ネットワークスペシャリスト - SE娘の剣 -

ネットワークスペシャリストの試験対策サイトです。
ネスペ試験の合格体験談、合格のコツ、過去問解説、基礎知識などの情報を掲載します。

カテゴリ:12.セキュリティ > 12.1 Firewall

「企業内ネットワークとインターネットの接続点で,パケットフィルタリング機能などを用いて外部からの不正アクセスを防止するもの(H17AD午前-問52)」は何か。

これは簡単ですね。企業内でサーバのセキュリティを高めるために利用されることもあります。正解は「ファイアウォール(Firewall)」です。ネットワークスペシャリスト試験では、Firewallは絶対に理解してもらいたい内容です。

firewallの由来
もう少し解説します。fireは「炎」を、wallは「壁」を意味します。firewallは、もともと火事などのときに、炎を防ぐ「防火壁」という意味です。
ネットワークにおけるfirewall(ファイアウォール)は、外部からの炎(攻撃、侵入)を防ぐものになります。

firewallの機能
基本的な機能は、フィルタリングの機能です。たとえば、特定のIPアドレスからの通信を許可(or拒否)したり、特定のポート(たとえば、HTTPやSMTPなど)の通信を許可(or拒否)します。
また、ネットワークを.ぅ鵐拭璽優奪函↓DMZ、F睇凜札哀瓮鵐箸3つに分ける機能も持ちます。加えて、ルーティング機能も持つことがほとんどです。

ポリシー
外から内なのか、内から外なのかという方向によって、FWポリシー(ルール)が変わります。
例えば、江戸時代では東海道などに関所が設けられました。
ここでは、「入り鉄砲、出女」が禁止されました。具体的には、江戸方向への鉄砲を禁止し、江戸から出る女性を厳しくチェックしたと聞いてます。
つまり、方向によってルールが異なります。

外部からの攻撃(鉄砲)を防ぎ、内部の重要資産(女性)の流出を防ぐのは、まさにファイアーウォールですね。

firewallの方式
・パケットフィルタリングとサーキットゲートウェイ方式、アプリケーションゲートウェイ方式の3つがある。
・パケットフィルタリング方式では、パケットのヘッダ部分(IPアドレスやポート番号など)を見て通信の許可と拒否を判断する。

DMZ(DeMilitarized Zone)とは、militarize(武装する)の否定(de)のZone(地帯)という直訳通り、非武装地帯です。
ネットワークにおける非武装地帯というのがわかりにくいと思います。
一般には争いをしている2国間で存在します。たとえば、某国では38度線を境に、2劼困弔糧麌霑地帯があります。衝突をさけるための緩衝区域としての役割です。国や地域によって事情はことなるようですが、DMZは、両国が行き来できるエリアになります。
ef6167f8.jpg 

これと同じことが、ネットワークにもあるんですね!
その通り。インターネット(外部)と内部LANの中間にあり、両者がお互いに行き来できる唯一のエリアがDMZです。ここにはメールサーバやWebサーバなどの公開サーバが設置され、内部からだけでなく、インターネット側(外部)からもアクセスができます。

このようにネットワークをインターネット、DMZ、内部LANに分ける役割を持つものが、ファイアウォールになります。

ネットワークスペシャリストの過去問では、毎年のようにネットワーク構成図があります。たとえば、H26年午後1問3を例にすると、以下のように、ファイアウォールにて、.ぅ鵐拭璽優奪函↓DMZ、F睇凜札哀瓮鵐函△3つが分離されています。

※図を一部簡略化しています。
DMZ_ネットワークスペシャリスト試験

1.ファイアウォールのルール(ポリシー)について
パケットフィルタリング型ファイアウォール(Firewall)のルール(ポリシー)の例を示す。(※出題はH20SV 午前問題 問45より)

Firewallのルールは、以下にあるようにパケットのヘッダ部分を確認し、アクション(許可か禁止)を決定する。
IPパケットのヘッダを合わせて確認したい。

問題にあるように「ファイアウォールでの処理は、ルール一覧に示す番号の1から順に行い、一つのルールが適用された場合には残りのルールは適用されない。」というのが一般的である。
また、これも製品ごとの仕様であって規格などで決まっているわけではないが、ルールが無ければ基本的に拒否である。(※暗黙のDENY(ANY-ANY-DENY)が設定されているとも考えられる。)
rule

2.戻りパケットのルール
書く必要はない。NetScreen/SSGの場合、動的フィルタリングにより、戻りのパケットは自動で許可される。例えば、内部から外部のレンタルサーバにPOP3にてメールを受信するとする。この場合、内部から外部へのPOP3(110)のみを許可すればよく、外部から内部へのPOP3は不要だ。 Ciscoのルータなどでフィルタリングを書く場合は、動的フィルタではないので、戻りもきちんと書く必要がある。


