ネットワークカメラ推進会

ご意見・ご相談はtwitter(@NetworkcameraPC )へお願いします。

ファイアウォールの設定方法

そもそもファイアウォールの仕組みとは?

 過去2回の記事でセキュリティ対策について説明したが、そもそもファイアウォールの挙動について説明が必要だと感じたため、補足的にこの記事を書いておく。家電量販店などにも格安で販売されている家庭向けのルーターにも非常に簡易的なファイアウォール機能が搭載されているが、基本的な挙動は以下の通りである。

 ※なお、筆者もセキュリティアプライアンスに関する設定の専門家でないことはご理解いただきたい。

 

 まず、ファイアウォールとは、そもそもWAN(社外)→LAN(社内)への接続を制限し、ブロックするものである。ただし、【LAN(社内)→WAN(社外)→LAN(社内)】という流れの通り、通信の始まりがLANからWANへの通信については、その戻りの通信についても許可する。

 ※なお、この説明は、現在一般的となったステートフル・インスペクションファイアウォールを前提としている。

f:id:networkcamera:20190316205343j:plain

 

 例えば、悪意のある第三者が社内のネットワークに侵入しようとするような通信はこれをブロックする。

 一方で、社内のPCからWEBサーバー(一般的なホームページなど)を閲覧する場合は、WANからLANへの通信もピンポイントで許可するというものである。イメージとしては、「通信のスタート地点がLANから開始されたリクエストに対するレスポンスは、許可する」と覚えると良いだろう。

 

 今日の悪意のある第三者は、標的型メールなどを送信し、いわゆるトロイの木馬スパイウェアなどをユーザー(LAN側)からダウンロードさせることで、ファイアウォールを潜り抜けて攻撃を仕掛けてくるのである。

 

 ネットワークカメラを利用するユーザーはこの仕組みを理解した上で、対策を考えなければならない。 ルーター固定IPアドレス(またはダイナミックDNS)を割り当ててネットワークカメラの映像を外部から閲覧する場合は、例外的にWANからLANへの通信を許可させているのである。

  ※そのため、設置場所によってはカメラのパスワードを変更することが極めて重要である。

 

f:id:networkcamera:20190316211155j:plain

 

 巧妙化するサイバー攻撃に対しては、ルーターに付加される簡易的なファイアウォールだけでは守ることができず、UTMなどの付加機能が必要とされるケースもある。

 

 

クラビスター(Clavister)について

 

 さて、ここでファイアウォールの一例として、筆者の自宅に検証用として設置した次世代ファイアウォールのクラビスター(Clavister)を紹介したい。ファイアウォールだけではなく、侵入検知防御(IPS)、アンチウィルス、Webコンテンツフィルター、アンチスパム、アプリケーション制御、VPNなどを一台に搭載している。

 従来のファイアウォール機能だけでなく、様々なセキュリティ対策を1台の筐体で行うものである。同様のアプライアンスをUTM(Unified Threat Management)などとも呼ぶ。

 ※厳密には、ファイアウォールのほか、侵入検知防御(IPS)およびアプリケーション制御に特化したモデルを次世代ファイアウォールと呼び、アンチウィルス、Webコンテンツフィルター、アンチスパム等のより幅広い機能を保有したモデルをUTMと呼ぶが、初心者は同じようなものだと捉えて頂いても構わない。

 

クラビスターを選択した理由

 なお、ファイアウォール製品(UTM)では、FortigateやSonicWall、Check Point、WatchGuardなどがメジャーであるが、あえてクラビスターを選んだのは、筆者の個人的な嗜好である。このブログの記事を多く読んで頂くと分かるが、筆者はニッチであまり一般人には有名ではない製品を好んで紹介している。

 ネットワークカメラ本体で言えば、日本国内においてはパナソニック社が高いシェアを保持しているが、本ブログではほとんど触れていない。それどころか、日本製のキヤノンソニー、三菱などの製品もあまり記載していない。理由としては、日本の製品については情報が充実しているためである。

 パナソニックのネットワークカメラで言うと、ホームページを少し見ただけでも、数多くの日本語マニュアルや技術情報が掲載されており、多くのプロフェッショナルが存在しているため、わざわざ筆者のような第三者が解説するような必要はない。できれば国内の一般の方には知られていない製品を紹介したいという気持ちが強いため、海外製品やニッチな製品を紹介している。

 

Clavister E80の設定方法のイメージ

 

  Clavister E80の場合、LANケーブルを結線できるポートは【G1】~【G6】まで6口存在している。デフォルトでは、G1のみが有効で、G2~G6は無効化されている。

 まず、G1にLANケーブルを接続し、PCと結線する。

 

f:id:networkcamera:20190316214002j:plain

 

 ブラウザを開き、https://192.168.1.1を入力し、管理画面にログインする。

 初期パスワードは以下の通りだ。

  ユーザー名:admin

  パスワード:admin

f:id:networkcamera:20190316214534j:plain

 

 初期設定のウィザードが起動するので、手順の通り、管理者パスワードを変更したり、時刻の設定を行う。WAN側のポートを【G02】に設定し、インターフェースの設定を行う。

 

 

f:id:networkcamera:20190316220410j:plain

 

 ルーターモードのほか、ブリッジモード(透過型)での運用も可能である。

f:id:networkcamera:20190317222103j:plain

 

 細かい設定方法は省略するが(また、筆者も解説できるほどの充分な知識がないのが正直なところであるが)一般的なルーターとの違いは、ポート間の通信を許可するかどうかを、サービス単位で設計していく点である。

 以下の画面ではすべての通信を<許可する>設定としているが、実際の導入シーンにおいては必要最低限の通信のみ許可を行い、それ以外の通信はブロックするようにする。

f:id:networkcamera:20190317222704j:plain

 

  家電量販店で格安で販売されているような家庭向けのルーターとの違いは、このように細かい設計・設定ができることであろう。なかなか、筆者も含めて初心者には設定するのが難しいところもあるが、これから徐々に勉強していきたい。