close
プログラミング クラウド Microsoft Azure 情報処理資格 基本情報技術者 IT基礎 応用情報技術者 開発・設計方法 オブジェクト指向 内定者・新人研修 プログラミング基礎 アルゴリズム コンピュータ数学 内定者研修 新人研修 ヒューマンスキル プロジェクトマネジメント プレゼンテーション リーダーシップ 組織マネジメント ネゴシエーション ロジカルシンキング Java UI/UX HTTP JavaScript基礎 情報処理資格 ネットワークスペシャリスト ネットワーク インターネットルーティング応用 IPアドレス データベース応用 SQL応用 パフォーマンスチューニング データベース設計 ER図 概念設計(データベース) 論理設計(データベース) IT資格 Linux基礎 OS・システム基盤 セキュリティ TCP/IP OSI参照モデル データベースセキュリティ ファイアウォール 標的型攻撃 SQLインジェクション ネットワーク基本設計 CCNA Cisco プロジェクトマネジメント資格 情報処理資格プロジェクトマネージャ 情報処理安全確保支援士 人事給与 財務会計 管理会計 簿記 生産管理 在庫管理 ERP バランススコアカード 情報処理資格 ITアーキテクト 情報処理資格 ITストラテジスト 情報処理資格 ITサービスマネジメント 情報処理資格 システム監査 PMBOK® PMP® プロジェクト計画 WBS リスクコントロール ITIL ITサービスマネジメント 要求定義 要件定義 見積手法 ビジネスインダストリ 業種・業界知識 業務知識 提案力 ソフトウェアテスト基礎 情報処理資格 データベーススペシャリスト ハードウェア基礎 外部設計(基本設計) 内部設計(詳細設計) データベース基礎 SQL基礎 RDBMS 物理設計(データベース) C++ Ruby MVC基礎 Webアプリケーション開発 JavaEE Javaプログラミング応用 フレームワーク MVC応用 Spring フレームワーク ソフトウェアテスト応用 テスト手法 Junit スマートフォンアプリ開発 Androidアプリ開発 C# 基礎 C# 応用 負荷テスト Javaプログラミング基礎 ソフトウェアテスト コーチング メンタリング HTML/CSS サーバー構築 仮想化技術 KVS (NoSQL) アジャイル スクラム ファシリテーション C言語 ITパスポート JSTQB データサイエンス 単体テスト ユニットテスト キャリアアップ インターネットルーティング基礎 パケット解析 LAN構築 データベース データサイエンティスト トレンド 障害対応 インフラ監視 HTTP/2.0 コンピュータサイエンス VPN ネットワーク物理設計 データベース障害 JavaScript モダンJS (Modern JavaScript) 応用 MVS応用 バックアップ/リカバリ 分散処理 Hadoop Hive Python AI 深層学習(DeepLearning) CentOS Linux応用 Zabbix シェルスクリプト Infrastructure as Code Windowsサーバー基礎 内部設計 Docker DevOps Windowsサーバー応用 NginX chef Ainsible ロジカルライティング R テスト自動化 Jenkins Git 継続的インテグレーション (CI) バージョン管理 Vagrant 要求分析 Redmine 継続的インテグレーション(CI) 継続的デリバリー (CD) ヒューマンリソース管理 Web API マイクロサービス コミュニケーション 業務知識/業界知識 マーケティング 語学 AWS 法務 IoT ビジネスマナー OJT 業務効率化 表計算ソフト オフィスソフト コンプライアンス フロントエンド Subversion PHP 関数型プログラミング Laravel モダンJS (Modern JavaScript) 基礎 Android Studio 機械学習 iOSアプリ開発 ぷプログラミング React 次世代高度IT人材 共創 IPA Raspberry Pi Xamarin スクリプト言語 GoF CUI VBA 資格 ビジネス文書 jQuery 研修参加レポート マネジメント OSPF テーブル設計 アンガーマネジメント クリティカル・シンキング PDU 経営改善 Pマーク 問題解決技法 サイバー攻撃 エンジニア 参加してみた エンゲージメントマネジメント 労働関連法 新人育成 ネットワーク構築 情報セキュリティマネジメント デザインパターン リファクタリング マルチスレッドプログラミング ベンダーコントロール Modern JavaScript 冗長化 VLAN インフラエンジニア チームビルディング テストケース リーダブルコード セキュリティ入門 ネットワーク入門 Node.js npm gulp ビルドツール Python入門 冗長化入門 インフラ実機演習 プロジェクト管理 Active Directory ネットワーク管理 コンテナ 正規化理論 Haskell 品質管理 OpenStack シンギュラリティ DBA中級 プロトコル UX 基本設計 FinTech トラブルシューティング 並列処理 見える化 PMO ロジカルコミュニケーション Deep Learning インデックス設計 超上流工程 BGP Excel C-CENT Selenide プライベートクラウド アセンブラ コンピュータ基礎 工数見積 CCENT 法律知識 失敗から学ぶ プロジェクト失敗事例 PDCA プログラミング入門 非エンジニア向け 4Biz DNS セルフマネジメント 片付け術 サーバーダウン サーバー タイムマネジメント GO言語 プロダクトマネジメント プロダクトマネージャ LVS ロードバランサー 負荷分散 仮想通過 犯罪心理学 情報漏えい SEカレッジ導入事例 IT研修を聞いてみた 会社規模 (100~300名) IT研修制度を聞いてみた CentOS7 開発環境構築 数字力 財務 IT人材 UI Machine Learning Go言語 (golang) データマイニング 統計学 新人教育 やり直し数学 RDB つながる工場 モチベーション WebSocket WebWorker HTML5 CSS3 Bootstrap 微分・積分 システム設計 決断力 LAMP環境 トレ担 教育研修担当者向け ルーティング Linux入門 図解術 目標設定 試験対策 インタビュー技法 Vue.js ブロックチェーン 会社規模 (~50名) DHCP 仕掛け学 BSC 財務諸表 自己分析 RIP スタティックルート バッファオーバーフロー DoS攻撃 システム開発 会社規模 (~99名) Wireshark パケットキャプチャ 管理職研修 部下育成 ワークあり 文章力 情報システム部門向け プロジェクトリーダー プロジェクトマネージャ 塗り絵 リスク管理 法改定 会社の仕組み Chainer AI人材 会話術 会社規模 (~25名) テスト技法 組織規模 51名~99名 組織規模:~199名 [組織規模]199名まで 組織規模 199名まで 組織規模199名まで 会社規模199名まで 会社規模49名まで 会社規模99名まで アプリ開発 サーバサイドJava 営業知識 Cloud 栄養学 基本コマンド ウォーターフォールモデル ヘルスケア 論理設計 ニューラルネットワーク ハンズオン UML 顧客ヒアリング マウスで学ぶ Apache EC2 Lightsail M5Stack DevSecOps プロジェクト成果 画像認識 チャットポット コマンド レビュー 基本用語 自動構築 LPIC-1 サーバーサイドJavascript キャリア形成 ワークライフバランス インバスケット テック用語 GitHub Windows エディタ 教養 令和時代 RESTful API 物理設計 会社規模300名以上

