見出し画像

第3回:アクセスリスト(ACL)の基礎【基礎知識】

ネットワーク技術ブログ@ケルン

この記事で学べること

  • アクセスリストの役割を理解できる

  • アクセスリストの適応方法を理解できる

  • アクセスリストの種類を理解できる

通信の許可、拒否

私たちが普段インターネットへアクセスするときは、ルータがルーティングをしてくれます。また、インターネットからの通信もルータがルーティングをして、私たちが使用しているPCや、スマホへ通信してくれます。

しかし、ルータを通る通信はいつも安全な通信とは限りません。インターネットからの悪意ある攻撃を受ける可能性もあります。

そのような危険性を事前に排除するために、ルータにアクセスリスト(以下、ACL)を実装し、信頼できる通信のみを許可、その他の通信を拒否することができます。

ネットワークにおいては不必要な通信を拒否することで、セキュリティを高めることができます。ACLはネットワークの安全性を確保するためには不可欠な機能といえます。

ACLの仕組み

ACLの実態はIPアドレスのリストです。どんなIPアドレスを許可して、どんなIPアドレスを拒否するのか、という情報が記載されています。

実際に通信を制御するためには、パケットが通過すると想定されるインターフェースにACLを適用しなければなりません。

例えば、指名手配犯のリストを作ったとします。そこには、「こんな人が来たら捕まえてね」と書いてあります。指名手配犯を実際に捕まえようとした場合には、犯人が通りそうな場所(空港、湾港、幹線道路等)に警察官を配置し、指名手配犯のリストを渡す必要があります。

どこでチェックするのかという情報がインターフェースにあたり、誰を捕まえるのかという情報がALCとなります。

つまり、ACLは作っただけではただのリストに過ぎず、どこでそのリストを使用するのか、という設定が必要というわけです。

チェック方法

ACLの設定では、ワイルカードマスクを使用します。ワイルカードマスクは、指定したIPアドレスのどの部分を読み取る必要があるのかを表しています。32ビットの数値で、1オクテットごとに「.」で区切って、10進数で表します。

ワイルカードマスクの例

「0」と「1」
「0」…指定したIPアドレスのビットが合致するかチェックすることを示しています。
「1」…指定したIPアドレスのビットが合致するかチェックしないことを示しています。

たとえば、ACLに「192.168.10.0」のネットワークアドレスで、ワイルカードマスクを「0.0.0.255」で設定したとします。
着信したパケットをビット毎にチェックし、ACLのネットワークアドレスと一致するかを確認します。

ワイルカードマスクが「1」の場合はチェックはしないので、着信したパケット「192.168.10.18」は許可されます。

着信したパケットを許可する例

「192.168.100.18」の場合は、チェックするビットで一致していないので、パケットは拒否されます。

着信したパケットを拒否する例

適応ルール

適応方向
インターフェースにACLを適用する際には、入ってくる通信(IN)なのか、出ていく通信(OUT)なのかを決める必要があります。

適応方向

適応順序
ACLは上から順に適用されていきます。

ACLの最後の行には、暗黙のdenyが存在しており、これは全ての通信を拒否する設定です。

特定の通信を許可/拒否する設定の次の行に、前行で指定した通信以外の通信を許可する設定が必要になります。

適応順序

ACLの種類

アクセスリストには「標準アクセスリスト」と「拡張アクセスリスト」の2種類が存在します。通信をどのように制御したいのかによって、これらを使いわけます。

標準ACLと拡張ACLの比較

2つのACLは設定できる内容の違いから、推奨される適応位置がことなりますので、その特性を理解し、適応するインターフェースを決めることが大切です。

標準ACL

標準ACLの適応位置を間違えると通信できない

たとえば、PCAからファイルサーバへのアクセスのみを拒否するために、PCに近いルータにACLを設定したとします。

標準ACLは送信元IPアドレスによる制御しかできないので、PCAの通信は全て拒否されてしまい、WEBサーバへのアクセスも出来なくなってしまいます。

対象の通信だけを拒否

宛先に近いルータ(RTB)のインターフェースにACLを設定することで、想定の通信のみを拒否できます。

標準ACLは宛先に近いインターフェースへ適応しましょう。

拡張ACL

拡張ACLの適応位置を間違えると無駄な通信が発生する

また同じように、PCAからファイルサーバへのアクセスのみを拒否するために、宛先に近いルータ(RTA)のインターフェースにACLを設定したとします。

宛先に近いルータのインターフェースにACL設定すると、必要のない通信が帯域を圧迫する可能性があります。

無駄な通信を発生させずに、通信の拒否ができる

拡張ACLは、送信元IPだけなく宛先IPも設定できるため、送信元に近いルータのインターフェースへ設定することで、無駄な通信を発生させることがなくなります。

まとめ

  • ACLを使って、セキュリティを高めることが可能

  • ワイルカードマスクを使って、着信したパケットとACLを比較し、通信の許可、拒否をしている

  • ACLは適応方向、適応順序に留意し設計する

  • 標準ACLは宛先に近いインターフェース、拡張ACLは送信元に近いインターフェースに適応する。

以上です。ここまで読んでいただきありがとうございました。
参考になりましたら幸いです。

最後に宣伝 /インフラエンジニア募集中★

筆者が所属する株式会社CAIRN(ケルン)はインフラエンジニアに特化した高還元SES企業です。

・ 契約単価に連動した報酬体系なので評価基準が明確です。
・ITインフラに強い営業網で豊富な案件からプロジェクトを選べます。
・ 独自の研修制が多数あり、学びなおしが出来ます。
・厚生労働省認定のホワイト企業です。

インフラエンジニアにとって良い環境を整えています。ご応募お待ちしております。

株式会社CAIRNの採用ページへジャンプ

▼CAIRNについてさらに詳しく知りたい方はこちら

【Instagram】
ケルンの日常を発信♪
https://www.instagram.com/cairn_recruit/

【代表川嵜のブログ】
インフラエンジニアのキャリアについて週1で発信♪
https://note.com/joyous_cairn1015/
   
【技術ブログ】
月1で発信♪
https://t.co/iInlgn3cfw

【代表川嵜のX】
代表の日常、SES業界について発信♪DM歓迎です!
https://twitter.com/cairndk

【人事花田のX】
人事花田の日常、労務関連について発信♪DM歓迎です!
https://twitter.com/HanadaCAIRN_SES

公式LINE始めました!

ネットワーク設計構築の実務が分かる
シミュレーション課題無料プレゼント!

ケルンの公式LINEでは登録者限定で以下の3つを無料でプレゼントしております!

※LINE登録後すぐにお送りいたします。

------
◯ネットワークシミュレーション課題
※ネットワーク設計構築の実務が知れる

◯駆け出しインフラエンジニアにおける資格の重要性
※どの資格を取ればキャリアアップしやすいかが分かる

◯新インフラエンジニアのキャリア戦略
※生成AI時代のインフラエンジニア生存戦略が分かる
------

特にこんな方におすすめ

✅ネットワーク設計構築の実務を知りたい
✅ネットワーク・サーバの上流工程にキャリアアップしたい
✅年収アップしたい
✅現在転職活動中だがどんな会社に入れば良いか悩んでいる

また、公式LINE上ではインフラエンジニア勉強会イベント情報なども発信しております。

ご興味ございましたらお気軽にご登録ください。

こちらをタップ(クリック)して友達登録できます!

QRコードもあるよ♪