セキュリティ

少しは理解が深まると嬉しいポリシー解説【2021年3月23日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのポリシーについてという内容になります。

ポリシーとは方針の事で、その物事に対するルールのようなものです。
例えばプライバシーポリシーですが、これは個人情報をどう扱うかという方針やルールであり
そのルールを明文化したものをさすこともあります。

Fortogateにおけるポリシーとは通信の可否の制御する設定の事です。
標準ですべての通信を拒否する設定(暗黙のdeny)がされており、基本的には許可したい通信についての通信許可設定を追加していくことになります。
ポリシー設定は、主に送信元、送信先、サービスポートを指定することで設定します。

標準の設定だとこのように拒否されます。

Aという端末とBという端末との間で FortiGate を挟んで双方向通信を実現したい場合、[AからBへの通信] と [BからAへの通信] の双方向の通信が許可されている必要があります。
FortiGate の一つのポリシーで設定できるのは片方向の通信についてのみのため、双方向通信を実現するためには 2 つのポリシー設定が必要となります。
ここで、FortiGate などのファイアウォールにはステートフル・インスペクションと呼ばれる機能があります。
ステートフル・インスペクションを有効にした場合、ある通信を許可するポリシー設定に対して、そのポリシーに該当する通信に対応する戻りの通信は自動で許可されます。
これにより一つのポリシーで双方向通信が可能になります。
また、ステートフル・インスペクションがあることによりセキュリティ面でのメリットがあります。
引用元:https://nwengblog.com/fortigate-policy/#toc2

大体の企業では、社内LAN側からインターネット側への必要な通信のみ許可しておいて、インターネット側から 社内LAN側への通信は原則として拒否するという設定がされています。
これはつまり、原則として社内LAN 側を起点とする通信のみ許可されるということになります。

今回の記事は以上になります。
次回の記事は実際にポリシーを作成して通信を行う内容になります。
次回の記事もお楽しみに!

ファイアウォールって何ですか?【2021年3月11日】

こんにちは!
今回の記事はかとりゅうがお送りいたします。

N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
ファイアウォールについては名前を聞いたことのある人が多いでしょうが
実際何をしているのかいまいちピンとこない人もいると思います!
そこで今回はファイアウォールについて説明をしていきたいと思います!

  ファイアウォールとは、ネットワークの通信において、その通信をさせるかどうかを判断し許可するまたは拒否する仕組みです。
しかし、その通信許可するかの判断は、通信の送信元とあて先の情報を見て決めており、通信の内容は見ていません。
言ってしまえば外部からの不正なアクセスから私たちのパソコンを守ってくれる防護壁のようなものです。

引用元:総務省
URL
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/structure/01.html

現在のファイアウォールには大きく分けて二種類あります。
家庭内などで利用する単体のコンピュータの防御を目的としたパーソナルファイアウォール
企業や家庭のネットワーク全体を防御するファイアウォールです。
パーソナルファイアウォールはコンピュータ自体に導入するソフトウェアになっており、
そのコンピュータに対してインターネットからの不正なアクセスやウイルスの侵入を防ぐことができます。

企業などのネットワークに使用するファイアウォールはインターネットと社内LANの間に設置する機器で、基本的な機能は外部からの不正なアクセスを社内のネットワークに侵入させないといった機能があります。
具体的には外部の不正なパケットを遮断したり、許可したパケットのみを通過させることができます。
機器の例としてはFortinet製のFortigateなどがあります。

社内検証で用いているFortigate 200B

上記で話した通りファイアウォールは普段私たちが利用しているインターネットでの
様々な悪意から守ってくれる非常に重要な機能です。
しかしファイアウォールを設置したとしても完全なセキュリティ対策になるわけではありません。
あくまで不正アクセスなどに対する情報セキュリティ対策の一つとして考えることが大事です。

本日の記事は以上となります。
次回の記事はFortigateのGUI,CLIでの操作について掲載したいと思います。
次回もお楽しみに!

【2020新卒研修日記】AAAを知ろう!【2020.8.27】

今回の記事はよっしーさん、がわさんの2人でお送りします。

今回はAAA(Authentication Authorization Accounting)について説明をしたいと思います!!

AAAとは、セキュリティ機能に必須な認証(Authentication)、
認可(Authorization)、アカウンティング(Accounting)の
三つの機能の略称を指します。

それぞれの機能の概要を一つずつ噛み砕いて説明していきます。

一つ目の認証(Authentication)は、
アクセス元の正当性を確認する為の機能です。
この機能によってユーザIDやパスワードなどの情報を照合して
正当なユーザを決定する事ができます。
また、セキュリティプロトコル(SSLIPSEC)に応じて
暗号化などが提供される時もあります。

二つ目の認可(Authorization)は、
認証に成功したユーザに対して
ネットワークサービスにアクセスする権限を割り当てる機能です。
ユーザの発行コマンドやネットワークのアクセス範囲の制限が主な役割です。

三つ目のアカウンティング(Accounting)は、
ユーザの履歴を記録する機能です。
具体的には機器にログインしたり、ネットワークにアクセスしたりする
ユーザが手動で入力したコマンドや接続時間などの情報を収集して
コンピューターの使用状況や通信の記録を保存します。

参考:CCNAイージス
https://www.infraexpert.com/study/aaaz01.html

AAAが使用するプロトコルがあり、大きく分けて2種類あります。

一つ目はRADIUSです。
RADIUSはユーザ認証に基づいて
データベースのアクセス制御を行う標準プロトコルです。
認証と認可の機能を一つのサービスとして扱い、
アカウンティングのみを分離してパケットを暗号化します。

二つ目はTACACS+です。
TACACS+はCisco独自のプロトコルで全ての機能を分離して
パスワード全体を暗号化します。

以上が使用するプロトコル「RADIUS」と「TACACS+」の説明になります!!

AAAの実装は、システムのセキュリティの確立をもたらすだけでなく
利用者の増加利用状況による企業内部組織のシステムの情報
一元的に管理する事が可能となるのです。

本日の記事は以上となります!!
次回の記事もお楽しみに!!!!!