$Id: report-firewall.txt,v 1.1.1.1 1999/10/26 17:19:16 sakane Exp $ %Hd: ファイアウォールについてのメモ 経路制御 経路情報の交換を止めることにより実現。 +-----------+ Application | | +-----------+ Transport | | +-----------+ Network | IP | +-----+-----+ Datalink | | | +--+--+--+--+ | | --------+- -+-------- 短所: - 経路制御についての詳しい知識と細かい設定。 - 事故発生時、安全サイドに倒れるとは限らない。 パケット転送機能は生きているので、経路制御情報が洩れると通信できる。 - Source Routing (LSRR,SSRR)で、パケットを送り込める。 4.3BSD Lite telnet で指定可能。 (??どうやって) IPパケット転送機能停止 カーネルの再構築等で、IPパケットの転送機能を停止することにより実現。 安全なサービスに対してのみ通信を許可するという考え。 パケットフィルタリング ネットワーク・インターフェイス、IPの始点/終点、TCP/UDPの始点/終点、 TCPのフラグ、IP上位層のプロトコルをパラメータとして、IPパケットの 出入りを許可/禁止することにより実現。 危険なサービスを閉ざしていく考え。 短所: - FTP等の相性の悪いサービスがある場合、クライアントの置き換え をしなければならない。 - 公開されるべきではないサービス NIS, NFS, PRC, TFTP, SNMP portmapper - 外向けのサービス WWW, anonymous FTP, IRC - TCPについては、外から内へのコネクションを禁止 例外: SMTP to Mail server NNTP to NNTP server HTTP to WWW server FTP to FTP server (ただし、PASVが無い場合のみ) - UDPについては、archie以外は禁止 - ICMP/IGMPの考察 ping, traceroute 禁止すると何が起こるかわからない。 トランスポート・ゲートウェイ(サーキットゲートウェイ) - さまざまなサービスに対して、直接IPの通信と同じ使い方ができる。 疑: そのまま引用。意味は…? - ユーザが組織外のノードを指定した場合、発信されたIPパケットは トランスポート・ゲートウェイに届く。 - トランスポート・ゲートウェイは、上記パケットを受けとると、 本来送信されるべきノードへ送信する。 以上をサーバでのトランスポート・ゲートウェイ・デーモンのインストール。 クライアントでのsocketライブラリの入れ換えによって実現する。 +-----------+ Application | | +-----------+ Transport | TCP | Socks他 +-----------+ Network | IP | +-----+-----+ Datalink | | | +--+--+--+--+ | | --------+- -+-------- 長所: - Source Routing不可 - 事故発生時でも、外部から内部の直接の通信は行なえない。 短所: - 全てのクライアントにインストールしなければならない。 アプリケーション・ゲートウェイ +-----------+ Application | APL | SMTP,HTTP他 +-----------+ Transport | TCP | TCP | +-----+-----+ Network | IP | IP | +-----+-----+ Datalink | | | +--+--+--+--+ | | --------+- -+-------- 長所: - Source Routing不可 - 事故発生時でも、外部から内部の直接の通信は行なえない。 短所: - telnetのように、利便性を確保出来ないサービスがある。