3-4-2 ネットワークセキュリティ
■パケットフィルタリング
ファイアウォールやルータなどでは、ネットワーク上を通過する一つ一つのパケットについて、通すか通さないかの判断を行う。パケットフィルタリングという。基本。
パケットフィルタリングでは、正確にはパケットにある、送信元IPアドレス、宛先IPアドレス、プロトコル(tcpやudp)、送信元ポート番号、宛先ポート番号の五つの情報を用いてパケットを通過させるかどうかを判断する。
■Macアドレスフィルタリング
Macアドレスとは、同じLAN上でコンピュータを識別するためのアドレス。特定のMacアドレスのみを通過させる仕組みをMacアドレスフィルタリングという。
■RADIUS
認証と利用事実の記録を一つのサーバで一元管理する仕組み。IEEE 802.1Xでの活用など、様々な場面で利用される。
■IEEE 802.1X
IEEE 802.1Xは、LAN接続で利用される認証規格。無線LAN、有線LANにかかわらずポートごとに認証を行い、認証に成功した端末だけがLANに接続できる。認証に使われるプロトコルは、EAP。
サプリカントは、IEEE802.1Xでアクセスするコンピュータに含まれるソフトウェア。オーセンティケータとの間で認証情報をやり取りする
オーセンティケータは、無線LANアクセスポイントや認証スイッチなど、IEEE802.1Xの機能を実装したネットワーク機器。
認証サーバは、認証情報を保存しているサーバ
オーセンティケータからの問合わせに対して認証情報を検証し、認証サーバとの間でのやり取りには、RADIUSが使用される。
■VLAN virtual lan
vlanはLANにおいて仮想的なネットワークを構築する技術。VLANとIEEE802.1Xなどの認証の仕組みを組合せることで、認証VLANを構築することができる。
■セキュリティ監視
ネットワーク上でのセキュリティ監視には、NIDS(ネットワーク型侵入検知システム)などが用いられる。ファイアウォールなどでの一つ一つのパケットだけではなく、総合的にネットワークを監視することで、DOS攻撃など、様々な攻撃の予兆に気づくことができる。
■プロキシサーバ
■リバースプロキシ
複数のサーバへの負荷を分散させることや、キャッシュによって負荷を低減させることが可能となる。
■ハニーポット
一種のおとり戦法で、不正アクセスを受けるために存在するシステム。何か有益そうな場所を用意しておき、それにつられてやってきた者を観察し、不正アクセスのやり方を学習する。
マルウェアを入手したり、不正アクセスの動向を調査したりするのに利用する。