【#20 Proxy 】プロキシ解説 セキュリティのお勉強

長尺の動画ご覧下さりありがとうございます！
お粗末様でございました。

-ayumu RoundCat さん
プロキシについて理解が深まったようで、良かったです(^^)
コメントありがとうございます！

いつもコメントありがとうございますー！
ふと思ったのですが、
squid=イカ、shark=サメ
何故か海の生物の名前を使ってるんですよね。
この辺も興味深いですよね(笑)

kemeko137さん
コメントありがとうございます。
応援ありがとうございます。
CISSP勉強中なんですね。
分厚い参考書を覚えるの大変ですよね。
良き結果になるように
私もkemeko137さんを応援しています☺

ryuhei itou さん
コメントありがとうございます。
この動画は、私が新人の時にこんな事知っておきたかったなぁ…というものです(^^)
お役に立てればとても嬉しいです。
そして、ryuhei itou さんには私以上に教えられるエンジニアに
なって頂きたいです(^^♪

ken domeさん
コメントありがとうございます！
ken dome さんのご意見を参考にさせて頂き、
今後動画を作る時には、最後に”まとめ”を作成していきたいと思います。
実は、動画を分析して
まとめのタイミングで視聴者の離脱率が多かった事実がありました(^^;
その結果、”まとめ”は必要とされていないのかな…と考え、まとめを削っている動画がいくつかあります。
ただ、ken domeさんのように熱心に”まとめ”まで見て下さっている事を理解できました。
これからの動画作りの参考にさせて頂きます！
ありがとうございます(^^)

コメントありがとうございます！
動画がお役にたてて良かったです(^^)

さすがプロ器思惟ですよね。

くどしまさん
コメントありがとうございます。動画がお役にたててうれしいです。
透過型プロキシでサービスを提案しているのですね。
クライアントとプロキシサーバで参照するDNSが異なる場合でも
理論的にはクライアントが名前解決をするので問題ない気がしますが…
色んなパターンがあると思うのでしっかり検証する必要があると思います。
また下記のような別案も試せると思います。
※おそらく私よりくどしまさんの方が詳しい情報をお持ちだと思うので
釈迦に説法のような気がして大変恐縮ですが…
例えば社内にキャッシュDNSを用意して
クライアントとプロキシのDNS参照先を同じにする
またはHTTPSの接続先が一定固定されている場合は
ホスツファイルで事前に情報を定義しておくことで
DNSサーバの影響なく名前解決できるようになると思います。
少しでも参考になれば幸いです。
参考サイト
milestone-of-se.nesuke.com/sv-advanced/server-software/transparent-proxy/
nekowara.info/archives/14344586.html

@@masaru-study 回答をいただきありがとうございます。
私のほうでも色々と調べてみました。
透過型Proxyの場合に、クライアントからの通信先を何の疑いもなくPROXYサーバが引き継いでくれる
場合には参照先のDNSがことなっても問題はなさそうです。
クライアントからの通信先（FQDNに対するIPアドレス）を、ProxyサーバでもDNSを参照して解決されるIPアドレスの整合性をとるような場合に、最近のクラウドサービスやCDNにて構築されるようなサイトでは複数のIPアドレスを持っており問題となることがあるようです。非透過型より透過型のが色々と難しいようです。

Koichi Yoshiyasuさん
コメントありがとうございます。
そうですね、CDNがリバースプロキシ的な働きがあるので
負荷分散の役割が強くなっていますね😊

しのさん
コメントありがとうございます！
最後に”まとめ”を作るご助言ありがとうございます。
他の方からも、まとめが欲しいというご要望を頂いた事があり、
現在作成しているネスペ直前対策シリーズという動画では
必ず”まとめ”を作るように心がけています。
しのさんからのご助言を元に、今後も”まとめ”を
しっかり作っていこうと思いました。
ありがとうございます(^^)
グローバルＩＰ節約の部分
共感して頂けて嬉しいです♪

OR
さん
コメントありがとうございます
私も過去パケットトレーサーで
プロキシを構築できないか
情報を探しましたが…
現時点（2022年5月）では
パケットトレーサーでは
プロキシ利用できないようです。
パケットトレーサーでも
使るようになれば良いですよね(^^)

どんち ピロ
さん
コメントありがとうございます。
おすすめのプロキシサーバはWebプロキシであれば
Squidがよく利用されており、情報量も多いことからオススメしたいです。
ポート番号に関しては…特におすすめが思いつきません💦
参考になりそうなサイトもあったのでご紹介させていただきます。
www.designet.co.jp/ossinfo/selection/proxy-loadbalancer.html
参考になれば幸いです。

@@masaru-study さん
返信ありがとうございます😊
ありがとうございます😊

wonder3pfm
さん
コメントありがとうございます。
はい、仰る通りです。今回の実演の環境はプロキシサーバを経由させないと通信できない設定にしています。
一般的な家庭環境の場合はDHCPによって通信の設定がされて、インターネットを使えるようになります。
企業のような中規模～大規模な環境ではセキュリィティの観点からプロキシサーバを経由させないと
通信できないようにする環境が良くあります。
今回は手動でプロキシサーバの設定を行いましたが、普通はグループポリシーによって
プロキシサーバの設定がPCに反映される事で、通信ができるようになる事が多いです。
参考になれば嬉しいです(^^)

コメントありがとうございます。
制約が多いと、大変ですよね…。
文面からどのような問題が発生しているのか
詳細は分かりませんでしたが
FW負荷を気にされていたので
過剰な通信が発生しているもしくは意図しない通信が発生している事が
問題として推察して、お話をすすめます。
今回の場合
FWにポートミラーリングの機能の有無を確認するのはいかがでしょうか。
e-words.jp/w/%E3%83%9D%E3%83%BC%E3%83%88%E3%83%9F%E3%83%A9%E3%83%BC%E3%83%AA%E3%83%B3%E3%82%B0.html#:~:text=%E3%83%9D%E3%83%BC%E3%83%88%E3%83%9F%E3%83%A9%E3%83%BC%E3%83%AA%E3%83%B3%E3%82%B0%E3%81%A8%E3%81%AF%E3%80%81%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF,%E3%83%9D%E3%83%BC%E3%83%88%E3%81%8B%E3%82%89%E9%80%81%E5%87%BA%E3%81%99%E3%82%8B%E6%A9%9F%E8%83%BD%E3%80%82
別ポートから通信を送って、その内容を別機器で解析すれば、
FW自体で解析する必要がないので
負荷はそこまで高まらないと思います。
私は文面から想像している状況なので、本当のU A さんの状況と違っていたら
申し訳ないですが、何かの参考になれば幸いです(^^)

@@masaru-study ポートミラーリングですね！ありがとうございます！
確認したところクラウド上でもその機能がございましたので、それを使用して一度サーバー側の送信を確認したいと思います！
色々あり少し曖昧に書いた形で分かりづらくてすみませんでした。

@@ua6141 お返事ありがとうございます。
お役に立ててうれしいです(^^)
問題解決できる事を願っております☆彡

”串を挿す”っていう方もいますよね。
業界用語っぽくてかっこいいのです。
私にはかっこよすぎて
串を挿すといった事がありません(^^;)
３重でプロキシを使うような環境があったんですね…
想像つかないです。
結構通信速度遅くなりそうですね…

@@masaru-study ええ、もうフリーズしたんじゃないかと思うくらいw

@@Boke200210 それは使いものにならないですね(笑)

WAFは毎年何かしら取り上げられてるイメージあります☺