7月29日(月)1コマ目

今日、やったこと

  • [確認テスト]ネットワーク接続機器
  • ファイアウォール

今日のホワイトボード

ファイアウォールとは

通常、インターネットとLANの間に設置し、インターネットからLANへのパケットをチェックする。あらかじめフィルタリングルールを作っておき、通過するパケットをルールに従って処理する。

図 ファイアウォール

基本情報レベルでのファイアウォール

基本情報レベルでのファイアウォールはフィルタリングルールを
  • IPヘッダの宛先・送信元IPアドレス
  • TCP、UDPヘッダの宛先・送信元ポート番号
と使い、
  • インターネット側->LAN側
  • LAN側->インターネット側
の両方向で作成するケースが多い。

〇フィルタリングルールのチェック

上から順にチェックしていく。条件が一致するルールのアクション(許可、破棄)を行い、それ以降のルールはチェックしない。

〇送信元・宛先IPアドレスが192.168.10.10/32

/32なので、32ビット目までが/左側(192.168.10.10)と一致するPCが対象。IPアドレスは32ビット長なので、IPアドレスが192.168.10.10のPCが対象になる。

〇送信元・宛先IPアドレスが192.168.10.0/24

/24なので、24ビット目までが/左側(192.168.10.0)と一致するPCが対象。IPアドレスが192.168.10.xxのPCが対象になる。

図 フィルタリングルールの例

練習問題

問1

簡単なフィルタリングルール作成の問題。
問題文を読めばできる。
図 [ファイアウォール]練習問題 問1

問2

問1と同じ。

図 [ファイアウォール]練習問題 問2

問3

条件が一致するフィルタリングルールを探す問題。
*の意味(要はチェックしない)と、上から順にチェックし、一致すればそれ以降はチェックしない(問題に書いてある)が分かればできる。
図 [ファイアウォール]練習問題 問3

DMZ

ファイアウォールは接続されるネットワークを
  • WAN(インターネット)
  • LAN
  • DMZ(DeMillitazized Zone)
に分ける。
WAN(インターネット)は危険なPC等があるゾーン。
LANはF/Wが守るべきゾーンで、インターネットからの直接アクセスを拒否。
DMZはインターネットから直接アクセスを一部許可するゾーン。
図 DMZ

ステートフルパケットインスペクション

現実のF/Wは行き、帰りの両方のルールと登録しなくてもいい。
行きのパケットを登録すると、帰りのパケットはやり取りから判断されて許可される。

次回は

夏休みあけです。
テストはしません。
基本情報対策を始めます。
良い夏休みを。









 

このブログの人気の投稿

7月16日(火)4コマ目

イメージ
今日、やったこと [確認テスト]TCPのシーケンス番号、確認応答番号、ウィンドウサイズ TCPとUDPの違い 第4層のプロトコルの特徴 名前解決 DNS 今日のホワイトボード TCPとUDPの違い TCP、UDPはともに第3層のプロトコル。2つは両極端な特徴を持つ。 図 TCPとUDPの違い 第4層のプロトコルがTCP、UDPを選択する。  第4層のプロトコル 第4層には利用目的に特化したプロトコルがたくさんある。 ホームページにはホームページの特徴にあったデータのやり取り方法がある。メールにはメールにあったデータのやり取り方法がある。そのため、第4層には利用目的に特化したプロトコルがある。 図 第4層のプロトコル 名前解決 GoogleのWebサイトにアクセスするさい、普通はブラウザのアドレス入力欄に、  https://www.google.co.jp と入力してアクセスする。(現実ではブラウザのデフォルトページがGoogleのサイトになっており、検索して各Webサイトにアクセスするけど) インターネットではTCP/IPを使って通信をしているため、Googleのサイト=GoogleのWebサーバーにはIPアドレスが付与されており、このIPアドレスでアクセスする必要がある。 しかしながら、Googleのサイトにアクセスする際、IPアドレスを意識することはなく、https://www.google.co.jpでアクセスできる。 これはwww.google.co.jpからIPアドレスに変換する仕組みのお陰。 www.google.co.jpのような文字列(コンピュータ名)からIPアドレスに変換することを 名前解決 と呼び 、インターネットではDNSが使われる。 図 名前解決 DNS インターネットでの名前解決はDNSが利用されている。 Googleのサーバーの名前www.google.co.jpはDNSの命名規則に従っている。 DNSはドメインツリーと呼ばれるルートドメインを頂点とした木構造のモデル がある。 各ドメインにはDNSサーバーがあり、そのドメインの情報を管理している 。 図 DNSの階層と名前の関係 次回は テストはしません。 DNSの続きです。
続きを読む

