パケット内の「確認応答」フィールドを信頼する必要があります。しかし、それは絶対確実とは言えません。より強固なセキュリティを実現するためには、会社は追加オプションを考慮し、スタンドアロン・ファイアウォールを使ってルータ・セキュリティを強化する必要があります。

ファイアウォールの背後にあるコンセプトについては、10 年以上にわたって検討が重ねられてきました。現在、使用されているファイアウォールは、デュアルホーム UNIX ホストを採用し、プロキシ・サーバと呼ばれています。プロキシ・サーバは、UNIX や NT などの汎用オペレーティング・システム上で稼動するアプリケーション・ゲートウェイまたはサーキットレベル・ゲートウェイです。これらのゲートウェイは、OSI モデルの上位層、つまりレイヤ 7 で動作します。レイヤ 7 で動作することで、ゲートウェイはセッション・ステートを維持し、適切なセキュリティを実現するためのユーザ認証をサポートすることができます。ゲートウェイは、専用のファイアウォール・アプリケーションが稼動するワークステーションを介して、会社のローカル・ネットワークを外部ネットワークへ接続します。

ユーザは、プロキシ・サーバを使い、セッション・ステート、ユーザ認証、および権限付与ポリシを確立するプロセスを通じて、ネットワークへのアクセス権を取得します。プロキシ・サーバは、強力なセキュリティを提供します。これは、セッション・フローがアプリケーション・レイヤに保持されるためです。

ただし、このタイプのセキュリティでは、パフォーマンスが犠牲になります。第 1 に、プロキシ・サーバは OSI モデルのレイヤ 7 で動作します。このレイヤでの作業は、処理の負荷が高くなります。そのため、プロキシ・サーバは大量の CPU サイクルを消費します。この理由で、SPARC 10 などの強力な UNIX マシンでさえ、プロキシ・サーバをサポートする際には、1 度に限られた数のセッションしか処理できません。このアーキテクチャが十分なスケーラビリティを備えていないため、会社は、インターネットへの高速接続というオプションを十分に利用することができません。

さらに、UNIX オペレーティング・システムはサイズが大きく、オープン性も高いため、プロキシ・サーバの維持には高額な費用がかかります。「オープン性」が高いため、UNIX は理想的な開発プラットフォームとなっています。しかし、逆に、ファイアウォールにおいては、そのオープン性によって、UNIX は脆弱な基盤となっています。CERT（Computer Emergency Response Team）の多くの顧問は、UNIX に関して注意を促しています。このため、少なくとも、UNIX のオープン性によって、会社は、UNIX ベース・ファイアウォールの基盤にパッチをあてたり維持したりするために、貴重なリソースと時間を費やさなければなりません。

シスコシステムズの PIX（Private Internet Exchange）ファイアウォールは、プロキシ・サーバで見られたオーバヘッドやパフォーマンス限界を伴うことなく、会社のセキュリティ・ニーズの多くに対応しています。

Cisco PIX Firewall は、外部ネットワークから内部ネットワークを隠蔽する完全なファイアウォール保護を提供します。また、企業ネットワーク内からインターネットへのセキュア・アクセスを提供します。

Cisco PIX Firewall は、UNIX ベースのファイアウォール・システムに関連する管理上のオーバヘッドやリスクを伴うことなく、信頼性の高い強力なステートフル・セキュリティを提供します。ネットワーク管理者は、内部ネットワークへの侵入未遂をはじめ、すべてのトランザクションの完全なアカウントとログを取得できます。

Cisco PIX Firewall は、カットスルー・プロキシと呼ばれる新たな機能を通じて、パフォーマンスを劇的に向上させます。UNIX ベースのプロキシ・サーバは、適切なセキュリティを実現するために、ユーザ認証を提供し、「ステート」（パケットの送信元と宛先に関する情報）を維持することができます。しかし、その反面、すべてのパケットを OSI モデルのレイヤ 7 で処理するため、パフォーマンスが犠牲になっています。一方、PIX Firewall の カットスルー・プロキシでは、一番最初のユーザ・パケットは、プロキシ・サーバと同様に、アプリケーション層で処理します。しかし、ユーザがいったん、TACACS+（Terminal Access Controller Access Control System）もしくは、RADIUS（Remote Authentication Dial-In User Service）に基づく業界標準のデータベースに対して認証され、ポリシがチェックされると、PIX Firewall はセッション・フローをシフトさせ、その後のすべてのトラフィックは、セッション・ステートを維持しながら、双方間で直接かつ迅速に流れます。PIX Firewall の「カットスルー」機能によって、実行速度は、プロキシ・サーバに比べ大幅に高速化されます。

