具体的に試験環境の検討をする　[ソフトウェア研究室]: ゼロからはじめるシステム開発

<< 2024年11月 >>
日	月	火	水	木	金	土
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

<< リダイレクト障害を確認する環境を準備する～hostsを使用した攻撃～　[セキュリティ研究室] | TOP | データベースインポート障害　[ソフトウェア研究室] >>

2023年01月28日

具体的に試験環境の検討をする　[ソフトウェア研究室]

　こんにちは！
　ナビゲータのEVEです。

　昨日までは、hostsファイルの機能についてお話ししてきましたが、今日は実際の試験環境の検討に入ります。

[テスト環境のポイント]
　テスト環境のポイントは、2つです。

❶hostsファイルにドメインとIPを定義する
❷SSL/TLS証明書を適切に配置する

[hostsへ記述する]
　❶については、昨日まで話してきた内容ですが、実際にどんな感じになるのか記述してみましょう。
　まずは、秀丸を管理者権限で開きます。本当は、ここで、エクスプローラーから秀丸へドラッグアンドドロップで表示したいのですが、できません。仕方がないので、秀丸のファイルを[開く]から、C:\Windows\System32\drivers\etc\hostsを選択します。
　hostsファイルが開いたら、pro2grammer.comとshareholders.tokyoを同ファイルに記述していきます。以下のような感じでしょうか？


# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#	127.0.0.1       localhost
#	::1             localhost
	[IP]zzz.zzz.zzz.zzz	www.pro2grammer.com
	[IP]zzz.zzz.zzz.zzz	www.shareholders.tokyo

　ポイントは、違うドメインへ同じIPを付与する点になります。

[SSL/TLSを付与する]
　次に、SSL/TLSを付与します。以前ブラウザがSSL/TLSを識別するには3つの要素があるという話をしましたが、覚えていますでしょうか？忘れた方、見てない方もいると思うので、改めてお話しさせていただきます。

①SSL／TLS証明書がブラウザで信頼する認証局から発行されていること。
②SSL／TLS証明書が有効期間内であり、失効していないこと。
③SSL／TLS証明書のコモンネームとアクセス先のFQDN(ホスト名)が一致すること。
※情報処理安全確保支援士試験で、これについて問われる文章問題が毎年出題されます。

　基本的に、以上の①～③の条件を満たせば、ブラウザはSSL／TLS証明書は正しいと判断し、警告なく接続してくれます。どうでしょう？今回の試験は上記試験を満たしていそうです。

　他の技術になるのですが、同じようなことをやっている技術があります。それは、プロキシです。
　SSL/TLSを通信する場合、クライアントとサーバー間で、SSL/TLS通信を行います。ただ、プロキシが入ると直接するのは難しそうです。そこで、クライアント、プロキシ間そして、プロキシ、サーバー間でSSL/TLS通信を行います。それぞれの区間でSSL/TLS通信を行い、疑似的にクライアント、サーバー間が直接通信をしているかのように通信しているように見せています。
　ハッカーの攻撃に似たようなものがあって、中間者攻撃というのがあるのですが、その攻撃手法を利用して、通信を行っている例です。

　という例もあるので、多分うまくいくでしょう？ただ、違うサイトが並存しているのは気持ちが悪いので、その間システムを停止して実施するかもしれません。

[現在の試験環境]
　リダイレクト試験の環境の検討は終わったのですが、開発環境の構築にまだまだ時間がかかりそうです。
　データベースのエクスポートファイルのインポートを開始してから24時間近く立とうとしていますが、現在、28/324完了といった状況です。最初の方の読み込みファイルが1ファイル200万件以上のレコードを含むテーブルが並んでいるので、それらが過ぎれば、一気にインポートが進むとは思いますが、明日中に終わるかどうか微妙な状況です。

　では、また！

《参考サイト》
■SNIを導入する　[ソフトウェア研究室](2023年1月11日)
https://fanblogs.jp/bahamuteve/archive/191/0

タグ：hosts プロキシ SSL/TLS