[plamo:22094] Re: ホストベ−スのFirewall

[Shun-ichi TAHARA (田原 俊一)]

From: "Tadashi Nakamura" <tn_mls@hotmail.com>
Message-Id: <BAY2-DAV116X0ZB9zBo0000933c@hotmail.com>

> > > Gateway や Router の部分で、Firewall を構築する
> > > というやり方では不安な時代になってきました。
> >
> > ここの前提そのものに疑問符を付けたいんですが、これってなぜなんでしょう?
> 
> SoftEther などの、ありきたりの Firewall ではブロックできない
> ネットワーク利用が一般化することを懸念してのことです。

え〜〜〜〜と……

3分うなって補完しました。

『SoftEther等でファイアウォールに穴を開けられることで、外界に晒されて
いるのと同じ状態になるかもしれない』ということですか?

なるほどー。
# やっぱり、同じ枕を書くなら、もうちょっと前提を噛み砕いて書いてくれる
# とわかりやすくていいと思います。

SoftEtherに限らず、トンネリングものは、ファイアウォール越えのVPNなリン
クを張るものですので、基本的にはこれを通って侵入されるようなことはない
と思います。

まぁ、トンネルの端っこの端末が破られてそこを踏み台にされるとか、トンネ
リングツール自体の穴を突かれるとか、リスクが山のようにあるのは確かです
けど。

どちらかというと、ファイアウォール上(に存在するとして)のウィルスフィル
タとかを通過してしまう方が嫌ですね。

> Internet DMZ LAN などという区別が無意味になってしまう
> ことを想定しています。SoftEther を利用したことがなく
> もしかすると五回しているかもしれません？

インターネットのあるべき姿に戻ったともいいますけどね。技術屋としては嬉
しいのですが、運用屋としては頭が痛いというか。

> Client PC には、Personal Firewall
> Server Machine には、Host base の Firewall
> 
> というような対処もひとつの答えかな、と思います。
> もちろん、Router や Gateway の段階で
> 基本的な Firewall を構築しておくことは
> もちろんですが。

そうですね。いうまでもなく王道だと思います。
出口だけ固めて中が野放しだと、中のユーザにやられちゃうかもしれませんし。
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
田原 俊一   jado@flowernet.gr.jp, shunichi_tahara@zenrin.co.jp
                                  http://flowernet.gr.jp/jado/
FingerPrint:  16 9E 70 3B 05 86 5D 08  B8 4C 47 3A E7 E9 8E D9
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