Software Defined Network

ネットワークの構成や機能、性能などをソフトウェアで動的に設定する技術

OpenFlow

各フレームが持つMACアドレスやVLANタグ、IPアドレス、ポート番号などの特徴をフローとして扱い、フローをベースにスイッチングを行うことで経路を柔軟に制御する

フローコントローラ：経路制御を行う

フロースイッチ：データ転送を行う

この1年間、在宅勤務をしてみて、ほぼメリットしか感じなかった。

あえて言うなら、夏冬は光熱費がかかるくらい。

今日も1日暖房をつけっぱなし。

早く春にならないかな。

単位時間当たりのトラフィック量を表す単位で、単位時間に1本の回線を100%利用した時のトラフィック量を1アーランとする。

180台のトラフィック

1台あたり平均3分に1回の発着呼

平均保留時間が80秒

上記の場合、1時間で考えると

1台あたり20回　＊　平均保留時間（利用時間）80　＊　180　／　3600

◆モバイルWifiルータ

　通信事業者が契約者を識別する情報が記録されているのはSIMカード

　ネットワークへのゲートウェイを指定する情報のことをAPN（Access Point Name)

　NAPTにより、プライベートIPをグローバルIPに変換してインターネットに接続する

無線LANのSSIDを知らせないステルス機能＝定期的に送信するビーコン信号を停止する機能

SSIDやMACアドレスは暗号化できず、傍受される可能性があるので、WPA2を用いて通信の暗号化が必要

WPA2で採用されている暗号化アルゴリズムはAES

IP-VPN：専用線を使う

インターネットVPN：インターネットを使う

NHRP(Next Hop Resolution Procotocol)

すべてのトンネルエンドポイントを手動で設定するのではなく、自動設定してくれる仕組み。

OSPF

代表ルータ（ハブ）とスポークで経路情報を交換して、代表ルータに集約する。

OSPFプライオリティを0に設定した場合は代表ルータに選ばれなくなる。

MPLS(Multiprotocol Label Switching)

IP-VPNを実現するために用いられる

拠点A-CEルータ-PEルータ-通信事業者網-PEルータ-CEルータ-拠点B

レイヤ3トンネリング：GRE、IPsec

レイヤ2トンネリング：L2F、PPTP、L2TP

GREは暗号化機能が無いため、IPSecの暗号化と組み合わせるGRE over IPSecがある。

SPF(Sender Policy Framework)

電子メールの送信元ドメインが詐称されていないかを検査するための仕組み

SMTPは差出人を自由に設定することが可能なので、偽装が簡単に行える。

これを防止するためにDNSにPSFレコードを事前に登録しておき、登録されていない場合は受信を拒否する。

SMTP-AUTH

SMTPにIDとPASSでの認証を追加したもの。

ポートは587を利用（サブミッションポートという）

POP before SMTPでも認証はできる（POPは認証が必要なため）が、IPアドレスで認証する仕組みなので、同じグローバルIPを使っている場合は他人でもSMTPが使えてしまう。

OP25B（Outbound Port 25 Blocking）

TCP25ポートの通信を一部遮断することで、不正メールの送信を抑制する仕組み。

IPパケット単位での暗号化や認証

IPv6では拡張ヘッダの中にIPSecが含まれるのでIPヘッダだけで利用できる

通信を行う際にはSA（Security Assosiation）を生成する。

まず、ISAKMP SA（Internet Security Association and Key Management Protocol）で暗号化プロトコルや暗号鍵等の情報をやりとりする。

次に、IPsec SAでデータを送る。

IKE（Internet Key Exchange Protocol）で共通鍵をやりとりする。

Secure Sockets Layerは通信を安全に行うためのプロトコル

SSLが改良されて出来たのがTLS（Transport Layer Security)

＜通信手順＞

・サーバへ接続を要求する

・サーバから公開鍵を含んだ証明書が送られる

・公開鍵でクライアント共通鍵を暗号化してサーバへ送付

・サーバ側では、クライアント共通鍵を使ってデータを暗号化して送信

・クライアント側では受信したデータをクライアント共通鍵で復号

＜メリット＞

・公開鍵を用いた暗号化通信

・暗号化通信にハッシュ関数を含めることで改ざんを検出

・証明書による認証

・鍵交換ができる

サーバ証明書にはレベルがある。

DV：ドメイン認証　＜　OV：企業実在認証　＜　EV認証（Extended Validation）

EV認証はURLが緑になってカッコ良い

SSL-VPNの例

・リバースプロキシ方式

　Webブラウザで動作するアプリのみ対応

・ポートフォワーディング

　クライアント側に通信用のモジュール設定して通信する

　通信途中でポートが変わる通信には使えない

・L2フォワーディング

　クライアント側に通信用のモジュール設定して通信する

　はHTTPパケットでカプセル化してSSL通信を行う

この件、GitHubは何も悪く無い。

まとめサイトを読んでいると、当の本人は自分がやったことの重大さに気づいていなかったらしい。

それにしても、この人がどんなコードを書いていたのか気になる。

45歳プログラマーさん、警察庁とNTTとSMBCのソースコードを世界に無償公開してしまうプログラマー歴20年の艦これ提督が作ったプログラムを入れると年収を査定してくれるからと手持ちのプログラムを全て入れてしまいSMBCとNTTと警察庁、日銀、埼玉県庁で使っているソースコードGithu..togetter.com

日本語名だと、クロスサイトスクリプティング　と　クロスサイトリクエストフォージェリ　なので、とても分かりづらい。

前者はフロントへの攻撃、後者はWebサーバへの攻撃と覚えると良いらしい。

代表的な対策

前者は、不正スクリプト実行防止のためにサニタイジング（エスケープ）を行うこと。

後者は、ワンタイムトークンを使って認証を行うこと。