一般的なルールの考え
この考え方は、理解しておきましょう。

全般
 ・基本的には全てのパケットを停止させ、必要なルールだけを開ける。
 ・pingによる疎通試験用にICMPをすべて許可するという設計をする人もいるが、不要なポリシーは停止するのが本来である。
 ・IPアドレスでのポリシーが多いが、外部のサイトはURLで指定することもある。その方が便利なこともある。
 ・ポリシーは上から順にチェックし、合致するものがあれば、そのルールを適用する。つまり、それ以降は見ない。なので、順番は大事だ。

外部からDMZ
 ・公開Webサーバなどのために必要なポリシーは、必要なだけ許可する。
例えば、Webサーバであれば、HTTP(80)とHTTPS(443)のみを許可する。公開サーバのIPアドレス宛ては全て許可するような設定はよくない。

外部から内部セグメントへのアクセス
 ・外部から内部セグメントへのアクセスはすべて禁止する。
 ・たまに、外部から内部へのポリシーを設定している企業を見るが、これは絶対に推奨できない。すべて禁止にすべきだ。
 ・外部からの通信はすべてDMZのサーバとすべきであり、どうしても許可すべきものがあるなら、DMZに配置すべきである。
なんらかの事情でそれができない場合、送信元IPアドレスを固定するべきである。

内部から外部へのアクセス
 ・内部からインターネットへの接続も、内部からのアクセスだから何でも許可するのはよくない。不正な情報漏えいを防ぐためだ。
 ・WebアクセスはProxy経由という場合は、送信元をProxyのみに限定する。
 ・また、プロトコルもHTTPなどと具体的に指定する。FTPを使わないなど、使わないプロトコルは拒否。

過去問(H24SC秋午前2問6)では、「ファイアウォールにおけるダイナミックパケットフィルタリングの特徴」として、「戻りのパケットに関しては,過去に通過したリクエストパケットに対応したものだけを通過させることができる」とある。
「社内LAN上のクライアントPCから、TCPを使ったインターネット上のWebサイト参照に関しては、フィルタリングテーブルが表のように設定されている。クライアントPCから図1のWebサーバAを参照した際の応答のパケットを通過させるために、例えばクライアントPC(192.168.10.5)からフィルタリングテーブルの行番号10によって許可されるパケットを送信すると、動的パケットフィルタリング機能では行番号10と行番号20の間に行番号15の行を挿入する。行番号15の行は、TCPセッションの終了パケット受信後に削除する。」


表 フィルタリングテーブル(抜粋)
〔番号〕〔向き〕〔送信元IPアドレス〕〔送信先IPアドレス〕〔プロトコル〕〔送信元ポート番号〕〔送信先ポート番号〕〔処理〕
〔10〕〔OUT〕〔C〕〔anywhere〕〔TCP〕〔any〕〔80〕〔許可〕
〔20〕〔OUT/IN〕〔anywhere〕〔anywhere〕〔TCP〕〔80〕〔any〕〔遮断〕

では、ここで問題。
行番号15のフィルタリングテーブルを書け。但し、WebサーバのIPアドレスは、210.2yy.1yy.100とする。(H21年春AP問9より)

まず、動的パケットフィルタリングとは何か。
パケットフィルタリングには、静的と動的の2種類がある。Cisco ルータでの設定例は以下であるが、通信は行きと帰りがあり、両方の設定を考えなければいけない。
※Ciscoルータの場合、デフォルトでは全ての通信を許可するため、行きを許可すれば、戻りは自動で通過する。

正解は以下です。
〔15〕〔IN〕〔210.2yy.1yy.100〕〔220.1xx.2xx.4〕〔TCP〕〔80〕〔1024〕〔許可〕

まず、ステートフルインスペクション機能について解説します。
ネットワークスペシャリスト試験では、ほとんど問われたことはありませんが、過去問(H21春AP問9)では「パケットの順番を管理するTCPヘッダのシーケンス番号の妥当性を確認して通過させる」とありました。
ステートフルインスペクションに関しては、Check Point社が提唱したと思います。ややベンダ固有の名称でもあるので、今後は問われることはあまりないでしょう。
ただ、多くのファイアウォールで基本的には実装している機能です。なので、言葉と、その仕組みは理解しておきましょう。まずは言葉通り、ステート(状態)をフルに探索(インスペクション)するという意味で考えておきましょう。

ステートフルインスペクション動的フィルタリングの違いは?

