情報システム管理 情報システム管理

情報システム管理 情報システム管理

５ . ネットワークとファイア ウォール

水野嘉明

本日の内容 本日の内容

１ . ネットワーク TCP/IP の 基本

２ . ファイアウォール

ファイアウォールによるセ キュリティの保護について

2

１ . ネットワーク

１ .１ ＴＣＰ／ＩＰ

１ .２ ＩＰアドレスとネットマ スク １ .３ ＩＰアドレスの割り当て １ .４ ポート番号

１ .５ ネットワークの設定 ２ . ファイアウォール

3

本日の内容

本日の内容

１． ネットワーク １． ネットワーク

 サーバは、必ずネットワークに接 続される

 インターネットは、

世界中のコンピュ－タネット

ワークを 相互に接続した ネット ワーク

4

１ １ . . １ ＴＣＰ／ＩＰ １ ＴＣＰ／ＩＰ



ＴＣＰ／ＩＰ

Transmission Control Protocol / Internet Protocol

5

１ １ . . １ ＴＣＰ／ＩＰ １ ＴＣＰ／ＩＰ

 プロトコル ^(protocol) とは、

 『通信規約 』

 データの形式

 データ送受信の手順 などの約束事

 多岐にわたる機能を分類するた め、 階層化 されている

6

１ １ . . １ ＴＣＰ／ＩＰ １ ＴＣＰ／ＩＰ

 ＴＣＰ／ＩＰ の階層構造

7

応用層

(SMTP,POP3, HTTP,FTP など）

トランスポート層（Ｔ ＣＰ）

インターネット層（Ｉ Ｐ）

ネットワーク

インタフェース層

 ＯＳＩ参照モデル

応用層（アプリケーション 層）

プレゼンテーション層 セッション層

トランスポート層 ネットワーク層 データリンク層

ＯＳＩ 参照モデ

ル

ネットワークに 必要な機能を、

７つの階層に分 けて定義してい る

ＩＳＯ（国際標 準化機構）が制 定

8

１ １ . . １ ＴＣＰ／ＩＰ １ ＴＣＰ／ＩＰ



プレゼンテー ション層 セッション層 トランスポート

層

ネットワーク層 データリンク層

物理層 応用層

(SMTP,POP3, HTTP,FTP

トランスポート層（Ｔ

ＣＰ）

インターネット層（Ｉ

Ｐ）

ネットワーク

インタフェース層

ＯＳＩ 参照モデ ル

ＴＣＰ／ ＩＰ

１ １ . . １ ＴＣＰ／ＩＰ １ ＴＣＰ／ＩＰ

 パケット交換

)