6月10日(月)1コマ目

イメージ
今日、やったこと [確認テスト]ルーティングテーブル作成4 ARP 今日のホワイトボード イーサネットとIPは役割が違う  IPは宛先までの経路を決めるまで、パケット送信は行わない。 イーサネットはパケット送受信を行う。経路決定には関与しない。 図 イーサネットとIPの役割分担 イーサネットヘッダとIPヘッダの宛先・送信元情報 イーサネットヘッダ、IPヘッダともに宛先・送信元情報がある。 〇IPヘッダ 宛先は最終的にたどり着きたい宛先 送信元はおおもとのデータを送り出したPC等 〇イーサネットヘッダ 宛先はIPがルーティングして決定した宛先 送信元はこのパケットを送り出したPC等 図 イーサネットヘッダ、IPヘッダの宛先・送信元情報 IPとイーサネットで異なるアドレスを使う IPがルーティングして次に送る宛先を決定し、イーサネットがそこに送信する 。 しかし、IPのルーティング結果はIPアドレス。イーサネットはMACアドレスを使う。 IPアドレスからMACアドレスへの変換を行うプロトコルがARP 。 図 IPアドレスからMACアドレスへ変換 ARP(Address Resolution Protocol) IPアドレスからMACアドレスへの変換をする際に利用するプロトコル(手順、ルール)。 以下の流れでIPアドレスからMACアドレスへ変換している。 ①ARPテーブル確認 ARPテーブルは過去に調べたIPアドレスとMACアドレスの一覧表。 図 [ARP]ARPテーブル確認 ARPテーブルに調べたいIPアドレスがあれば、対応するMACアドレスを使う。これで終了。 ARPテーブルに調べたいIPアドレスが無ければ、②ARPリクエスト送信へ。 ②ARPリクエスト送信 ARPリクエストは検索対象のIPアドレスを使っているPCからの返信を期待して送信する。 ARPリクエストパケットのイーサネットヘッダ内の宛先MACアドレスはどのMACアドレスを書き込むかわからない(MACアドレスが分からないからARPリクエストを送信している)。 よって、 全PCが対象となるブロードキャストアドレス(ff:ff:ff:ff:ff:ff)を宛先MACアドレスに書き込んで送信する 。 図 [ARP]ARPリクエスト送信 ③ARPレスポンス受信 ARPリクエストを受信した各PCはARPヘッダを見...
続きを読む

6月5日(水)1コマ目

イメージ
今日、やったこと [確認テスト]ルーティングテーブル作成3 [練習問題]ルーティングテーブル作成 今日のホワイトボード [練習問題]ルーティングテーブル作成 一見、ネットワークがたくさんあってめんどくさそうです。 図 ルーティングテーブル作成 ネットワーク図 ルーターAのルーティングテーブル 今までとおなじやり方だと以下のようになります。 図 ルーターAのルーティングテーブル 172.17.10.0/24、172.17.100.0/24、172.17.110.0/24の3つのネットワークに行くにはすべて同じルート(172.16.1.1->172.16.1.254)を通ります。 そこで、マスクを255.255.255.0から255.255.0.0に変更すれば、この3つのネットワークは172.17.0.0にまとめることができます。 さらに、宛先172.17.0.0、マスク255.255.0.0は他のネットワーク(172.16.1.0/24、172.16.10.0/24、172.16.100.0/24、172.16.110.0/24)とはマッチしません。 よって、ルーティングテーブルは7行から5行にすることができます。 宛先 マスク ゲートウェイ インタフェース 172.16.1.0 255.255.255.0 リンク上 172.16.1.1 172.16.10.0 255.255.255.0 リンク上 172.16.10.1 172.16.100.0 255.255.255.0 172.16.10.128 172....
続きを読む