サーバーとセキュリティの備忘録
基礎事項をまとめて備忘録
・レイヤー層は問題の切り分けで便利と気付く
Ping default gw ipaddress
No reply - Arp gw問題かスイッチか
ネットワーク層:ping IP , traceroute IP
アプリケーション層:nslookup
・ポート番号:通信するアプリケーション指定
・NATはlocal IPとglobal IPを変換、NAPTはIPとPortで変換
Q:アクセスする時のIPは、local IP でいいのかな。ルータ/FWで固定IPとportのみ許可にしていると、手動でルータにクライアントのIPとポートを許可しないといけないのか? LAN内であればグローバルIPに変換する必要はないのかな。
・仮想化ソフトウェアはホストOS型(VMware, Virtual BOX)とハイパーバイザー型(VSphere, XEN Server, Hyper-V)がある。当然ホストOS型だと2段OSがいるから処理が重い。
Q:ホストOS型だとOSのライセンス2倍で費用かかるのかな。
・UNX系サーバーOSの例はLinux、AIX。Windows系サーバーOSの例はWindows Server 2008とか。
配布IP範囲、有効期間、デフォルトゲートウェイのIP、DNSサーバのIPを設定
家庭用レベルならルータとかFW側のDHCP機能で事足りる。
・DNSサーバ:ドメインとIPを紐づけ。ホスト名wwwで、jpから順にツリー構造
aaa.co.jpのサブドメインではbbb.aaa.co.jpとすればよいのかな
キャッシュサーバーとコンテンツサーバがあって基本は冗長化
・Active Directory:管理システム増大時の管理対応
それ以上は今の所よくわからん:https://www.lanscope.jp/tips/12638/
とりあえずドメインコントローラというサーバとDNSを使えば管理がしやすくなる目的だけはわかった。
・NASってでかい外付けHDDじゃなくて、ファイルサーバ機能に特化したアプライアンスサーバだったんだ…ストレージにNICが付いたとはその通りだ。
・SSOサーバには、「エージェント型」「リバースプロキシ型」がある。クライアントがWebアプリケーションサーバとSSOサーバどっちと繋がるかの話か。
・プロキシサーバー:クライアントからのインターネットに対する通信を代理で行うサーバー
Qプロキシサーバーとファイアウォールって何かちがうのか?
http://tooljp.com/windows/chigai/html/Security/proxy-firewall-chigai.html
プロキシサーバーの目的は内部のネットワーク構成(特にIPアドレス)を隠すためで、ファイアウォールはセキュリティ対策。不正なパケットが出入りしないように、フィルタリングする。プロキシサーバーはもともと回線帯域利用の効率化が目的だが、最近はセキュリティ機能の強化始めたから余計ややこしい。
通信時のIPもプロキシサーバーではProxy IP。ファイアウォールではNATしない限りクライアントのIPアドレスだけど、普通グローバルIPにNATする。
・SMTPサーバーはSMTPプロトコルを用いて、@以降のドメインをDNSに問い合わせて相手先のSMTPサーバーへたどり着く。SMTPが認証機能を持たなかった為、なりすましを防ぐため、SMTP AUTH(メール送信前のID/PW), POP before SMTP(送信前にPOP3サーバーで認証)。受信側は電源入ってないこと多いからPULL型のPOP3プロトコルおよびPOP3サーバーで取得。POP3S機能だとSSL暗号化できる。
・プライベートクラウドのメジャーどころはOpenStack
・サービス提供開始の為には、、、
公開サーバー用意(クラウドサービスでない限りDMZがベター。クラウドでDDoS攻撃くらうと費用が掛かる)
オンプレの場合
- インターネット回線敷設
- 公開サーバー用にグローバルIP取得
- ドメイン名申請して買う
- 公開サーバー勝手、DMZに配置して、一旦プライベートIPアドレスを振る
- ファイアウォール買って公開サーバーと繋げてNAT設定する
- ファイアウォールに通信許可を与える
クラウドの場合
- ドメイン取得業者(レジストラ)からドメイン名取得する
- 公開サーバー(インスタンス)を用意する
- グローバルIPを割り当てる
- AWSだとElastic IP アドレスとかいうサービスあるらしい
- クラウドのDNSサービスにドメイン名を登録
- レジストラにクラウドのDNSサーバーを登録する
- クラウドDNSサービスでFQDN(ホスト名+ドメイン名)と固定IPアドレスを関連付け
- インスタンスに対する通信を制御設定する。
・WebサーバーはApacheかWindowsサーバーのIIS
・SSLサーバーはOpenSSLかWindowsサーバーのIIS
・SSLサーバーにはデジタル証明書が必要
- 管理者はサーバーソフトウェアで秘密鍵と公開鍵つくる
- 公開鍵をCSR(Certification signing request)として認証局(CA局)という第三者期間に提出。秘密鍵は大切にもっておく
- CA局が与信判断して、デジタル証明書をくれる
- デジタル証明書をサーバーにインストール
これで
- クライアントはサーバーにアクセスするとデジタル証明書(公開鍵つき)をえる
- サーバーの身元確認して共通鍵の下を公開鍵で暗号化して暗号化データ送信
- サーバーは秘密鍵で復号して共通鍵を作る
- 共通鍵で暗号化通信をする
・FTPサーバーは暗号化されていないのでSSLで暗号化させるFTPSかSSHで暗号化させたSFTPもあり。
・WebアプリケーションサーバーはJavaEEか.NET Frameworkで開発される。IISは.NETアプリケーションサービスを提供。
・VPNサーバが使うプロトコルはIPsec。リモートアクセスVPNではIPsec VPNと、SSLを利用するSSL-VPNがある。SSL-VPNだと専用のアプライアンスサーバがいる。
・ファイアウォールにも、トラディショナルと、Unified Threat Management, WAFとかある。
・サーバー運用保守の作業分類としては、設定変更(ユーザーアカウント追加削除変更、OSやアプリケーションの更新検証と実施、OSやアプリケーションの設定調整)、トラブル事前対応(SNMPサーバの定期的性能/状態/障害監視、Syslogサーバによるエラーログ監視、バックアップ取得)、トラブル事後対応(ログ解析と対応、バックアップからのリストア)
・サーバのSSH(鍵をファイル指定)を使用したリモート管理