ネットワークスペシャリスト試験対策

ネットワークスペシャリスト試験の受験に向けて学習して得た知識の記録です。

目次

ネットワークセキュリティ

FW

  • ファイアウォールあるいはファイアーウォール (Firewall) の略称
  • IPアドレス、ポート等のヘッダ情報によりフィルタリングを行う。データの中身は見ない。
動的フィルタリング
  • パケット入出力時の解放ポートを同じにする仕組み。
  • ステートフルパケットインスペクションもほぼ同じ意味。

IDS と IPS

  • IDS=侵入検知システム (Intrusion Detection System) の略称
  • IPS=侵入防御システム (Intrusion Prevention System) の略称
  • FWとは異なりデータの中身を見て検知する。検知方法としてシグネチャ型とアノマリ型の2つがある。
用語 概要 特徴
シグネチャ型 シグネチャ(=攻撃の特徴)をデータベース化したものを利用してパターンマッチで検知する 新パターンの攻撃に即時対応出来ない。シグネチャのアップデータ(更新)が必要
アノマリ型 正規の通信とは異なる通信を検知する方式 誤検知が多く、誤検知「false positive」、攻撃の見落とし「false negative」に分かれる
  • IDS・IPS の設置方法には NIDS(Network Intrusion Detection Systems) と HIDS(Network Intrusion Detection Systems) がある。
用語 概要 メリット デメリット
NIDS IDS・IPSを独立して設置する 不具合・故障によるネットワーク全体への影響は少ない トラフィック量が増えると検知漏れが起きる
HIDS ホストマシン上で IDS・IPS を稼働させる トラフィック量が増えても検知漏れが無い スループットの低下が起きる

WAF (Web Application Firewall)

用語 概要 特徴
WAF アプリケーション層(L5~L7)で HTTP などの通信プロトコルを解析して検知・防御する仕組み SQLインジェクションやクロスサイトスクリプティング攻撃を防ぐ

FW、IDS・IPS、WAF の概念図

下図はマイナビさん*1より拝借した。
f:id:dnkrnka:20161121000451j:plain



L2(データリンク層)

ARP(Address Resolution Protocol)

IPアドレスから MACアドレスを得るプロトコル。
下図の場合、PC②から MACアドレス ff:ff:ff:ff:ff:ff でセグメント全体に ARP の要求パケットが出されて、
IPアドレス(10.10.10.1)から PC① の MAC アドレスを取得している。
Sender IP が送信元の IP アドレス、Target IP が探索したい IP アドレスである。
f:id:dnkrnka:20161112210155p:plain
f:id:dnkrnka:20161112210036p:plain

GARP(Gratuitous ARP)

H27-PM-1-1
IPアドレスの重複を検出する ARP のこと。
ARP要求フレームの Sender IP (送信元)と Target IP (探索対象)を同じにすることで重複を探し検出することが出来る。


L3(ネットワーク層)

DSR(Direct Server Return)

下図のようにクライアントへの応答がサーバから直接届けられる負荷分散装置を配置する方式。
LB から SSO① あるいは SSO② に割り振る場合は、イーサネットフレームの送信先 MAC アドレスに
送信したい SSO の MAC アドレスを設定している。

なお、SW内のセグメントでブロードキャスト(ff-ff-ff-ff-ff-ff)で ARP を要求した場合に、
172.16.1.1 が複数存在しエラーになってしまうので、SSO①とSSO②にて VIP に対する ARP の
場合には応答を返さないように設定しておく必要がある。
f:id:dnkrnka:20161112172311j:plain


L4(トランスポート層)

TCP

3ウェイハンドシェイク

コネクション確立のためのシーケンス。

Client         Server
  |    SYN      |
 |  ----------------> |
 |    SYN/ACK    |
 |  <---------------- |
  |    ACK      |
 |  ----------------> |
SYNパケット

TCPセグメント(L4)より下層のデータ構成、およびそのときのパケットログ。

f:id:dnkrnka:20161112180415p:plain
f:id:dnkrnka:20161112181003p:plain


L7(アプリケーション層)

HTTP

Set-Cookieフィールド

H27-PM-1-1
HTTPレスポンスヘッダは以下であり、Set-Cookieフィールドに属性がある。

f:id:dnkrnka:20161120223405p:plain

  • Set-Cookieフィールド
    • Expires属性
      • クライアントに通知する Cookie の有効期限
    • Domain属性
      • クライアントが次に Web サーバに接続した際に、ここで指定したドメインと一致した場合に Cookie を送る。
      • ドメインが同じなら SSO が使える。
    • path属性
      • ドメイン名に加えて、URLのパスを指定したい場合に指定する。(例)/cgi
    • secure属性
      • 暗号化された通信 (HTTPS) の場合にのみ Cookie を送る。たとえ domain と path が一致しても、HTTP 通信の場合は Cookie は送らない。

用語

  • LB
    • 不可分散装置(Load Balancer)。インライン式と DSR 式(Direct Server Return) の 2つがある。
  • VIP
    • 仮想IPアドレス
  • SSO
    • シングルサインオン(Single Sign On)。Google にログインしたら、Youtube の認証も済みという仕組み。
  • リバースプロキシ方式
    • サーバ側に立つプロキシサーバが立つ方式
    • リバースプロキシサーバを前置することで防御が一段階増える。
    • リバースプロキシに認証・認可の機能を持たせる場合もある。複数台のサーバがある場合にリバースプロキシで認証・認可を行うとシングルサインオンを実現できる。
  • リダイレクト
    • あるサーバへの要求を別のサーバに振り換えること
    • サーバからクライアントに 302 (一時的リダイレクト) が発生して、3 の URL に移動する

f:id:dnkrnka:20161112162809p:plain