8月21日(月)1コマ目

今日、やったこと

ファイアウォール

今日のホワイトボード

ファイアウォール

ファイアウォールはインターネットからの不正なパケットをブロックしてLANを安全に保つためのセキュリティ機器です。

図 ファイアウォール


ファイアウォールのパケットフィルタリング

ファイアウォールは通過するパケットをあらかじめ決められたフィルタリングルールに従ってフィルタリング(通過を許可、通過を拒否)します。

(基本情報レベルでの)フィルタリング動作のポイントは

  • フィルタリングルールを上から順にチェック
  • 条件にマッチしたら指定された動作(通過を許可、通過を拒否)を行う
  • 以降のフィルタリングルールはチェックしない

です。

また、(基本情報レベルでの)フィルタリングルールは

  • 行き
  • 帰り

の往復のパケットについてフィルタリングルールを作成します。

図 ファイアウォールのパケットフィルタリング

演習問題

基本情報の過去問からファイアウォールに関する問題をやりました。

問1

フィルタリングルール作成の問題です。

図 問1

問2

問1と同じ内容です。

図 問2

問3

*はワイルドカードでなんでもマッチします。


DMZ

ファイアウォールでインターネットからのアクセスをどれくらい遮断するかで、LAN、DMZとゾーンを分けています。

LAN(Local Area Network)は学校内や会社内などのネットワークでF/Wはインターネットからの直接アクセスは拒否します。

DMZ(DeMillitazized Zone)はインターネットからの直接アクセスを受けるWebサーバーやSMTPサーバー、DNSサーバー等を配置するゾーンです。F/Wはインターネットからこれらのサーバーとの通信だけ許可するようにしています。

図 F/Wで分けられるゾーン(LAN、DMZ)


ステートフルパケットインスペクション

今どきのF/Wの機能の1つで、行きのパケット(厳密には許可するパケット)を登録すると、戻りのパケットのルールは自動的に設定されます。

図 ステートフルパケットインスペクション型ファイアウォール


次回は

テストはしません。



このブログの人気の投稿

7月5日(水)4コマ目

イメージ
今日、やったこと TCPのコネクション確立 TCPのシーケンス番号、確認応答番号 今日のホワイトボード TCPのコネクション確立 TCPはいきなりデータを送らずに、まずコネクション確立で相手が受信可能か確認する。 図 TCPのコネクション確立 コネクション確立には3つのパケットのやり取りを行う。 図 コネクション確立のながれ TCPの特徴① 大きなデータを効率よく送る 大きなデータをそのまま送信する場合、送信中に数ビットのエラーが起きても、大きなデータを再送することになり、非常に効率が悪い。 そこで、分割して送信するが、分割すると送信順と同じ順序で受信できるわけではない。そのため、受信側が元通りに組み立て直すことができる仕組みが必要になる。 これを実現すつのがTCPヘッダ内のシーケンス番号。 シーケンス番号は「このパケットはxxxバイト目のデータ」を表す。 図 TCPの特徴① 大きなデータを分割して送信 TCPの特徴② 大きなデータを確実に送る データを確実に届けるには受信したことを送信側に伝えればいい。 そこで、TCPはデータを受信すると、受信応答を送信している。 図 TCPの特徴② データを受信したら受信応答を返す シーケンス番号、確認応答番号を使う TCPヘッダ内のシーケンス番号、確認応答番号を使って  シーケンス番号で何バイト目のデータかを伝える  確認応答番号で何バイト目から送信してほしいかを伝える  =何バイト目まで受信しているかを伝える をやっている。 図 シーケンス番号、確認応答番号 [練習問題]シーケンス番号、確認応答番号の推移 パケット送受信に伴うシーケンス番号、確認応答番号の推移をシミュレーションしてもらいました。 問1 図 [練習問題]シーケンス番号、確認応答番号の推移 問1 次回は シーケンス番号、確認応答番号の続きをやります。  
続きを読む

