以前よりの考え。
検討過程で一番心配したのは、セキュリティ上の問題です。今回、YAMAHA SRT100のニュースリリースを見て、これで普通の家庭に設置したサーバ(以降自宅サーバとします)で運用していける目処が立ったので立ち上げる決断をしました。
個人のサーバなので、内容そのものを目当てに積極的なクラッキングなどが行われるとは思っていません。また、個人のサーバなので「だめだ」と思えば止めてしまえます。この辺が社命を帯びた会社のサーバや公共性を持った機関のサーバなどの継続的な運用を求められる玄人のサーバ運用とは違うところです。
それでも、踏み台として乗っ取られ、他の通信機器の攻撃に使われる危険については心配です。趣味であまり他人に迷惑をかけたくはありません。
実際に運用しているIPSのログを見せてもらうと地味にぞっとする状況です。試験としてWindows系Server OSをSPのみがあったった状況で固定グローバルアドレスで直結すると、30分ほどでおかしなプログラムまみれになる様子も目の当たりしました。このての事柄の対応は際限がないとはいえ、今の状況は、どのOSをサーバとして使うにしても、直結ではとても十分な水準にはならないなぁ思案していました。
このほかにも、電気代や騒音、温度上昇、それに伴う熱暴走なども心配です。そこで次のような方針を立てました
この方針によると、radware DefensePro等本格的なIPSとFWの組み合わせのような大規模のものはありえません。元からして個人用のサーバとは志向が違うような気がします。とても個人で振り回せる様な気がしません。
この時点で、OSはWindowsを止めてFreeBSDにすることによりInternetに接続することに関する不安を緩和する方針を決めていました。比較的扱いなれていたこともありますが、Windowsなどに比べるとインターネット上の公開サーバとしての実績があると思うからです。経験に裏打ちされた配慮があると思います。餅は餅屋といったところでしょうか。
これに取り扱いやすいステートフルパケットインスペクション型フィルタと簡単なIPSを持ち合わせて、わかりやすい状態のレポート機能を持ったセキュリティアプライアンスを組み合わせて、運用してみようと考えました。
はじめはSoncWALL TZ-170等が近いと考えていました。処理能力は低いといわれているものの、メニュー画面などもわかりやすいし製品が完全に日本語化されているのも良いと感じた所でした。また、過負荷を与えた後の動きもよさそうでした。ただ年間保守料そのものと更新の手順がどうもすっきりしないところを感じていました。これで運用していけるかどうかが、どうも自信が持てなかったのです。
このほかに、無難と評判のジュニパーネットワークス NetScreen 5GTや個性的なFortinet FortiGate-50Bも考えました。NetScreen 5GTはVPNをきらない用途ではもったいない感じがするし、Fortinetは安定運用にコツがいる感じがあるのと特許問題でサポート方針が変わったときの印象が悪かったこともあり選びたくない感じがしました。また、ともに性能はよさそうなのですがサポートまで含めた日本語化において今ひとつの感じがしました。
そこへちょうど良さそうな物が発表されたのです。
発表された SRT100の機能は自宅サーバの運用で必要そうな物がひとそろいそろっていました。
これ一台でLANの受け口側の制御はほとんど請け負わすことが出来そうで機器構成がシンプルになりそうです。FreeBSD6系との組なら先の要件が合いそうです。運用できそうな気がしてきました。