 ネットワーク同士は、ルータを介し てつながっている

 パケット交換方式

 データをパケットと呼ばれる単位 に区切り、

 「バケツリレー式」で受け渡す

10

１ １ . . １ ＴＣＰ／ＩＰ １ ＴＣＰ／ＩＰ

（パケット）

ルータ

ルータ ルータ

11

１ １ . . １ ＴＣＰ／ＩＰ １ ＴＣＰ／ＩＰ

パケット交換の様

子

 パケット交換（バケツリレー）に 必要な情報

 ＩＰアドレス

 ホストの区別

 ネットマスク

 ネットワークアドレスを計算

 ルーティング情報

 受取ったパケットの転送先

１ １ . . １ ＴＣＰ／ＩＰ １ ＴＣＰ／ＩＰ

１ １ . . ２　ＩＰアドレスとネット ２　ＩＰアドレスとネット マスク マスク

 ＩＰアドレス

 ネットワークに接続されたホストを 一意に識別するための数値

 ＩＰｖ４では 32 ビット、ＩＰｖ６ では 128 ビット　（いまだ主流は ＩＰｖ４）

 ＩＰｖ４では、 0~255 の数値４ヶを ピリオドで区切って表示

　例） 160.30.21.110

13

 ＩＰアドレスは、ネットワーク アドレス部とホストアドレス部 に分かれる

14

１ １ . . ２　ＩＰアドレスとネット ２　ＩＰアドレスとネット マスク マスク

ネットワークアド

レス ホストアドレ

（ネットワークアドレスは、可変長 ス

。 これは、１６ビットの場合）

例） 160.30.21.110

 ネットワークアドレス ネットワークを識別

 ホストアドレス

ネット内のホストを識

別

１ １ . . ２　ＩＰアドレスとネット ２　ＩＰアドレスとネット マスク マスク

ネットワークアド

レス ホストアドレ ス

例） 160.30.21.110

 ネットマスク （サブネットマスク）

 ネットワークアドレスの長さを示す

 ネットワークアドレス部を１とした ビット列

例 1 ） 255.255.0.0

例 2 ） IP アドレスとあわせて、

160.30.21.110/16 という表記 も可

16

１ １ . . ２　ＩＰアドレスとネット ２　ＩＰアドレスとネット マスク マスク

ネットワークアドレスの長さ＝ 16

ビット

 ＩＰアドレス １９２

.

.

.

ネットマスク ２５５

.

.

.

11000000 10101000 00001010 00000110

192 ． 168 ． 10

． 11111111 11111111 11111111 6 10000000

255 ． 255 ． 255

． 128 ネットワークアドレ

ス

１ １ . . ２　ＩＰアドレスとネット ２　ＩＰアドレスとネット

マスク マスク

 ホストアドレス部が、全て０および全て１のアド レスは、特殊用途に使われる



その他のアドレス

　例） ネットワークアドレス １９２

.

.

.

.

.

.