ルータで作って学ぼうファイアウォール 研修コースに参加してみた

今回参加した研修コースは ルータで作って学ぼうファイアウォール です。

「ファイアウォール」と聞くと、皆さんはどんなイメージをお持ちになりますか。 私はよくある防火壁のような絵を思い出すのですが、このコースを受講して、このイメージは罠だと思えました。

ファイアウォールができること | 出来ないこと を実機演習しながら整理できるので、ファイアウォールの設定はもちろん、ネットワークセキュリティの基本を身につけたい方には、とてもオススメです。

では、どのような内容だったのか、レポートします !!

 

想定している受講者

  • TCP/IPプロトコルの基礎知識があること
  • Windows PCの基本操作ができること

受講目標

  • ファイアウォールの基本的な仕組みを理解する
  • ルータによるファイアウォールを構成できるようになる

講師紹介

インフラ系の 新谷 泰英さん です。いつものようにあっさり自己紹介されて、コースのアウトラインをお話いただきました。

  • ルータの実機を使ってファイアウォールで適切にアクセスが制限できることを演習します
  • 具体的にはダミーのWebサーバー(VM)へのアクセスをファイアウォールで制限して色々実験します

ファイアウォールとは?

 

  • ファイアウォールは役割名
  • 設置場所
    • PC
    • ネットワーク機器:接続口に設置
  • 機能
    • パケットフィルタリングが主な機能

 

ファイアウォールとは機器やインストールするソフトウェアのようなものだと思っていたのですが、役割名なのでちょっと違いますね。

 

パケットフィルタリング

  • すべてのインターネットとの通信はルータを通る
    • 単純な話で、このルータにファイアウォールを置きましょう
  • パケット全部を読むのではなく、ヘッダを見ている
    • 特に送信元と宛先のポート番号とIPアドレスを見ている
    • 送信元は不定のケースが多いので、あまり見てない
  • パケットの中身、データは見てない
    • なぜ?
    • 分割されたパケットでは判断できない
    • 暗号化されている場合は中身が見れない

 

ファイアウォールによって出来ることと、出来ないことを知りましょう、とのことで、確かにヘッダ以外は暗号化されているので、確かに中身は見れませんよね。 (逆に見れると怖い…)

ファイアウォールのあの防火壁のイメージは、パケットすべてをブロックするように見えてしまうので、ちょっと変えたほうが良いように思いました。 (私案は、通行証を見る門番がいるようなイメージ)

 

補足: ヘッダ情報の付与

ここでヘッダの情報がレイヤ毎にどのように付与されているのか、改めて復習です。

  • TCP/UDPレイヤでヘッダにポート番号 (アプリケーション番号) を付与
  • IPレイヤでヘッダにIPアドレスを付与
  • 物理レイヤで MACアドレスを付与
  • これで通信に投げる

 

用語解説:インバウンドとアウトバウンド

またこの後に出てくる言葉で、なかなかどっちがどっちか混乱することがあるので、補足解説です。

ルータを基準に考え、

  • 送信をアウトバウント
  • 受信をインバウンド

と表現します。

演習!!