Cisco PIX Firewall は、ASA（Aadaptive Security Algorithm：アダプティブ・セキュリティ・アルゴリズム）と「ステートフル」情報の使用を通じて、高いセキュリティを保証します。内部ホストから PIX Firewall を介してインターネットへアクセスする TCP 接続が確立されるたびに、接続に関する情報がステートフル・セッション・フロー・テーブルに記録されます。テーブルには、送信元アドレス、宛先アドレス、ポート番号、TCP シーケンス情報、および特定のホストに関連つけられた各 TCP 接続の追加フラグが含まれます。PIX Firewall は、この情報に基づいて接続オブジェクトを作成します。その後、着信パケットは接続テーブル内のセッション・フローと比較され、通過の妥当性を検査するための適切な接続が存在する場合にだけ、Cisco PIX Firewall によって通過が許可されます。この接続オブジェクトは、接続が切断されるまで、一時的に設定されます。

2 番目に、ASA には、送信元アドレス、宛先アドレス、ポート番号、TCP シーケンス番号、および追加の TCP フラグが含まれます。この情報は、Cisco PIX Firewall 内でハッシュされます。ハッシュは「フィンガープリント」と同様に動作します。つまり、最初にインターネットへパケットを送出したクライアントを一意に識別するコードを作成します。ハッカーは、ファイアウォールを通り抜けて終端のクライアントへアクセスするために、IP アドレスだけでなく、ポート番号と TCP シーケンス番号も入手しなければなりません。しかし、Cisco PIX Firewall は TCP シーケンス番号をランダムに割り当てているため、このシナリオで侵入することは不可能です。最後に、セッションの完了時に、接続オブジェクトが切断されます。

実際のところ、Cisco PIX Firewall を介して、プライベート・ネットワークの外部からアクセスするには、次の 2 通りの方法しかありません。

• 特定のサーバが PIX Firewall を通過するスタティック・コンジットとして指定されます。これによって、内部プライベート・ネットワークの特定のサーバへアクセスできます。ただし、アクセスできるのは、そのサーバだけです。
• カットスルー・プロキシ認証

Cisco PIX Firewall は、これらのすべての接続と、その他の許可試行および無許可試行を記録します。また、標準の Berkeley UNIX ロギング・メカニズム（syslog）を使用して、詳細な監査証跡を提供します。Cisco PIX Firewall は、SNMP（Simple Network Management Protocol）トラップもサポートします。

Cisco PIX Firewall は迅速に設定できるため、所有コストを低く抑えることができます。ユーザは PIX Firewall を 5 分未満で設定することができます。これによって、ネットワークのダウンタイムを最小限にとどめることができるため、大幅なコストの節減につながります。また、PIX Firewall は UNIX をベースにしていないため、コストのかかる日々の管理を実行する必要がありません。最後に、Cisco PIX Firewall はフラッシュ・メモリ上で稼動します。そのため、ハードディスク装置は不要です。このシナリオでは、MTBF（Mean Time Between Failures）が大幅に伸びます。さらに、より高い信頼性が必要な場合は、Cisco PIX Firewall とともに、フェールオーバ⁄ホット・スタンバイ・アップグレード・オプションを購入し、障害のシングル・ポイントを取り除くことができます。2 つの PIX Firewall を並行して稼動すると、一方が機能不良に陥っても、2 番目の PIX Firewall が透過的にセキュリティ・オペレーションを維持します。

Cisco PIX Firewall は、最高のパフォーマンスを提供しています。すなわち、エンド・ユーザ・パフォーマンスに影響を与えることなく、16,000 を超える同時 TCP セッション、つまり、数十万のユーザをサポートすることができます。最大の負荷がかかった状態で、PIX Firewall は、T3 速度をサポートし、45 Mbps 以上で動作します。

Cisco PIX Firewall

最大限のセキュリティを実現するため、シスコではネットワーク・セキュリティへの 2 階層のアプローチを推奨しています（図 1 参照）。会社は、図の第 1 階層に外部サーバ（WWW サーバ、メール・サーバ、外部公開用 FTP サーバなど）を配置する必要があります。ユーザは、初期セキュリティを提供するルータを通じて、この階層にアクセスします。この第 1 階層を超えたところにあるのが、第 2 階層のセキュリティ境界を現す Cisco PIX Firewall です。DMZ（Demilitarized Zone）内のセキュリティが危険に晒されている場合、プライベート・サーバ、メール・ハブ、およびプライベート・クライアントが配置された企業プライベート・ネットワークへのアクセス権を外部ユーザが取得するのを阻止するため、Cisco PIX Firewall は強力なセキュリティ・バリアとして機能します。Cisco PIX Firewall と Cisco IOS（Cisco Internetwork Operating System）ソフトウェアが稼動する Cisco ルータを併用すれば、組織に強力なセキュリティ・ソリューションを提供できます。このソリューションでは、ハッカーは複数のデフェンス・ラインを突破しなければ、侵入することができません。

