にしのクエスト2

情報処理技術者試験と資格学校講師の日常

f:id:koharuwest:20191106221322p:plain

ネスペちゃん01「ファイアーウオール」その2

<ネスペちゃん01について>
ネスペちゃん01はネットワークの用語やセキュリテ
ィのお話について、「難しい」イメージから「意外と
面白い」に変えるのが目的です。そのため、あえて大
胆なたとえや、表現を使っています。

そんなわけで、結果的に、緻密さを犠牲にする部分が
あります。詳しく知りたい方は、さらに勉強しよう!
ってことで。よろしくお願いします。(にしの)

-------------------------

 前回はファイアーウオールの働きについて学んだ。

www.nsnq.tech

 


今日はフィルタリングについて述べてみたい。
f:id:koharuwest:20190608231544j:plain

それって、ダメなコンテンツとかエッチなのとかを
見せないようにするやつ?

f:id:koharuwest:20191118231119p:plain


それも一種のそうなんだけど、今回はファイアーウ
オールにおいての通信制御、遮断についてお話しし
たい。遮断といっても、必要な通信は遮断をしては
困るわけで、その見分けかたを。

顔面。

まあ、そういうことになるんだけど。基本的にはフ
ァイアーウオールでは「遮断」が原則で、許可のル
ールを決めます。

1 一定のルールで仕分ける方法(スタティック)
許可するリスト以外は許可しない。
これは素朴でいいんだけど、突然に必要な通信が出
てくるとめんどくさい。

2 内側から通信した人のお返事だけ通す(ダイナミック)
非常にこれも、わかりやすいですけどね。
ただ、対応関係が取れないケースは遮断しちゃうんですよ。

3 通信の記録から判断する(ステートフルインスペクション)
きちんとTCPさんとかが確認応答をしてるっぽい通信を許
可する。っぽければいいんだ・・・になるからね。

4 アプリケーションのやり取りで判断する
  (アプリケーションゲートウエイ)
アプリで使ってる通信かどうかを判断して許可する。
まあ、これも本当かどうかは謎だがね。

なるほど、これで悪い人からの通信は完璧に防げる
わけね?


いいや、防げないんですよ。これだけでは完璧には。

偽装されたとしても、「いかにも本物」になりすま
した通信は遮断できない。

不正な通信を防ぐためには、複数の方法を使うべき
なんですね。

(続きます)