代表的なファイアウオール製品のひとつである「FireWall-1」(イスラエルのチェック・ポイント・ソフトウェア・テクノロジーズ製)にセキュリティ・ホールが発見された。ベンダーが暗黙に設定していたデフォルトのルール・セットに問題があったのである。ファイアウオールに限らず,製品のデフォルト設定がセキュリティ上問題になることは多い。今回のコラムでは,ファイアウオールに焦点を絞って,デフォルト設定について考えてみたい。

ファイアウオールが“単なる穴”に

 ファイアウオールは,「ネットワーク上を流れるトラフィックを一点に収束させて,あるセキュリティ・ポリシーを強制させる仕組み(システム)」と定義できるだろう。ネットワークの規模が大きくなれば,ホストごとに防衛線を張るよりも,ネットワークに対して防衛線を設けるほうがより効果的であると考えられる。その防衛線が,ファイアウオールである。もちろん,ホストごとの防衛線も重要である。当然,要塞化などでホストを守った上で,ファイアウオールを設けることが必要だ。

 ファイアウオールという概念が登場してから,すでに十年近くになる。製品も数多く登場し,「機能拡張を続けているもの」,「初期の設計上の欠点が解決されないまま今日に至っているもの」,「市場経済の荒波の藻屑と消えたもの」など,さまざまである。

 現在市場に生き残っている製品,あるいは登場している製品は,その機能を競い,いかに製品が“節穴”でないかを訴えている。しかし,製品が備えている機能そのものではなく,デフォルト設定が原因でファイアウオールが単なる穴になってしまう場合がある。

 デフォルト状態で適用される,アクセス・コントロールの方針をいくつかの製品で調べてみると,「デフォルトでは何も通過させない」という,安全サイドに振った納得できるルールばかりではないことに気が付く。「デフォルトでは,ユーザーが明示したもの以外は通さない,しかし,ユーザーの利便性を考え,暗黙の通過許可ルールをあらかじめベンダーが定義している」という,非常に分かりづらい方針に基づくファイアウオールも存在するのだ。

 この考え方は,ベンダーの事情やファイアウオールの設計方針に由来しているため,一概に否定することはできないのかもしれない。しかし,製品の性格を考えると,暗黙の通過許可ルールがあるべきではない,と筆者は考えている。これは,セキュリティ製品の原則である「システム管理者が明示したもの以外は許可しない」とは相容れないからである。

 実際,代表的なファイアウオール製品のひとつである「FireWall-1(VPN-1)」において,この「暗黙の通過許可ルール」がセキュリティ・ホールになると報告された。

細工したUDPトラフィックが通過可能に

 ドイツのセキュリティ・ベンダー「Inside Security GmbH」が7月9日に発行したアドバイザリによると,少なくとも「FireWall-1/VPN-1 4.1 SP4」には,ある UDPトラフィックを勝手に通過させてしまう問題が存在するという。偽装した RDP(チェック・ポイント社独自の管理プロトコル)ヘッダーを付加することによって,ポート番号 259 経由で任意の UDP トラフィックを,ファイアウオールの入力と反対側のネットワークへ通過させることが可能となる。

 この問題の原因は,このファイアウオール・ソフトウエアにデフォルトで設定されている「暗黙の許可ルール」が,特定プロトコル(RDP)についてアクセス制限していないためである。筆者が確認したところ,FireWall-1 4.1 SP4 のデフォルト状態では,RDP(ポート番号 259/UDP)へのアクセスが許可されており,どのようなネットワークへ対してもトラフィックが通過することを許可している。

 そのため,このポートへのアクセスが可能かどうかで,運用されているファイアウオールを特定できてしまう。本来ファイアウオールは,その種類はもちろんのこと,サービスを提供していること自体,ある程度隠蔽しなくてはならない性質のものだ。それが,このセキュリティ・ホールにより,ファイアウオール自身がその種類と,サービスを提供していることを明らかにする手助けをしてしまうのである。さらに,侵入後,バックドア・プログラムなどを転送する際のポートとして利用される可能性すらある。

 対策として,Check Point Software Technologies社のAlertに示されているように,HotfixをManagement Moduleに対して適用し,併せて同社から提供されたルール・セットを適用する必要がある。

 AIX,Nokia IP Series Appliance 環境向けにはバージョン4.1 SP3へのHotfix,その他の動作環境向けにはバージョン4.1 SP4 へのHotfixが提供されている。Hotfixの適用に必要な時間を取れない場合には,代替案としてポート番号 259/UDPへのトラフィックを通過させないように該当するファイアウオール周囲のルーターでフィルタリングを設定する。

「暗黙の許可ルール」をそのまま使ってはいけない

 しかし,Hotfixの適用だけでは,根本的な解決にはならないと筆者は考える。根本的な解決策は,暗黙の許可ルールの利用を無効化することである。もし暗黙の許可ルールの中で必要なものがあれば,明示的にルール・セットに加えればよい。そして,その上でHotfixを適用すれば申し分ない。

 セキュリティ関連のアプリケーションすべてに対して言えることであるが,暗黙の許可ルールは積極的に利用されるべきものではなく,あくまでサンプルとして提供されたものであると理解すべきであろう。可能であれば暗黙の許可ルールはすべて無効にし,自システムに必要なものだけを明示的に許可するようにする。その際,暗黙の許可ルールを参考にすることは,十分に有用である。

◇     ◇     ◇     ◇     ◇     ◇

 デフォルト設定の危険性については,既に何度も警告されており,それを是正するためにベンダーもユーザーも努力してはいる。しかし,いくら注意してもし過ぎることはない。このコラムの読者であればなおのこと,デフォルト設定の危険性については十分注意を払っていただきたい。

坂井順行 (SAKAI Yoriyuki)
株式会社ラック コンピュータセキュリティ研究所
sakai@lac.co.jp

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。