この文書は Symantec Endpoint Protection ネットワーク脅威防止 (ファイアウォール) の概要とベストプラクティスホワイトペーパーについて説明します。

はじめに

プライベートネットワークのコンピュータがインターネットに接続すると、そのネットワークは無数の未知のネットワークに物理的に接続されます。ほとんどの接続はコンピュータやネットワークに脅威を与えませんが、その他の接続は、保護されていないコンピュータを経由してネットワークに侵入しようとする可能性があります。攻撃が成功すれば、機密情報の漏洩、生産性の停止、ひいては評判やブランド価値の失墜につながる可能性があります。
エンドポイントコンピュータにインストールされるファイアウォールは、コンピュータとインターネットを含む外部ネットワークとの間に障壁を作ることで、このような攻撃から保護します。この文書では、シマンテックのネットワーク脅威防止 (またはクライアントファイアウォール) コンポーネントに焦点を当てます。具体的には、クライアントファイアウォールの目的、ファイアウォールポリシーの要素、ファイアウォールルールの処理方法、ネットワークにファイアウォールポリシーを実装するためのベストプラクティスアプローチについて説明します。

クライアントファイアウォールを設定する際の課題

ファイアウォールは、強制するポリシーによってのみ有効です。不適切に構築されたポリシーは、信頼できるソースが必要なリソースにアクセスするのを妨げ、攻撃者を効果的に侵入させる可能性があります。クライアントファイアウォールを設定する前に、ファイアウォールがどのようにルールを処理するか、効果的にルールを作成する方法（パフォーマンスを最大化しながら保護する）、ファイアウォールが Symantec Endpoint Protection の他のコンポーネントとどのように相互作用するかを理解しておく必要があります。

Symantec Endpoint Protection とネットワーク脅威防止とは何か

Symantec Endpoint Protection は、エンドポイントコンピューティングデバイスをウイルス、脅威、リスクから保護し、エンドポイントコンピューティングデバイスに 3 つの保護レイヤーを提供します。このレイヤーは、ネットワークとホストエクスプロイトの緩和機能、プロアクティブ脅威防止、ウイルスとスパイウェアの保護の 3 つのレイヤーです。ネットワークとホストのエクスプロイト緩和機能は、ルールとシグネチャを使用して、脅威がコンピュータにアクセスするのをブロックします。プロアクティブ脅威防止は、脅威の行動に基づいて脅威を特定し、緩和します。ウイルスとスパイウェアの保護は、シマンテックシグネチャを使用して、お客様のコンピュータにアクセスしようとする、またはアクセスした脅威を識別し、軽減します。Symantec Endpoint Protection クライアントファイアウォールは、コンピュータと外部ネットワークとの間に障壁を提供します。クライアントファイアウォールは、権限のないユーザーがコンピュータやインターネットに接続するネットワークにアクセスすることを防ぎ、ハッカーの攻撃の可能性を検出し、個人情報を保護し、ネットワークトラフィックの不要なソースを排除します。また、ファイアウォールはボットなどのネットワーク脅威やネットワーク内で増殖しようとするマルウェアから保護します。クライアントコンピュータに出入りする情報はすべて、情報パケットを検査するクライアントファイアウォールを通過する必要があります。クライアントファイアウォールは、指定されたセキュリティ基準を満たさないパケットをブロックします。

ファイアウォールポリシー

ファイアウォールポリシーは、ユーザーのネットワークへのアクセスを許可またはブロックするために連携する 1 つまたは複数のルールで構成されています。ファイアウォールポリシーには、以下の要素があります。

• ファイアウォールルール
• ステートフルインスペクション
• ルールの優先順位
• コントロールタイプ
• デフォルトのファイアウォールルール
• スマートトラフィックフィルタリング
• NetBIOS とトークンリング
• ステルス設定

