Web教材一覧ネットワーク

ネットワークセキュリティ技術

学習のポイント

セキュリティ対策にはウイルス対策や暗号化などがポピュラーですが,それらに関しては別途に取扱い,ここでは,ネットワークでのセキュリティ技術を取扱います。また,品質保証やトラブル対処などのネットワーク管理も広い意味でのセキュリティ対策だと考えて,ここで学習します。

キーワード

pingコマンド,SNMP,MRTG,IPsec,IP-VPN,トンネル,RAS,RADIUS,SSH,SSL,HTTPS,S/MIME,WPA,ファイアウォール,パケットフィルタリング型ファイアウォール,アプリケーションゲートウェイ型ファイアウォール,プロキシ,DMZ,IDS

ネットワーク管理のためのツール

問診ツール

ネットワークが正常につながっているか,どのような経路をたどって接続しているかなどをチェックするためのツールはいろいろあります。以下のものはUNIXのコマンドですが,Windowsでも標準的に装備されています。

pingコマンド
特定のホストがネットワークに接続しているか,そこまで到達できるかどうかをチェックします。
     ping www.kogures.com
とすると,pingは www.kogures.com へICMPパケットを送り,そのエコーを表示させます。エラーがあった場合には,次のような結果が表示されます。
    Unknown host www.kogures.com:名前解決ができない
    Network is unreachable:経路上のルータで経路選択ができない
    Destination Host Unreachable:ホストがない,ダウンしている,接続されていない
traceroute
経由したルータのIPアドレスと経過時間が表示され,届かなかったルータには数回試みた結果が表示されます。
nslookup
ネームサーバ(DNSサーバ)に直接問い合わせて,ネームサーバが正常に稼動しているか,名前解決ができるかどうかをチェックします。
telnet
telnet www.kogures.com 80 というように,ホスト名とポート番号(80=HTTP)を与えることにより,そのホストでWeb閲覧ができるかどうかチェックします。正しく稼動していれば,HTTPコマンド待ちの状態になります。

LANの管理ツール

SNMP(Simple Network Management Protocol)
SNMPとは,TCP/IPでのLAN管理のプロトコルです。
LANを構成する機器のことをエージェントといい,SNMPでそれらを管理するツールをマネージャといいます。エージェントは,ネットワークインタフェース,経由したパケット量,エラーパケットの量,機器の温度などの情報をMIB(Management Infomation Base)という形式で持っています。これらの情報は標準以外に負荷状況や稼働率なども設定できます。
マネージャがエージェントにリクエスト(get-request)すると,エージェントは応答(get-response)してMIBデータをマネージャに戻します。また,マネージャはエージェントに管理情報の変更をするのをset-requestといい,異常発生をエージェントからマネージャに知らせるのを trap といいます。
MRTG(Multi Router Traffic Grapher)
MRTGとは,SNMP機能を持つとともに,MIB情報を最大値・最小値・平均値などの統計値をグラフ化して表示する機能を持っています。
tcpdumpコマンド
tcpdumpはUNIXのコマンドで,パケットキャプチャツールです。LANのネットワークを流れているパケットを収集することにより,そのパケットのTCPヘッダやIPヘッダを分析することができます。

これらはLAN管理に不可欠なツールですが,逆にこの情報が第三者に漏洩すると,深刻なセキュリティホールになってしまう危険があります。

セキュリティを考慮したネットワーク

IPsec(Security Architecture for the IP)

IPsecは,IPパケットを暗号化して送信するプロトコルです。その方法にはトランスポートモードとトンネルモードがあります。

IPsecのヘッダ
トランスポートモード
元のパケットのデータの部分(TCPヘッダや本文)だけを暗号化(カプセル化といいます)して,その前にIPsecのヘッダを付加し,それ全体をデータとして,IPヘッダを付加します。
トンネルモード
元のパケット全体をカプセル化します。それ以外はトランスポートモードと同じです。

IP-VPN(IP Virtual Private Network)

