家庭、事業所LANのセキュリティの面倒を見るLinux・UTM「NethServer」
CentOSベースのLinuxディストリビューションに、「NethServer」というディストリビューションがあります。単にネットワーク境界で、ネットワークのアクセス制御をするファイアーフォールとしての利用だけではなく、ベンダーが提供する脅威となるブロックすべきIPアドレスの情報を参照して、攻撃時に即、ネットワークを遮断できるIPSや、IDSの機能もあるすぐれものです。
このコロナ渦で、必要になっているテレワークシステムにおいても、会社であれ、自宅LANであれ、接続した結果で「入っちゃった!」となったら、会社も家庭もお先真っ暗に、急降下です。
ということで、周りの人にテレワークシステムの話をして見た中で、セキュリティについても提案さし上げたが、IT企業で営業を担当している人でも、ネットワークが分からなくて、話が合わないのには驚きました!!どうやって仕事しているんだろ!!!
でも、気を取り直して、まず、ネットワークの基本を分かってもらうための材料を用意したので、どんなものでしょうか?
そんでもって、普通の家庭や、小規模事業所のLAN環境って、こんな感じ?
(画像が見にくいので、画像をクリックすればフルサイズで内容を確認できます)
それで、NethServerを仕掛けるとしたら、下の黄色箱のNethServerを、緑の矢印が伸びていった先の機器と機器の間に設置して、ガードします。
また、VirtualBox上にNethServerを動かして、LANカード2枚挿しで、内部LANとは別セグメントを新しく作って、そのネットワークに虫が入っちゃったときの予備ネットワークにしておくとか考えました。
(画像が見にくいので、画像をクリックすればフルサイズで内容を確認できます)
VirtualBox上にNethSewrverのデモ環境を作成
既存ネットワーク(下記・緑破線)に影響を与えずに、NethServer(セキュリティの項で説明しているセキュリティ機器・UTM)を組み込んだ場合の運用イメージを、VirtualBox上に作ったテスト環境のネットワーク(下記・黄破線)で試してみる。
まず、既存ネットワークLAN
LANの中の1台のコンピュータ上で、VirtualBoxによるNethServerのテスト環境を作成します。
VirtualBox上にNethServerを稼働させる方法であれば、NethServer用に高価なPCサーバを用意することなく、既存LANの環境もいじくることもなく、NethServerの使用感を試すことができますが、通常運用を行うことは実行環境が弱いので、負荷で通信に影響が出やすいとは思います。
PCサーバを用意するにしろ、VirtualBoxで試すにせよ、既存ネットワーク「192.168.0.XXX」と新規ネットワーク「10.0.0.XXX」とはネットワークのセグメント(範囲)が違うので、お互いの通信が影響しあうことがないために、まったく独立した状態で運用できます。
既存ネットワークのネットワーク構成を変更する必要はありません。
(ネットワークアダプタを追加して、2つ通信ポートを用意することは必要ですが)
また、NethServerが通信を仲介するので、新規ネットワーク「10.0.0.XXX」は問題なくインターネットとの通信も可能でありながら、NethServerのセキュリティ機能で守られた形で運用できます。
試験運用的には仕掛けてみて、正しく通信できて、仕掛けたウィルスを駆除できることを確認できましたが、IPSチェックをフルで実行すると負荷が高くて止まってしまいました。
意図したように、LAN上に別セグメントの新しいネットワークを出現させて、ウィルス検疫機能を動作できることが確認できました。
ただ、今回の私が用意した環境では、普段使っている普通のパソコンを使ったので、スペック面でうまく動きませんでしたが、パワーがあるサーバパソコンを用意すれば、何千万円もする高機能アプライアンスに負けない仕事をさせることができると思います。
セキュリティを面倒見るアプライアンス製品には、通信させるデータの種類によって、優先制御をおこなうとか、緊急データのために、帯域制御をおこなうとか、故障時のために、冗長化対策を組み込んでおくなどの高度な機能を積んでいるために、どうしても値段がはると思いますが、もっと小さな拠点だとか、中小企業で通信データに対する配慮がそんな気を使わなくても良いと割り切れば、NethServerでも即座に、リスク検知時に通信路を遮断するIPS機能を利用するといった一歩上を行く対策を安価にできると思います。