Network Security

パケット・フィルタ

  • Permissive or open - 特定種類のパケットを否認し、その他の全種類を承認する。
  • Restrictive or close - 特定種類のパケットを承認し、その他の全種類を否認する。Ciscoのアクセス制御リスト(ACL)はこちらの形をとる。
    •

    Security Issues

  • Technology weaknesses - IP spoofing/Ping of death(Denial of service)/Mail flooding(Dos)
  • Configuration weaknesses - ACLの設定・適用場所ミス、容易に推測できるパスワードなど
  • Policy weaknesses - ポリシー決定の不備、管理要員の不足、承認されてないネットワーク・トポロジーの変更やアプリケーションの追加がセキュリティ・ホールを造る。
    •

     

    光ファイバーケーブルは盗聴されないので、他のケーブルに比べ、セキュリティに優れている。

     

    ファイアーウォール・デザイン

    1.パッケトフィルタ・ルータ - ペリメータールータ(インターネットへ接続しているルータ。フロントドアとも言う)がACLを使って、送信元/宛先のネットワークアドレスや送信元/宛先のポート番号、プロトコルタイプなどの要素でパケットをフィルタする。拡張アクセスリストは送信元の近くで使い、標準アクセスリストは宛先の近くで使う。内部ネットワークとDMZの境界ルータをチョークルータと呼ぶ。ペリメータールータには以下の注意事項がある。

  • Telnetアクセスを無効にする。
  • CDPプロトコルを無効にする。no cdp run
  • ひとつのISPにしか接続しないなら、静的ルートを使う。
  • TFTPサーバにしない。
  • フィンガーサービスを無効にする。no service finger
  • IPリダイレクトを無効にする。no icmp redirect
  • IPルートキャッシングを無効にする。no ip route-cache
  • ソースルートブリッジング(SRB)を無効にする。no ip source-route
  • TCP Intercept Toolsを使う。
  • Syslog Server にログを残す。
  • 送信元がプライベートアドレス・127.0.0.0・ファイアーウォール内のネットワークアドレスのパケットはブロック。
    •

    2.アプリケーション・プロキシ - UNIX/WIndows serverがアプリケーションサービスをクライアントに代行する。レイヤ7まで調べる、監査ログを取れる、などの長所がある。短所は低速度、高遅延である。

    3.ステートフル・フィルタ - レイヤ4で動作。アプリケーション・プロキシの代わりになる手法。Cisco PIX Firewallがこれに当たる。高速度、高セキュリティ。接続をメモリのステート・テーブル内に覚えておく。

     

     

    Cisco ファイアーウォール・ソリューション

  • Centri Fairewall - WindowsNTに統合されたソフトウェア・ファイアーウォール。WAN接続T1の中小規模向け。インストール・設定・管理が簡単。Centri Fairewallを実行するシステム上で、その他複数のサービス(Web、電子メール、DNS)を実行することにより、インターネット接続コストを低減する。
  • Cisco IOS フィーチャセット - Ciscoルータに統合されたソフトウェア・ファイアーウォール。CBACを使う。Cisco1600/2500シリーズルータ用の既存のCisco IOSセキュリティ・ソリューションに対して機能・柔軟性を強化する。特にCisco2514/1605-RなどのデュアルLANルータに適している。WAN接続T1。
  • Cisco PIX Firewall - 自己完結型ハードウェアデバイス。エンタープライズクラス最高のパフォーマンスとアダプティブセキュリティ・アルゴリズムによる最強セキュリティを提供。WAN接続に複数のT3を使う大規模向け。モデル515/520などがある。
  • Cisco Micro Webserver - Webオーサリングを提供。
  • Cisco Local Director/Distributed Director - Web/FTP/TelnetなどのTCP/IPトラフィックのロードバランスをインテリジェントに制御する。
    •

    Content-Based Access Control (CBAC) - Cisco IOSのセキュリティ機能拡張。第3、第4、第7層を扱う。Cisco1600/2500シリーズルータがサポートする。

     

    IP Sec プロトコル - Cisco 1600/2x00/36x0/4x00/5x00/7x00 シリーズでサポート

  • ESP - トランスポート・モード(ネットワーク内で使用)とトンネル・モード(VPNで使用)がある。
  • AH - ヘッダーからペイロード全体を保護する。
    •

    ハッシュアルゴリズム - MD5(128bit)とSHA(160bit)がある。

    VPN トンネリング・プロトコル

  • L2TP - IETF標準(マルチプロトコル)。L2TP Access Concentrator(LAC):PSTNに接続されるCIsco network-access server
  • PPTP - マイクロソフトのVPNソリューション(マルチプロトコル)
  • L2F - CIsco独自。第2層フレーム(HDLC/PPP/SLIP)を転送する。
    •

    Key Excahnge Mechanism - Diffle-HellmanとOakleyの2種類がある。

     

    参照:Cisco CID Exam Certification Guide(CiscoPress)/CCDA実践ガイドブック(ソフトバンク)

    inserted by FC2 system