ファイアウォール S06a1056 藤田将義 前回 パケットフィルタリング プロキシサービス ネットワークアドレス変換(NAT) 今回 パケットフィルタ パケットフィルタで何ができるか インターネット 要塞ホスト 攻撃者 172.16.42.9 外部ルータ 192.168.3.2 パケット 192.168.3.X 発信元アドレス:10.2.3.1(見かけ上) 送信元アドレス:10.2.3.2 境界ネットワーク 192.168.3.1 内部ルータ 10.2.3.4 10.2.3.X 10.2.3.1 内部ネットワーク 10.2.3.2 境界ネットワーク 外部ネットワークと保護された内部ネット ワークとの間に追加されるネットワーク。攻 撃者がファイアウォールの外側の区域へ の侵入に成功したとしても、攻撃者と内部 システムとの間に別の防御の層が構成さ れる。 境界ネットワーク インターネット 要塞ホスト 外側ルータ 境界ネットワーク ファイアウォール 内側ルータ 内部ネットワーク 要塞ホスト スクリーンサブネット構成では、1つ以上の 要塞ホストを境界ネットワークに設置する。 このホストは外部の世界から入ってくる通 信の主たる接続先である。 ルータによるパケットの処理 パケットを通過させる パケットフィルタの設定の基準を満たした時、パ ケットを送信先に転送 パケットを破棄する パケットフィルタの設定の基準を満たさなかった 時、そのパケットを破棄 ロギング パケットが転送されたか破棄されたかに関わら ず、ルータのとった行動を記録する ルータによるパケットの処理 エラーコードの送信 パケットを破棄した時、ルータは何が起こったか を示すICMPのエラーコードを送り返すことがで きる。 ICMPコードには「送信先到達不能」・「送信先到 達不許可」の2組ある。 データに書き換え パケット内の送信先情報を変更したり(NAT)パ ケットを他のパケットの内部にカプセル化するこ とでパケットの転送先を変更する ダイナミックパケットフィルタ クライアント ダイナミックパケットフィルタ サーバ フィルタはこの 情報を覚えておく 192.168.51.50 172.16.3.4 送信したものと対 応するので許可 対応してないので 許可されない SP = 発信元ポート SA = 発信元アドレス DP = 送信元ポート DA = 送信元アドレス パケットフィルタを効果的に扱う方法 フィルタルールオフラインで編集する ルールセットは毎回初期化する パケットフィルタの自動更新 ホスト名ではなくIPアドレスを利用する パケットフィルタはパスワードで保護する 名前つきアクセスリストを使う 次回の予定 本を読み進める 本を読み返す プロキシシステムについて 参考文献 ファイアウォール構築 VOLUMU1 理論と実践 Elizabeth D.Zwicky, Simon Cooper, D.Brent Chapman 著 歌代 和正 監訳 齋藤 衛, 永尾 禎啓, 桃井 康成 訳 ご清聴ありがとうございました
© Copyright 2024 ExpyDoc
