メインコンテンツへスキップ
検索
可用性OpenVOSブログプログラミングあんぜんほごアップタイム

VOS用のホストベースのファイアウォール

by 2010年4月22日2019年10月23日ノーコメント

IPsecといえばデータの暗号化を思い浮かべる人が多いと思いますが、暗号化なしでパケットをドロップしたり、許可したりすることもできます。これは、送信元と送信先のIPアドレスとポート番号に基づいて行うことができます。これはまさにファイアウォールが行うことであり、VOSのIPsec機能をファイアウォールとして使用することができます。

例えば、*.12345 をリッスンする内部ドキュメントサービスアプリケーションがあるとします。サプライヤーのネットワークに接続する新しいインターフェースがモジュールに追加されました。そのネットワークからドキュメントサービスに接続してはいけません。理想的には、モジュールとサプライヤのネットワークの間のネットワーク上にポート 12345 をブロックするファイアウォールがあるのですが、「深層防御」の原則では、ネットワークとホストベースのファイアウォールは、単なるネットワークファイアウォールよりも優れていると言われています。

サプライヤーのネットワークからの接続をドロップするようにIPsecを設定する方法はいくつかあります。最も簡単な方法は、新しいインターフェイスに対応する宛先IPアドレスを持つポート12345への接続をすべてドロップすることです。新しいインターフェイスのIPアドレスが172.16.1.1であると仮定すると、IPsecポリシーは次のようになります。
{daddr 172.16.1.1 ulp tcp dport 12345 dir in} drop {}。

IPsecポリシーは、ipsec_policy_adminコマンドで追加します。デフォルトの設定ファイルは >system>stcp>ipsec.conf ですが、任意のファイルを指定できます。これが動作するためには、モジュールはパケットを転送してはいけません。そうでなければ、172.16.1.1 インターフェイスで受信したモジュールの別のインターフェイスへの接続要求が転送されます。宛先が 172.16.1.1 ではないので、IPsec は接続を許可します。実際に使用する必要があることがわからない限り、転送をオフにするのは良いアイデアです。IP_forwardingコマンドで転送をオフにします。

新しいインターフェースが追加されておらず、社内のユーザーとサプライヤーが同じインターフェースを使用する場合は、宛先アドレスではなく、ソースアドレスに基づいてポリシーを設定する必要があります。サプライヤーのネットワークが192.168.1.0/24であると仮定すると、ポリシーは次のようになります。
{saddr 192.168.1.0/24 ulp tcp dport 12345 dir in} drop {}。

もちろん、これでもサプライヤーのネットワーク上のホストは、モジュール上の他のサービスに接続することができます。次のようなポリシーで、サプライヤーを1つのサービス(ポート24680でリッスンしているサービス)だけに制限することができます。
{saddr 192.168.1.0/24 ulp tcp dport 24680 dir in} bypass {}。
{saddr 192.168.1.0/24 ulp tcp dir in} drop {}。

ドキュメントサービスが1つの部門のドキュメントのみをホストしている場合、その部門のサブネット、例えば10.1.1.0/28からのポート12345への接続を許可するポリシーを以下のように設定することができます。
{saddr 10.1.1.0/28 ulp tcp dport 12345 dir in} bypass {}。
{saddr 0.0.0.0/0 ulp tcp dport 12345 dir in} drop {}。
ポリシーの順序は重要で、順序を逆にすると誰もポート12345に接続できなくなります。

もし、CIOがドキュメントへのアクセスを必要としている場合、CIOのワークステーションのアドレスにポリシーを追加することができます。
{saddr 10.1.1.0/28 ulp tcp dport 12345 dir in} bypass {}。
{saddr 10.7.7.7 ulp tcp dport 12345 dir in} bypass {} {saddr 10.7.7.7 ulp tcp dport 12345 dir in} bypass {}。
{saddr 0.0.0.0/0 ulp tcp dport 12345 dir in} drop {}.

IPsec を試す際には、接続を許可するポリシーが設定されていることを必ず確認してください。IPsec ポリシーは追加されるとすぐに反映され、再起動やリスタートの必要がないため、ポリシーの入力を誤るとモジュールから切断される可能性があります。例えば、あなたのワークステーションのIPアドレスが10.1.100.50であると仮定すると、私は常に以下のポリシーをポリシーファイルの最初に配置します。
{saddr 10.1.100.50 ulp tcp dir in} bypass {}.

メニューを閉じる

© 2024 Stratus Technologies.