⇒

１９２ .１６８ .１０ .１ ～ １９２ .１６８ .１ ０ .１２６

　が使用可

18

１ １ . . ２　ＩＰアドレスとネット ２　ＩＰアドレスとネット

マスク マスク

１ １ . . ２　ＩＰアドレスとネット ２　ＩＰアドレスとネット マスク マスク

 以前は、 IP アドレスは、５つの アド レスクラス に分類されていた

 クラス A ～クラス C が通常使われる

（クラス D 、 E は特殊用途用）

 ホストアドレス部の長さが、クラス により決まっている

( ネットワークの規模が異なる）

19

１ １ . . ２　ＩＰアドレスとネット ２　ＩＰアドレスとネット マスク マスク

 アドレスクラス A ～ C

20

クラ ス 規模 ホスト 部 アドレスの範囲 Ａ 大 24

ビット

0.0.0.0 ～

127.255.255.255 Ｂ 中 16

ビット

128.0.0.0 ～

191.255.255.255 Ｃ 小 8

ト

192.0.0.0 ～

223.255.255.255

１ １ . . ３ ３ IP IP アドレスの割り当て アドレスの割り当て

 ＩＰアドレスは、勝手には決めら れない

 衝突（重複）が起こっては困る

 世界中でユニーク

21

 グローバルＩＰアドレス

 世界中で一意なＩＰアドレス

 日本では、ＪＰＮＩＣという組 織が割り当てを行っている

JPNIC プロバイ

ダ ユーザ

22

１ １ . . ３ ３ IP IP アドレスの割り当て アドレスの割り当て

 プライベートＩＰアドレス

 アドレスの枯渇が問題

 ローカルなネットワーク内では、

厳密な（世界中での）一意性は保 証しなくても良い

 ローカルなネットワーク内だけで 通用するＩＰアドレスを割り振る

23

１ １ . . ３ ３ IP IP アドレスの割り当て アドレスの割り当て



（ネットワーク外と通信できない）

インターネ ット

ローカルな ネットワー ク

24

１ １ . . ３ ３ IP IP アドレスの割り当て アドレスの割り当て

ルータ

 プライベート IP アドレスでは、外 部にアクセスできない

外にアクセスするときは、ＮＡＴ 等の技術を使用する

（後日解説する予定）

 サーバは、通常グローバル IP アド

レスを用いる

１ １ . . ３ ３ IP IP アドレスの割り当て アドレスの割り当て

 推奨されるプライベートＩＰアドレス

 プライベートでも、どんなＩＰアド レスを使っても良いわけではない

クラス Ａ

10.0.0.0 ～ 10.255.255.255 クラス Ｂ

172.16.0.0 ～ 172.31.255.255 クラス Ｃ

192.168.0.0 ～

192.168.255.255

１ １ . . ３ ３ IP IP アドレスの割り当て アドレスの割り当て

 固定ＩＰアドレスと動的アドレス

 通常、サーバのＩＰアドレスは固定

 ＰＣなどは、接続するごとにＩＰア ドレスを割り当てることが可能

⇒ ＤＨＣＰ を用いる

説）

27

１ １ . . ３ ３ IP IP アドレスの割り当て アドレスの割り当て

１ １ . . ４ ポート番号 ４ ポート番号

 1 台のホスト上で、複数のプログラ ムが同時に通信を行う

 ポート番号により、サービス

（アプリケーション）を区別する

80

ブラウ ザ

2

メーラ

Ｗｅｂサー メールサーババ

28

クライアント

 ＩＰアドレスでホストを特定し、ポー ト番号でその中のサービス（アプリ ケーション）を指定する

 ＩＰアドレス＋ポート番号＝ ソケッ ト

 ０～１０２３番は、インターネット上 でよく使用されるサービスに割り当て られている

　⇒ ウェルノウン ポート番号

29

１ １ . . ４ ポート番号 ４ ポート番号

 代表的なウェルノウンポート番号

サービス 機能 番号

Web Web

80

FTP

20 FTP

21 SSH

化）

22 Telnet

23 DNS

53

SMTP

25

POP3

110

30

１ １ . . ４ ポート番号 ４ ポート番号

１ １ . . ５ ネットワークの設定 ５ ネットワークの設定

 ｉｆｃｏｎｆｉｇ



$ ifconfig if ipaddr [mask]

$ ifconfig [if [option]]

if ： インターフェ ース名 ipaddr ： IP アドレス

mask ： ネットマスク指 定

31

 ｉｆｃｏｎｆｉｇ コマンドの例 $ ifconfig eth0

eth0 の設定を表示

$ ifconfig eth0 down

eth0 を停止 （ up にて起動）

32

１ １ . . ５ ネットワークの設定 ５ ネットワークの設定

 ｉｆｃｏｎｆｉｇ コマンドの例 $ ifconfig eth0 192.168.11.4 　 netmask

255.255.255.0 _{eth0 に IP} アドレスとネットマスク を設定

33

１ １ . . ５ ネットワークの設定 ５ ネットワークの設定

 ルーティングテーブル

 IP パケットを送信する時に、

「どこ宛のパケットはどのルータ に 送ればよいか」

といった経路情報を記したテーブル

34

１ １ . . ５ ネットワークの設定 ５ ネットワークの設定

 ｒｏｕｔｅ コマンド

 ルーティングテーブルの管理



経路情報の追加 /削除 / 変更 / 表示

$ route com target [option]

$ route [option]

com ： コマンド （ add / del) target ： 対象のネットワーク /

ホスト

１ １ . . ５ ネットワークの設定 ５ ネットワークの設定

 route コマンドの例

$ route add default gw mango-gw

デフォルト経路を追加する

$ route add -net 192.57.66.0

netmask 255.255.255.0

ネットワーク 192.5 ７ . ６ 6.x を 追加する

36

１ １ . . ５ ネットワークの設定 ５ ネットワークの設定

 route コマンドの例

$ route del -net 192.57.66.0

ネットワーク 192.5 ７ . ６ 6.x を 削除する

37

１ １ . . ５ ネットワークの設定 ５ ネットワークの設定

１ １ . . ５ ネットワークの設定 ５ ネットワークの設定

 route コマンドの表示例

デフォルトゲートウ ェイ

38

 netstat コマンド

 ネットワークの状態や統計情報を 一覧表示する

$ netstat [option]