インターネットでLANや専用回線網のような,安全な私設回線網を構築するものです。
 IPsecのトンネルモードやPPTP,L2TPなどにより,すべてのパケットをカプセル化することにより,一般のインターネットを通りながら,暗号化および認証機能を持ち,VPNルータでなければ解読できないようになっています。そのような仕組みをトンネリングといいます。

IP-VPNの図

RASとRADIUS

RAS(Remote Authentication Server)とは,社員が自宅から会社にアクセスするように,外部から社内ネットワークにダイヤルアップ接続するときのアクセスサーバです。RADIUS(Remote Authentication Dial In User Service)はそのプロトコルで,ユーザの認証をしたりクライアントにIPアドレスを与える仕組みです。これを用いることにより,不正利用を防止することができます。

上位層での暗号通信プロトコル

IPsecやIP-VPNはIPレベルでの暗号化プロトコルですが,それよりも上位層での暗号化通信には多くのプロトコルがあります。

SSH(Secure SHell)
暗号化通信を行う端末エミュレータです。ネットワーク上を流れるデータはすべてRSAやDSAに基づいて圧縮・暗号化されます。UNIXで広く用いられてきましたが,Linuxサーバでもよく用いられています。
SSL(Secure Socket Layer)
HTTPやFTPなどの上位のプロトコルを利用するアプリケーションソフトでの情報を暗号化して送受信するプロトコルで,通常のWebブラウザに標準装備されています。公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数などのセキュリティ技術を組み合わせ、データの盗聴や改ざん、なりすましを防ぐことができます。
HTTPS
SSLの暗号化通信をHTTPに実装したものです。WebブラウザとWebサーバ間の経路における通信内容の盗聴・改ざんの危険性はほぼ回避できます。
S/MIME
MIME(Multipurpose Internet Mail Extension)は,電子メールで画像,音声,動画などを扱うための規格ですが,S/MIME(Secure MIME)はMIMEの機能拡張版で,メッセージの暗号化と電子署名を行う機能を持ちます。
WPA(Wi-Fi Protected Access)
無線LANの暗号化方式です。暗号鍵を一定時間毎に自動的に更新するTKIP(Temporal Key Integrity Protocol)と呼ばれる暗号化プロトコルやユーザ認証機能を備えています。

ファイアウォール

ファイアウォールとは防火壁のとこですが,組織内のコンピュータネットワークへ外部のインターネットから侵入されるのを防ぐシステムです。多くの場合はソフトウェアをコンピュータに組みこんで使用しますが,専用のハードウェアが用いられる場合もあります。

ファイアウォールの概念図

ファイアウォールの種類

ファイアウォールは,大きくパケットフィルタリング型とアプリケーションゲートウェイ型に区分されます。実際のファイアウォールでは,パケットフィルタリング型をベースにして,パケットフィルタリングでは実現が難しい機能を,アプリケーションゲートウェイ型の機能を使用して補うようにしています。

パケットフィルタリング型

パケットフィルタリング型は,主にパケットのヘッダ部分(送信元および送信先のIPアドレスとポート)を調べて,アクセスの許可/不許可を決定します。データそのものを調べるのではないので,高速に処理できます。

内部ネットワークのホストをプライベートIPアドレスにしておき,NATあるいはNAPTを用いることにより,外部のグローバルIPアドレスに変換することにより,内部のホストの存在を通信相手から完全に隠すことができます。それにより,外部から直接に内部にアクセスできなくして,セキュリティを高めることができます。

アプリケーションゲートウェイ型

プロキシ型ともコネクションフィルタリング型ともいいます。プロキシ(proxy)とは代理という意味で,クライアントからの要求を代理してサーバに転送したり,サーバからの応答をクライアントに返すアプリケーションのことをいいます。

アプリケーションゲートウェイ型のファイアウォールは,ヘッダ部分だけでなく,パケットのデータの中身まで調べて,代理で配送を行ないます。それで,パケットフィルタリング型より細かい設定が可能になります。しかし,それだけ負荷が増大するので,効率が悪くなります。

ファイアウォールの設置場所

Webサーバはインターネットで公開するが,社外秘サーバはインターネットからはアクセスできないようにしたいのです。そのとき,ファイアウォールは,どのように設置すればよいでしょうか?

