■ 構築問題 第十四問
おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !!
ん〜っと、DMZまで作成して、ネットワークの大枠は出来上がったわね。
そうなの?
そう。いいかしら、ほげたん?
これからIDCが入ったり、IP-VPNが入ったりするかもしれないけど。
けど?
現在の形が基本形ってことを忘れないようにね。
今の形が基本?
FWがあって、DMZがあって、外部接続ルータがあって……。
そうそう、その形。今後はこれを発展させていくわけよ。
へ〜。
で、その前に。
ファイアウォールの設定がまだだったわよね。
ファイアウォールを設定しなさい
[FigureSS13-01:第十四問]
- ファイアウォールを設定し、内部ネットワークを守りなさい
- 現在のネットワーク構成は第十三回の問題と同じとする
- DMZの3つのサーバは、そのサービスのみを外部に公開する
- 外部メールサーバは受け取ったメールを内部メールサーバへ転送する
- グローバルIPアドレスとして200.100.10.0/28を使用する
つまり、いくつの項目を設定すればいいの?
ん?
そうね、IPアドレス、NATテーブル、パケットフィルタの3つは必要ね。
ん〜、結構大変だ〜。
■ 構築問題 第十四問 解答
んと、まず。
IPアドレスからいこうかと思ってるんだけど?
はいはい、どうぞ。
……、DMZのアドレスってどうすればいいの?
さぁ?
む〜〜〜。そのとぼけた顔がニクい。
あら? そう?
ともかく、インターネットからアクセスできなきゃいけないんだから……こう?
[FigureSS13-02:ほげたんの解答]
ふ〜ん。グローバルIPアドレスの/28を、さらに2つにわけて(/29)、FWの外側と、DMZに割り振ったわけね。
うん。グローバルIPアドレスがないと、外部からアクセスできないでしょ?
ほげたん? ファイアウォールの本質はなんだっていったっけ?
え? NAT?
そうよねぇ、NATよねぇ。で、この図だと、LAN→WANはNATかけて、DMZ→WANはNATかけない?
う、うん。そうなるよ。
ま、そういうことも可能だけどさ。
でもね、普通、DMZはプライベートIPアドレスを割り振るのよ。
え? あ? そうなの?
でも、プライベートなら、外部からアクセスが……。
なんのための、NATなのよ。
あ、あぁ、そうか。
[FigureSS13-03:おね〜さんの解答]
ま、こんな形。
でも、なんでプライベートにするの? 僕の案でもいいじゃないかなぁ。
そうかも。でもね、プライベートにして、NATによる変換によるアクセスって形にすると。
まず、グローバルIPアドレスの無駄がなくなるでしょ?
うん、それはそうだね。
/28を/29の2つにしちゃったから、ネットワークとブロードキャストで4つ使えないアドレスが増えたからね。
もう1つ。プライベートならNATされないとアクセスできなくなるわけでしょ?
パケットフィルタに加えて、NATというアクセス制限がかけれるのよ。
は〜。なるほど。
ほげたんの方式だと、200.100.10.8/29のアドレスならアクセスされちゃうわけだしね。
まぁ、パケットフィルタはされるけど。
だから、プライベートを使うのかぁ。
使わない、ほげたん方式もある、かな? おね〜さんはプライベートの方式しかしらないけど。
ともかく、次はNATテーブルをよろしく。
NAT、NAT…。
| 分類 | インタフェース | IPアドレス | インタフェース | IPアドレス |
|---|---|---|---|---|
| NAPT | WAN | 200.100.10.2 | LAN | 172.16.0.0/24 |
| LAN | 172.16.1.0/24 | |||
| LAN | 172.16.2.0/24 |
[TableSS14-01:NATテーブル・1]
内部→外部のNAPTと…。
| 分類 | インタフェース | IPアドレス | インタフェース | IPアドレス |
|---|---|---|---|---|
| NAT | WAN | 200.100.10.11 | DMZ | 172.16.10.11 |
| WAN | 200.100.10.12 | DMZ | 172.16.10.12 | |
| WAN | 200.100.10.13 | DMZ | 172.16.10.13 |
[TableSS14-02:NATテーブル・2]
DMZ→外部のスタティックNAT。公開サーバへの変換だね。
うん、で?
