デスクトップにファイアウォールは本当に必要ですか?

ここには議論の余地があるトピックがありますが、先に進む前に、はっきり言っておきます。私はこれを試すことを推奨しているわけではありませんし、それが良いアイデアだと言っているわけでも、私がそうするだろうとも言っていません。私自身のネットワーク上でそれを行います。

ただし、リスク評価はリスクの特定と管理がすべてであり、システム管理はトレードオフを選択することが重要です (「危険な近道」という意味ではありません)。システム管理者は、変更を加えるためのコストと時間と、金銭、時間、または信頼性の面で期待される報酬とのバランスをとらなければなりません。そこで、私の物議を醸す質問です。デスクトップ マシンとサーバー マシンでファイアウォールを実行する必要がありますか?

あなたがすでに後ずさりして、ポケットに手を突っ込んで「ああ、これは過激すぎる」とつぶやいているのがわかります。確かに、これは過激かもしれませんが、思考実験として行う価値はあります。ネットワーク内のマシンで IP フィルタリング (ファイアウォールが行うことなので) を実行する必要があるでしょうか。

最大の失敗は、誰かが間違っていることが判明したり、本当に悪いアイデアを仮定したときに起こります。

あるグループは間違いなく、「クライアント側とサーバー側の両方のファイアウォールを実行しても害はないのに、Windows の組み込みファイアウォールを無効にするという異端をなぜ考える必要があるのでしょうか」と言うでしょう。もちろん、あなたは正しいでしょう。ただし、1 つだけ例外があります。組み込みのファイアウォールをオフにするのは実際には非常に難しいため、組織内で多層セキュリティを実現する方法について考えさせられました。最大の失敗は、誰かが仮定を立てたときにそれが間違っていたり、本当に悪いアイデアだったりするときに起こりがちです。彼らの論理は素晴らしく、その意図は名誉あるものだったのかもしれませんが、あらゆる角度からカバーされていたわけではありません。

数年前に SQL Slammer という名前で多くのネットワークを襲った Windows SQL ワームを思い出します。興味深いのは、特定の大手銀行のセキュリティに大混乱をもたらしたことです。ある銀行では Windows ベースの ATM がクラッシュし、別の銀行では信頼できるサードパーティから VPN トンネル経由で感染が侵入したことが判明したことを覚えているかもしれません。会社。この VPN トンネルは広く開かれており、サーバー ルームへの直接アクセスを許可していることが判明しました。

私は、セキュリティをデスクトップやサーバーの周囲に勝手に散在させるよりも、ネットワーク設計に直接組み込みたいと考えています。たとえば、すべてのクライアント/サーバー トラフィックがルーティングされる堅牢なファイアウォールでマシン ルームをデスクトップ コンピュータから分離することについては、多くのことが言えます。次に、デスクトップを外界から保護するために境界ルーター (おそらく複数) を設置し、場合によっては企業のデスクトップ群のさまざまなセクション間にファイアウォールを設置することになります。これらを玉ねぎのレイヤーと考えてください。各レイヤーを分割して、同様のセクションを独自の管理スペースに分離することもできます。

少数のゲートキーパー

なぜ私がこれを提案するのかまだ疑問に思っているなら、ほとんど管理されていない偽のセキュリティデバイスの霧に依存するのではなく、少数の信頼できるゲートキーパーにセキュリティを集中させることには非常に意味があるように思えます。もちろん、これによりバスケットに入れられる卵は減りますが、これらのゲートキーパーの制御と管理が容易になることを意味します。リアルタイムでの監視が日常的になります。

「うちのラップトップはどうなの？」と誰かが叫ぶ前に、社外に持ち出すポータブル デバイスにはいずれにしても特別な配慮が必要だということを指摘しておきます。どのようなデータが保存されていますか?本当にそれを載せる必要があるのでしょうか？暗号化されていますか?タクシーの後部座席に置いたままにしておくとどうなるでしょうか?このラップトップでビジネスクリティカルなデータを作成するとどうなるでしょうか。それがオフィス ネットワークに正しく複製されていることを確認するにはどうすればよいでしょうか?そして、同じサブネット上に他の何十人ものユーザーがいるカフェなどで、パブリック IP に接続している間、そのようなデバイスが確実に保護されるようにするにはどうすればよいでしょうか?

もちろん、そのようなデバイスには適切なファイアウォール保護が必要ですが、これはオフィスで実行しているデフォルト設定とは異なります。ラップトップは母船と通信していないことを認識する必要があるため、シャッターを閉じてください。 Windows に組み込まれている自宅、職場、公共の区別が出発点となりますが、ラップトップの位置ステータスをより詳細に把握できるサードパーティ製ソフトウェア ファイアウォールを検討することをお勧めします。その際、Windows 7、Vista、および Server 2008 に組み込まれている Windows ファイアウォールを無効にすることもできます。

このファイアウォールを無効にするのは簡単ではありません。無効にする場合は、大人がハサミを持っていることを確認する必要があります。この TechNet の記事では、次のアドバイスから始まる手順を説明しています。同等レベルの保護を提供する評判の良いベンダーです。」私も同意しますが、このコンピュータに別のファイアウォールをインストールする必要はないことを付け加えておきます。このコンピュータはネットワーク上にある可能性があります。

ファイアウォールを無効にする方法は基本的に 3 つあります。NetSH コマンド「netsh advfirewall set profiles state off」を発行します。プロファイルは、AllProfiles、CurrentProfile、DomainProfile、PrivateProfile、または PublicProfile のいずれかです。ファイアウォール コントロール パネル プログラムを使用して、「オフ (非推奨)」ボタンを押すこともできます。または、「ローカル コンピューター上の高度なセキュリティを備えた Windows ファイアウォール」を右クリックして [プロパティ] に移動し、高度なセキュリティ MMC スナップインを使用することもできます。ここで、ドメイン プロファイル、プライベート プロファイル、およびパブリック プロファイルの各タブで、ファイアウォール (またはグループ ポリシー経由で実行できます)。

これを行うことはお勧めしませんが、サードパーティの保護スキームをインストールすることに決めた場合には実行できることを知っておくと便利です。私はデフォルトのセキュリティを維持したいため、自分のネットワークではこれを行いません。それでも、これが大きな問題ですが、私は企業内のセキュリティに対する多層玉ねぎ型アプローチの完全な支持者です。あまりにも多くの企業が、内部ネットワーク インフラストラクチャのさまざまな部分の間で広範なポリシーを運用しているためです。この考え方が不完全であることが明らかになったとき、それはまさに警鐘です。