1.ネットワークシステムを設計する上での重要ポイント
- セキュリティの確保
●リスク分析(リスクに対する適切な対策をとる)
●セキュリティポリシーの作成(充分にし運用)
●セキュリティポリシーの作成(充分にし運用)
- 可用性の維持(問題が発生しても使える)
●機器の故障
●天災などの不慮の事故
●人間のミス
●天災などの不慮の事故
●人間のミス
-対策-
ネットワークを含めたシステムの二重化
作業マニュアルの整備・作業チェック
作業者と検証者の二重チェックシステムの検討
ネットワークを含めたシステムの二重化
作業マニュアルの整備・作業チェック
作業者と検証者の二重チェックシステムの検討
- データの保全性(データを守る)
●(前提)マシンは壊れる
●バックアップ
●バックアップ
- システムの拡張性
●ユーザ・アクセスの増大
●システムの作業の増大
●システムの作業の増大
2.セキュリティ
- ファイヤウォール・セキュリティホール対策を含めたシステム構築と運用
- 外部からの攻撃
●DNSやFTPなどの外からのアクセスに対するセキュリティホール
●スパムメールや、その踏み台
●スパムメールや、その踏み台
- 内部からのセキュリティ対策
●ウイルス感染
●情報の持ち出し
●情報の持ち出し
- セキュリティポリシー
(1) 利用者へのセキュリティポリシーの周知、徹底するための教育
(2) セキュリティ対策責任者の明確化
(3) 定期的あるいは常時のセキュリティ状況の監視
(4) セキュリティポリシーと対策の定期的な見直し
(2) セキュリティ対策責任者の明確化
(3) 定期的あるいは常時のセキュリティ状況の監視
(4) セキュリティポリシーと対策の定期的な見直し
- 暗号化技術
●データの盗聴などの対応策
●SSL・暗号メール・署名付メール・リモートメンテナンス用ツール(SSH)・VPN
●SSL・暗号メール・署名付メール・リモートメンテナンス用ツール(SSH)・VPN
3.ファイアウォール
- ファイアウォールの実現方式(大別すると3つだが最近は組み合わせて一つを構成する場合も多い)
(1)パケットフィルタリング方式
パケットのヘッダ部(送信元アドレス・ポート番号、送信先アドレス・ポート番号)を作成しておいた
フィルタリング・ルールと照合し、パケットの通過/破棄の判定を行う。
@@「 CheckPoint社のFireWall-1」
パケットのヘッダ部(送信元アドレス・ポート番号、送信先アドレス・ポート番号)を作成しておいた
フィルタリング・ルールと照合し、パケットの通過/破棄の判定を行う。
@@「 CheckPoint社のFireWall-1」
(2)トランスポート(サーキット)ゲートウェイ方式
アプリケーションのコネクションをトランスポート層で相互接続すると共に、プロキシによりデータ転送
に関するアクセス制御を行う。
@@「 CyberGuard 」
アプリケーションのコネクションをトランスポート層で相互接続すると共に、プロキシによりデータ転送
に関するアクセス制御を行う。
@@「 CyberGuard 」
(3)アプリケーション・ゲートウェイ方式
アプリケーションのコネクションをアプリケーション層まで上げて相互接続をし、各アプリケーション事に
Proxyを設定するため、パケットフィルタリング方式と比較すると、ftpのputコマンドだけを
禁止するといったアプリケーション毎の、より細かな制御が可能。
@@「Gauntlet」
@@「RaptorFirewall」
アプリケーションのコネクションをアプリケーション層まで上げて相互接続をし、各アプリケーション事に
Proxyを設定するため、パケットフィルタリング方式と比較すると、ftpのputコマンドだけを
禁止するといったアプリケーション毎の、より細かな制御が可能。
@@「Gauntlet」
@@「RaptorFirewall」
- 直列に異なる方式のファイアウォールを並べる事でひとつの方式が破られた場合にも対応できる
4.ネットワーク設計
- スムーズで安全なデータ転送(セキュリティ対策のとられた高速なデータ転送)
(1)LAN(構成ネットワーク)
(2)WAN
(3)インターネット
(2)WAN
(3)インターネット
- 構成機器
●NIC
●ネットワークケーブル(10/100BASE-T・100BASE-TX)
●ハブ
ハブリピーター(物理層の中継のみ、パケットをネットワーク全てに中継)・
スイッチングハブ(データリンク層で認識し、他のネットワークには流さない)・
ブリッジ(データリンク層で中継)・
ハブリピーター(物理層の中継のみ、パケットをネットワーク全てに中継)・
スイッチングハブ(データリンク層で認識し、他のネットワークには流さない)・
ブリッジ(データリンク層で中継)・
●ルーター(ネットワーク層やトランスポート層でパケットの中継を行う、
IPアドレスにより入ってきたデータで経路決定、パケットをチェックする機能もある)
IPアドレスにより入ってきたデータで経路決定、パケットをチェックする機能もある)
- プロトコル
●DHCP(Dynamic Host Configuration Protocol)
TCP/IPネットワークを使用する際の設定と管理を簡単にし、IPアドレスの割り振りの為のプロトコル
TCP/IPネットワークを使用する際の設定と管理を簡単にし、IPアドレスの割り振りの為のプロトコル
●WINS
●DNS
- LANの許容トラフィック
●ネットワーク不可(利用率)は、一般的に30%~50%の範囲が望ましい
●流れるデータ(ユーザデータ・各レイヤの制御情報・TCPの応答確認情報「ACK」・TCPのコネクション確立・開放に
よるオーバーヘッド・ルーティング情報「RIP」・ARPメッセージ)
●「総トラフィック量(ユーザデータの10%増し) < 伝送速度 * 設定利用率」 が成り立てば許容範囲内であると考えてよい
●成り立たない場合は、ネットワーク分割・サブネット化などの対策が必要
●流れるデータ(ユーザデータ・各レイヤの制御情報・TCPの応答確認情報「ACK」・TCPのコネクション確立・開放に
よるオーバーヘッド・ルーティング情報「RIP」・ARPメッセージ)
●「総トラフィック量(ユーザデータの10%増し) < 伝送速度 * 設定利用率」 が成り立てば許容範囲内であると考えてよい
●成り立たない場合は、ネットワーク分割・サブネット化などの対策が必要
- システム構築上での考慮点
(1)障害発生時の波及範囲を局所化させる為のLANの分割
(2)複数のステーションを接続できるハブ等は、予備ポートを空けておき修復時の全ポート通信停止を避ける
(3)完全2重化による冗長性の向上
(2)複数のステーションを接続できるハブ等は、予備ポートを空けておき修復時の全ポート通信停止を避ける
(3)完全2重化による冗長性の向上
