ファイアウォールなしで重要なサーバーを運用するのは普通? 54
ストーリー by headless
心配 部門より
心配 部門より
本家/.「Ask Slashdot: Is Running Mission-Critical Servers Without a Firewall Common?」より
私は副業で請負の仕事をしており、今はPOSシステムの構築を手伝っている。当面は商品を売り、勤務時間を記録し、在庫を管理するといった非常にシンプルなものとなる。しかし、2台のクライアントを使用し、当初から1台がSQL Expressデータベースを使用してデータを配信するため、小規模なネットワークが必要となる。セットアップの間にベンダーがローカルのファイアウォールを無効化し、何度もメールをやり取りするうちに私はだんだんといらいらしてきた。彼らは当初ファイアウォールがなくても大丈夫だとそれとなく言っていたが、これが彼らのやり方で、契約に従って実行するのにも必要なことだとはっきり言うようになった。今のところそれほど大きな問題ではないが、実際にシステムが稼働し始めれば電子商取引に使われ、クレジットカードを処理することにもなる点を非常に心配している。
そこでスラッシュドットの皆さんにお尋ねしたい。これは普通のことだろうか。私はネットワーク関連の仕事の経験は少ないが、ファイアウォールを無効化することは手抜きであり、適切なポートを開くべきだと教え込まれている。しかしフォーラムでの投稿を見ると、インターネット接続との間にファイアウォールがあれば十分であり、あとはセキュリティーソフトが何とかすると考え、クライアント側のファイアウォールを無効化しているという人も多いようだ。実際のところ、プロの仕事としてこのような設定をする人は多いのだろうか。フォーラムの投稿者や問題のベンダーが愚かなだけなのだろうか。
セキュリティポリシ次第 (スコア:4, 参考になる)
一受託業者が決めるべき問題じゃないね。
そのシステムのセキュリティポリシに従って決まる。
より良いシステムになるよう助言はした方がよいと思うけどね。
ところで、これって、サーバ(やクライアント)毎のパーソナルファイアウォールの話だよね。
設定できるなら、設定した方がいいとは思うね。
しかし、ネットワークで適切に守られていれば、それで十分と言う考え方もある。
それこそセキュリティポリシだ。
パーソナルファイアウォールと同様の問題で、SELinuxをどうするか、って話はあるよね。
SELinuxを無効にしてるのをよく見るけど…
Re:セキュリティポリシ次第 (スコア:1)
具体例として取り上げて申し訳ないんだけど「Hinemos」がまさにそうで、開発元となったNTTデータの説明でしっかりと「SELinuxを無効化します。」と書いてある。
SELinux有効では動作しないのか、それとも手順書上そうなってるだけなのか、検証した人はいないのだろうか。
Re:セキュリティポリシ次第 (スコア:1)
単に、SELinuxを設定するノウハウが無いとか、NTTにはあってもユーザにはなくて、サポート経費を考えると、そうせざるを得ない、とか。
Re: (スコア:0)
まぁ手抜きだよね。
適切なポリシーと一緒に配置すれば動作しないわけがない。
ただ、ファイルパスとかもポリシーに入っているわけで、標準と違うパスにファイル配置したければポリシーだのラベルだの
調整しなければいけない。
それを説明するのが面倒だから無効にしないと動かないと言ってるだけだ。(本一冊になるようなことをただで教えろと言われるし)
Re: (スコア:0)
ちょっと書き忘れた。
たいていの場合、ドキュメントレベルではSELinuxサポートしません!と書いてあっても中にポリシーファイルついてるのでは。
サクっとコンパイルしていれときゃ問題ない。
Re: (スコア:0)