option なし： 有効な接続のみ表

示 -a : すべての接続を表示 -s ： 統計情報を表示

-r ： ルーティングテーブルを表 示

39

１ １ . . ５ ネットワークの設定 ５ ネットワークの設定

１ . ネットワーク

２ . ファイアウォール

２ .１ スーパデーモンによる制御 ２ .２ ファイアウォールとは

２ .３ パケットフィルタ

２ .４ アプリケーションゲート ウェイ

２ .５ ＤＭＺとファイアウォール

40

本日の内容

本日の内容

２ ２ . . ファイアウォール ファイアウォール

 セキュリティのためには、無条件に 通信を許すことはできない

⇒ 通信相手や通信内容等によって、

アクセス制限

 スーパデーモンでのアクセス制御

 パケットフィルタ型ファイア ウォール

 アプリケーションゲートウェイ

２ ２ . . １ スーパデーモンによる １ スーパデーモンによる 制御 制御

 ｘｉｎｅｔｄによるアクセス制御

 利用を許可する／禁止するホス ト・ドメインを指定

 利用可能な時間帯を指定

 NIC による制限

 コネクション数の制限

 ログについての設定　　　　など

42

 ｘｉｎｅｔｄの設定ファイル

 全てのサービスに共通の設定 /etc/xinetd.conf ファイル

 各サービス個別の設定

/etc/xinetd.d/ ディレクトリ 配下のサービス名と同名のファ イル （例： /etc/xinetd.d/telnet ）

43

２ ２ . . １ スーパデーモンによる １ スーパデーモンによる

制御 制御

 ｘｉｎｅｔｄの設定ファイル

/ ─ etc ┬─

│

└─ xinetd.d ──

44

２ ２ . . １ スーパデーモンによる １ スーパデーモンによる 制御 制御

xinetd.conf

telnet

rsync

swat ：

 ｉｎｅｔｄ ＋ ＴＣＰＷｒａｐｐｅｒ

 inetd には、ｘｉｎｅｔｄのよう なアクセス制御機能はない

 TCP Wrapper というアクセス制御 プログラムと組み合わせて利用

 少々古いが、まだ現役

（ KNOPPIX では ｉｎｅｔｄを使

用）

２ ２ . . １ スーパデーモンによる １ スーパデーモンによる 制御 制御

再掲

２ ２ . . １ スーパデーモンによる １ スーパデーモンによる 制御 制御

 TCP Wrapper の設定

 設定ファイルは、 /etc/hosts.allow および /etc/hosts.deny

 hosts.allow には、アクセスを許可す るホストを書く

 hosts.deny には、アクセスを拒否す るホストを書く

46

２ ２ . . １ スーパデーモンによる １ スーパデーモンによる 制御 制御

1. /etc/hosts.allow で許可されてい るホストは許可

2. 上記で許可され

ず /etc/hosts.deny で拒否されて いるホストは拒否

3. 両方に記述のないホストは許可

47

２ ２ . . １ スーパデーモンによる １ スーパデーモンによる 制御 制御

 設定の記述方法



daemon_list

制御するサービス名



hosts_list

制御対象のホスト名、 IP アドレス

48

daemon_list : host_list

[:command ]

