@network Cisco・アライド実機で学ぶ > TCP/IP入門 > 静的フィルタリング(その2)

 Amazon
@network Cisco・アライド実機で学ぶ
◆静的フィルタリング(その2)

※ネットワークの学習は、TCP/IPを学ぶことから始めることをオススメします。TCP/IPは、今日のLANやインターネットを支えている重要な技術になっています。ここでは、これからネットワークを学ぼうとする方に必要なネットワークの用語やテクノロジーの紹介、そして、TCP/IPプロトコルの基礎知識を中心に説明してゆきます。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。

スポンサードリンク

◆静的フィルタリング(その2)

 パケットフィルタリングの条件を考えるとき、最初に決めなければならない方針があります。下記の2つの中から1つを選ばなくてはなりません。

@遮断するパケットだけを条件で指定し、条件に一致しない通信を通過させる。
A通過させるパケットだけを条件で指定し、条件に一致しない通信を遮断する。

どちらも、変わらないように思われるかもしれませんが、セキュリティの強度で大きな差があります。


◆遮断するパケットだけを条件で指定し、条件に一致しない通信を通過させる場合

 この方法は、あらかじめ予想される攻撃を事前に、フィルタリング条件として定義します。条件に一致しないパケットは、全て通過してしまうこととなります。危険な攻撃手法は、無数にあるので、漏れなく全てを定義するのは、困難です。

 フィルタリングの条件に漏れがあると不正なパケットが侵入してしまうことになります。そのため、随時、ファイアウォールの条件の見直して、フィルタリングの条件に漏れがないか、新たな攻撃手法に対応しているのかどうかを確認する必要があります。


◆通過させるパケットだけを条件で指定し、条件に一致しない通信を遮断する場合

 この方法は、あらかじめ通したいパケットを定義します。定義されていない通信は、全て遮断されるので、@の方よりもセキュリティを確保することができます。定義漏れがあったとしても、遮断されることになるので安全です。

 上記の理由から、多くのファイアウォール機能が搭載された製品のデフォルトのフィルタリングの方針は、条件に一致しない通信を全て遮断するようになっています。

 たとえば、Cisco製のルータは、デフォルトでフィルタリングのルールを定義するアクセスリストの最後に暗黙の「deny any」という全て破棄するというアクセスリストが、定義しなくとも存在します。

つまり、デフォルトで遮断の方針となるため、通過させる条件に漏れがある場合は、遮断されることとなります。


◆静的フィルタリングの弱点

 アプリケーションによっては、非常にたくさんのポート番号を使用するものがあり、パケットを通過させる条件(穴が)多くなり過ぎてしまうこともあるので、セキュリティが大きく低下することもあります。


 常に、行きと戻りのパケットを通過させる穴が開いた状態になるので、そこから、クラッカーやウイルスなどから侵入されるリスクが残ってしまうことが弱点となります。

静的フィルタリング(その1)」 ← 前項 | 次項 → 「静的フィルタリング(TCPヘッダの指定)



スポンサードリンク


<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.