LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@masatom86650860

ネットワークのセキュリティ対策

Last updated at Posted at 2022-08-18

ネットワークの対策は外と中を区切る壁を設けて出入りを制限することから始める。

ファイアウォール

LANの中と外を区切る壁として登場する役割。
そのものがあるわけではない。

ファイアウォールは防火壁の意味。
外からの不正なアクセスを火事とみなして、それを食い止める存在。

ファイアウォールの実現方法を紹介する。

パケットフィルタリング

パケットを無条件で通過させるのではなくて、ある条件をつけて通過させるように制御している。

この機能では、パケットのヘッダ情報を見て、通過の判定をする。
パケットのヘッダ情報は送信元IPアドレスや宛先IPアドレス、プロトコル種別、ポート番号のこと。

アプリケーションが提供するサービスはプロトコルとポート番号で区別されます。
なのでどのサービスは通過させるかと決めたことになる。

アプリケーションゲートウェイ

LANの中と外の間に位置する。
外部とのやりとりを代行して行う機能です。プロキシサーバ(代理サーバ)とも呼ばれる。
外のコンピュータからはプロキシサーバしか見えないのでLAN内のコンピュータが不正アクセスの表的になることを防ぐ。

アプリケーションゲートウェイ型のファイアウォールにはWAF(Web Application Firewall)がある。
外部からのアクセスを監視するもので通信データの中身までチェックする。
なので悪意を持った攻撃を検知する。

ペネトレーションテスト

セキュリティホールや設定ミスといった脆弱性の有無を確認するテスト
試験的にファイアウォールに攻撃を行う。

その時に調べる内容は

  • もし侵入されたらどうなるか?
  • どこまで突破されるか?
  • 何をされてしまうのか?

日々脆弱性が発見、攻撃方法が進化しているのでこれを定期的に行うことが望ましい

問題を解いた時の気づき

パケットフィルタリングをもっと知る

DMZとは?

ネットワーク用語と軍事用語のDMZ、どちらにも共通しているのは「危険なエリア」と「安全なエリア」の中間である「緩衝地帯」として機能するということです。危険な地域のすぐそばに大切なものを置いておくのは危ないので、何かトラブルが起きても大丈夫なように緩衝地帯を設けて、そこには大切なものは置かないようにするのです。

 コンピュータ・ネットワークの世界における「危険なエリア」とは、インターネットのような安全性が確認できない「外部ネットワーク」などを指します。インターネット上には悪意ある攻撃者などが存在しており、ネット上に開放しているWebサーバやメールサーバはいつ攻撃されてもおかしくない状態です。外部に開かれているサーバを、機密情報等を含む内部ネットワークと同じ場所に置いてしまうと、サーバが攻撃を受けた際に内部ネットワークにも侵入されるリスクがあります。

 そこで、DMZという隔離された領域を設けて、外部ネットワークからアクセスを受ける領域を内部ネットワークから切り離します

 より身近な例でいえば、「家の玄関ドアから門扉までの庭などの空間」や「共用玄関のあるマンションのエントランスホール」の方が感覚的には近いかも知れません。そこは自分たちの敷地内でありながら、外部の人間も内部の人間も入りやすい場所です。しかも、大切なものがあまり置かれていないので泥棒が入っても被害が少なく、不審者がいれば警戒できる場所でもあります。

 DMZはこうした空間と同じ役割を持っています。緩衝地帯があることで、大切なものを安全な場所に隔離でき、外から来た人と気軽に交流もできるということです。

DMZでは、このファイアウォールが重要な役割を担います。外部ネットワークとDMZ、DMZと内部ネットワーク、それぞれの間にファイアウォールが入るような構造を作り、通信を仕分けします。仕分けのポリシーはファイアウォールごとに自由に設定できるので、外部ネットワークとDMZの間にあるファイアウォールは緩く設定したとしても、DMZと内部ネットワーク間のファイアウォールを厳しく設定していれば安全性は高まります

DMZを作ってもWebサーバ自体の脆弱性自体は変わりません。ただ、DMZから内部ネットワークに入る際にはもう一度ファイアウォールを通る必要があります。DMZから内部ネットワークへのアクセスを遮断していれば、Webサーバが乗っ取られても内部ネットワークは守り切ることができるのです。ファイアウォールが「二重の防壁」として機能します。

 また、DMZではファイアウォールのほかにも不正なアクセスを通報する「IDS(侵入検知システム)」やアクセスを遮断する「IPS(侵入防止システム)」を組み合わせてDMZ内に多重のセキュリティを設けることが多いです。DMZは攻撃されることを前提に作られている空間なので、攻撃されたことに気付けるような仕組み作りも必要となります。

 その他、DMZはルータなどを介して物理的に隔離されることが理想ですが、難しい場合にはコンピュータ上に構築した仮想空間に構築することも可能です。仮想DMZそのものは内部ネットワーク内にありますが、外部からのアクセスを仮想DMZが受けることが可能です。仮想DMZは、ビジネス用途というよりは個人や家庭向けに使われることが多く、簡易のDMZと捉えると良いでしょう。
出典 https://www.sbbit.jp/article/cont1/37677

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?