2.12.1 iptables や firewalld によるパケットフィルタリング
iptables
iptablesコマンドでルールを追加
iptables [-t テーブル名] –A チェイン ルール
【テーブル】
・filter パケットフィルタリング用(デフォルト)
・nat NAT用
【チェイン】
・INPUT
ローカルホスト(ローカルプロセス)宛のパケットに対してルールを適用
・OUTPUT
ローカルホストで生成されたパケットに対してルールを適用
・FORWARD
ローカルホストを経由するパケットに対してルールを適用
・PREROUTING
入ってきたパケットの内容を書き換えるためにルールを適用
・POSTROUTING
出て行くパケットの内容を書き換えるためにルールを適用
【ルール】
【ターゲット】
iptablesコマンドで、チェインから個別にルールを削除
iptables [-t テーブル名] –D チェイン ルール
iptablesコマンドで、チェインから全てのルールを削除
iptables [-t テーブル名] -F [チェイン]
iptablesコマンドでチェインを作成
iptables [-t テーブル名] –N チェイン
iptablesコマンドで、チェインを削除する際の書式
iptables [-t テーブル名] -X [チェイン]
iptablesコマンドでポリシーを設定する際の書式
iptables [-t テーブル名] –P チェイン ターゲット
iptablesで設定したルールの一覧表示
iptables [-t テーブル名] –L [チェイン]
iptables-save
iptablesの現在の設定をiptables.backupファイルに保存
iptables-save > iptables.backup
iptables-restore
iptables.backupファイルに保存されているiptablesの設定を復元
iptables-restore < iptables.backup
ufwコマンド
firewalld
firewall-cmdコマンド
ゾーン
public…公共領域での利用(デフォルト)
work…業務での利用
home…家庭での利用
internal…ファイアウォールの内部ネットワーク側での利用
external…ファイアウォールの外部ネットワーク側での利用
dmz…ファイアウォールのDMZ(外部から内部ネットワークを守る緩衝地帯)での利用
block…受信パケットを拒否(送信元に通知する)。外部への通信と戻りパケットだけを許可
drop…受信パケットを破棄(送信元に通知しない)。外部への通信と戻りパケットだけを許可
trusted…全ての通信を許可
2.12.2 OpenSSH サーバーの設定と管理
OpenSSHサーバー
sshd(OpenSSHのサーバデーモン)の設定ファイル「/etc/ssh/sshd_config」の主な設定項目
関連コマンド
ssh-keygen
ssh-keygen -t 暗号方式(鍵の種類)
ssh-agent
接続時にパスフレーズを求められないようにする
ssh-add
認証エージェントであるssh-agentに鍵情報を登録する
scp
2.12.3 OpenVPNの設定と管理
OpenVPN
/etc/openvpn/server.conf
「status」項目
・接続中のクライアント
・ルーティング情報
拠点間を接続する方式
・ブリッジ方式
・ルーティング方式
使用する仮想ネットワークデバイス
・tap(ブリッジ方式)
・tun(ルーティング方式)
デフォルトで使用するポート番号
1194
クライアント用設定ファイルの項目で、クライアント側のポート番号を自動割り当てにする設定
nobind
クライアント同士の通信
・クライアントに利用可能なネットワークを伝達することができる
・サーバ側の設定ファイルにclient-to-clientディレクティブが設定されている必要がある
2.12.4 セキュリティ業務
セキュリティ関連
主なセキュリティ情報源
SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)
nmapコマンド
nmap [スキャンタイプ] [オプション] ターゲット
セキュリティツール
・OpenSCAP
セキュリティ設定共通化手順(SCAP)を基にセキュリティ対策の設定や脆弱性を検査するセキュリティツール
・OpenVAS
セキュリティの脆弱性をネットワーク経由でチェックするセキュリティツール
・fail2ban
ログファイルを監視して、攻撃を行っているIPアドレスからのアクセスを遮断するセキュリティツール
jailの定義にはアクションやフィルタがある
・Snort
ネットワーク上のパケットを監視し、不正なパケットを検出するためのセキュリティツール
・Tripwire
ファイルの改ざんを検知するためのセキュリティツール
