2008.10.10
[IP Network Skill - No.0377 -] P2P その5
‥‥……━━━━━━ IP Network Skill No. 00000377 ━━━━━━……‥‥
〜 P2P その5 〜
‥‥……━━━━━━━━━━━━━━━━━━━━━━━━━━━━……‥‥
【まえがき】
お詫びが一点あります。
6月に外資系IT企業への転職情報について載せて、
詳しく知りたい方はメールを返信してください、と
いう企画を行いました。
たくさんの返信があったにも関わらず、メールサーバ
の設定がおかしく、正常に受信できていませんでした。
資料請求してくださった方、大変申し訳ございません
でした。
メールを頂いた方には別途連絡させていただきます。
外資系IT(主にネットワークエンジニア)への転職情報
についてご興味ある方は、本メールに資料請求と記述
して返信ください。
╋━━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━━━━━━━━━━……‥‥
┃本┃日┃の┃試┃験┃対┃策┃問┃題┃
╋━━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━━━━━━━━━━……‥‥
〔問題1〕P2Pをファイアウォールで防ぐのが難しい理由のうち、誤っている
ものはどれか。
1.宛先ポート番号がランダムに変化するため
2.通信が暗号化されているため
3.ファイル要求リクエストが既に確立されたセッション経由で来るため
4.宛先IPアドレスが一意でないため
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ネ┃ッ┃ト┃ワ┃ー┃ク┃の┃基┃礎┃講┃座┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
-----------------------------------------------------------------
この企画は処女作「TCP/IPネットワークステップアップラーニング」
http://www.Amazon.co.jp/exec/obidos/ASIN/4774116351/ipnetworksk01-22
を基に構成変更、加筆、修正、省略。。。いろいろ手を加えたものです。
TCP/IPネットワークステップアップラーニングは第4刷を重ねました!
講習教科書などでご利用いただいています。
-----------------------------------------------------------------
【11.アプリケーションプロトコル】
11.24. P2P
11.24.4. P2Pを制限するには?
通常、インターネット上で通信に制限を掛ける場合、ルータでアクセスリスト
を記述するか、ファイアウォールでセキュリティポリシーを記述することにな
ります。
アクセスリストは送信元アドレス、宛先アドレス、宛先ポート番号の組み合わ
せで通信を判定します。
セキュリティポリシーもほぼ同様で、HTTPなど一部のプロトコルのアプリケー
ションヘッダを見て制御できるものもあります。
ルータのアクセスリストとファイアウォールのセキュリティポリシーは何が違
うのでしょう?
まず、ルータの場合、パケットを「許可」か「破棄」できます。
あるインタフェースから入って別のインタフェースへ出て行く過程で、incoming
(入力)か outgoing(出力)か、という方向の区別もできます。
これに対してファイアウォールの場合、セッションの状態を監視します。
方向についても、ゾーンという概念を持ち、あるゾーンから入って別のゾーン
へ出て行く通信を監視します。
たとえば、内部ゾーンから外部ゾーンへ出て行くTCPのSYNパケットは通過を
許すが、外部ゾーンから内部ゾーンへ入っていくSYNパケットは許可しない、
という感じです。
また、外部ゾーンから入ってくるHTTPリクエストに関してのみ、DMZゾーン
のHTTPサーバへSYNを送ることが可能、というような条件も付けられます。
前置きが長くなりましたが、P2Pを制御する場合を考えて見ましょう。
P2Pの宛先ポートは、HTTPで80番が定義されているのとは異なり、ウェルノウン
ポートでユーザが勝手に決めることができます。
またWinnyのPort0ノードのように、外部ノードを介してコネクションを確立
し、外部からのSYNパケットがブロックされている状態でもファイル要求を
受け入れることができてしまいます。
P2Pの場合、サーバとなるノードはインターネット上に散らばっていて、
アクセスリストで宛先を羅列していくことはできません。
そのため、ルータやファイアウォールでP2Pトラフィックを制御することは
通常できません。
-------------------------------------------------------------------
【補足:ルータのアクセスリスト】
ルータのアクセスリストについて復習しましょう。
CiscoのIOSを例にすると、標準アクセスリストと拡張アクセスリストがあり
ます。
[標準アクセスリスト]
(config)# access-list acl-num [ permit | deny ] source
例)
(config)# access-list 10 permit 192.168.1.0 0.0.0.255
アクセスリスト番号=10、192.168.1.0/24というネットワークを送信元とする
通信を許可する、という例です。
[拡張アクセスリスト]
(config)# access-list acl-num action protocol source [port] destination
[port] [option]
例)
(config)# access-list 110 deny tcp any host 10.1.1.1 eq 80 syn
アクセスリスト番号110番で、すべての送信元から10.1.1.1というサーバ宛の
TCPポート80番通信について、SYNフラグが立っているパケットが到着したら
通信を拒否する、という例です。
補足)
"port" には以下のオプションがあります。
eq num: 一致したポート番号
neq num: 一致しないポート番号
gt num: num より大きいポート番号
lt num: num より小さいポート番号
range num1 num2: num1 以上 num2 未満のポート番号
"option" には以下のオプションがあります。
log: トラフィックをログに記録
established: TCP の ACK または RST フラグが立っているパケット
syn: TCP の SYN フラグが立っているパケット
ack: TCP の ACK フラグが立っているパケット
fin: TCP の FIN フラグが立っているパケット
psh: TCP の PSH フラグが立っているパケット
rst: TCP の RST フラグが立っているパケット
urg: TCP の URG フラグが立っているパケット