ファイアウォールルール

ファイアウォールルールは、悪意のある送信トラフィックだけでなく、悪意のある受信トラフィックやアプリケーションからクライアントコンピュータを保護する方法を制御します。ファイアウォールルールは、インターネット上の他者からコンピュータを見えなくし、リモートユーザーをハッカーの攻撃から保護し、ハッカーがこれらのコンピュータを介して企業ネットワークにバックドアでアクセスするのを防ぐことができます。
スマートトラフィックフィルタは、DHCP、DNS、WINS など、ほとんどのネットワークで必要とされる特定の種類のトラフィックを許可します。追加のトラフィック機能を有効にするトラフィックおよびステルス設定の例としては、ドライバレベルの保護、NetBIOS 保護、トークンリングトラフィック、DNS 逆引き、ステルスモード設定などがあります。一般に、ファイアウォールルールは、ネットワーク接続を許可または拒否する条件を記述します。

ファイアウォールルールの条件を定義するには、次のファイアウォールコンポーネントを使用します。

• トリガー - トリガーには、アプリケーション、ホスト、プロトコル、ネットワーク アダプターが含まれます。トリガー定義は、特定の宛先アドレスに関連する特定のプロトコルを識別する など、より複雑なルールを形成するために組み合わせることができます。ルールが評価されるとき、正の一致が発生するためには、すべてのトリガーが真である必要があります。現在のパケットに関連するいずれかのトリガーが真でない場合、そのルールは適用できません。

ファイアウォールルールの基準を定義するには、以下のファイアウォールコンポーネントを使用します。

• 条件付きパラメータ - 条件付きパラメータは、ネットワーク接続の側面を記述するものではありません。代わりに、条件付きパラメータは、ルールのアクティブな状態を決定するために使用される基準を定義します。条件付きパラメータはオプションであり、定義されていない場合は何の意味も持ちません。これらのパラメータを定義すると、ルールの合致状態に直接影響します。スケジュールを定義したり、ルールがアクティブまたは非アクティブと見なされるタイミングを決定するスクリーンセーバーの状態を特定したりすることができます。ファイアウォールは、パケットを受信したときに非アクティブなルールを評価しません。
• アクション パラメータ - アクション パラメータは、ルールの一致に成功した場合に実行されるアクションを指定します。受信したパケットに応答してルールが選択された場合、すべてのアクションが実行されます。パケットは許可または拒否され、設定されたとおりにログが発生することがあります。

ステートフルインスペクション

ファイアウォールは、ステートフルインスペクションを採用しています。ステートフルインスペクションは、現在許可されている接続を追跡するプロセスです。宛先 IP アドレス、ポート、アプリケーションの一意の組み合わせにより、接続を識別します。
クライアントは、接続情報を使用してトラフィックフローの決定を行います。新たに受信したパケットが既存の許可された接続と一致する場合、そのパケットはルール検査プロセスを経ません。パケットは自動的に許可されます。さらに重要なことは、ステートフルインスペクションによって、ルールベースの簡素化が可能になることです。一方向にのみ開始されるトラフィックの場合、両方向のトラフィックを許可するルールを作成する必要はありません。通常、一方向に開始されるクライアントトラフィックには、Telnet（ポート23）、HTTP（ポート80）、 HTTPS（ポート443）などがあります。これらのプロトコルの場合、アウトバウンドルールのみを作成すると、SEP クライアントによって自動的にレスポンスが許可されます。

ファイアウォールルールの優先順位付け方法

ファイアウォールテーブルの各ルールには、自動的に優先番号が割り当てられます。ルール番号は、ルールの処理順序を決定します。Symantec Endpoint Protection クライアントファイアウォールは、ルール番号 1 から順番にファイアウォール ルール セットを処理します。

ルールの重要度 (0 から 15) は、トリガーされたときにルールがどの程度重要であるかを決定します。

• 致命的
• 重度
• 軽度
• 情報

ルールはいかなる方法でも論理的に結合されておらず、ファイアウォールはベストフィットアルゴリズムを実装していません。このシナリオでは、単純なトラフィックのマッチング以上のルール選択ロジックを考慮する必要がないため、ルールセットの設計とトラブルシューティングがよりシンプルになります。