同意。
たまに「iptablesやSELinuxは無効にするのが常識」って言う人が居るのだけど、
そういうのにはちょっと腹が立つ。
自分たちが理解できてない、制御出来ないシロモノだからやむなく無効にしてるんであって、
本来は、ちゃんと理解して必要な許可設定を行うべきだと思う。
Re:セキュリティポリシ次第 (スコア:1)
OS標準ソフトウェアだけなら、大抵SELinux有効でなんとかなるね。
問題は、サードパーティーのソフトウェア製品を入れる場合。
その製品の要件に「SELinux無効」とか書いてあったり…
困ったもんだ。
Re: (スコア:0)
>本来は、ちゃんと理解して必要な許可設定を行うべきだと思う。
SELinuxをちゃんと理解して設定できるレベルの技術者を集められるプロジェクトは世間の1%も無いよ。
無効が常識とか言うレベルはアレだけど、現実的にはソコソコ理解している(理解できる)メンバが中心になるので、テスト期間が十分に取れて後で責任を押し付けられないなら設定しても良いけど、ギリギリ納期で開発が終われば、ほとんどのメンバが消えるような現場が多い現状では無効にするのが現実解だと思うしかない。
DとかIとかFとかNの命令するだけの一次受け企業担当者は「本来は、ちゃんと理解して必要な許可設定を行うべき」とか良く口にするけど、それができるメンバがいないのだから下請けいじめでしかない。現実を見ず正論を振りかざして作業を押し付ける現場ばっかりだから、作業は減らないんだよなー。
Re:セキュリティポリシ次第 (スコア:2, おもしろおかしい)
>命令するだけの一次受け企業担当者は「本来は、ちゃんと理解して必要な許可設定を行うべき」とか良く口にするけど
いや、それを口にしない奴はヤバイだろ。
Re: (スコア:0)
いや、下請けとしては一番ヤバイ状況じゃないの?
口は出すけど金は出さない。口は出したので責任は押し付けたということでしょ?
口に出さないならこちらが提案なりすればいいだけ
Re: (スコア:0)
その通りで、「お前んとこが提示した単価じゃ無理だよ」ってのばっかりです。
んでこれを言い続けると、「じゃよそに頼むわ」つってやってるフリしているところに仕事が行き、
向こうも知っていながら単価安く上げたいから黙認して、後になって問題がでて、
「やってるって言ったよな?」って言う。
下請けに責任を押し付けてその場を逃げても信用ってのは戻ってこないんですけどね。
まあ信用と単価を天秤にかけて信用取るのはお役所ぐらいになってきましたけど。
Re: (スコア:0)
夏休みになるとこう言う知ったかぶりな人が増えるなあ。
DとIは知らんけど少なくともFとNとNとHはグループ(企業)全体のテンプレでSELinuxはデフォルトOFFになってるよ。FWはON。
勿論プロジェクトごとにポリシー上書きしてONには出来るけど、各社のツールとかがOFFが前提になってたりするから、普通はONにしない。
後、これは噂と言うか都市伝説レベルの与太話かもだけど、SELinuxはNSAがらみで各社何か情報を掴んでるからOFFになっているんじゃないかと言う話も聞いた事がある。
Re: (スコア:0)
無効化しなければならない理由が明確にあるのならその選択肢もありうる。
しかし面倒を避けるため、ってだけなら唯の手抜きだし
それ自体は僅かで他が問題なければ影響ないとしても確実にセキュリティ下げてはいるんで
そのリスクと何を比べた判断なのか次第だと思う
Re:セキュリティポリシ次第 (スコア:1)
そのリスクと何を比べた判断なのか次第だと思う
大抵の場合は単なる手抜き、というのは同意として。
リスクと管理負荷を比べた判断、という言い訳はよく聞くね。
Re:セキュリティポリシ次第 (スコア:1)
言い訳じゃなくて、適切な判断だと思いますよ。
それこそセキュリティポリシでしょ?
