セキュリティーについて学ぶ備忘録
背景
業務でEC2を使ってバッチ処理を組む際に、セキュリティーグループをテキトーに設定して怒られたので戒めを込めた備忘録として残します。
結論
0.0.0.0/0はだめ!
接続するネットワークのIPをインバウンドルールに設定すること!
EC2インスタンスを起動するときにネットワーク設定
送信元が 0.0.0.0/0 のルールを指定すると、すべての IP アドレスからインスタンスにアクセスすることが許可されます。セキュリティグループのルールを設定して、既知の IP アドレスからのみアクセスできるようにすることをお勧めします
この文言をしっかり読もうよっていう話ですね。
ここで設定しておかないとどからでSSHで接続できてしまうため、IPを指定しなければガバガバセキュリティーになってしまいます。
IPアドレスの設定とサブネットマスク
IPアドレスは0.0.0.0の部分で、サブネットマスクはそれ以降の部分らしいです。
GPTに聞いてみたところ、以下の返答でした。
IPアドレスの「/」以降の部分はサブネットマスクを示しています。
これは「サブネットプレフィックス」とも呼ばれ、ネットワークの一部としてどの範囲のアドレスを使っているかを定義するために使われます。
この表記は特にCIDR(Classless Inter-Domain Routing)形式として知られています。
たとえば、IPアドレスが「192.168.1.1/24」と記されている場合、「/24」はそのネットワークが最初の24ビットをネットワーク部として使い、残りの8ビットをホスト部として使っていることを意味します。
この場合、サブネットマスクは255.255.255.0に相当し、ネットワーク内で使用可能なIPアドレスは192.168.1.1から192.168.1.254までとなります。
この表記法は、ネットワークをより効率的に分割し、ルーティングを最適化するために用いられます。
また、ネットワークの大きさや設計に応じて、/24よりも大きい数値(例えば/25、/26など)を使ってさらに細かく分割することも可能です。
ざっくり、接続してるデバイスを制限するためのものみたいですね。
/0だとなんでもいいよってことみたいです。
一般的に使われる数値をGPTに教えてもらいました。
/0
デフォルトルート:
ルーティングテーブルにおいて、特定の宛先に対するルートが存在しない場合に使用される最終的なルートとして機能します。
このルートは「キャッチオールルート」とも呼ばれ、どの他のルートも適合しないトラフィックを捕捉します。
/8
サブネットマスク:255.0.0.0
この設定は、16,777,214台のデバイスをサポートする大規模なネットワーク(例えば、大企業やISPが使用する広域ネットワーク)に使用されます。
/16
サブネットマスク:255.255.0.0
65,534台のデバイスをサポートできる中規模から大規模のネットワークに適しており、学校や大学のキャンパスネットワークなどに使われます。
/24
サブネットマスク:255.255.255.0
最も一般的に使用される設定で、254台のデバイスをサポートします。小規模から中規模のオフィスや家庭ネットワークに適しています。
/30
サブネットマスク:255.255.255.252
2台のデバイスが直接通信するためのポイントツーポイントリンク(例えば、2つのルータ間)に使用されます。利用可能なIPアドレスは2個です。
/32
サブネットマスク:255.255.255.255
単一のデバイスに固有のIPアドレスを指定するために使用され、通常は特定のサーバーやデバイスへのルートを設定するために使われます。
個人で開発するときは/32で良さそうですね
【補足】グローバルアドレスとサブネット
0.0.0.0の部分がグローバルになっているIPアドレスで、基本的にこれを用いて通信を行う。
社内でサブネットを設定しており、ネットワークを細分化することによってデバイス単位までのアクセスコントロールができるとのこと。
例えば、管理部のサブネットからは多くの情報にアクセスできるけど、営業部のサブネットからは権限を絞るみたいなことができるみたい、、、
ネットワークって難しいですね
参考記事