ファイアウォールのルールセットには、青い分割線が含まれています。

• 完全なアクセス制御を行うシステム管理者は、青い線の上に配置された最も優先度の高いルールを変更することができます。
• 混合制御のクライアントは、青い線の下に配置された優先度の低いルールを変更できる場合があります。

制御の種類

ルールは、サーバールールとクライアントルールに分類されます。サーバールールは管理サーバーで作成され、クライアントにダウンロードされます。クライアントルールは、ユーザーがクライアント上で作成するルールのことです。

以下は、クライアントユーザーの制御レベルと、ファイアウォール規則に関するユーザーの相互作用の関係を示しています。

• サーバー制御では、クライアントはサーバー規則を受け取りますが、ユーザーはそれを表示することはできません。ユーザーはクライアント ルールを作成できません。
• 混合制御では、クライアントはサーバー規則を受信し、ユーザーはそれらの 規則を [ファイアウォール規則] ダイアログ ボックスで表示することができます。また、ユーザーは既存のルールとマージされたルールを作成することができます。ただし、クライアントルールは青い線の下に表示され、優先順位は低くなります。
• クライアント制御では、クライアントが完全に制御できます。ベストプラクティスは、ユーザーに混合制御またはクライアント制御を与えるときに注意することです。

混合制御のクライアントの場合、ファイアウォールはサーバー規則とクライアント規則を特定の順序で処理します。高い優先順位を持つサーバー ルールが最初に処理されます。クライアント ルールは 2 番目に処理され、優先度の低いサーバー ルールは最後に処理されます。
ユーザーがすべてのトラフィックを許可するクライアント規則を作成し、この規則が青線より下のすべてのサーバー規則を上書きすることができるため、クライアントを混合制御に設定する場合は注意してください。

ファイアウォールのデフォルトルール

ファイアウォールは、許可、拒否、ブロックとログ、ログのみに分類されるデフォルトのルールがインストールされています。デフォルトのルールは、必要に応じて有効または無効にすることができます。

許可ルールには、フラグメントパケットと Wireless Extensible Authentication Protocol Over LANS (Wireless EAPOL) が含まれます。ワイヤレス EAPOL は、現在 802.1x ワイヤレスを含むイーサネットライク LAN と、トークンリング LAN (FDDI を含む) 用に定義されています。

また MS リモートアクセスとルーティング ARP ドライバ、すべての発信ビジネスアプリケーション、すべての発信 ping、pong、tracert および VPN が許可されています。
拒否のルールには、IPv6、IPv6 over IPv4、ローカルファイル共有およびリモート管理のブロックが含まれます。

ログ取得のルールは以下の通りです: ブロードキャストおよびマルチキャストトラフィックを記録しない、IP トラフィックをブロックして記録する、その他のすべてのトラフィックをブロックする。

スマートトラフィックフィルタリング

スマートトラフィックフィルタリングは、必要不可欠なネットワークサービスの使用を、それらのサービスを明示的に許可するルールを定義することなく可能にします。
スマートフィルターはデフォルトで有効になっており、次のサービスに対して定義されています。

• DHCP
• DNS
• WINS

スマートフィルターは、ルールセットの審査の前に評価されます。つまり、スマートフィルターに一致するすべてのパケットが許可されます。それ以外は拒否されます。DHCP、DNS または WINSのリクエストは、クライアントコンピュータから発信され、応答は事前に定義された 5 秒以内に発生しなければなりません。サーバは応答を送信し、その応答の種類が元のクライアントの要求に関連して有効であることが検証されます。

スマート DHCP は、ルールを定義せずに通常の DHCP ブロードキャストメッセージングを可能にします。クライアントの DHCP メッセージは、IP アドレスを自動的に取得するように設定されなければなりません。

スマートフィルタが DHCP 交換メッセージを処理する方法:

• クライアントはまず、ブロードキャスト DHCP ディスカバー・メッセージを発行します。このメッセージの送信により、新しいスマートフィルタが生成されます。
• サーバは 5 秒以内に OFFER で応答しなければなりません。スマートフィルタの接続は 5 秒でタイムアウトすることを忘れないでください。
• クライアントは次にブロードキャスト DHCP リクエストメッセージを発行し、別のスマートフィルタを作成します。サーバは 5 秒以内に ACKNOWLEDGEMENT で応答しなければなりません。

DNS リクエストを送信するインターフェースは、TCP/IP 設定において、プライマリー DNS サーバーおよびオプションでセカンダリー DNS サーバーを設定しなければなりません。プライマリーサーバーとセカンダリーサーバーの割り当ては、手動で設定するか、DHCP アドレスを使用して受信することができます。クライアントから開始され、指定されたプライマリまたはセカンダリ DNS サーバーに宛てられた要求のみが許可されます。それ以外の DNS リクエストは自動的に拒否されます。

スマート WINS は WINS サービスを使用することを可能にします。WINS リクエストは、TCP/IP の詳細設定で WINS 解決を使用するように設定する必要があります。プライマリーサーバーとセカンダリーサーバーの指定に制限される DNS とは異なり、WINS サーバーはいくつでも定義することができます。クライアントから開始され、定義済みの WINS サーバーを宛先とするリクエストのみが許可されます。それ以外の WINS リクエストは自動的に拒否されます。クライアントの解決要求によって、5 秒間の応答ウィンドウが定義された新しいスマートフィルタがリストに追加されます。勧誘されたサーバーは応答しなければならず、その応答は指定された時間内に受け取られなければなりません。応答の内容は、元のリクエストに対しても検証され、無効なレスポンスは無視されます。

NetBIOSとトークンリング

クライアントでトラフィック設定を有効にすると、ドライバー、NetBIOS、トークンリングを介して通信するトラフィックを検出し、ブロックすることができます。また、より目に見えない攻撃を使用するトラフィックを検出するための設定も可能です。

トラフィック設定には、以下のものがあります。

• デフォルトで有効になっているドライバレベルの保護を有効にします。このオプションを有効にすると、ネットワークにアクセスするあらゆるプロトコルドライバーがネットワークアプリケーションとして認識されます。プロトコルドライバーは、動的にブロックまたは許可することができます。[NetBIOS 保護を有効にする] は、デフォルトでは有効になっていないことに注意してください。このオプションを有効にすると、ファイアウォールポリシーによって、異なるサブネットにあるコンピュータから発信される UDP 88、UDP 137、UDP 138、TCP 135、TCP 139、TCP 445、および TCP 1026 の NetBIOS パケットをクライアントが受信することができなくなります。
• [トークンリングトラフィックを許可する] はデフォルトで有効になっています。クライアントがトークンリングアダプタを介して通信する場合、クライアントがネットワークにアクセスできるように、このオプションをファイアウォールポリシーで有効にする必要があります。
• [DNS の逆ルックアップを有効にする] はデフォルトで有効になっています。このオプションは、クライアントが不明な IP アドレスを持つ IP パケットを傍受したときに、ドメイン名の解決を試みる DNS の逆引き要求の送信を可能にします。
• [MAC 詐称対策を有効にする］はデフォルトで無効に設定されています。このオプションを有効にすると、MAC 詐称対策によって、他のコンピュータが MAC アドレステーブルをリセットできないようにコンピュータを保護します。

保護とステルス設定

ステルス設定を行う場合、設定によっては Web サイトのレンダリングが正しく行われないことがあることに注意してください。また、互換性のない NIC カードが装着されている場合、すべてのトラフィックがブロックされる可能性があります。トラフィック設定とは異なり、すべてのステルス設定は無効になります。

