# ネットワークスペシャリスト対策ノート

2013-09-21

用語集::01

シングルポイント（SPOF： Single Point of Failure）：構成上、冗長化が行われていない箇所。身近な例としては、RAIDにおけるRAIDコントローラ等。

複数の物理NICを束ね、1つの仮想NICとして扱う技術。冗長化や帯域幅の向上に利用される。チャネルボンディングとも。チーミングの形態：フォールトトレランス：物理NICをそれぞれ稼動系または待機系として扱い、障害発生時には自動的に切り替える。最も単純な冗長化で、帯域幅の向上は行わない。ロードバランシング：複数の物理NICを同時に使用し、負荷分散を行う。負荷分散は仮想NIC側で処理されるため、対向スイッチ側に特別な機能は必要ない。リンクアグリゲーション： IEEE802.3ad / EtherChannel 複数の物理NICを同時に使用し、負荷分散を行う。ロードバランシングと違い論理的に1つのリンクとなるが、対向スイッチ側での設定が必要となる。 ※対向スイッチを1台で構成した場合、シングルポイントが発生する。解決策としては、複数の物理スイッチを束ね1つのスイッチとして振る舞わせる“スタック”技術を活用する等がある。負荷分散方式：負荷分散を行う際、使用する物理NICを選択する方法として、次のようなものがある。送信元ポートベース：仮想NICが接続している仮想スイッチのポート毎に、使用する物理NICを選択する。 1つの仮想NICが利用する物理NICは1つ。送信元MACアドレスベース：送信元MACアドレス（＝仮想NICのMACアドレス）のハッシュに基づいて、使用する物理NICを選択する。 1つの仮想NICが利用する物理NICは1つ。 IPアドレスベース：送信元/宛先IPアドレスのハッシュに基づいて、使用する物理NICを選択する。 1つの仮想NICが複数の物理NICを利用するため、最も効果的な負荷分散が行える。 ※同一の送信元MACアドレスを持つフレームが複数の物理NICから送出されるため、対向スイッチ側でMACアドレスの学習が正常に行えない。解決策として、リンクアグリゲーションを利用する必要がある。上流リンクの冗長化：どの形態においても、仮想NICが障害を検知できるのは対向スイッチまでのリンク状態であり、対向スイッチの上流リンクで障害が発生した場合には検知できない。 [仮想NIC] -+-- [物理NIC] ---- [対向スイッチ] ---- [上流機器] ---- | ↑障害検知可能 ↑障害検知不可 | +-- [物理NIC] ---- [対向スイッチ] ---- [上流機器] ---- ↑障害検知可能 ↑障害検知不可 リンクステートトラッキング：スイッチ上でリンクダウンを検知した場合に、 関連するリンクを強制的にダウンさせることによりリンクダウンの発生を伝達する機能。 ↓強制的にダウン ↓リンクダウン発生 [仮想NIC] -+-- [物理NIC] ---- [対向スイッチ] ---- [上流機器] ---- | ↑停止 ↑障害検知可能 ↑障害検知不可 | +-- [物理NIC] ---- [対向スイッチ] ---- [上流機器] ---- ↑引き継ぎスパニングツリープロトコル： L2において、ループ構成を回避し冗長化を行うプロトコル。物理NICの切り替え/引き継ぎは行わず、対向スイッチ〜上流機器間で独立した冗長化を行う。

UTPによるEthernet規格

※伝送距離は100M ｜ 10Base-T ｜ 10Mbps｜Cat3 ｜IEEE 802.3i ｜｜ 100Base-TX｜100Mbps｜Cat5 ｜IEEE 802.3u ｜｜1000Base-T ｜ 1Gbps｜Cat5e/6｜IEEE 802.3ab｜｜ 10GBase-T ｜ 10Gbps｜Cat6a/7｜IEEE 802.3an｜半二重通信・CSMA/CDのサポート打ち切り

DNS（Domain Name System）

DNSクライアント： リゾルバ（＝解決する者）と呼ぶ。スタブリゾルバとも。名前解決を行うため、DNSサーバに問い合わせを行う。 DNSサーバ： DNSコンテンツサーバ： 権威DNSサーバとも。名前解決に利用する各種リソースレコードを、ゾーンと呼ばれる単位で管理する。特定のドメインを管理するDNSサーバ。 DNSキャッシュサーバ： フルサービスリゾルバとも。リゾルバから再帰問い合わせ（Recursive query）を受け付け、他のDNSサーバに対し反復問い合わせ（Iterative query）を行い、結果をリゾルバに返す。再帰問い合わせ：反復問い合わせを依頼する反復問い合わせ：答えを得られるまで、自らが他のDNSサーバに繰り返し問い合わせる ※反復問い合わせを受けた側は、それ以上の問い合わせを行わず、自らが持つ情報のみを返す。 DNSサーバの冗長構成： DNSサーバが冗長構成を取る場合、マスターとなるプライマリDNSサーバと、バックアップとなる1台以上のセカンダリDNSサーバで構成される。プライマリDNSサーバはセカンダリDNSサーバに対し、ゾーン情報の定期的な転送を行い同期する。（ゾーン転送） DNS フォワーディング：受け付けた再帰問い合わせに自らが答えられない場合、予め指定したDNSサーバ（＝フォワーダ）に再帰問い合わせを行う機能。正引き（Forward Lookup）：ドメイン名からIPアドレスを得ること逆引き（Reverse Lookup）： IPアドレスからドメイン名を得ることリソースレコード：｜A ｜Address ｜名前に対するIPv4アドレス｜AAAA ｜Quad Address ｜名前に対するIPv6アドレス｜PTR ｜Pointer ｜IPアドレスに対応する名前（逆引き）｜NS ｜Name Server ｜ゾーン内のDNSコンテンツサーバ｜MX ｜Mail exchange ｜ゾーン内のメールサーバ｜SOA ｜Start of Authority｜ゾーンそのものの情報｜CNAME｜Canonical NAME ｜名前に対する別名（エイリアス）｜TXT ｜text strings ｜テキスト情報

