ネットワークにおけるファイアウォール機器といえば、今やFortigateが主流となっています。
FortigateはUTM機器(Unified Threat Management)とも言われ、ファイアウォール機能の他にも、複数のセキュリティ機能を兼ね揃えた、ネットワークセキュリティの要とも言えます。
Fortigateを購入する際に、少々高価な「バンドル版」というものを目にしたことはないでしょうか。実はこのバンドル版こそが、UTM機能を備えた、セキュリティ強化版Fortigateなのです。
今回は、このUTMの主要機能について紐解いていきます。
「不要なスパムをカットする」アンチスパム機能
アンチスパム機能は、常にPOP3/IMAP/SMTPといったプロトコルを監視し、Fortigate自身が持つスパム判定基準に沿って「通過するメールをマークしてくくれる」という機能です。
スパムの判定基準と、その後の動作
スパム判定基準は、それぞれ4つあり、下記を元にスパム選定を行います。
- 送信元IPアドレス
- 送信元のメールアドレスドメイン
- メール本文に記載された、不正URL
- スパムメールチェックサム
更に、スパム判定後の動作も、下記の3つのオプションを設定することができます。
- スパム判定メールへのタグ付け(本題やMIMEなど)
- 指定メールアドレスへの転送
- 破棄(SMTP=自社メールサーバからの送信メールのみ)
アンチスパムの影響範囲
上記のとおり、Fortigate自身はスパムメール自体にタグ付けを行いますが、指定メールアドレスへの転送のみしか実施しません。
また、破棄するのは、自社メールサーバから送信されたスパム判定メールのみとなります。
これは、なるべく「メールサーバへの影響を最小限に留める」ための設計思想となります。「スパム判定はするけど、メールの取り扱いはメールサーバでやってね」という考え方です。
社内から送信されたスパム判定メールを破棄するオプションは、例えば「社内のクライアントがウィルスによってスパムメール送信サーバに仕立てられた際、スパムメールの送信をガードする」という動作を行います。
なお、アンチスパム機能は、添付メールについては、精査しません。これは、後述のアンチウイルス機能に委ねられるからです。
「ウィルス侵入を未然防止する」アンチウイルス機能
アンチウイルス機能は、FortigateのLANポートやWANポートのファイアウォールポリシーオブジェクトへ付与することのできる機能です。
これを設定することで、Fortigateが日々ダウンロードしているシグネチャを元に、ウィルス検索エンジンが内外に流れるパケットをウィルス検索します。
アンチウィルス機能のチューニング
大枠には「大まかにウィルス検索を実施する」Frow-Basedモードと、「対象パケットをFortigateのバッファに溜め込み、ウィルス検索を実施する」プロキシモードがあり、プロキシモードの方が、パスワード付き圧縮ファイルも対象とするなど、より緻密な精査を実施します。
ただし、プロキシモードはFortigate自身に重い処理をさせることになりますので、スペック不足のFortigateでは、少し不安があります。
更に、ウィルス検索の対象は、HTTP(HTTPSは暗号化されているため不可能です)、POP3/IMAPなどのメールプロトコル、FTPなどのファイル転送プロトコル、などの主要プロトコルを指定することができます。
また、ウィルス検出時の動作においては、完全にウィルスをカットするブロックとモニターが選択できます。
「不正侵入を検知し、防止する」IDPS(IPS/IDS)機能
IPDSとは、Intrusion Detection Prevention Systemの略であり、不正侵入を検出(Detection)
して、防止(Prevention)する仕組みです。
主な目的としては、Fortigate傘下にあるWebサーバ群を、外部からの不正侵入や攻撃に対して、検出と防御を行います。
そして、IDPS機能は、内部からの攻撃にも有効な手段となります。
例えば、マルウェアやウィルスに感染した端末が、C&C(コピー&コントロール)によって、不正侵入や攻撃が行われた際にも、検知と防御を行ってくれる機能なのです。
IDPS機能のチューニング
FortigateのIDPS機能は、検知対象を「Critical/High/Middle/Low/Information」の5段階から抽出することができ、ターゲットに「Client/Server」を指定することができます。
大体は、CriticalとHighのみを選択しますが、LowやInformationまでもを対象とすると、Pingの履歴やブロードキャストさえも検知してしまいますので、ここは柔軟な対応が必要です。
また、対象OSについても「BSD/Linux/MacOS/ Solaris/Windows/ Other(その他)」を指定することができ、各種プラットフォームに応じた対応が可能です。(攻撃するにしても、各種OSのアプローチ方法は違いますので、それらを指定するイメージです)
FortigateのIDPS機能は、単独でフィルタ機能による検出を行うことができますが、Fortigateがリアルタイムにダウンロードしたシグネチャ情報をもとに、パケットの精査を行うことも可能です。
「悪意のあるコンテンツを無効化する」WEBフィルタリング機能
WEBフィルタリング機能では、Forigate参加のクライアントが外部WEBサイトに対して閲覧するページを監視し、許可できないコンテンツがあった場合に、許可/ブロック/モニター/警告/認証などのアクションを起こしてくれます。
NGサイトをカテゴライズしてくれる、ForiGuardカテゴリ
具体的には「違法サイト/アダルトサイト/セキュリティ上問題のあるサイト/趣味/帯域を著しく浪費するサイト」など、各種サイトに「大カテゴリ」として振り分けられ、その中でも、事細かに調整ができます。
これをForiGuardカテゴリといい、管理者にとって煩雑なWebフィルタリング作業をサポートしてくれます。
WEBフィルタリングの各種対応機能
URLフィルタリング
特定のURLやFQDNを指定し、ガードすることができます。
「指定したURLをブロックする」ブラックリスト形式と「指定サイトのみは常に許可する」ホワイトリスト形式の選択ができます。
URLの記述範囲についてはFQDNから詳細URL、ワイルドカードまでの、大まかな範囲から、細かな範囲までのメンテナンスが可能です。
セーフサーチ機能
クライアントに対し「セーフサーチ」として登録された、GoogleやYahoo!やBingなどの「明らかに安全」な検索エンジンのみを利用させることができます。
WEBフィルタリング、三つの検知モード
WEBフィルタリングの検知機能には三つのモードがあります。
名前はばらばらですが、それぞれを強・中・弱という項目として、判断することができます。
プロキシモード
アンチウィルス機能と同じく、バッファにURL及びコンテンツをため込み、精査するという動作をします。
こちらもFortigateにとって負荷が高い処理となりますので、スペック不足の状況下だと、不安が残ります。
フローベースモード
3つのモードの中で、一番選ばれやすいモードです。
プロキシモードのように負荷が高くなく、フロー制御の中でパケットを右から左へと精査していき、不正URLをブロックする動作を行います。
DNSモード
DNSモードは、三つのモードの中で一番負荷が低いのですが、フィルタリングの対象を、DNS便りにしてしまうなど、抜け漏れが出てしまう可能性があります。