2005年08月17日

seesaaブログへ引越ししました

seesaaブログへ引越ししました。 一応、このブログは8月14日頃に新環境へ移行したのですが、livedoorブログの担当者(有賀氏)のユーザーに対する対応があまりにも不誠実で、利用するのがバカバカしくなったのが理由です。

今後は、seesaaブログの方にアップしていきますので、よろしくお願い致します。   
Posted by networkstudy at 23:23Comments(1)TrackBack(0)

seesaaブログへ引越ししました

seesaaブログへ引越ししました。 一応、このブログは8月14日頃に新環境へ移行したのですが、livedoorブログの担当者(有賀氏)のユーザーに対する対応があまりにも不誠実で、利用するのがバカバカしくなったのが理由です。

今後は、seesaaブログの方にアップしていきますので、よろしくお願い致します。   
Posted by networkstudy at 23:23Comments(0)TrackBack(0)

2005年08月05日

サーバ管理者は必読!

サーバ管理者のためのイベントログ運用の基本という書籍が発売になりました。

私のメインの仕事は汎用コンピュータやサーバの運用管理です。ログは毎日チェックはしているのですが、どこにどのようなログが記録されるのか一応は把握しているのですが、そのログを活用しているかといわれると・・・って感じです。なので、この本を読んで基本をしっかりと身に付けて、不正アクセスや情報漏えい対策に役立てたいと思います。

  続きを読む
Posted by networkstudy at 09:46Comments(1)TrackBack(0)自己啓発

2005年07月26日

アクセスリストの検証

アクセスリストの検証は重要な作業である。
設定を誤ると必要なパケットを破棄してしまい、トラブルの原因になるためである。


以下の図のネットワークを作成。

ByCCNAバーチャルラボ UltimateNetworkVisualizer4


インターフェイスに適用されているアクセスリストの確認
FastEthernet0/0のインバウンドに設定されている。
Router#show ip interface
(途中抜粋)
FastEthernet0/0 is up, line protocol is up
Internet address is 192.168.1.254/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1514 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is 105
Proxy ARP is enabled
Security level is default
Split horizon is enabled


アクセスリスト105の内容を表示
Router#show access-list 105
Extended IP access list 105
permit ip host 192.168.1.1 any
permit ip host 192.168.1.2 host 172.16.1.1
permit ip host 192.168.1.3 host 172.16.1.2

3つの条件にヒットしないパケットは暗黙のDenyですべて拒否される



ルータに設定してあるすべてのアクセスリストを表示
Router#show ip access-list
Extended IP access list 105

permit ip host 192.168.1.1 any
permit ip host 192.168.1.2 host 172.16.1.1
permit ip host 192.168.1.3 host 172.16.1.2
Extended IP access list 110
permit ip 0.0.0.1 255.255.255.0 any


アクセスリスト110は、設定ミスをそのまま放置しているために出力された。


  続きを読む
Posted by networkstudy at 23:53Comments(0)TrackBack(0)CCNA用語【あ〜お】

2005年07月20日

【アクセスリスト】拡張アクセスリストの設定

拡張アクセスリストの設定について

以下の図のネットワークを作成。

ByCCNAバーチャルラボ UltimateNetworkVisualizer4

拡張アクセスリストは、標準アクセスリストの送信元IPアドレスのみを条件として指定するのではなく、プロトコル、送信先アドレスとワイルドカードマスク、送信先ポート、宛先アドレスとワイルドカードマスク、宛先ポート、を条件として指定することが出来る。

設定は、グローバルコンフィグレーションモードにて、

access-list number [permit | deny] protocol source[mask] operator port distination[mask] established log

のように記述する。

number・・・アクセスリストの番号(100〜199)
permit | deny・・・permit(許可) deny(拒否)
protocol・・・プロトコル種別(TCP、UDP、IPなどなど)
source[mask]・・・送信元IPアドレスとワイルドカードマスク
operator port・・・特定のアプリを選択するときに使用する。operatorには、eq(等しい)、neq(等しくない)、lt(より小さい)、gt(より大きい)を指定し、portには、アプリのポート番号又はポート名(FTPやTELNETなど)を指定する。
distination[mask]・・・宛先IPアドレスとワイルドカードマスク
established・・・インバウンドのときのみ有効で、TCPのACKビットが1のセグメントをすべて許可する。
log・・・条件に該当するパケットがあったとき、管理者用のログに記録する。



例:
上図のネットワークにおいて、
1.HostAから172.16.1.0/24へのアクセスはすべて許可
2.HostBから172.16.1.0/24へのアクセスはHostDのみ許可
3.HostCから172.16.1.0/24へのアクセスはHostEのみ許可

の条件でアクセスリストを作成する。

●アクセスリストの作成
グローバルコンフィグレーションモードにてアクセスリストを作成。
Router(config)#access-list 110 permit ip host 192.168.1.1 0.0.0.0 255.255.255.255
Router(config)#access-list 110 permit ip host 192.168.1.2 host 172.16.1.1
Router(config)#access-list 110 permit ip host 192.168.1.2 172.16.1.1 0.0.0.0
Router(config)#access-list 110 permit ip host 192.168.1.3 172.16.1.2 0.0.0.0
Router(config)#exit
Router#show access-list
Extended IP access list 110
permit ip host 192.168.1.1 any
permit ip host 192.168.1.2 host 172.16.1.1
permit ip host 192.168.1.3 host 172.16.1.2
Router#


●HostAからHostD及びHostEへPing
正常にPingが通っていることを確認。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.2:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>


●ルータのFastEthernet0/0のインバウンドにアクセスリスト110を適用
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group 110 in
Router(config-if)#


●HostAからHostD及びHostEへPing
正常にPingが通っていることを確認。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.2 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.2:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>


●HostBからHostD及びHostEへPing
HostEからのPingの応答がないことを確認。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping Statistics for 172.16.1.2:
Packets Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>


●HostCからHostD及びHostEへPing
HostDからのPingの応答がないことを確認。
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.

C:\>ping 172.16.1.1

Pinging 172.16.1.1 with 32 bytes of data:

Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254
Reply from 172.16.1.1 ;bytes=32 time=22ms TTL=254

Ping Statistics for 172.16.1.1:
Packets Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 23ms, Average = 22ms
C:\>ping 172.16.1.2

Pinging 172.16.1.2 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping Statistics for 172.16.1.2:
Packets Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>


  続きを読む
Posted by networkstudy at 23:12Comments(0)TrackBack(0)CCNA用語【あ〜お】