1998年11月29日() << 前の日記 | 次の日記 >>
これまでの11月29日 編集

■1ファイヤウォール このエントリーをはてなブックマークに追加

早いもので11月もあと1日を残すのみとなりました。やっと確定申告も終わって、やっと一息ついたところですが、すでに次の仕事が待ち受けています。近所に住んでてネットワークやプログラミングに興味ある学生さん大歓迎です。色々お仕事あります。
さて、 前回の日誌[http://www.nanet.co.jp/~kei/diary/199811.html#19981125] で「ATXマザーだと停電時の自動復帰ができない」話を書いたのですが、「もう少し詳しいことを」というメールを頂いたので補足します。こういった指摘は「確かに読まれてるんだ」と実感できてありがたく思います。
以前にも UPSの話[http://www.nanet.co.jp/~kei/diary/199811.html#19981109] は書いたのですが、停電時にシャットダウンはできても、商用電源復帰時に再立ち上げしないサーバというのが結構あるようなのです。
ATケースであれば電源をハード的に制御していますから、電源が供給されれば立ち上がってくるのは当たり前なのですが、ATXケースなどはソフト的に電源を制御していますので、何らかの仕掛けがないと電源が供給されても立ち上がってこないのです。
これがサーバでなければさほど問題はないのですが、停電から復旧しても立ち上がってこないとなると、ビルなどの管理のための作業停電(夜間や休日に行われることが多い)の度に管理者が出てこないといけなくなります。
頻度としては滅多にあることではないのですが、電源ボタンを押すだけのために付き合わないといけないというのも嬉しくない話ですから考慮しておきたいポイントだということです。
この間から「ファイヤウォールの設定仕様作成」というお仕事を頂いています。ところで、ファイヤウォールというのは「ファイヤウォール箱」というのが一つあって、それに全部お任せできるものではなくて、「ファイヤウォールシステム」と呼ぶべきものなのです。
ですから今回の場合は、名目はどうあれファイヤウォール箱単体よりも、むしろサイトセキュリティ全般の仕様を考える作業ということになります。
基本としては、「何を許して何を許さないか」「誰から何を守るのか」ということを明確にしていくところから始めます。もちろんこれはネットワーク全体の設計にも影響を与えます。
例えば、信頼できないマシンと守らなきゃいけないマシンが同一セグメントにあったりしたら、外でどういうフィルタリングをしても意味がありません。できたらルータ、せめてスイッチングハブで分割したいところです。
インターネットでのセキュリティというと「信頼できないインターネットから大事な社内ネットワークを守る」という面からフィルタリングに注目し、その点だけから「ファイヤウォール箱を入れれば大丈夫」ということになりがちですが、ある程度以上のセキュリティを確保しようとすれば、社内にも目を向けないといけなくなります。
別に悪意を持っていなくても、侵入者の罠に掛かるユーザーが結果として内部から手引きをしてしまう場合もあります。
あまりフィルタリングを厳しくしすぎて、不便を感じたユーザーが深い考え無しにトンネルを掘ってしまうこともあります。これがセキュリティ上の重大な危機を招くこともあります。
こういう問題を防止するにはやはり、何を守りたいのかということを明確にするところから始めないといけません。ある程度は安全性と可用性のバランスの問題に直面するかも知れませんが、最初の方針を誤っていなければ大きな問題は生じないことが多いようです。
何か精神論的なことになってしまって、技術ネタを期待していた読者の方はつまらなかったかも知れませんのでクイズを一つ。 良かったらメールで解答をお寄せ下さい。もしご希望でしたら先着1名の方に、次回当社がビルトした時点でのFreeBSD2.2.7-ReleaseのCD-Rを差し上げます。最新版リリースが欲しいけどCVSupも大変だしビルトする環境もないしというごく一部の方は嬉しいかも知れません。
では次回までごきげんよう。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 1998年11月 翌月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project