では、早速、演習です!!

 

演習の前提と手順

  • 今回は Cisco 1812j を使用
  • Fa0 と Fa1 とネットワークを持てる
    • Fa0 と Fa1 でそれぞれインバウンドとアウトバウンドがある
      • Fa = FastEthernet
      • 100 Mbps
  • 制限ルール (ACL Access Control List) を作って、それをインバウンドアウトバウンドに適用する
    • 標準ACL
      • 送信元のIPアドレスでフィルタリング
    • 拡張ACL
      • 宛先のIPやポート番号でフィルタリング

 

 

 

Fa0 と Fa1 を設定

  • Fa0 のネットワークアドレスを設定
    • 192.168.10.0/24
  • Fa1 のネットワークアドレスを設定
    • 192.168.20.0/24
  • Fa0とFa1のネットワーク上にあるPC (Windows) PC-AとPC-BのIPを設定
    • PC-A: 192.168.10.10/24
    • PC-B: 192.168.20.10/24
  • PC-A と PC-B との ping 確認

 

標準ACLの設定

 access-list [ACLの番号] [permit | deny] [送信元アドレス] [ワイルドカードマスク] 
  • ポリシーを作る
    • PC-Aは拒否
      • access-list 1 deny 192.168.10.10
    • すべて許可
      • access-list 1 permit any

 

access-group [ACLの番号] [in/out]

  • 標準ACLを適用する
    • Fa0 のインバウンドに適用する
      • interfece fa0
      • ip access-group 1 in
    • 解除の仕方
      • no ip access-group 1 in or access-list 1 permit any

 

ワイルドカードマスク

設定でよく使うワイルドカードマスクについて補足いただきました。

  • ネットワークアドレス: 192.168.10.0 255.255.255.0
  • ワイルドカードマスク: 192.168.10.0 0.0.0.255

 

なお 192.168.10.10 のIPアドレスのみという指定は下のようにやります。

192.168.10.10 0.0.0.0 // Cisco なら host 192.168.10.10 という書き方もOK

 

逆に、すべてOKなら
192.168.10.10 255.255.255.255 // Cisco なら any という書き方でもOK

 

検証

実際にVMでCentOSでサーバーを立てて、 ping でルータを超えた相手に対してテストをしました。

 

拡張ACLの設定

続いて、拡張ACLを設定します。

 access-list 100 [permit | deny] [プロトコル] [送信元IPアドレス] [宛先IPアドレス] eq [宛先ポート番号]

  • 拡張ACLを作成 (WebアクセスのみOK)
    • access-list 100 permit tcp any any eq 80 // ブラウザからサーバーに行くのはOK
    • access-list 100 permit tcp any eq 80 any // サーバー->ブラウザに行くのはOK
    • access-list 100 deny ip any any // すべて拒否を入れるとトラブル時に問題の切り分けに使える
  • Fa0に適用
    • interface fa0
    • ip access-group 100 in
  • 設定を検証
    • ブラウザから http://192.168.10.20 を開く
    • ping を飛ばしてみる

 

この拡張ACLの設定を検証したところで、このコースは修了しました。

まとめ

このコースでは、ファイアウォールが行っていることを簡単に学んだあと、実際にルータを使って、ファイアウォールで出来るアクセスコントロールのやり方を色々試してみました。

新谷さんからも冒頭にあったように、ファイアウォールが出来ること、出来ないことを把握して、例えば、ファイアウォールでは出来ないパケット内容の確認やDoS攻撃などはどう防御するのか、ファイアウォールを通じて、ネットワークセキュリティの幅広さに気づけました。

ネットワークの基本を学んでいる、構築に携わる方には、ファイアウォールの設定はもちろんセキュリティ全般のことにも気付けますので、とてもオススメです!

 

 

label SE カレッジの無料見学、資料請求などお問い合わせはこちらから!!


SEカレッジについて

label SEカレッジを詳しく知りたいという方はこちらから !!