以下のステルス設定が可能です。

• ステルスモード Web 参照を有効にする。この設定は Web ブラウザからのポート 80 上のすべての HTTP トラフィックを検出し、ブラウザ名、バージョン、オペレーティングシステム、および Web ページへの参照などの情報を削除します。この設定により Web サイトがクライアントの使用するオペレーティングシステムとブラウザを知ることができなくなります。
• TCP 再順序付けを有効にする。この設定は TCP シーケンス番号をランダム化することによって、侵入者がコンピューターの IP アドレスを偽造（または偽装）する能力を利用することを防ぎます。
• OS フィンガープリントの隠蔽を有効にする。この設定により SEP クライアントソフトウェアを実行しているコンピュータのオペレーティングシステムがプログラムによって検出されないようにします。この設定は TCP 再シーケンスが有効な場合に最も効果的です。クライアントは TCP/IP パケットの TTL (Time-To-Live) と識別値を変更し、他のプログラムがパケットシグネチャを使用してオペレーティングシステムを識別できないようにします。

ルール処理の順序

以下は、すべてのネットワーク脅威防止の要素が処理される順序を示しています。これらの要素には、トラフィックとステルス設定が含まれます。

• カスタム侵入防御シグネチャは最初に処理されます。
• 次に、侵入防止、トラフィック設定、およびステルス設定が処理されます。
• 次に、スマートトラフィックフィルタとファイアウォールルールが処理されます。
• 最後に、ポートスキャンのチェックと LiveUpdate でダウンロードされた侵入防止シグネチャが処理されます。

侵入防止

侵入防止システム (IPS) は、ファイアウォールに次ぐクライアントの防御層です。侵入防止システムはネットワークベースのシステムで、クライアントがインストールされ侵入防止システムが有効になっているすべてのコンピュータで動作します。既知の攻撃が検出された場合、1 つまたは複数の侵入防止技術が自動的に攻撃をブロックすることができます。

クライアントには、侵入攻撃を許可する可能性が低いスマートな攻撃シグネチャが含まれています。また、クライアントにはすべての受信および送信トラフィックを追跡するステートフルエンジンも含まれています。クライアントには、侵入防止エンジンとそれに対応する攻撃シグネチャのセットがデフォルトで含まれています。

クライアントで特定のタイプの侵入防止攻撃をブロックすることができますが、これは選択した侵入防御の設定に依存します。たとえば、Symantec 侵入防止シグネチャエンジンおよびカスタム侵入防止シグネチャエンジンを有効にするには [侵入防止を有効にする] 設定を有効にする必要があります。

以下の侵入防止設定を構成することができます。

• 侵入防止を有効にする - ネットワーク攻撃を自動的に検出してブロックします。この設定を有効にしない場合、クライアントは可能性のある攻撃シグネチャを無視します。
• サービス拒否検出を有効にする - 複数のパケットに基づいて、既知の攻撃を識別する検出。
• ポートスキャン検出を有効にする - 任意のセキュリティルールがブロックするすべての着信パケットを監視します。
• 自動的に攻撃者の IP アドレスを遮断する - 設定可能な期間、攻撃者からのネットワークトラフィックをブロックします (デフォルトは 10 分)。

なおクライアントを混合制御に設定した場合は [クライアント/サーバー制御の設定] ダイアログボックスでこれらの設定も有効にする必要があります。

ベストプラクティス - ファイアウォールポリシーをネットワークに適用する

ファイアウォールポリシーをネットワーク全体に適用する前に、ネットワークを代表するクライアントの小規模なサブセットにポリシーを適用する必要があります。可能であれば、最初にテスト環境でポリシーを適用する必要があります。Symantec Endpoint Protection は、お客様が構築するための基礎としてデフォルトのファイアウォールポリシーを提供します。ほとんどの場合、ネットワークのアーキテクチャと会社のセキュリティポリシーに対応するために、デフォルトのファイアウォールポリシーを変更する必要があります。

ファイアウォールはステートフルインスペクションを使用しているため、ルールの作成とメンテナンスが簡単で、クライアントコンピュータは保護された状態で必要な接続を行うことができます。ファイアウォールルールに基づかないファイアウォールポリシーのコンポーネントも、クライアントコンピュータを保護します。これらのコンポーネントには、侵入防止とスマートトラフィックフィルタが含まれます。

