keyboard samurai ZERO COOL

 

  1. ホーム
  2. IT技術及びツール紹介
  3. ネットワーク(IP-VPN)

ネットワーク(IP-VPN)

ネットワークを安全に利用する技術を紹介

ネットワーク上で利用されているセキュリティ技術を理解しプライベートやパブリックなあらゆる環境やシチュエーションで活用し、ライフスタイルとして取り入れよう。

    |  |  |  |  |  | 

IP-VPN

IP-VPNは、MPLS(Multi-Protocol Label Switching)技術をベースとしている。

MPLSでは、IP-VPN網内のルータがユーザ拠点からのIPパケットに独自のラベルを付けて、網内ではそのラベルによってユーザを識別し、かつルーティングを行うようになっている。

この技術を使うことで、ユーザは同じ網サービスを利用しながら他のユーザとはまったく無関係に通信を行うことができる。

ライトタイプのIP-VPNが人気!

最も人気を呼んでいる拠点間通信の手段が、「低価格VPN」や「エントリータイプVPN」、「ブロードバンドVPN」と各社からさまざまな名称で提供されているアクセス回線にフレッツ・アクセスサービスを利用するライトタイプのIP-VPNだ。

このサービスは、キャリアの閉域網に対しNTT東西の地域IP網を介して接続するのが特長で、ベストエフォート型のサービスとなっている。

そのため専用線をアクセス回線とするのに比べ、料金が各段に安くなる。この点が注目され、現在急激に契約数を増やしている。

 

ファイアウォールやIDSの力の及ばない「ポート80番」への攻撃が増加

毎年増加の一途を辿るWebアプリケーションへの攻撃は代表的なもので、掲示板などに悪意のあるスクリプトを埋め込み閲覧者に被害を与えるクロスサイトスクリプティングや、HTTPリクエストのパラメータに不正なコードを含ませ、データベース内のデータを不正入手・改ざんするSQLインジェクションなどがある。

これら悪意のある攻撃はWebサービスのポート80番を利用して行われる。

こうした攻撃への有効な対策は、開発時点でWebアプリケーションの脆弱性をなくすことだが、セキュリティホールのない安全なアプリケーションを開発することは開発者のスキルに大きく依存する上、いくら綿密な対策を施しても攻撃手法の進化により無力化してしまう。

そこで必要となってくるのがWAFである。

Webアプリケーションの脆弱性をWAFが補うことで、攻撃される危険性を極めて低くすることができる。


ネガティブセキュリティ

Webシステムへの不正リクエストなどをいわば「ブラックリスト」化し、リストに該当する入力などをブロックする手法。

アンチウイルスツールやIDS/IPSで使われているパターンファイルやシグネチャとの照合による判断と同様の考え方で、既知の攻撃であればそのシグネチャをWAFに適用することで簡単に防衛することが可能だ。


ポジティブセキュリティ

アプリケーションごとに本来の正当な“通信の形”を定義して、それに外れる通信を除外する方法。

今まで行われたことのない形で攻撃されても、それが定義された通信の形にそぐわないものであれば排除できる。

いわば「ホワイトリスト」を作ることになる。


WAFとは何か?

WAF(Webアプリケーション・ファイアウォール)とは、Webサイトに設置されたアプリケーションサーバやデータベースへの攻撃に対抗する製品のことだ。

Webアプリケーションやデータベースに仕掛ける攻撃は一見すると正当なパケットで、通常のファイアウォールやIDS/IPSではパケットの中身に危険なコードが含まれていても中身までは解析できない。

しかし、WAFを導入することでこのパケットの中身までを解析し、危険なコードをブロックすることができる。

例えば、Webアプリケーションと連携する入力フォームから送信されたデータに、普通は入力されるはずのない危険な文字形式があることをアプリケーションの処理に移る前に判断できれば、その攻撃を水際で防御することができるということだ。


    スポンサーリンク