Re:セキュリティポリシ次第 (スコア:1)
言い訳じゃなくて、適切な判断だと思いますよ。
適切な判断のケースもあるし、そうでない場合もあるよ。
例えば、ちゃんと調査して設定すればOKなのに、工期を確保できないがために、「リスクと管理負荷を比べた判断」ということにした、というケースがある。
受託業者も工数が減るし、委託側も工期を守れるなら、と結託した結果そーなるケースね。
Re: (スコア:0)
手抜きだと一概に言えないほどSELinuxはひどいでしょ。
意図的にわかりにくく設定しづらくしてセキュリティを高めているつもりなのかと勘ぐりたくなる。
技術、知識、意識がうんぬんと言うより新しいアクセス制御のソフトをつくった方がましに思える。
Re: (スコア:0)
SELinuxの連中(NSA)が新しいアクセス制御ソフトの導入を全力で妨害していたのをブチ切れて解決してくれたLinusさんマジイケメン
Re: (スコア:0)
そもそも安全性を第一に考えるなら専用の閉じたネットワークでやれとか色々とコスト度外視のことをやらなければならず
じゃあどこまで安全性を犠牲にしてコストを優先するか?ってのが考え方の基本であってセキュリティ第一が基本の考え方じゃないしね
セキュリティとコストのバランスについては客に従うべきだよね
その責任とお金は客が負担するものなんだし
セキュリティは"大丈夫"/"大丈夫じゃない"の2択で語るもんじゃない (スコア:1)
どのような攻撃から何を守るかを明確にして話をしないと話がかみ合わない。
A「(インターネット接続との間にファイアウォールがあるから)大丈夫です。」
B「(クライアントPCが乗っ取られる可能性があるので)大丈夫じゃない!」
C「(ローカルのファイアウォールは設定が良くわからないので)切らないとシステムが動きません。」
実装のほうも心配 (スコア:1)
例えば、端末側の実装で、接続文字列(パスワードを含むもの)を書き出してINIやレジストリ・シリアライズされたテキストに保存している。
クエリーについては、プリペアドステートメントを使わない。数値や文字列は独自関数でエスケープはしてはいるが、数値の代入まで考慮されていない。ASPの場合、JavascriptだけのチェックでOKという恐ろしいものもありました。このようにSQLインジェクションし放題な現場は多かったりします。このような事例は大規模なシステムでも複数回見かけた事があります。(実際にその企業はSQLインジェクションによる漏洩事件を起こして、大変なニュースになった事案も。)
しかし、下請け企業の場合は、セキュリティホールを親会社に指摘すれば、次の仕事に影響する恐れから、なかなか指摘しづらいのが現状です。
セキュリティ、セキュリティもいいけれど (スコア:1)
意識するあまり、運用コストが高くついてしまう場合がある。
守るべき情報が正しく守られるなら、それ以外の部分は必要以上に厳しくするとコストの上昇を招くだけで、費用対効果(※)が合わなくなる時がある。
※ここで言う費用対効果は、漏洩した時の被害で発生する信頼の回復の費用も含む。
クライアントセキュリティとサーバ(業務データ)のセキュリティは分けて考えたいなぁ・・・。
それにちゃんとファイアウォールを考えるなら、サーバとクライアントの間に専用のセキュリティアプライアンスなりWAFなりを設置するのがいい(楽)と思う。
#ファイアウォールがあれば安心って考え方がちゃんちゃらおかしい。
#L3のファイアウォール程度なら、正直アプリの正常通信に見せかける攻撃にはほとんど意味が無い。
#ベネッセだって結局ソーシャル?権限を持った人間の問題だったし。
Re:セキュリティ、セキュリティもいいけれど (スコア:1)
> #ファイアウォールがあれば安心って考え方がちゃんちゃらおかしい。
質問者の発言も「~べきだと教え込まれている。」程度なのも困ったもの。
理由などの説明が有れば答えも考えられるのだが。
そして、理由はそれぞれなのだから「普通」かと聞かれても答えに困る。
Re: (スコア:0)
この質問者もそうですが知識のない人ほど怖がって「なんでもかんでもやるのが当然」と言う傾向がありますね。
Re: (スコア:0)
逆に知識があるからこそ、やるのが当然という人もいるわけで。
そこだけで判定はできないでしょう。
愚痴 (スコア:0)
セキュリティが高ければそりゃいいんだけど、人件費を無視しやがるお偉いさんがいる時もある。
運用でカバーするAというルールを作る->Aを完全にカバーできる機械的な仕掛けBを作る->お偉いさん:「念のため、AもBもやってね!」
Bではカバーできない事例が見つかる->運用でカバーするCというルールができる->機械仕掛Bが改良されDができる->お偉いさん:「念のため、A,C,Dをやってね!」
以下、運用でカバーするルールは増え続けるorz
どんなに意味が無いor効果が小さくても、逆に安全に危害を与えるルールじゃないかぎり消えないのよね・・・。
「安全は全てに優先する」の号令のもと、運用でカバーするために全従業員が費やす時間は無視されるorz
PCI-DSS (スコア:1)
カード決済をするなら、PCI-DSSくらいは準拠しよう。
ちゃんとカード会社が安全と思える基準を細かく定義してくれるんだから。
ファイアウォールがないと絶対だめ、てことはないけど、なくても十分安全だということを明確に示せないと認証もらえないよ!
