はっきり言って、ファイアウォールなんて飾りだ。
どんなに細かなポリシーを設定したとしても、許可した通信は流れる。
許可した通信をさらにアプリケーションごとに認識してポリシーを設定できる次世代ファイアウォールを使ったとしても、許可したアプリケーションは流れる。
私が運用しているファイアウォールは次世代ファイアウォール「PaloAlto」
これは他のファイアウォールと違って、IPSをファイアウォールのように使いやすくした製品といえばいいのだろうか?
とりあえず、こういうポリシーが当たり前のように設定できる。
ADユーザーのAさんはLINEの利用を許可するが、Bさんは禁止する
パソコンCはWindowsUpdate以外のインターネットアクセスを禁止する
twitterは許可するけどつぶやくのはダメ。mixiは使用禁止。
ファイアウォールが認識するWebアプリケーションレベル、ユーザー、コンピュータと、きめ細かなポリシーが決められるけど、許可した通信は許可なんだ。
で、悪意を持ったユーザーが許可された通信の中で、悪さをした場合に止める手立てはない。
例えば、クレジット番号やマイナンバーのような数字何桁のデータ送信は止める
出来ますよ。
でもね、それを回避するなんて簡単な事。
例えば、データ送信時に無意味な数字の羅列を付与してしまえば簡単にすり抜けてしまう。
はっきり言って、ファイアウォールは想定できる範囲での制御は出来るけど、
人間が知恵を使ってすり抜けようとしたことに対しては無意味
だって、許可する通信を使って禁止されたデータを許可されたデータに変換して送るんだから
だからあえて言おう!!ファイアウォールは飾りであると!!
0 件のコメント:
コメントを投稿