VPN：パケットをカプセル化してトンネリングを行う技術

IPsecは、IPパケットをカプセル化

L2TPは、データリンク層のトンネリング

 

 

＜経路制御＞

OSPF（Open Shortest Path First）は、コストが最小となる経路を最適経路とするプロトコル

リンク状態データベースを使う

 

RIP-2（Routing Information Protocol)は、距離ベクトル型ルーティングプロトコル

ホップ数を使う

 

BGP-4(Border Gateway Protocol)は、大規模なネットワークで用いられる、AS（Autonomous System）同士を接続するプロトコル

AS間で経路情報に付加されたパス属性を使用して、ポリシーに基づいた経路選択をする。

 

 

＜メール送信プロトコル＞

SMTPは、セッション開始時にHELOまたはEHLOコマンドを送る。

EHLOは拡張機能でSMTP-AUTHが利用できる。

MAIL FROM：送信元

RCPT　TO：宛先

 

 

＜通信経路の冗長化＞

VRRP（Virtual Router Redundancy Protocol）仮想ルータを用いてデフォルトゲートウェイを二重化するプロトコル

 

STPはループを持たない木構造のネットワークを構成する

ルートブリッジの決定には、優先順位を使う

優先順位が同じ場合、MACアドレスの一番小さいものが選ばれる

 

 

＜FTP＞

パッシブモード：コネクションをクライアント側から接続する

PASV：サーバ側のデータ転送ポートを要求

 

アクティブモードは、FTPサーバ側からコネクションを要求するため、社外から社内に入る際にFWで通信が遮断される可能性がある。

このため、セキュリティ上パッシブモードが使われることが多い。

 

 

＜SSL/TLS＞

Secure属性

SSL/TLSを用いたときだけCookieを送る

 

ダウングレード攻撃

暗号化通信を確立する際に、最弱の暗号スイートを使わせる攻撃

 

 

＜DNS＞

DNSリフレクタ攻撃

送信元のIPアドレスを偽装して大量の問い合わせをDNSサーバに送ると、先程のIPへ向けて応答が返ることになり、偽装対象のサーバへ負荷をかける攻撃

 

DNSでサーバへアクセスする際に、クライアントにより近いサーバへ振り分けるための仕組み。

略するとECSなので、AWSのサービスみたい。

Software Defined Network

ネットワークの構成や機能、性能などをソフトウェアで動的に設定する技術

 

OpenFlow

各フレームが持つMACアドレスやVLANタグ、IPアドレス、ポート番号などの特徴をフローとして扱い、フローをベースにスイッチングを行うことで経路を柔軟に制御する

 

フローコントローラ：経路制御を行う

フロースイッチ：データ転送を行う

 

この1年間、在宅勤務をしてみて、ほぼメリットしか感じなかった。

あえて言うなら、夏冬は光熱費がかかるくらい。

今日も1日暖房をつけっぱなし。

早く春にならないかな。

単位時間当たりのトラフィック量を表す単位で、単位時間に1本の回線を100%利用した時のトラフィック量を1アーランとする。

 

180台のトラフィック

1台あたり平均3分に1回の発着呼

平均保留時間が80秒

 

上記の場合、1時間で考えると

1台あたり20回　＊　平均保留時間（利用時間）80　＊　180　／　3600

 

◆モバイルWifiルータ

　通信事業者が契約者を識別する情報が記録されているのはSIMカード

　ネットワークへのゲートウェイを指定する情報のことをAPN（Access Point Name)

　NAPTにより、プライベートIPをグローバルIPに変換してインターネットに接続する

 

無線LANのSSIDを知らせないステルス機能＝定期的に送信するビーコン信号を停止する機能

 

SSIDやMACアドレスは暗号化できず、傍受される可能性があるので、WPA2を用いて通信の暗号化が必要

WPA2で採用されている暗号化アルゴリズムはAES

 

 

IP-VPN：専用線を使う

インターネットVPN：インターネットを使う

 

NHRP(Next Hop Resolution Procotocol)

すべてのトンネルエンドポイントを手動で設定するのではなく、自動設定してくれる仕組み。

 

OSPF

代表ルータ（ハブ）とスポークで経路情報を交換して、代表ルータに集約する。

OSPFプライオリティを0に設定した場合は代表ルータに選ばれなくなる。

 

MPLS(Multiprotocol Label Switching)

IP-VPNを実現するために用いられる

拠点A-CEルータ-PEルータ-通信事業者網-PEルータ-CEルータ-拠点B

 

 

レイヤ3トンネリング：GRE、IPsec

レイヤ2トンネリング：L2F、PPTP、L2TP

GREは暗号化機能が無いため、IPSecの暗号化と組み合わせるGRE over IPSecがある。

SPF(Sender Policy Framework)

電子メールの送信元ドメインが詐称されていないかを検査するための仕組み

SMTPは差出人を自由に設定することが可能なので、偽装が簡単に行える。

これを防止するためにDNSにPSFレコードを事前に登録しておき、登録されていない場合は受信を拒否する。

 

SMTP-AUTH

SMTPにIDとPASSでの認証を追加したもの。

ポートは587を利用（サブミッションポートという）

POP before SMTPでも認証はできる（POPは認証が必要なため）が、IPアドレスで認証する仕組みなので、同じグローバルIPを使っている場合は他人でもSMTPが使えてしまう。

 

OP25B（Outbound Port 25 Blocking）

TCP25ポートの通信を一部遮断することで、不正メールの送信を抑制する仕組み。

IPパケット単位での暗号化や認証

IPv6では拡張ヘッダの中にIPSecが含まれるのでIPヘッダだけで利用できる

 

通信を行う際にはSA（Security Assosiation）を生成する。

 

まず、ISAKMP SA（Internet Security Association and Key Management Protocol）で暗号化プロトコルや暗号鍵等の情報をやりとりする。

 

次に、IPsec SAでデータを送る。

 

IKE（Internet Key Exchange Protocol）で共通鍵をやりとりする。

Secure Sockets Layerは通信を安全に行うためのプロトコル

SSLが改良されて出来たのがTLS（Transport Layer Security)

 

＜通信手順＞

・サーバへ接続を要求する

・サーバから公開鍵を含んだ証明書が送られる

・公開鍵でクライアント共通鍵を暗号化してサーバへ送付

・サーバ側では、クライアント共通鍵を使ってデータを暗号化して送信

・クライアント側では受信したデータをクライアント共通鍵で復号

 

＜メリット＞

・公開鍵を用いた暗号化通信

・暗号化通信にハッシュ関数を含めることで改ざんを検出

・証明書による認証

・鍵交換ができる

 

サーバ証明書にはレベルがある。

DV：ドメイン認証　＜　OV：企業実在認証　＜　EV認証（Extended Validation）

EV認証はURLが緑になってカッコ良い

 

 

SSL-VPNの例

・リバースプロキシ方式

　Webブラウザで動作するアプリのみ対応

 

・ポートフォワーディング

　クライアント側に通信用のモジュール設定して通信する

　通信途中でポートが変わる通信には使えない

 

・L2フォワーディング

　クライアント側に通信用のモジュール設定して通信する

　はHTTPパケットでカプセル化してSSL通信を行う