ネットワークにファイアウォールポリシーを適用する準備ができたら、次の手順に従ってください。

• 侵入防止を活用する
• ファイアウォールポリシーを一部のコンピュータに適用する
• ログによるネットワークトラフィックの監視
• ログで収集したネットワーク情報をもとにポリシーを微調整する
• 変更したファイアウォールポリシーをネットワークに適用する

侵入防御の有効化と設定

他のネットワーク脅威防止機能をどのように設定するかにかかわらず、侵入防止を有効にすることで、多くのネットワーク攻撃からクライアントとサーバーを保護することができます。侵入防止は、既知の攻撃をブロックする効果的な方法です。新しい攻撃に対するシグネチャが作成されると、LiveUpdate を通じて侵入防止シグネチャを更新することで、コンピュータを保護することができます。さらに、カスタムの侵入防止シグネチャを作成し、ファイアウォールが最初に処理するようにすることができます。

ファイアウォールポリシーを適用する

デフォルトのファイアウォールポリシーでは、企業が事業活動を行う上で必要なトラフィックを遮断してしまう可能性があります。この可能性を回避するために、デフォルトのポリシーをより寛容になるように変更する必要があります。
次のいずれかの変更を行うことで、デフォルトのポリシーをより緩和することができます。

• 一部またはすべてのデフォルトのブロック規則を許可に変更し、これらの規則のログオプションがトラフィックログへの書き込みに設定されていることを確認し、トラフィックがこれらの規則に一致するたびに情報がログに記録されるようにします。
• 新しいルール (緩和ルール) を作成して [許可] に設定し、[トラフィックログに書き込む] に設定します。この緩和ルールをファイアウォールの最上位に移動して、最初に処理するようにします。

ネットワークトラフィックの監視

変更したファイアウォールポリシーを適用した後、Symantec Endpoint Protection Manager コンソールから、クライアントコンピュータを通過するトラフィックを監視および分析することができます。トラフィックログから、アプリケーション、時間帯、またはサービスに基づいて、どのトラフィックを許可またはブロックすべきかを判断することができます。

ファイアウォールポリシーの微調整

トラフィックログの情報を調べた後は、その情報を元にファイアウォールポリシーを変更することができます。また、トラフィックとステルス設定を構成して、いくつかのタイプのネットワークトラフィックを許可または防止することで、ファイアウォールポリシーを強化または緩和することができます。
一般に、アプリケーションのネットワークへのアクセスや起動を制限することで、ファイアウォールポリシーを強化することができます。特定のアプリケーションのためのカスタムファイアウォールルールを作成することによって、これを行うことができます。しかし、特定のアプリケーションがネットワークにアクセスするのをブロックするファイアウォールルールでも、アプリケーションの起動は許可されるため、限界があります。この結果は、あなたが意図したものとは異なるかもしれません。
より効率的な方法として、アプリケーションコントロールポリシーを使用する方法も検討されています。アプリケーション制御ポリシーを使用すると、アプリケーションの実行をブロックすることができます。
ファイアウォールポリシーは、繰り返しながら徐々に厳しくしていく必要があります。例えば、一度に 1 つか 2 つのアプリケーションをブロックして、再度ポリシーをテストします。問題がなければ、必要に応じてポリシーをより厳しくしていくことができます。

変更したファイアウォールポリシーをネットワーク全体に展開する

トラフィックログや環境テストから得たネットワーク情報をもとにファイアウォールポリシーの修正が完了したら、ファイアウォールがクライアントコンピュータを保護し、必要なトラフィックを通過させることに大きな自信を持って、ファイアウォールポリシーをネットワーク全体に展開することができるようになります。

その他のリソース

Symantec Endpoint Protection のクライアントファイアウォールおよびアプリケーションコントロールの詳細については インストールガイドおよび管理者ガイド を参照してください。

[英語文書] Endpoint Protection Network Threat Protection (Firewall) Overview and Best Practices White Paper