以下板書き

ファイアウォール

ペリメータセキュリティモデル

* ペリメータ:境界線(軍事用語)
WANとLANに分ける設計のこと。

WANとLANの間にあるのが ファイアウォール である。

> ping、Apacheとかも軍事用語。
> インフラエンジニアは知らずのうちに軍事オタだった。。。?!

専用H/W、ソフトウェアとして実装される。

F/Wと一区切りに言っても、色々ある。
種別をある程度把握して、理解する必要がある?

レイヤ3フィルタリング(IPアドレス使用)

= IPでのフィルタリング
> pingとかのICMPもココ

フィルタリングルール

192.168.0.0/16 -j ACCEPT <会社のIP> -j ACCEPT <北の国> -j DENY ほか全て DROP

* DENY 「ダメだよ」って返す。 * DROP 問答無用で捨てる。

> DENY : ディナイ > サーバの居場所を特定されたくなかったりetc.. って時は使わない。

弱点

ゲームとか通販のサーバだと穴だらけにする必要があるよ
偽造に弱いよ:VPNとか使われると無力

レイヤ4フィルタリング(ポート番号、プロトコル種別)

= ポート番号でのフィルタリング

フィルタリングルール

22 -j ACCEPT <-SSHを許可(キケン) 80,443 -j ACCEPT <- HTTPとHTTPSを許可 のこり -j DENY

全てのノードと、経路等で何重にも設定するのが理想。
ノードは数が多くて設定漏れがちだから、経路でもブロックして安心度Up

* 近年の傾向だと、特定ポートへデータを直接投げて感染させるウイルスもあるよ。
関係ないポートは積極的に閉じるべし。

リクエストへの返信

内側からのパケットはよく許可されている。
この際、パケットのACKビットを見て通過させている。

ルータとの違い

専用HWのお話?
ルータ:アクセスコントロール -> 円滑なパケットの交換
F/W:セキュリティコントロール -> 攻撃ブロック
→組織毎に呼び方、表現の仕方が違うよ!

レイヤ7フィルタリング

= プロキシ * ステートフルインスペクション
-> 強力な整合性検査:(パケットの順序、プロトコルとの整合性も見る) * ディープパケットインスペクション
-> データの中を直接見る検査(通信の秘密あたりでユーザからいろいろ言われる)

> 出たよ。

ルールベース作成の注意

= ホワイトリストで許可しよう

全遮断から、必要な分だけ許可。
逆の場合はだいたい漏れがある。

アウトバウンドとインバウンド

> 内側からのパケットはよく許可されている。
この頃はコレに対しても制限をかけるようになった。
感染拡大の防止、機密情報の漏洩を防ぐ。

シングルサインオン SSO

リバースプロキシとSSO

リバースプロキシ:鍵束持っている(それぞれのユーザ分ある)
クライアントがリバースプロキシに対して認証(リバースプロキシの鍵束へアクセスできるように)
他サービスを利用する際は、リバースプロキシを経由して他サービスを使う。

> たとえ
> リバプロ:デズニーの入り口
> サービス:アトラクション

クッキーによるSSO

1. Webサーバが認証に繋いで、
1. ユーザが(Web経由で)認証して
1. 認証サーバからクッキーが送られてきて
1. クッキーでWebサーバにアクセス

SAMLによるSSO

サイト間で認証情報を共有できる?

* アイデンティティプロバイダ(IdP) * サービスプロバイダ(SP) * クライアント

IdPとSPはグルである。(トラストサークル)
トラストサークル内で、 識別子(NameIdentifier) を共有している
IdPとSP内はSAMLプロトコルを用いて通信しているらしい。

IdP : 認証だけ行う。クライアントが本人であるかを確認する。
SP :IdPからのレスポンスに従って、クライアントに権限を割り当てる。
↑これを分離できたのがSAMLの強み。

> たとえ
> SP:JRとか東京メトロとか東武東上線とか名古屋地下鉄とか姫神線とか。。。
> IdP:交通系ICの統括してるとこ
> SAMLトークン:PASMOとかICOKAとかMANACAとか。。。

> 同じIdPを使うSPであれば、SSOが可能
> IdP : あいでぃーぴー
> 認可と認証の違いをハッキリさせておくと、読み解きやすい

> 出た