【ファイアウォールのポリシー】
ルータの場合、デフォルトポリシーは "permit" です。
つまり、何もアクセスリストを設定しなければ、すべての通信を通過させます。
通信の中継器ですから、通過させて当然です。
ファイアウォールの場合、デフォルトポリシーは "deny" です。
セキュリティを守る機械なので、最初は何も通しません。
通しても良い通信だけ、 permit ポリシーを作っていきます。
ファイアウォールは、ルータと違ってゾーンの概念があります。
たとえば以下はNetScreenファイアウォールの例です。
set policy from untrust to dmz r-mail_svr mail_svr MAIL permit
untrust (外部) ゾーンから dmz (DMZ) ゾーンへの通信について、r-mail_svr
(これは別途コマンドでuntrustゾーン側にあるIPアドレスが定義されている。)
からmail_svr(DMZ側のサーバのアドレス)宛てのメール通信(ポート番号が
別途定義されている)を許可する、というものです。
ルータであれ、ファイアウォールであれ、IPアドレス、ポート番号、
TCPのフラグといった情報がないと、拒否すべき通信を判定できません。
-------------------------------------------------------------------
P2Pトラフィックを制御するには、以下の装置を使います。
・IDS/IPS (不正侵入防止装置)
Intrusion Detection System や Intrusion Prevension System の略。
ネットワークトラフィックを受信し、アプリケーションデータの内容を解析
して、異常がないかを確認する。
アンチウイルス(AV)ソリューションの場合、ファイル単位でスキャンする
が、IDSやIPSはアプリケーションプロトコルの制御ヘッダやペイロードを見
て通信特性(振る舞い)を元に異常がないか判断する。
・アプリケーションファイアウォール
通常のファイアウォールはポート番号レベルで判別しますが、アプリケー
ションファイアウォールは特定のプロトコルに対してIPS機能が付いている
ようなもの。
P2P用のアプリケーションファイアウォールもある。
UTM (Unified Threat Management) 製品もIPS機能がついたファイアウォール
といえます。
・プロキシアプライアンス
セキュリティ機能付きのプロキシ製品を使うと、プロキシがクライアント側
セッションを終端したときに、P2Pトラフィックかどうかの判断ができる。
これを元に制御する。
要するに、トランスポート層までしか検知できないルータやファイアウォール
ではなく、アプリケーション層のデータをチェックする機能のある通信装置を
選ばないと、P2Pで知らない間に内部情報が流出する、というようなことを
完全に防ぐことはできないということです。
ウイルスに感染して、本当に知らない間に流出するのを防ぐために、パソコン
にアンチウイルスソフトを入れておく、ということも重要です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
かんたんネットワーク入門
http://www.amazon.co.jp/exec/obidos/ASIN/477412124X/ipnetworksk01-22
第5刷好評発売中!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
解┃答┃と┃解┃説┃
━┛━┛━┛━┛━┛
《本日の試験対策問題》
(解答)2
(解説)
通信が暗号化されていると、アプリケーションデータの
中身を解読することができません。一部のP2Pソフト、
たとえばWinnyでは暗号化をサポートしていますが、
暗号化はあくまでアプリケーションデータ部であり、
ファイアウォールでチェックの対象となるネットワーク
層やトランスポート層の情報は暗号化していません。
そのため、暗号化のサポートというのがファイアウォール
で防ぐことができない直接の原因ではありません。
それよりも、P2Pはインターネット上に散らばった無数
のノード(サーバ)とやりとりが行われるため、
ファイアウォールでIPアドレスによるポリシーを記述
したくても特定できず、すべてのアドレスを意味する "Any"
という値にせざるを得ません。
ポート番号も同じで、特定の番号が決まっていないので
これも "Any" とするしかありません。
また、ゾーン特定を行ったとしても、一部のP2Pでは外部
から内部へのリクエストについては、代理サーバを介して
内部から外部への通信に変換してしまうことができます。
ルータのACLやファイアウォールではP2P通信を防ぐのは
難しく、アプリケーションデータの中身まで解析できる
装置が必要になります。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◆◆◆◆◆ ┃ あとがき ┃ ◆◆◆◆◆◆
5月のゴールデンウィークは祝日が3日あるため、土日と
合わせると5連休となります。
2009年の5月は、3日の憲法記念日が日曜で、その後4日
と5日がそれぞれ祝日のため、振替休日が6日の水曜日に
発生し、5連休となります。
5月4日がみどりの日となったのは昨年の2007年からです。
ちなみにみどりの日は1989年から2006年まで4月29日でした。
4月29日はご存知のとおり、昭和天皇の誕生日です。
振替休日は1973年に制定されました。
もともと5月4日は「国民の祝日」と呼ばれていました。
これは1985年に、「2つの祝日に挟まれた平日を休日とする」
として誕生したものです。
2003年から敬老の日が9月第3月曜に移動されました。
2009年は敬老の日が9月21日、そして秋分の日が9月
23日であり、22日が「国民の祝日」となります。
来年は5月と9月に5連休ができます(土日が休日で
ある前提)!
adzuki
………………………………………………………
IP Network Skill vol.000377 10/10/08
発行者=adzuki http://www.xai.nu/ipnet
…………… ipnet7@xai.nu ……
◎ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄◎
| 新規購読・購読解除・バックナンバー ⇒ http://www.xai.nu/ipnet
| IP Network Skill 掲示板
| ⇒ http://www.xai.nu/cgibin/ipnet/bbs.cgi
| バックナンバー一覧
| ⇒ http://xai.nu/ipnet/stack/index.html
| 間違いご指摘
| ⇒ メルマガにコメントを添えて返信ください。
◎_________________________________◎
シ友達にメールで教える
語学・資格ランキングトップ
まぐまぐアーカイブトップ
sお問い合わせ
(C)まぐまぐ
メルマガトップ(記事一覧)へ
前|
最新号
|
次