設置場所AとB

図Aのように設置すると,インターネットからWebサーバにアクセスできるが,社外秘サーバにはアクセスできません。ところがこれではWebサーバが全然保護されていないので,Webページが改ざんされる危険があります。
 それで,図BのようにWebサーバをファイアウォールの内側に置くと,Webサーバ閲覧のためにHTTPは許可する設定になります。すると,HTTPでアクセスする社外秘サーバをどうするかなど,設定管理が複雑になります。しかも,ファイアウォールでのNAT機能が有効にならない危険もあります。

設置場所CとD

このような問題を解決するには,図Cのようにファイアウォールを二つ置いて,外側のファイアウォールでWebサーバを守り,内側のファイアウォールで社外秘サーバを守ればよいことになります。この2つのファイアウォールで囲まれた場所をDMZ(De-Minitarized Zone:非武装地帯)といいます。
 しかし,図Cはあまりにも冗長です。それでファイアウォールにインターネット・内部ネットワーク・DMZの三つのポートを持って,個々のネットワークの通過条件を設定することにより,図Dのような構成にしています。

IDS(Intrusion Detection System)

不正アクセス監視システム,侵入検知システムともいいます。コンピュータやネットワークに対する不正行為を検出し、通知するためのシステムです。ファイアウォールを設置しても,いろいろなセキュリティホールを潜り抜けて不正アクセスが侵入してきます。それを監視するのがIDSです。

IDSの種類

IDSは,ホストの状態を監視するホスト型とネットワークを流れるパケットを監視するネットワーク型に区分できます。また,何をどのように監視するのかにより,ファイル監視型,シグネチャ監視型,異常検出型などに区分できます。

ホスト型・ファイル型
対象となるホストにツールをインストールしておき,そのホストのファイルへの変更,ファイルサイズやアクセスフラグ,書き込み時刻などの変更を自動で監視し,変更点を検出します。Webページの改ざん検出などに用いられます。
ネットワーク型・シグネチャ型
専用の装置を監視対象セグメントに設置します。ウイルスソフトと同じように攻撃パターンの特徴をシグネチャという情報として登録しておき,ネットワーク上のパケットにそのシグネチャと同じものがきたら攻撃されていると判定します。
異常検出型(ホスト型,ネットワーク型)
ホストやネットワークの正常な許容範囲を設定しておき,MRTGなどによる統計的な値がそれを逸脱したら警報を発します。異常にトラフィックが増大したらDoS攻撃を受けている危険がありますし,異常にCPUの稼働率が増大したら不正プログラムが実行されている危険があります。

過去問題:「ファイアウォール,ネットワーク監視」firewall)、 「ネットワークセキュリティ」network-security

理解度チェック

第1問

  1. pingコマンドを使えば,与えたホスト名を持つホストがネットワークに接続されているかがわかる。
  2. pingコマンドを使えば,与えたホスト名を持つホストまでの経路を知ることができる。
    × ping→traceroute
  3. SMTPはLAN管理のためのプロトコルである。
    × SMTPは電子メール送信
  4. SNMPでのエージェントとは,SNMPを管理するサーバのことである。
    × エージェントは管理対象のパソコンやルータ
  5. IPsecは,IPパケットを暗号化して送るプロトコルである。
  6. IP-VPNを構築するには,専用回線網が必要である。
    × インターネットを専用回線網のように使う
  7. S/MIMEとは,WebブラウザとWebサーバの間の通信を暗号化するものである。
    × S/MIME→HTTPS
  8. パケットフィルタリング型ファイアウォールでは,パケットの内容,すなわち本文の内容までもチェックする。
    × パケットフィルタリング型→アプリケーションゲートウェイ型
  9. DMZ(非武装地帯)とは,ファイアウォールを通らずに,内部ネットワークからも外部インターネットからも自由に入ることができる地帯のことである。
    × どちらからもファイアウォールでのチェックを受ける
  10. IDSとは,不正アクセス監視システム,侵入検知システムのことである。

本シリーズの目次へ