@network Cisco・アライド実機で学ぶ > TCP/IP入門 > フィルタリングで遮断すべきポート番号(その1)

 Amazon
@network Cisco・アライド実機で学ぶ
◆フィルタリングで遮断すべきポート番号(その1)

※ネットワークの学習は、TCP/IPを学ぶことから始めることをオススメします。TCP/IPは、今日のLANやインターネットを支えている重要な技術になっています。ここでは、これからネットワークを学ぼうとする方に必要なネットワークの用語やテクノロジーの紹介、そして、TCP/IPプロトコルの基礎知識を中心に説明してゆきます。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。

スポンサードリンク

◆フィルタリングで遮断すべきポート番号(その1)

ここでは、ファイアウォールのフィルタリングで遮断すべき危険なポートとその理由を説明してゆきます。


◆プライベートIPアドレスを遮断する

 攻撃を仕掛ける場合の代表的な手法にIPアドレスの偽装(IPスプーフィング)があります。また、ウイルスに感染したり、踏み台として利用される場合や、DoS攻撃、DDoS攻撃 などを行う際に、送信元が特定されないようにするためにも利用されます。

 その際、よく偽装されるIPアドレスが、プライベートIPアドレスです。この。プライベートアドレスは、LANなどのプライベートで閉じたネットワークでしか利用されることがないアドレスです。

 このプライベートIPアドレスが書き込まれているパケットがインターネット上を流れることはありません。

 一般的には、プライベートIPアドレスが指定されたパケットを遮断するようにフィルタリングを定義します。


◆ICMPを遮断する

 ICMPを利用したPingコマンドに応答しないようにICMPパケットを遮断することで、内部のコンピュータやネットワーク機器の存在を外部(インターネット)から隠蔽することができます。

 つまり、外部から見た場合、Pingコマンドの応答がないので、コンピュータやネットワーク機器の存在の確認ができなくなるため、セキュリティが高まります。

 フィルタリングの設定で、ICMPパケットを全て遮断してしまうという手法もありますが、使い勝手がよいとはいえないケースもあります。

 それは、運用保守の観点から、ファイアウォールの内側からPingを利用したいケースがあるからです。

 その際は、ICMPメッセージのうち、ファイアウォールの内側から外側に出てゆくICMPエコー要求(タイプ8)を許可し、ファイアウォールの外側から内側に入ってくるICMPエコー応答(タイプ0)許可するようにフィルタリングの設定を行います。

 ただし、ルータによっては、ICMPがデフォルトで遮断される設定がなされている製品もあります。その際は、カスタマイズする必要があります。


◆Telnetを遮断する

 Telnetを無制限に許可していると、内部のコンピュータやネットワーク機器が悪意のある者に乗っ取られてしまうリスクが高くなります。

 乗っ取られてしまうと攻撃者の思うがままに設定を変更されてしまいます。そうなると、情報を盗まれたり、踏み台とされて、他のサイトへ攻撃を仕掛けたりと迷惑行為を助長することとなります。

そのため、必要のないTelnet接続を遮断する設定を行う必要があります。

 また、Telnet以外にも遠隔操作を行うことができるアプリケーションの存在も忘れてはなりません。SymantecのpcAnywhereなど、遠隔地のコンピュータをリモートコントロールできるアプリケーションを利用する際には、注意が必要です。

TFTPの通信」 ← 前項 | 次項 → 「フィルタリングで遮断すべきポート番号(その2)



スポンサードリンク


<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.