続・ファイアウォールなんて信じるな

trust -> untrust 許可
untrust -> trust 不許可


これ以上でも、これ以下でもありません。


例外的に、DMZに設置したサーバへの許可ルールを追加します。


DMZはuntrustに属します。


untrust -> DMZ 不許可(一部許可)
DMZ -> trust 不許可


某マイナンバーのセキュリティーにおいて、ファイアウォールという装置を設置することが推奨されていますが、
いったいどのような設定を行うと、マイナンバーを運用するうえで安全なのでしょうか。


考えれば、考えるほど、無意味な装置ですね。


特にIPアドレスとTCP/UDPのPortベースのフィルタリングなんて無意味です。


もし、情報漏えいのプロトコルにHTTPが使われると仮定すると、TCP 80番Portを禁止するのが普通の対応だと思います。
trust -> untrust(tcp80) 不許可
でも、HTTPサーバーのPort番号を53番に設定して、クライアントも53番Portで通信する設定にしてあると通信できます。
53番はDNSというインターネット通信では重要なサービスで利用されており、LANにDNS Proxyを設置していたとしても、端末からの通信も許可しているでしょう。


HTTPサーバーの待ち受けPortを53番に設定することって出来るのでしょうか?非常に簡単です。80番以外を使うことはよくあります。
クライアントはもっと簡単で、サーバーアドレスの後ろに「:53」を付けるだけです。


53番はDNSで予約されているはずですが、本当に使えるの?
誰が53番をDNS以外で使ってはいけないと決めて、設定できないように制限を加えているのですか?
接続先のサーバー管理者に聞かなくてもいいように、53番はDNSに使いましょうという由緒正しき文書の存在はありますけど、
守らない人なんて・・・


そう考えると、port番号で制御するなんて無意味ですよね。


だから、通信の内容を確認して、HTTPであることを認識し、それを止める必要があります。


HTTPのみで情報漏えいが行われるのであれば、これでいいですけど、
未知のプロトコルで通信するとしたらどうなんでしょうね?



ちなみに、私は家庭用ファイアウォールは不要と思ってます。
だって、ネットショッピング中に通信の許可確認の画面が出たら許可するよね?
その許可した通信が、ショッピングサイトとは別のサーバー向けの通信だとしても許可するよね?


え?ちゃんとチェックする?


Command


Comrnand


あなたの使っているDNSって正しいIPアドレスを解決してる補償ある?




0 件のコメント:

コメントを投稿

Microsoft Entra Connect Cloud同期のお勧め属性マッピング

ハイブリッドID構成の設定で必須設定じゃないかな~というやつを備忘録的に投稿しておきます。個人的な推奨値なので実際に設定する際は十分な理解と検証を心掛けてください。そのまま利用して不具合が発生しても責任はとれません。 Microsoft Entra Connect によって同期さ...