２ ２ . . １ スーパデーモンによる １ スーパデーモンによる 制御 制御

 command

シェルコマンド、または、拡張コ マンド （ ALLOW 、 DENY 等）

注：拡張コマンド ALLOW 、 DENY を用いると、 /etc/hosts.allow の みでアクセス制御を記述すること ができる

49

２ ２ . . １ スーパデーモンによる １ スーパデーモンによる 制御 制御

 hosts.allow サンプル

50

①②

③④

２ ２ . . １ スーパデーモンによる １ スーパデーモンによる 制御 制御

① inetd による telnet の起動を、 IP ア ドレス 192.168.11.* のホストに許 可

② ssh によるアクセスを、すべてのホ ストに対して許可

③ ローカル（ KNOPPIX が動作してい る本体）では、すべての動作を許可

④ ① ～③以外は、すべて禁止

51

２ ２ . . ２ ファイアウォールとは ２ ファイアウォールとは

 「外敵を防ぐ最初の砦」

内部ネットワー ク

インターネ ット

ファイアウォー ル

52

 組織内ネットワーク（「信頼できる ネットワーク」）とインターネット

（「信頼できないネットワーク」）

の間で、出入りするパケットを監視

53

２ ２ . . ２ ファイアウォールとは ２ ファイアウォールとは

内部ネットワー

（信頼できる） ク インターネッ

ト （信頼できな い）

FW

？

 決められたルールをもとに、パ

ケットを通したり破棄したりする

 ルールは、ユーザーの ポリ

シー （ネットワークをどのよう に運用したいかという考え方・

ルール）に従い作成される

54

２ ２ . . ２ ファイアウォールとは ２ ファイアウォールとは

 ファイアウォールには２種類

 パケットフィルタリング 型

 IP アドレス、ポート番号などに より判断

 アプリケーションゲートウェイ 型

 通信を中継するプロキシプログラ ムを使用する

55

２ ２ . . ２ ファイアウォールとは ２ ファイアウォールとは

２ ２ . . ３ パケットフィルタ ３ パケットフィルタ

 TCP/IP では、データは「パケッ ト」を単位として送受信される

 パケットには以下の情報がある

 送信元の IP アドレス

 送信元ポート番号

 宛先の IP アドレス

 宛先のポート番号

56

 これらの情報を基に、パケットそ のものの通過を制御するのが

パケット・フィルタリング

 シンプルで高速な処理

 ルールの定義が煩雑

57

２ ２ . . ３ パケットフィルタ ３ パケットフィルタ

SSH

Web

FTP

（動作していない）

サーバ

パケット・

フィルタ

IP アドレス a.b.c.d からは許可

IP アドレス a.b.c.d 以外からは拒否

ポート 20 は拒否 ポート 80 は許可

２ ２ . . ３ パケットフィルタ ３ パケットフィルタ

58

 パケットフィルタ型ファイアウォー ルソフトウェアは、多数ある

 ipfw UNIX 全般

 IPFilter UNIX 全般

 PF BSD

 iptables Linux

 ipchains Linux

59

２ ２ . . ３ パケットフィルタ ３ パケットフィルタ

２ ２ . . ３ パケットフィルタ ３ パケットフィルタ

 iptables は、パケットが通過する経路 上に、５つの チェイン を設けている

 【 INPUT 】

 【 FORWARD 】

 【 OUTPUT 】

 【 PREROUTING 】

 【 POSTROUTING 】

60

61

ローカルプロセス

INPUT

OUTPUT

（経路）の 決定

POSTROUTING FORWARD

入ってく るパケッ ト

出て行 くパケ ット

PREROUTING

２ ２ . . ３ パケットフィルタ ３ パケットフィルタ

 iptables は、このチェインを監視し て

『このパケットは通さない』

『 このパケットは通す 』 などの処理を行う

62

２ ２ . . ３ パケットフィルタ ３ パケットフィルタ

注： その他、 NAT （後日 ) の

ための 機能もある

 iptables コマンド

63

$ iptables -A chain 名 パラメータ

-j 処理方法

どのようなパケ ットが通過する

時に

どう処理するか どのチェイン

を

２ ２ . . ３ パケットフィルタ ３ パケットフィルタ

（ iptables コマンド例）

$ iptables -A INPUT -p tcp

--dport 80 -j ACCEPT

・ -A : ルールの追加

・ INPUT : 入力パケットが対 象

・ -p tcp : TCP プロトコル

・ --dport 80 : 80 番ポート（ Web サ

ーバ） ・ -j ACCEPT: パケット受信の許可

２ ２ . . ３ パケットフィルタ ３ パケットフィルタ