よくあること (スコア:0)
中小企業ならよくあります。
windows update無効にしてたり、
未だにTurbo Linux使ってたり。
Re: (スコア:0)
その例とは全然違うレベルだと思うが
Re: (スコア:0)
でかいとこでも同じ。
UAC無効化強制とか。
Re: (スコア:0)
それも今回のストーリーの話とは全然レベルが違うだろ
ファイヤーウォールを殺すことよりも業者の技術力 (スコア:0)
ファイヤーウォールうんぬんより、ファイヤーウォールを殺す必要性と、殺しても問題がない技術的な理由をはっきりと答えられない業者に任せる事の方が危ないと思う。そこはどうなのだろうか?うちだったらそれをまともに説明できないような業者にはお帰りいただくけど。
それからWANと間にファイヤーウォールがあればいい と言う考え方が有効なのは、LANへ接続できるセキュリティ(物理的なものを含む)がきちんと管理され信頼できる事が大前提。しかしちょっと規模がでかくなったらもう無理でしょ。そこからさらに専用ネットワークに切り分け、間にセキュリティ機器をつけてるなら個々のセキュリティを切るのはよくある。ただこれパフォーマンスを気にしての構成だから、設定がザルでもよくするためにはやらないような。
Re:ファイヤーウォールを殺すことよりも業者の技術力 (スコア:1)
そこからさらに専用ネットワークに切り分け、間にセキュリティ機器をつけてるなら個々のセキュリティを切るのはよくある。ただこれパフォーマンスを気にしての構成だから、設定がザルでもよくするためにはやらないような。
パーソナルファイアウォールを無効にすることで、どれだけパフォーマンスが向上する?
Re: (スコア:0)
コンサル料を申し受けます
Re: (スコア:0)
ファイヤーウォールに限ると分からんが、SELinuxとかまで入れると数%は効く
Re: (スコア:0)
基本設計、詳細設計のドキュメントを書くのがめんどくさい。Excel方眼紙とか。ペイできないじゃん。
いいんじゃないでしょうか? (スコア:0)
システムの問題じゃなく運用の問題
客がアホなほうが楽でいいでしょう
ひょっとして (スコア:0)
SQLServerのポート固定化の方法が分からないからファイアウォールOFFにしたってオチじゃ...
Re: (スコア:0)
SQL Serverインストールするときに自動的にWindowsファイアーウォールの設定もしてくれたような気が
Re: (スコア:0)
Windowsのファイアウォールは、portだけじゃなくprogramに対しても設定でき、
SQL Serverの場合は、インストーラが勝手にbrowserサービスを除外ルールに追加する。
Re: (スコア:0)
ところがその設定外してポート設定にして繋がんねえ、MSバグだーって騒いで、○○クル買わせるところまでが一連の流れです。
Hyper-Vも仮想NIC設定変にしてた奴いたなぁ。
↑指摘して現場切られたので。
辛辣な言い方だが (スコア:0)
より大きな問題は技術的な事よりも、システムを理解せず、意味の分からない事を赤の他人に聞こうとする、このような担当者がシステムを操作する事じゃないだろうか。
そもそも(Personalの方だよな?)Firewallを管理する責任はどっちにあるんだ?