で、って? もうないよ。
LAN→DMZでもNATは必要よ。
| 分類 | インタフェース | IPアドレス | インタフェース | IPアドレス |
|---|---|---|---|---|
| NAPT | DMZ | 172.16.10.128/25 | LAN | 172.16.0.0/24 |
| LAN | 172.16.1.0/24 | |||
| LAN | 172.16.2.0/24 |
[TableSS14-01:NATテーブル・3]
そうなの? DMZとLANって同じプライベートだから必要ないかと…。
基本的に、ファイアウォールを通過する際は必ずNATされると考えなさい。
イメージ的にはルーティングではなくNATによる通過、かな?
ファイアウォールでは、ルーティングというよりも、NATによって通過している……。
ルーティングしないの?
するわよ。あくまでもイメージ的には、ね。
さて、最後にパケットフィルタを書いてね。前の図を忘れないように。
[FigureSS13-04:ファイアウォールの動作]
この図ね。
は〜い。
| プロトコル | 送信元IPアドレス | 送信元ポート | 宛元IPアドレス | 宛元ポート | 方向 | 動作 |
|---|---|---|---|---|---|---|
| TCP | * | * | 172.16.10.11 | 80 | WAN→DMZ | 許可 |
| TCP | * | * | 172.16.10.12 | 53 | WAN→DMZ | 許可 |
| TCP | * | * | 172.16.10.13 | 25 | WAN→DMZ | 許可 |
| IP | * | * | 172.16.10.0/24 | * | WAN→DMZ | 禁止 |
| IP | * | * | 172.16.0.0/16 | * | WAN→LAN | 禁止 |
| TCP | 172.16.10.13 | * | 172.16.0.13 | 25 | DMZ→LAN | 許可 |
| IP | * | * | 172.16.0.0/16 | * | DMZ→LAN | 禁止 |
| IP | 172.16.10.0/24 | * | * | * | DMZ→WAN | 許可 |
| IP | 172.16.0.0/16 | * | * | * | LAN→WAN | 許可 |
| IP | 172.16.0.0/16 | * | * | * | LAN→DMZ | 許可 |
[TableSS14-04:フィルタリングテーブル]
そうそう、6方向あるから、全部書いて。
あと、方向は重要だからね。
DMZ→LANとかだよね。なんで?
こういうことが起こるからよ。
[FigureSS14-04:方向のないフィルタ]
本来、内部LANからWANへの許可してあるフィルタがあったとして。
WAN側から、内部LANのIPアドレスに送信元を偽装されたパケットがきたら?
フィルタだけ見たら、通っちゃうね…。
でしょ。だから、普通パケットフィルタには方向が必須なのよ。
後は、そうねぇ、パケットフィルタの弱点って知ってるわよね? パケットフィルタでは防げないものがあるってこと。
フィルタ条件にさえあえば通過してしまうところだよね。
そう。DoSなどは防げないってわけね。フィルタ条件に一致さえすればあとは見ないから。
だからこそのステートフルインスペクションなんだけどね。
あれって、ファイアウォールに十二分なスペックないとキツイらしいね。
ブロードバンドルータに「ステートフルインスペクション機能搭載」なんてあって。
どれどれ〜って試してみたら、ルータがハングアップしたそうよ。
ブロードバンドルータごときのスペックでインスペクションはちょっと無茶かも。
まぁ、ちょっと知ってる素人騙せるからいいんじゃないの?
またそういう事言う〜。
どうしてそう敵を作りそうなこというかなぁ。
ほら、だってブロードバンドルータがあればセキュリティ大丈夫!! とか言っちゃう人がいるご時世なのよ。
それ、本物のセキュリティ機器知らないだけだから、みたいな〜。
まぁ、そうだけどさ。ブロードバンドルータの機能程度でファイアウォールとか語られると困るけどね。
でも、最近のブロードバンドルータって機能満載でさ。こないだ新しいモノの設定画面見せてもらったけど、拡張設定わけわかんなくて。
いや、ここでそんなこと白状されても。
ま、いいわ。じゃまた次回ね。
おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !! でした〜〜〜っ!!
まったね〜〜〜!!