 iptables コマンドによる設定は、再 起動により リセットされる

⇒ コマンドによりセーブしなければ 　　ならない

$ invoke-rc.d iptables save filename

セーブする場所は、ディストリビュー ションにより異なる

（ /etc/sysconfig/iptables 等）

２ ２ . . ３ パケットフィルタ ３ パケットフィルタ

$ iptables-save > filename

２ ２ . . ４ アプリケーションゲー ４ アプリケーションゲー トウェイ トウェイ

 プロキシ ^(proxy) とは

 「代理人」

 内部ネットワークと外部（イン ターネット）との境界で、内部 のホスト／ソフトウェアの代わ りに、外部との接続を行うホス ト／ソフトウェア

66

 アプリケーションゲートウェイ

 プロキシを利用することにより、内 部ネットワークを外部から切り離す

 外部との通信は、すべてプロキシが 仲立ちする

 内部からはプロキシとだけ通信

 プロキシが通信内容をチェック ⇒ 不正アクセス、侵入行為

67

２ ２ . . ４ アプリケーションゲー ４ アプリケーションゲー

トウェイ トウェイ

 プロキシは、プロトコルを理解し チェックする

 例： ＵＲＬチェック

ウィルスチェック 情報漏洩の検出

68

２ ２ . . ４ アプリケーションゲー ４ アプリケーションゲー

トウェイ トウェイ

 サービスのプロトコル毎に、個別 にゲートウェイプログラムを用意 する必要がある

 煩雑

 高度な機能を実現できる

69

２ ２ . . ４ アプリケーションゲー ４ アプリケーションゲー

トウェイ トウェイ

Web サーバ ｈｔｔ ｐ要求 要求を

中継 クライア ント

クライアントからは、プロキシサ ーバが Web サーバに見える

内部 外部

70

２ ２ . . ４ アプリケーションゲー ４ アプリケーションゲー トウェイ トウェイ

プロキ シ

サーバ

２ ２ . . ５ ５ DMZ DMZ とファイアウォー とファイアウォー ル ル

 DMZ

 DeMilitarized Zone ：非武装地帯

 外部のネットワーク（インター ネット）と、内部ネットワークの 間に設けられた緩衝地帯

 外部に公開するサーバを、 DMZ に置く （⇒外部からのアクセス を、この領域だけに限定する）

71

 DMZ の構成例 (1)

DMZ 内部ネットワー

ク

ＦＷ ＦＷ

72

２ ２ . . ５ ５ DMZ DMZ とファイアウォー とファイアウォー ル ル

インターネッ ト

サーバ

 DMZ の構成例 (2)

インターネッ ト

DMZ 内部ネットワー

ク

サーバ

ＦＷ

73

２ ２ . . ５ ５ DMZ DMZ とファイアウォー とファイアウォー

ル ル

 セキュリティ設計上の注意

 ファイアウォールが万能というわ けではない

 各レベルでのセキュリティを併用 することにより、安全性が高まる

74

２ ２ . . ５ ５ DMZ DMZ とファイアウォー とファイアウォー

ル ル

【 【 課題 課題 4 4 】 】

 telnet により、 Windows からログ インする

 VMWARE+KNOPPIX に

は、 Windows とは別の独自 IP ア ドレスが自動的に割り振られている

 「課題３」の inetd が動いていな いと、 telnet は動かない

（ iptables の設定は、当面不要）

75

【 【 課題 課題 4 4 】 】

 KNOPPIX 上では、

 ifconfig コマンドにて、 IP アドレス を確認する

 /etc/hosts.allow ファイルを編集し

、 Windows からの telnet を可能に

する （ root で作業しなければならない）

【 【 課題 課題 4 4 】 】

 Windows にて、 TeraTerm を用いて KNOPPIX にログインする

 ユーザ名は、「課題１」で作成した 自分名のユーザとする

 ログイン画面をキャプチャ

し、 Word ファイルに貼り付ける

 Word のファイル名を

report4.docx とし manaba のレ

ポート４に提出する

【 【 課題 課題 4 4 】 】

 注： TeraTerm

78

KNOPPIX の IP アド レス

telnet

を使う

【 【 課題 課題 4 4 】 】

 ログインすると、こんな画面に なるはず

79

【 【 課題 課題 4 4 】 】

 画面キャプチャは、

Fn ＋ Alt ＋ PrintScreen

（３つのキーを同時に押す）

 Word のファイル上で、貼り付け

（ Ctrl ＋ V ）

80

次回の予定 次回の予定

１ . セキュリティについて

セキュリティの必要性、クラッ カー の攻撃手段、など

２ . セキュリティ対策

どのようにして、セキュリティを 守るか

81

お疲れ様でした

お疲れ様でした