7. セキュリティネットワーク (ファイアウォール)

Slides:



Advertisements
Similar presentations
既存ネットワークとの高親和性を持 つ ノードグルーピング機構に関する研 究 さだ. 2.背景 2.1 インターネットの普及 –IP アドレスが足りなくなるくらい多くのノードが インターネットを介した通信を実現 – ノードには 2 種類 IP ホスト:一般的な PC のように,ソフトウェアを容易に 更新できるノード.
Advertisements

Iptables の設定と 動作確認方法 野口 哲. 1. はじめに 近年では、ウイルスなどでネットワーク 上の 近年では、ウイルスなどでネットワーク 上の 危険が非常に多くなっている。また、個人 情報 などを入手するために不正に他人のパソコ ンに 侵入する人なども増えている。本研究では、 このような被害を受けないようにするため.
第 7 章 ネットワークセキュリティ 大久保 恭太. 7.3 ネットワークスキャン 攻撃者はネットワークを攻撃するにあたって 、 攻撃対象のネットワークの 様々な情報を取得していく 。 ・ドメイン情報の取得 ・ホストに関する情報の取得 ・パスワードの奪取.
TCP / IP の基礎 ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP / IP の実装 階層機能関連する TCP / IP プロ トコル アプリケーション層電子メールやファイルの転送 といった、具体的なアプリ ケーションが使用する規約 TELNET.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
第1回.
SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
受動的攻撃について Eiji James Yoshida penetration technique research site
Ibaraki Univ. Dept of Electrical & Electronic Eng.
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
安全・安心なネット生活を送るためのネットワークセキュリティ
セッション追跡によるプロトコルアノーマリの検知と対処
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
会社名: 氏名: 日付:.
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
“All your layer are belong to us” 君達の「階層」は全て我々が戴いた
ネットワーク コミュニケーション トランスポート層 TCP/UDP 6/28/07.
NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
インターネット メールサーバ DNSサーバ WWWサーバ ファイアウォール/プロキシサーバ クライアント.
tracert(トレースルート)コマンドによるルーティング表示
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
情報セキュリティ読本 - IT時代の危機管理入門 -
ファイアウォール 基礎教育 (1日目).
ネットワーク機器接続 2SK 情報機器工学.
ま と め と 補 足 ネットワークシステムⅠ 第15回.
講義日程予定 第 1 回 「ガイダンス」 第 2 回 「ユビキタスシティ検討ワーキング中間とりまとめ」
ファイアウォール 基礎教育 (2日目).
「コンピュータと情報システム」 06章 通信ネットワーク
Step.9 VPN VPNのトンネルを張る PC 3 PC 1 PC 2 論理ネットワーク1 xx (自動割当)
Ibaraki Univ. Dept of Electrical & Electronic Eng.
ネットワークセキュリティ 肖 云上.
不正アクセス       ーrootkitについてー              環境情報学部              3年 櫻井美帆.
総合講義B:インターネット社会の安全性 第9回 セキュリティとコスト
セキュリティ(5) 05A2013 大川内 斉.
2004年度 情報システム構成論 第4回 ネットワークセキュリティ基礎
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
「情報セキュリティ論」 1-2 セキュリティ概論
踏み台攻撃だけを抑制できる VMMレベル・パケットフィルタ
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
サイバーセキュリティ バッファオーバフロー
IaaS型クラウドにおける インスタンス構成の動的最適化手法
Why SonicWall? ~SonicWall UTM製品が選ばれる3つの理由~ 特許技術の”RFDPI” マルチコアアーキテクチャ
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
Cisco Umbrella のご紹介 2018 年 1 月.
セキュリティ(2) 05A2013 大川内 斉.
Intel SGXを用いた仮想マシンの 安全な監視機構
軽量な仮想マシンを用いたIoT機器の安全な監視
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1
ICMPを用いた侵入検知システムの負荷軽減
コミュニケーションと ネットワークを探索する
仮想環境を用いた 侵入検知システムの安全な構成法
ネットワークのセキュリティを向上する最新技術を搭載! プロファイル形式によるIPsec VPN設定
IDSとFirewallの連携によるネットワーク構築
LAN(TCP/IP) インターネットワーキング編
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
4.3 IPとルーティングテーブル 国際産業情報学科 2年 大竹 雅子.
ネットワークプログラミング 05A1302 円田 優輝.
TCP/IPの通信手順 (tcpdump)
管理VMへの キーボード入力情報漏洩の防止
ユーザ認証の盗聴 2002/9/10 峯 肇史 牧之内研究室「インターネット実習」Webページ
VPNクライアント接続 サーバー保守のための安全な経路+作業者単位のアクセス制御 簡単な図 (網羅性より象徴性)
Presentation transcript:

