#はじめに
##背景
今までは開発側にいたので技術技術を磨いてきたが、年が経って役割が変わり、抽象的な活動が多くなってきた。
また、活動範囲も広くなったため、今まで避けてきたIPAの資格取得を通じて体系的に学んだ方がいいなと思い始めました。
##目的
実務的な内容を通して、体系的なことを学んで今まで以上にITの価値をユーザーに届けられる、
そんなエンジニアになりたいと思っています。
##目標
今さらではありますが、まずは、4月に「情報処理安全確保支援士」の取得に向けて頑張ります。
##ちなみに
エンジニアの皆さんなら分かると思いますが、体系的なものはあまり頭に入ってこない、やる気が出ないというか。
とはいえそうも言ってられないので、どうやってやる気を出すかと。だったら、アウトプットしながら進めれば「やる気」「理解力」のどっちも満たせるんじゃないかと安直に考え、凍結気味だったこのアカウントで投稿を再開しました。
とりあえずやりながら進めていこうと思ってるので、当面は私が理解した内容をつらつらと書いていく感じにします。
「知ってるよ」みたいなことも、振り返りつつやっていければと思います。
どれだけ他の方の役に立つのかは分からない所ありますが、ちょっとずつでもやっていければと思っております。
(持っている資料が少し古かったりするので不足・間違いがあるかもしれませんが、随時Updateしていきます)
ということで、特に順番なども気にせず、ある程度まとめて書いていきます。
いま勉強に使っている資料を開いた所からスタート、というとこでまずは「FW」から。
#ファイアウォール(FW)
何ぞやというのは敢えて言うものでもないですが、ざっくり言うとシステム上における「防火壁」ですね。
侵入防御などが元々の役割でした。
##FWの種類
-
- パケットフィルタ型
- パケットヘッダのIP、ポートなどをインターネット層で判断。
-
- アプリケーションゲートウェイ型
- 「1」に加えてペイロード(パケットのデータ部)も含め、アプリケーション層で判断。
- HTTP/SMTP/FTPなどのアプリプログラムごとに別々のプロキシを持つ。
-
- サーキットレベルゲートウェイ型
- ペイロードの情報はチェックしない
- トランスポート層で判断、クライアントとコネクションを確立し、クライアントサーバ間で仮想的な通信路(バーチャルサーキット)を確立する。
-
- ダイナミックパケットフィルタ型
- 基本的なルールのみを定義しておき、通信内容に応じて動的にアクセス制御ルールを更新し、接続を管理する。
- 総じてパケットフィルタ型なので、「1」と同じ内容・層でチェックする。(=アプリ層の内容は見ない)
-
- ステートフルインスペクション型
- 基本的には「4」と同じだが、各アプリごとの通信フローなどの情報に基づいて制御を行う。(=アプリ層の内容を見る)
- ステート(状態)フル(完全)なので、自身を通過する情報をしっかり見て動的に判断するものということですね。
色々ありますが、総じて見ると「ヘッダ」「データ」「静的」「動的」「どこまで見るか」の違いですね。
「ヘッダ」 「静的」「IP層」 → 1
「ヘッダ+データ」「静的」「IP層」「APP層」 → 2
「ヘッダ」 「静的」「TCP層」 → 3
「ヘッダ」 「動的」「IP層」 → 4
「ヘッダ+データ」「動的」「IP層」「APP層」 → 5
##FWのアドレス変換返還方法
- NAT
- パケット中継時にIPアドレスを変換
- NAPT
- パケット中継時にIPアドレス+ポート番号を変換
##FWで防げないもの
- OSの脆弱性
- ポートスキャン、BOF攻撃など
- Webアプリの脆弱性
- XSS、SQL/OSコマンドインジェクションなど
- DoS系
- pingとか飛ばしまくってはいかんぞ!
- マルウェア系
- ウィルス、ワーム、スパイウェアなど
- ウィルス検知・対策ソフトを入れられる所には入れましょう
##FWの拡張機能
昨今ではもはや普通になっているものも多いと思うが、FWには単なる侵入防御だけでなく、様々な機能がある。実際の状態に合わせて、必要なものを取り入れるのがよいだろう。
- ハイパフォーマンス
- ギガビット対応
- マルチホーミング対応
- 企業などのNWから複数の経路を通じてインターネットに接続すること
- IPv6対応
- QoS(Quality of Service)
- プロトコルごとの帯域最大値に基づき、帯域制御を行う
- 高可用性(HA)
- 負荷分散方式
- ホットスタンバイ方式
- 片方は停止していて、異常時に切り替え
- 自立負荷分散方式
- ホットスタンバイと同様だが、どちらも並行稼働して負荷分散する
- 負荷分散
- 上記で既に触れてるけど
- マルチセグメント対応
- VLANとかに対応
- アプリ層の攻撃に対する防御
- IPS(侵入防御)などの機能も備えたFWなども多く、アンチウィルスやコンテンツフィルタなど、統合したオールインワン型もおおくなってきている(=UTM=Unified Threat Management)
- サンドボックスでのマルウェア検知
- 遊び場(砂場)は大事だよね
とりあえず一発目はこんなとこまで