DNS::キャッシュポイズニング

DNSキャッシュサーバに、偽のレコード情報をキャッシュさせる攻撃。従来の攻撃： 1, ターゲットドメインを、ターゲットサーバに問い合わせる 2, ターゲットサーバは、反復問い合わせを行い、ターゲットドメインの権威サーバに問い合わせる 3, 権威サーバから正規の応答が帰ってくる前に、偽の応答パケットを送り込む DNSはUDPを利用した平文通信を行うため、パケットの偽装自体は容易。唯一の壁となるのがクエリIDで、問い合わせと応答で完全に一致する必要があるが、 16bit（65536通り）の長さしか無いため、総当りで一致しうる。対応策：当然ながらキャッシュ済みのレコードは権威サーバへの問い合わせが発生しないため、攻撃に失敗した場合は、TTL（有効期限： Time to Live）が切れるまで再攻撃できない。よって、TTLを十分に長くとることで、攻撃の成功率を抑えられると考えられていた。カミンスキーアタック（Kaminsky Attack）：従来の攻撃では、その前提条件として「ターゲットとなるドメイン名がキャッシュされていない」必要があった。カミンスキーアタックではこれを覆し、常に攻撃/再攻撃が可能となる。（カミンスキーは発見者の名） 1, ターゲットドメインの、存在しない（ランダムな）ホスト名についてターゲットサーバに問い合わせる例： qawsedrftgyhujikolp.afezeria.info 2, 当然ながらターゲットサーバにキャッシュは存在しないため、権威サーバに問い合わせる 3, 応答元としてターゲットドメインを偽装した応答を、正規の応答より早く送り込む 4, ターゲットサーバが偽の応答を受け入れ、応答元をキャッシュすれば攻撃成功従来の攻撃と同じく、クエリIDについては総当りとなるが、 TTLによる制約を受けないため、即座に再攻撃を繰り返せる。対応策：問い合わせ時の送信元ポート番号を、ランダムに選択する「Source Port Randomization」という手法が考えられた。クエリIDの65536通りに、利用するポート番号の数が乗算されるため、総当りのパターン数を大幅に増加できる。どちらの攻撃手法においても、攻撃者がターゲットサーバに問い合わせを行える必要が有るため、 キャッシュサーバの利用を許可するアドレス範囲を必要最低限に制限する等の対応がある程度有効である。また、クエリIDに対する総当りを行うので、パケットを監視すれば明らかに異常として検知できる。 DNSSEC：より根本的な対応策として、デジタル署名を利用したDNSSECがある。権威サーバが応答パケットにデジタル署名を施し、キャッシュサーバがそれを検証することで完全性を保持する。偽装パケットの作成が事実上不可能となるため、DNSキャッシュポイズニングのほぼ完全な防御となる。ただし、権威サーバ・キャッシュサーバの双方でDNSSECがサポートされる必要があるなど、普及を妨げる課題は多い。

DNS::オープンリゾルバ問題（DNS リフレクター/リフレクション攻撃 / DNS アンプ攻撃）

オープンリゾルバ：不特定からの問い合わせに応答するDNSキャッシュサーバ。リフレクター/リフレクション攻撃（Reflector Attacks）：問い合わせに対し反射的な応答を返すサーバをリフレクターといい、このリフレクターが持つ特性をDoS攻撃等に悪用した攻撃手法をリフレクター攻撃と呼ぶ。成立する条件： 1, 送信元IPアドレスの詐称によるターゲティングが可能である 2, リフレクターと成り得るサーバが数多く存在している 3, 問い合わせに対し、応答のサイズが十分に大きい（＝増幅率が高く、アンプ攻撃が成立する） DNSは全ての条件を満たしている： 1, 問い合わせに原則としてUDPを利用 2, 世界中に数多く存在 3, 問い合わせに対し応答サイズが“必ず”大きく、また大きなレコードを用意することも可能 ※応答に問い合わせそのものが含まれるため不適切に管理されたオープンリゾルバでは、意図せず再帰問い合わせの受け付けが有効となっている場合があり、リフレクター攻撃の踏み台とされる可能性がある。対応策としては、・コンテンツサーバとキャッシュサーバを分離する・キャッシュサーバの利用範囲を内部ネットワークに限定する等、再帰問い合わせを外向きに利用させない設定が必要となる。