6月26日(月)2コマ目

イメージ
今日、やったこと [確認テスト]ルーティングテーブル作成2 解説 ARP 今日のホワイトボード [確認テスト]ルーティングテーブル作成2 解説 ホストAからホストAのネットワーク(192.168.16.0/20)以外へ行くパケットを ルーター1のポート1 ルーター2のポート1 のどちらの送るのかが非常に悩ましい。  図 緑(192.168.0.0/20)、青(192.168.32.0/20)への経路をどうするか 正解例として以下の2パターンがある。 正解例1 192.168.0.0/20(図中の緑色のネットワーク)へはルーター1のポート1(192.168.19.1)、192.168.32.0/20(図中の青色のネットワーク)へはルーター2のポート1(192.168.20.254)へ送信する。 図 正解例1 緑(192.168.0.0/20)、青(192.168.32.0/20)別々の経路 〇メリット 正解例2に比べて、無駄がない。 〇デメリット もし、新たにネットワークが追加されたときにはホストのルーティングテーブルを変更する必要あり。 正解例2 192.168.0.0/20(図中の緑色のネットワーク)も192.168.32.0/20(図中の青色のネットワーク)も、ルーター1のポート1(192.168.19.1)またはルーター2のポート1(192.168.20.254)へ送信する。 図 正解例2 緑、青ともに同じルーターへ送信 〇メリット もし、新たにネットワークが追加されてもホストのルーティングテーブルは変更する必要はない。 〇デメリット 正解例1に比べると無駄な経路を使うことになる。 ARPでMACアドレスを調べる 以下の手順でMACアドレスを調べる。 ①ARPテーブル確認 ARPテーブルは過去にARPで調べたIPアドレスとMACアドレスの対応表。 ここに調べたいIPアドレスがあれば、対応するMACアドレスを取得して終わり。 もし、なければ②へ。 ②ARPリクエストパケット送信 調べたいIPアドレスが設定されているPCに確認するためにARPリクエストパケットを送信する。 このパケットの宛先MACアドレスはブロードキャストアドレス(ff:ff:ff:ff:ff:ff)になっている。 図 ARPでMACアドレス取得①、② ③ARPレスポンス送信 ARPリクエ...
続きを読む

6月5日(月)2コマ目

イメージ
今日、やったこと IPのルーティング 今日のホワイトボード ルーティング練習その1 前回の続き。ルーティングテーブルからパケットの経路をたどってみました。 ホスト B->ホストA(ルーティングテーブル:その1) 1.ホストBのIPがルーティング 図 ホストBでのルーティング結果 ホストBのIPがルーティングした結果、ルーター3の上ポートへ送信する。 ホストBのイーサネットはパケットをルーター3の上ポートへ送信する。 2.ルーター3のIPがルーティング 図 ルーター3でのルーティング結果 ルーター3のIPがルーティングした結果、ルーター4の右ポートへ送信する。 ルーター3のイーサネットはパケットをルーター4の右ポートへ送信する。 3.ルーター4のIPがルーティング 図 ルーター4でのルーティング結果 ルーター4のIPがルーティングした結果、ホストAへ直接送信する。 ルーター4のイーサネットはパケットをホストAへ送信する。 ホストA->ホストB(ルーティングテーブル:その2) 1.ホストAのIPがルーティング 図 ホストAでのルーティング結果 ホストAのIPがルーティングした結果、ルーター1の下ポートへ送信する。 ホストAのイーサネットはパケットをルーター1の下ポートへ送信する。 2.ルーター1のIPがルーティング 図 ルーター1でのルーティング結果 ルーター1のIPがルーティングした結果、ルーター4の上ポートへ送信する。 ルーター1のイーサネットはパケットをルーター4の上ポートへ送信する。 3.ルーター4のIPがルーティング 図 ルーター4でのルーティング結果 ルーター4のIPがルーティングした結果、ルーター3の左ポートへ送信する。 ルーター4のイーサネットはパケットをルーター3の左ポートへ送信する。 4.ルーター3のIPがルーティング 図 ルーター3でのルーティング結果 ルーター3のIPがルーティングした結果、ホストBへ直接送信する。 ルーター3のイーサネットはパケットをホストBへ送信する。 ルーティング練習その2 正解例だけあげておきます。 ホスト B->ホストA(ルーティングテーブル:その1) 図 ホストA->ホストB(ルーティングテーブル:その1) ホスト B->ホストA(ルーティングテーブル:その2) 図 ホストA->ホス...
続きを読む