Hardening a Flat Network

あるネットワークのセキュリティを見直す機会があって、元の構成から問題点を洗い出して段階的に改善していった。（学校のサーバーの事なんだけどね。） 元がフラットすぎて「誰でもデータベースにアクセスできる」状態だったから、やることは山ほどあった。

元の構成

ペリメータルータの後ろにファイアウォールが1台、その先にL3スイッチが2台。WiFiサーバ、リサーチサーバ、PC、ラップトップが全部同じネットワークにぶら下がっている。フラット。

問題は2つ。ファイアウォールが1台しかないから、内部の東西トラフィック（サーバ間やセグメント間の通信）は完全にノーガード。そしてリサーチサーバに誰でもアクセスできる。

UTMの導入

最初にやったのはファイアウォールをUTM（Unified Threat Management）に置き換えること。従来のファイアウォールはパケットフィルタリングだけだけど、UTMはIPS（侵入防止）、IDS（侵入検知）、アンチウイルス、Webフィルタリングを統合している。

IPSとIDSの違いは対応速度と検知範囲のトレードオフ。

IPSは悪意のあるトラフィックを即座にブロックできるけど、全てのパターンを検知できるわけじゃない。IDSはIPSが見逃すパターンも検知できるけど、ブロックまでの対応が遅い。UTMはこの両方を統合して、検知と対応を1台で完結させる。加えてTrend Microのようなエンドポイント保護も併用する。

UTMをペリメータ（外部境界）とリサーチサーバの手前の2箇所に配置した。これで外部からの攻撃と内部からのサーバへの不正アクセスの両方にフィルタがかかる。

WiFiサーバの保護

UTMを2台入れてもWiFiサーバはまだ丸腰だった。L3スイッチに直接ぶら下がっていて、UTMの保護範囲の外にいる。

3台目のUTMをWiFiサーバの手前に追加した。これでペリメータ、リサーチサーバ、WiFiサーバの3箇所にUTMが配置されて、主要な通信経路が全てフィルタリングされるようになった。

同時にワークグループからドメインに移行した。ワークグループは小規模LAN向けの分散管理で、各PCが独立してユーザーを管理する。ドメインはActive Directoryで集中管理。ユーザー認証、アクセス制御、グループポリシーを一元化できる。中規模以上のネットワークならドメイン一択。

VPNと基準準拠

ファイアウォールだけでは機密情報の漏洩は防げない。通信経路が暗号化されていなければ、中間者攻撃やパケットキャプチャで内容が読まれる。(WireSharkとかを入れて教室の通信をのぞき見しよう！)

IPSec-VPNを導入してエンドポイントからネットワークへの接続を暗号化した。リモートアクセスだけじゃなくて、拠点間の通信もVPNトンネルで保護する。

加えてCIS Benchmarks（Center for Internet Security）に準拠したOS設定を適用した。CIS BenchmarksはOS・ミドルウェアのセキュリティ設定のベストプラクティス集で、不要なサービスの無効化、ファイルパーミッションの強化、監査ログの設定などを網羅している。「デフォルト設定は安全じゃない」が前提。

運用面

技術的な対策だけじゃ足りない。人間が穴を開ける。

パスワードポリシーとスクリーンタイムアウト。組織の公開情報やSNSから推測できるパスワードは論外だ。離席時にロックがかからないと、物理的にアクセスされたら終わり。

ソフトウェアの定期更新とバックアップ。古いバージョンの脆弱性を突くのは攻撃の定番。ランサムウェアに備えてオフラインバックアップも必須。

外部USBデバイスの制限。USBメモリはマルウェアの配送システムとして非常に優秀。社内ルールで未承認デバイスの接続を禁止する。Stuxnetがイランの核施設に侵入したのもUSBメモリ経由だった。

物理セキュリティ。サーバルームへの入退室管理、CCTV、モーションセンサー。ネットワークセキュリティをいくら固めても、サーバを物理的に持ち出されたら意味がない。