両者は明確に分けられるものではなく、一部オーバラップするものである。
文献により両者を分けてるものもあれば、どちらか一方で全てを表しているものもある。
「明確な違いは何か?」「この機能はどっちを指しているのか?」などとあまり神経質に考える必要はない。
しょせんは「ただの言葉」である。
ef6167f8.jpg 


バカボンド(講談社)にて、「天下無双とはただの言葉」と述べられていました。
それと同じかな?
まあ、そんな感じでしょう。
大事なのは言葉が何を意味しているかだ。動的フィルタリングは静的フィルタリングの対としてできた言葉であるし、ステートフルインスペクションとは 状態をフルに探索するという意味だ。
その点をシンプルに考えていただければよい。

DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアーウォールのセキュリティルールを定めるとき、“通過禁止”に設定するものはどれか。(H22SC春午前玉11)※プロトコルを答える

ファイアウォールの設定について問われている。ポイントはpingに応答しないというところ。pingのプロトコルは何かを答えれば、それが正解である。正解はICMP。

c2f058cb

なくてもいいと思います。
ファイアウォールは関所に例えられることが多い。関所に限らず家の玄関も外と内の分解点という意味ではファイアウォールと役割は似ている。
ファイアウォールはなぜ必要か。結論からいうとセキュリティの一元管理である。
各サーバやパソコンが個々にパーソナルファイアウォールやアクセス権の設定等により、セキュリティの脅威を防ぐことはできる。DMZに公開されているサーバが良い例である。しかし、個別に対策をするのは大変だし、セキュリティ対策忘れなど漏れもある。だからファイアウォールで一元的にアクセス制御をし、集中ログ管理をし、最近ではUTMに代表されるようなウイルスチェックやSPAMチェックなども行うのである。だから、インターネット回線が遅いからといって、複数のプロバイダと契約して複数の出口を持つ企業はかなり少ない。関所もなるべく山奥の人がそこしか通れないところに配置しているのは、それが理由である。
ファイアウォールがなかったらセキュリティは守れないか?そんなことはない。ファイアウォールがなくても企業のセキュリティは守れる。しかし、個々に対策するのはとても大変である。人間がすることなので、大変になるとミスが出る。そういう意味でファイアウォールがあることにより、セキュリティの運用管理が楽になり、結果的に企業のセキュリティレベルが上がる。

ネットワークスペシャリスト試験では、ファイアウォールのポリシーに関する出題がよくあります。中途半端な理解だと、また間違えます。
ネスペの本試験で、どんな問題が出ても対応できるように、きっちりと理解してしまいましょう。

では、以下の図だけを見て、Firewallのポリシーを作成してください。
とても勉強になるので、答えを見ずに自分で考えましょう。
(出題はH19NW午後1 問3より)
FW
以下にポリシーを当てはめてください。
書き方は1行目(ポート0)を参考にしてください。
1行目がなぜこうなるかをまずは考えましょう。
・まず、ポート0はインターネットがつながっています。
・次にポート1は公開サーバがあるので、DMZです。
・ポート2は内部セグメントです。
・ポート3は監視用サーバのセグメントになります。
mondai
正解は以下です。自分で納得するようにしてください。
書き方は1行目(ポート0)を参考にしてください。
まず,1行目がなぜこうなるかを考えましょう。1行目はインターネットからのアクセスですので,許可するのはDMZの公開サーバのみです。

2行目はDMZからの通信です。
インターネットからDMZへの通信が「DOMAIN,SMTP,HTTP」なので,DMZからインターネットへの通信も同じという単純な内容ではありません。
このFWがダイナミックパケットフィルタリング機能を持たないのであれば,行き帰りのルールは基本的に同じになりますが,今回はダイナミックパケットフィルタの機能を持つので,行きと帰りは別々に考える必要があります。DMZからインターネットへの通信は,以下の3つです。
DOMAIN:DNSのゾーン転送やDNSの問い合わせなど
SMTP:内部から外部へのメール転送
HTTP:プロキシサーバ(元は内部セグメントのPC)からのインターネットアクセス

3行目は,内部セグメントからの通信です。
インターネットから直接アクセスさせることをしないルールになっています(考え方次第なので,企業によって異なります)。内部セグメントからDMZへの通信は,以下の3つです。
DOMAIN:PCからDNSの問い合わせ
SMTP:内部メールサーバからメールの送信
HTTP:インターネットアクセス

内部セグメントから監視セグメントへの通信は,以下の2つです。
‘睇凜札哀瓮鵐箸竜ヾ錣ら監視サーバへのTrap
監視用PCから監視サーバへ管理画面(WEB)へのアクセス

4行目は,監視セグメントからの通信で,DMZや内部セグメントへのSNMPによるポーリングなどの通信があります。
seikai

このページのトップヘ