Cisco PIX Firewall は、IP アドレスの枯渇問題を解決するための方法も提供しています。内部プライベート・ネットワークを拡張し、現在、インターネットへのアクセスを望んでいる多くの会社は、社内ネットワークの番号を手作業で割り当て直し、各 IP アドレスをインターネットとの一貫性を保持できるように変更しなければならないという問題に直面しています。しかし、これは、時間、コスト、および労力を要するプロセスです。

たとえば、米国に拠点を置く通信機器メーカの Telecom Solutions は、既存のインターネット・アクセス・テクノロジーのアップグレードを検討した際に、3 つのサイトにまたがる 400 人のエンド・ユーザを抱えるまったく新たなサブネット・インフラストラクチャを構築するために、最低 1 週間で 5 人のスタッフが必要になると見積もりました。Cisco PIX Firewall を採用したことで、この会社は、実装、メンテナンス、およびサポートにおいて、数十万ドルのコストを節減しました。

TCP/IP ネットワーキングの爆発的な成長と、TCP/IP ネットワーク上のすべてのホストにグローバルで一意の IP アドレスを割り当てるという長い間の慣わしが相まって、使用可能な IP アドレス空間は急速に減少しています。グローバル・インターネットへ接続する各ホストに一意のアドレスが必要となるという事実が、新たな企業接続に深刻な問題を引き起こしています。IETF しかしながら、IETF（Internet Engineering Task Force）の IPng（IP: next generation）部会は、現在、長期的ソリューションの提案を検討中です。ソリューションが実際に実現可能であるとしても、新規標準を選択し、移行を管理しながら、普遍的な実装を最終達成するまでのプロセスには数年に及ぶ時間が必要です。RFC 1669 には、「ネットワーク・アドレス変換デバイスの数が自然増殖したとしても、IPng が市場での生存能力を維持するだけの十分な信奉者を確保できるかどうかは明確でない。」と述べられています。その間にも、現在の IP 標準の寿命を最大限引き伸ばすことを目的とした、3 つの基本戦略が新たに登場しています。

インターネット・アドレス割り当ての従来の方式では、ネットワーク内のホスト数に基づいて、アドレス空間を 3 つのネットワーク・クラスに分割しています。便宜上、アドレス・クラスは、8 ビット境界で分けられています。つまり、クラス C ネットワークでは約 250 ホスト、クラス B ネットワークでは 64,000 台のホスト、クラス A ネットワークでは 1600 万台のホストを収容できます。残念ながら、細分化概念のこのような不足は、企業ネットワーキングの実体を反映していません。多くの組織は、クラス C からクラス B の規模に相当するネットワークを保持しています。たとえば、4000 台のホストを抱えるネットワーク管理者は、16 個のクラス C アドレスを登録するか、1/16 のクラス B アドレスを登録するかといったジレンマに陥いります。

割り当てられるクラス B アドレスのアドレス空間使用率が低いため、現在では、クラス B アドレスを取得するのはほとんど不可能となっています。IR（Internet Registry：インターネット・レジストリ）では、クラス B 割り当ての IR 要件を満たしていない申請者には、クラス C アドレスの複数のブロックを割り当てています。クラス B 割り当ての IR 要件は、最少でも 4096 台のホスト・アドレスと、詳細なネットワーク・プランの提出が必要です。

RFC 1466 には次のように記載されています。「クラス B ネットワーク番号の割り当てを制限することで、一部の組織は複数のクラス C 番号を使って、リソースを追加しネットワークを拡張することになります。クラス B アドレス割り当てを制御するための戦略を実装する場合には、このことは残念ですが、回避することはできません。これらのガイドラインの目的は、インターネットをより適切に活用するために、これらのコストのバランスを取ることです。」

自社のプライベート・ネットワークをインターネットに接続する意向があるかないかにかかわらず、組織には、従来、グローバルに一意の IP ネットワーク・アドレスが割り当てられてきました。インターネットに加入する場合でも、通常は、自社のリーフ・ドメイン上の数パーセントのホストだけにインターネット・アクセスを許可します。RFC 1687 によれば、インターネットへのダイレクト・アクセスを備えたホストの、これらの接続性を持たないホストに対する比率は、通常 1：1000、大規模な企業ネットワークでは 1：10,000 です。登録済みでグローバルに一意の IP アドレスが、それらを必要としない多数のホストに割り当てられていることが、アドレス枯渇問題をさらに悪化させています。

最近、IANA（Internet Assigned Numbers Authority）は、次の 3 つのアドレス空間ブロックを、プライベート・ネットワーク用に予約しています。それは、1 つのクラス A ネットワーク番号、16 個のクラス B ネットワーク番号、および 255 個のクラス C ネットワーク番号です。これらのアドレスは、外部ホストとの直接的な IP 接続性を決して持つことのないホストが、企業 LAN 上で使用できます。RFC 1918 では、ホストは「インターネットに常時接続するか、決して接続しないか」の 2 つに分類されています。しかし、実世界の企業ネットワークでは、ホストは、当然のことですが、3 つのカテゴリに分類されます。