業者ならそこにやらせりゃ良いし、自分なら適正な方法を考えるのが役目だろう。
事前に業者ときちんと打ち合わせ、詳細設計レビューしてない方が問題だと思うんだが。
まぁよくある、普通を要求するような人間はろくでもない上に面倒なので、極力関わらない方が良いケースの典型のような話。
「普通」は、大事なサーバを素人が触っちゃ駄目だと思うんだけどね。
# あっちの国の人の、この手の無責任個人副業には毎度驚かされるものがあるなぁ。お金に積極的なのは見習いたいが、責任感とビビリが邪魔をしてしまうダメ日本人です。
Re:辛辣な言い方だが (スコア:2, 興味深い)
この担当者はそれほど問題じゃないと思うけど。
彼は請負でシステム構築を手伝っていて、FW設定については業者の
依頼に従って設定を変更(FWを無効にする)義務があるけど、
彼自身としては、それは業者の手抜きであって、技術者としての責任感や良心では、
FWは設定すべきだと思うんだが・・・ってことで投稿してるんじゃないかな。
もちろん「自分には判断すべき義務が無いことを、わざわざ他人に相談してどうする」って
いうことはできるけど、こういう場面は仕事でしばしば目にする。
日本の法律でいえば、これが委託業務だったら善管注意義務ってものがあるが、請負業務には無い。
まぁ、善管注意義務があろうがなかろうが、やっぱりなかなか、(自分の中の良心の警告を)無視して、
ただ「仕事だから」と流されてセキュリティを低い設定をするのは、心咎める。
とは言え、請負元に報告とか相談とかしても、自分の仕事が増えるだけだったりするし。
Re: (スコア:0)
この人は請負の個人事業主SEなんだろうけど、元請に言っても聞く耳持ってくれないんだろうねえ。メールのやり取りではあるけれど一応意見は言ってるみたいだし。それを/.に愚痴ってると。
おそらく今回セキュリティ周りの設計に責任あるのは元請ベンダーのほうで、無責任どころかこの人は自分の職務範囲外に口出ししてるわけだ。システムやられた際にとばっちりが来る可能性もあるから。
そんな元請にしがみつかなくても仕事が入るなら早々にkickしたいだろうし、それができたらこの人も苦労するまい。
Re: (スコア:0)
副業だって言ってるから別にこの仕事がなくても困らない立場なんだろ。むしろ困るようだったら短期的に不利益になるようなこと(次の仕事が来なくなるとか)は自分から言い出しづらいだろう。
原因 (スコア:0)
そもそも、何のためにクライアントのファイアウォール無効化したかが書かれてないからなんとも。
よほど古いタイプのデータ通信ソフトとか使ってない限り必要ないはずなんだけど。
(あとゲームとかw)
なんにしろ要件としてファイアウォール無効化したのだからそれで終了でない。
電子商取引とか始めるなら始めるときにまた追加システム要件が発生するけど、それは今心配してもねえ。
業務屋には理解できない (スコア:0)
つまり、Firewallは無効にする以外に、構築を丸投げする方法がありません。
なくてもいいじゃん。 (スコア:0)
基本F/WはWANとつながっている場所にちゃんと設定がされていれば十分だと思う。
SELinuxは、 よくわかんないというのもあるけれど、 アレルギーレベルの過剰反応というイメージで、 必要性感じないんだよなぁー
OSレベルの設定であそこまでしないとならないシステムって、 どんなシステム構成なんだろう。
とりま、POS系のシステムってことは、 クライアントでインターネットにはつながっていも接続先のネットワークはクローズドネットじゃないのかな?
こういう環境って丸裸でもわりかし安全だし、F/Wの存在よりもNATの方が有効だよね。
Re: (スコア:0)
コストがリスクに見合わないと判断したならいいと思うよ。
でもそれはベンダーの役目じゃない。
リスクを負担するのはユーザ企業だし、セキュリティを(わずかでも)同意なしで下げるのはダメだと思うよ?
なぜファイアウォールを切ったか? (スコア:0)
それ(システム)が不通だからさ。
#「よくわからないけどファイアウォール無効にしたら繋がりました」って技術者がよくいて困る