〜通信を「守る・見る・止める・閉じる」ための実践知識〜
334.1 ネットワークハーデニング
ワイヤレスネットワークのセキュリティ
無線 LAN は盗聴・なりすましのリスクが高い領域です。
- WPA2 / WPA3
- PSK と 802.1X(EAP)
- 証明書認証の利用
FreeRADIUS によるネットワーク認証
FreeRADIUS は、ネットワーク機器・無線 AP の認証基盤です。
- 認証(Authentication)
- 認可(Authorization)
- 課金/記録(Accounting)
代表コマンド:
radtest
radclient
radwho
radlast
設定ファイル:
radiusd.conf/etc/raddb/*
ネットワークトラフィック解析
tcpdump
- 軽量・CLI
- フィルタリングが強力
tcpdump -i eth0
Wireshark / tshark
- GUI / CUI 両対応
- プロトコル解析に最適
無線トラフィック解析(Kismet)
- 無線 LAN パケットの取得
- ステルス AP の検出
- 不正 AP の把握
Rogue RA / Rogue DHCP
- 不正な Router Advertisement
- 不正 DHCP による中間者攻撃
ndpmon
aircrack-ng / bettercap
- 無線攻撃・MITM ツール
- 防御側として 何が可能かを知る ことが重要
334.2 ネットワーク侵入検知
帯域・通信量の可視化
- ntop
- トラフィック傾向の把握
- 異常検知の第一歩
Snort(NIDS)
- シグネチャ型侵入検知
- ルール管理が重要
snort
snort-stat
ルール更新:
pulledpork.pl
設定:
/etc/snort/*
OpenVAS(脆弱性スキャナ)
- NASL ベース
- 定期スキャン
- フィード更新が必須
openvas-feed-update
管理:
- ユーザ作成・削除
- 証明書管理
- スキャンポリシー設定
334.3 パケットフィルタリング
ファイアウォールの基本構造
- 外部ネットワーク
- DMZ
- 内部ネットワーク
段階的防御(Defense in Depth)
netfilter と iptables
iptables は netfilter のユーザインタフェースです。
- filter / nat / mangle テーブル
- INPUT / OUTPUT / FORWARD チェーン
iptables -L
IPv4 / IPv6 フィルタリング
- iptables
- ip6tables
保存・復元:
iptables-save
iptables-restore
コネクショントラッキングと NAT
- stateful firewall
- SNAT / DNAT / MASQUERADE
ipset
- IP アドレス集合管理
- 大量ルールの高速処理
ipset create blacklist hash:ip
nftables
- iptables の後継
- IPv4 / IPv6 統合
- ルール管理が簡潔
nft list ruleset
ebtables / conntrackd
- ebtables:L2 フィルタリング
- conntrackd:接続状態同期
334.4 VPN(Virtual Private Network)
VPN の基本概念
- 安全なトンネル
- リモートアクセス
- サイト間接続
ブリッジ型 / ルーティング型 VPN
- ブリッジ:L2
- ルーティング:L3
VPN プロトコル比較
| プロトコル | 特徴 |
|---|---|
| OpenVPN | 柔軟・TLS |
| IPsec | 標準・高信頼 |
| IKEv2 | モバイル向け |
| WireGuard | 高速・シンプル |
OpenVPN
- 設定柔軟
- 証明書ベース認証
設定:
/etc/openvpn/
IPsec(strongSwan)
- サイト間 VPN
- 高い互換性
設定:
/etc/strongswan.conf/etc/swanctl/
WireGuard
- 最新・高速
- シンプル設計
- 公開鍵ベース
wg
設定:
/etc/wireguard/
L2TP
- レガシー技術
- IPsec と併用されることが多い