7. セキュリティネットワーク (ファイアウォール) 情報工学専攻 川島 亮

7.1 イントラネットの構成要素 インターネット側からの不正 アクセスを防ぐためにファイ アウォール(FW)を設置する ゲートウェイとも呼ばれる ルータの内側に設置する イントラネットのセキュリティはファイアウォールの設定によっ て安全にも脆弱にもなる

7.1.1 ファイアウォール 「防火壁」から転用 パケットの通過・拒否・破棄 フィルタリングは、 宛先・送信元のIPアドレス ・ポート番号を用いる egress通信に伴うingress通信に関しては、 FW内で状態を持たせて動的にポートの開放・閉鎖を行う

7.1.2 侵入検知システム・侵入防御システム 侵入検知システム(IDS) 通信路を監視し、攻撃パターンもしくは攻撃の特徴のデータ ベースに基づいて攻撃を検知する 侵入防御システム(IPS) IDSに加えて検知したものを遮断する機能を持つもの トラフィック量が処理能力を超えると 取りこぼしがある ホストの処理に影響を与える 可能性がある

7.1.3 WAF(Web Application Firewall)

7.1.4 VPN 接続するVPNサーバが設置されているネットワークに カプセル化によってIPアドレスなどをトンネリングする技術

7.1.4 VPN インターネットVPN・IP-VPN インターネットVPNはインターネット を中継網に利用するためコストは安い が、安全性はVPN機器の暗号化機能に 依存するため、IP-VPNに比べて低いと いえる。 IP-VPNは通信事業者の提供する閉域網 を利用するため、安全性は高いといえ るが、コスト面ではインターネット VPNに比べればやや高くなる。

7.2 FWを用いたネットワーク構成例 ネットワークの利用を開始する前に、インターネット側から 「ぺネストレーションテスト」と呼ばれる脆弱性を探し出す 検査を行うケースが多い。

7.2.1 公開サーバ群をFWの外に置く構成 内部ネットワークはFWに よって直接の接続が禁止さ れ守られる。 外側にある公開サーバ群は ポートスキャンやOSの脆弱 性を悪用する攻撃にさらさ れているため、不要なポートを閉じるなど、セキュリティの強 化に努めなければならない。 インターネットからイントラネットへの直接接続は一切禁止し、 公開サーバ群を経由してイントラネットへの通信を行う。

7.2.2 公開サーバ群をFWの中に置く構成 FWにおいてサービスごと にサーバとポートを指定す るフィルタリングルールを 作るのが一般的。 公開が必要なIPアドレスと ポート番号のみしかインタ ーネットに開放されないので、安全性は高まる。 公開サーバ群が社内ネットワークと同じセグメントにあるため、 Webサーバソフトウェアなどの脆弱性については特に気を付け なければならない。そこから社内サーバへの侵入を許す可能性 がある。

7.2.3 公開サーバ群をFWの別ポートに 設置する構成 3つのネットワークインタ ーフェースを持つFWにイ ンターネット・イントラネ ット・DMZを接続する。 DMZ(DeMilitarized Zone) インターネットとイントラネットの通信を直接行わずに各種 サーバ群を経由するネットワーク構成とする際に、イントラ ネットとサーバ群を別のセグメントに分離したもの。 イントラネットとインターネットとの直接の通信は禁止し、 DMZのサーバ群を経由させる。

7.2.3 公開サーバ群をFWの別ポートに 設置する構成 トラフィックが集中し単一障害点と なる。 障害対策としてシステムの2重化など の冗長化を行う。

7.2.4 FWによって公開サーバ群を挟む 構成 DMZの公開サーバ用に必 要なIPアドレスとポート番 号を開放するフィルタリン グルールを設定する。 イントラネットとインタ ーネットとの直接の通信は 禁止し、DMZサーバ群を 経由させる。 FWの単一障害の問題を解消し、1台目のFWに侵入されても2台 目でさらなる侵入から守る。

北朝鮮のマルウェア「Volgmer」、米当局がアドレスなど公表 北朝鮮が各国の企業やインフラを狙ったサイバー攻撃を仕掛けて いるとされる問題で、米セキュリティ機関のUS-CERTは11月14日、 こうした攻撃に使われているトロイの木馬型マルウェア 「Volgmer」に関連するIPアドレスなどの詳細を突き止めたと発 表した。