セキュリティポリシー説明文の意味がわかりません。

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
hiura
Posts: 143
Joined: Wed Mar 10, 2021 1:56 am

セキュリティポリシー説明文の意味がわかりません。

Post by hiura » Sun Jul 18, 2021 4:20 am

セキュリティポリシー説明文の意味がわかりません。

「セッションに接続している」、「セッション内」、「セッションの」、意味がわかりません。
自分の理解では、セッションとは伝送路である。仮想HUBには複数の伝送路がつながっており、仮想HUBはあるセッションから入力したフレームを
他の全セッションに出力(フラッディング)しているだけである。そう考えると、
セッションに接続している、セッション内、セッションの、がどこに相当するのかが理解できません。

「TCP/IP プロトコルにおけるサーバー」の意味がわかりません?

(1)DHCPサーバの動作を禁止(IPV4)
このポリシーが設定されているセッションに接続しているコンピュータが DHCP サーバーとなり IPv4 アドレスや DNS サーバーの情報などを IPv4 DHCP クライアントに配布することを禁止します。

「このポリシーが設定されているセッションに接続しているコンピュータ」とは?

(2)DHCPが割り当てたIPアドレスを強制(IPV4)
このポリシーが設定されているセッション内の IPv4 コンピュータは、仮想ネットワーク側の DHCP サーバーが割り当てを行った IPv4 アドレスしか利用できないようにします。

「このポリシーが設定されているセッション内の IPv4 コンピュータ」とは?

(3)TCP/IPサーバとしての動作を禁止(IPV4)
このポリシーが設定されているセッションのコンピュータが TCP/IP プロトコルにおけるサーバーとしての動作を行うことを禁止します。

「このポリシーが設定されているセッションのコンピュータ」とは?
「TCP/IP プロトコルにおけるサーバー」とは?

(4)ルータ広告パケットをフィルタリング(IPV6)
このポリシーが設定されているセッションに接続されている IPv6 ルータが仮想 HUB に対して発信したすべての ICMPv6 パケットのうち、メッセージの種類が 134 (ルータ広告) であるすべてのパケットをフィルタリングします。これにより、悪意のあるユーザーが不正なプレフィックスおよびデフォルトゲートウェイ情報をネットワークに流すことを禁止できます。

「このポリシーが設定されているセッションに接続されている」とは ?

cedar
Site Admin
Posts: 2066
Joined: Sat Mar 09, 2013 5:37 am

Re: セキュリティポリシー説明文の意味がわかりません。

Post by cedar » Tue Jul 20, 2021 2:35 am

>「セッションに接続している」、「セッション内」、「セッションの」、意味がわかりません。

これらはすべて、そのセッションの向こう側に何らかのホストがあると仮定し、そのホストの挙動を制限するという見立ての表現です。
実際のポリシーの処理としては、セッションから届くパケットのうち、条件に合致するものを破棄する形で動作します。

> 「TCP/IP プロトコルにおけるサーバー」の意味がわかりません?

TCP/IP では、能動的に接続を開始する発呼側を「クライアント」と呼び、受動的に接続を受け付ける着呼側を「サーバー」と呼びます。

hiura
Posts: 143
Joined: Wed Mar 10, 2021 1:56 am

Re: セキュリティポリシー説明文の意味がわかりません。

Post by hiura » Tue Jul 20, 2021 3:38 am

>これらはすべて、そのセッションの向こう側に何らかのホストがあると仮定し、そのホストの挙動を制限するという見立ての表現です。

「セッションに接続しているコンピュータ」、「セッション内コンピュータ」、「セッションのコンピュータ」、は表現は違うが、
同じコンピュータを指していると理解していいでしょうか?。
また、どこから見て向こう側なのでしょうか?。

cedar
Site Admin
Posts: 2066
Joined: Sat Mar 09, 2013 5:37 am

Re: セキュリティポリシー説明文の意味がわかりません。

Post by cedar » Tue Jul 20, 2021 4:36 am

>「セッションに接続しているコンピュータ」、「セッション内コンピュータ」、「セッションのコンピュータ」、は表現は違うが、
> 同じコンピュータを指していると理解していいでしょうか?。

少なくとも私は、同じものを指すと解釈しています。

>また、どこから見て向こう側なのでしょうか?

「仮想 HUB から見て」です。

仮想 HUB から見ると、セッションはパケットの出入りするトンネルに過ぎません。
しかし、管理する上では、その先にホストやネットワークが接続されて存在していて、セキュリティポリシーでは、それらホストの振る舞いに対する制限を加えていると考えたほうが理解しやすいため、このような表現になっているのではないかと思います。

セッション上のホストという見立てを取り払って、パケット自体への処理という観点で見ると、以下のような感じです。

> (1)DHCPサーバの動作を禁止(IPV4)
そのセッションから届く DHCP 応答を破棄します。

> (2)DHCPが割り当てたIPアドレスを強制(IPV4)
そのセッションから届いたDHCP要求への応答で割り当てられたIPアドレス以外を発信元とするパケットを破棄します。

>(3)TCP/IPサーバとしての動作を禁止(IPV4)
そのセッションから届く SYN+ACK フラグの付いた TCP パケットを破棄します。

>(4)ルータ広告パケットをフィルタリング(IPV6)
そのセッションから届くRAパケットを破棄します。

Post Reply