---

以下板書き

ファイアウォール

ペリメータセキュリティモデル

* ペリメータ：境界線(軍事用語)
WANとLANに分ける設計のこと。

WANとLANの間にあるのが ファイアウォール である。

> ping、Apacheとかも軍事用語。
> インフラエンジニアは知らずのうちに軍事オタだった｡｡｡？！

専用H/W、ソフトウェアとして実装される。

F/Wと一区切りに言っても、色々ある。
種別をある程度把握して、理解する必要がある？

レイヤ3フィルタリング(IPアドレス使用)

= IPでのフィルタリング
> pingとかのICMPもココ

フィルタリングルール

192.168.0.0/16 -j ACCEPT
<会社のIP> -j ACCEPT
<北の国> -j DENY
ほか全て DROP

* DENY 「ダメだよ」って返す。 * DROP 問答無用で捨てる。

> DENY : ディナイ > サーバの居場所を特定されたくなかったりetc.. って時は使わない。

弱点

ゲームとか通販のサーバだと穴だらけにする必要があるよ
偽造に弱いよ：VPNとか使われると無力

レイヤ4フィルタリング(ポート番号、プロトコル種別)

= ポート番号でのフィルタリング

フィルタリングルール

22 -j ACCEPT <-SSHを許可(ｷｹﾝ)
80,443 -j ACCEPT <- HTTPとHTTPSを許可
のこり -j DENY

全てのノードと、経路等で何重にも設定するのが理想。
ノードは数が多くて設定漏れがちだから、経路でもブロックして安心度Up

* 近年の傾向だと、特定ポートへデータを直接投げて感染させるウイルスもあるよ。
関係ないポートは積極的に閉じるべし。

リクエストへの返信

内側からのパケットはよく許可されている。
この際、パケットのACKビットを見て通過させている。

ルータとの違い

専用HWのお話？
ルータ：アクセスコントロール -> 円滑なパケットの交換
F/W：セキュリティコントロール -> 攻撃ブロック
→組織毎に呼び方、表現の仕方が違うよ！

レイヤ7フィルタリング

= プロキシ * ステートフルインスペクション
-> 強力な整合性検査：（パケットの順序、プロトコルとの整合性も見る） * ディープパケットインスペクション
-> データの中を直接見る検査（通信の秘密あたりでユーザからいろいろ言われる）

> 出たよ。

ルールベース作成の注意

= ホワイトリストで許可しよう

全遮断から、必要な分だけ許可。
逆の場合はだいたい漏れがある。

アウトバウンドとインバウンド

> 内側からのパケットはよく許可されている。
この頃はコレに対しても制限をかけるようになった。
感染拡大の防止、機密情報の漏洩を防ぐ。

シングルサインオン SSO

リバースプロキシとSSO

リバースプロキシ：鍵束持っている（それぞれのユーザ分ある）
クライアントがリバースプロキシに対して認証（リバースプロキシの鍵束へアクセスできるように）
他サービスを利用する際は、リバースプロキシを経由して他サービスを使う。

> たとえ
> リバプロ：ﾃﾞｽﾞﾆｰの入り口
> サービス：アトラクション

クッキーによるSSO

1. Webサーバが認証に繋いで、
1. ユーザが(Web経由で)認証して
1. 認証サーバからクッキーが送られてきて
1. クッキーでWebサーバにアクセス

SAMLによるSSO

サイト間で認証情報を共有できる？

* アイデンティティプロバイダ(IdP) * サービスプロバイダ(SP) * クライアント

IdPとSPはグルである。（トラストサークル）
トラストサークル内で、 識別子(NameIdentifier) を共有している
IdPとSP内はSAMLプロトコルを用いて通信しているらしい。

IdP : 認証だけ行う。クライアントが本人であるかを確認する。
SP ：IdPからのレスポンスに従って、クライアントに権限を割り当てる。
↑これを分離できたのがSAMLの強み。

> たとえ
> SP：JRとか東京メトロとか東武東上線とか名古屋地下鉄とか姫神線とか｡｡｡
> IdP：交通系ICの統括してるとこ
> SAMLトークン：PASMOとかICOKAとかMANACAとか｡｡｡

> 同じIdPを使うSPであれば、SSOが可能
> IdP : あいでぃーぴー
> 認可と認証の違いをハッキリさせておくと、読み解きやすい

> 出た