特集・キャンペーン

よくある質問集

タグ一覧

参加してみた研修参加レポートLinux基礎Java基本情報技術者セキュリティプログラミングオブジェクト指向プロジェクトマネジメントネットワークPythonAIプログラミング基礎SQL基礎ヒューマンスキル資格コミュニケーションLinux入門データベースIoT仮想化技術テーブル設計アルゴリズムプログラミング入門エンジニアJavaScriptソフトウェアテストSQL応用マネジメントC# 基礎パケット解析ビジネスマナービジネス文書コンテナjQueryシェルスクリプトLinux応用ファイアウォールPMBOK®LAN構築データサイエンス問題解決技法工数見積障害対応プレゼンテーションデータベース基礎デザインパターンRDBMS教育研修担当者向けDockerER図ヘルスケアAWSWindowsサーバー基礎テック用語サーバー構築DNS簿記ネットワーク入門サーバサイドJava情報処理資格IT研修制度を聞いてみたプロジェクトマネージャ要求定義ロジカルライティングSEカレッジ導入事例テスト自動化PマークVLAN財務Javaプログラミング基礎トレンドアンガーマネジメントRaspberry PiプロトコルIT基礎品質管理応用情報技術者新人研修単体テストロジカルコミュニケーションデータベース設計ExcelインフラエンジニアアジャイルベンダーコントロールコーチングCloudプロジェクト管理機械学習GoFJavaプログラミング応用データサイエンティスト試験対策C# 応用ロジカルシンキングリファクタリングマルチスレッドプログラミング営業知識インフラ実機演習UICCNAネットワーク構築TCP/IP図解術テストケースLVSITパスポート見える化決断力法律知識Modern JavaScriptHTML5RDBActive DirectoryWBSパフォーマンスチューニングCSS3CentOS7データベースセキュリティフレームワークPython入門Git物理設計(データベース)コマンドセルフマネジメントZabbixITILルーティングSQLインジェクション新人育成スクラム管理職研修情報漏えいインデックス設計非エンジニア向けHTML/CSSJavaScript基礎CentOSクラウドLAMP環境OSPFVPNセキュリティ入門関数型プログラミングデータベース障害統計学Deep LearningPDCA微分・積分ソフトウェアテスト基礎Vue.js片付け術犯罪心理学正規化理論サイバー攻撃UI/UXWebアプリケーション開発JavaEEDHCPロードバランサー経営改善基本コマンドBGPエンゲージメントマネジメントシステム開発ネットワーク管理会社規模99名までプロジェクト失敗事例UMLサーバーサイドJavascriptウォーターフォールモデルWindowsOS・システム基盤M5Stackプロダクトマネジメントトラブルシューティング顧客ヒアリング業務効率化DBA中級Windowsサーバー応用リスク管理DevSecOpsマーケティングプロダクトマネージャクリティカル・シンキングマウスで学ぶバージョン管理データベース応用開発環境構築論理設計ブロックチェーンJunitプロジェクト計画法改定UXCisco情報セキュリティマネジメント内定者研修サーバー令和時代要件定義次世代高度IT人材冗長化PHP会社の仕組みLPIC-1自己分析GO言語インターネットルーティング応用情報システム部門向け会社規模49名までビジネスインダストリインタビュー技法OJT仮想通過IPAインターネットルーティング基礎IT人材MVC基礎キャリア形成IPアドレスレビューITサービスマネジメントテスト手法ワークライフバランスCCENT表計算ソフト基本用語HTTP論理設計(データベース)Machine Learningリーダーシップ塗り絵HTTP/2.0OSI参照モデル栄養学会社規模199名までPMO失敗から学ぶWeb API財務諸表ChainerFinTechBootstrapコンピュータ基礎物理設計シンギュラリティモチベーション労働関連法Wireshark業務知識/業界知識ソフトウェアテスト応用RIP冗長化入門LaravelAI人材継続的インテグレーション (CI)会社規模300名以上プロジェクトリーダーWebSocketC-CENTNode.jsエディタパケットキャプチャ新人教育チームビルディングスタティックルートモダンJS (Modern JavaScript) 基礎概念設計(データベース)会話術並列処理PMP®システム設計インフラ監視WebWorkerSelenidechefコンピュータ数学サーバーダウンnpm教養Haskellスクリプト言語やり直し数学Infrastructure as Codeプロジェクト成果インバスケットバッファオーバーフローテスト技法PDUApache継続的インテグレーション(CI)gulpフロントエンドニューラルネットワークプライベートクラウド自動構築アプリ開発超上流工程画像認識目標設定4BizリーダブルコードDoS攻撃IT資格Go言語 (golang)EC2ネゴシエーションタイムマネジメントビルドツール数字力基本設計財務会計ハンズオンアセンブラRESTful API文章力OpenStackつながる工場内部設計見積手法チャットポットGitHub負荷分散共創データマイニングリスクコントロールMicrosoft AzureLightsail

過去の記事