2013-09-24

用語集::02

フェールオープン： IPS等、通信経路上（インライン）に設置する機器が故障した場合に、通信を素通りさせる機能/ポリシー。一方、「フェールクローズ」は通信を遮断する。デジタル著作権管理（DRM： Digital Rights Management）：デジタルコンテンツの著作権を保護し、利用や複製等を制御/制限する技術。

WLAN::IEEE802.11 一覧

｜:伝送規格｜:周波数｜:伝送速度｜:変調方式｜:チャネル数｜IEEE802.11b ｜ 2.4GHz｜ 11Mbps｜ DSSS｜13/14 （同時3/4）※日本国内のみ14chが利用可能｜IEEE802.11a ｜ 5GHz｜ 54Mbps｜ OFDM｜19 （同時 19）｜IEEE802.11g ｜ 2.4GHz｜ 54Mbps｜DSSS/OFDM｜13 （同時 3）｜IEEE802.11n ｜2.4/5GHz｜ 600Mbps｜ OFDM｜14/19 （同時2/9）｜IEEE802.11ac｜ 5GHz｜ 6.93Gbps｜ OFDM｜ - ※草案（ドラフト）

WLAN::IEEE802.11b/a

IEEE802.11b： 2.4GHzの周波数帯域（ISMバンド）を使用、最大伝送速度は11Mbps。チャネルは13（日本国内に限り14）。干渉なく利用するにはチャネルを5つ以上離す必要があり、同時に利用できる最大チャネル数は3chで3パターン存在する。 ※「1, 6, 11ch」「2, 7, 12ch」「3, 8, 13ch」のパターンただし、日本国内に限り14chが利用できるため、「1, 6, 11, 14ch」の組み合わせで最大4ch利用できる。 2.4GHz帯は電子レンジ, Bluetooth, コードレス電話等と電波干渉が発生する。 IEEE802.11a： 5Ghzの周波数帯域（U-NIIバンド）を使用、最大伝送速度は54Mbps。チャネル数は19。日本国内において、5Ghz帯は電波法による制限を受けるため屋外での利用ができない。※一部例外がある。チャネルはそれぞれ独立しているため、干渉せず同時に19chを利用可能。また2.4GHz帯（11b/g）と比べ、電波干渉を受けにくいためスループット面では有利。

WLAN::IEEE802.11g

IEEE802.11g： 2.4GHzの周波数帯域（ISMバンド）を使用、変調方式に11aと同じOFDMを利用するため、最大伝送速度は54Mbpsまで向上したが、周波数は11bと同じであるため電波干渉を受けやすく、干渉せず同時に利用できるチャネル数は3ch。 ※日本国内でも14chは存在しない。 11bとの互換性があるため、既存資産を有効活用でき、11aと比べ導入しやすい。 ※11bモードで通信する場合、変調方式にDSSSを利用し最大伝送速度は11Mbpsとなる。

WLAN::IEEE802.11n

“チャネルボンディング”や“MIMO”等の高速化技術により、理論上で最大伝送速度600Mbpsを実現した規格。 チャネルボンディング：隣り合う2つのチャネルを束ねて通信する技術。 11a/b/gでは1つのチャネルにつき20MHzの帯域だったが、11nでは2つのチャネルを使い40MHzの帯域を使用する。この場合、干渉せず同時に利用できるチャネル数は2.4GHz帯で2ch、5GHz帯で9chとなる。 MIMO（Multiple Input Multiple Output）：送信/受信側の双方で複数のアンテナを使用し、データを同時に転送することでスループットを向上させる技術。送信アンテナ2本、受信アンテナ2本という構成を「2x2のMIMO」といい、2つのデータストリーム（通信路）を形成できる。最大で4x4のMIMO、つまり4ストリームまで構築可能。フレームアグリゲーション：複数のフレームを連続して送出する機能。ブロックACK：フレームの受信を確認する“ACK”を一括で行う機能。伝送速度のパターン：｜:MIMO ｜:20MHz ｜:40MHz ｜｜1ストリーム｜ 72.2Mbps｜150Mbps｜｜2ストリーム｜144.4Mbps｜300Mbps｜｜3ストリーム｜216.7Mbps｜450Mbps｜｜4ストリーム｜288.9Mbps｜600Mbps｜ ※機器により、対応している伝送速度は異なる。下位互換性のための通信モード：レガシーモード（Legacy Mode）：下位の11a/b/gと完全な互換性があるモード。 11nの高速な通信は行えない。ミックスモード（Mixed Mode）： 11a/gのクライアントと、11nのクライアントを混在させられるモード。 11nフレームの先頭に11a/gのプリアンブルを付加することで、衝突を回避できる。 11nのクライアントにとってはオーバーヘッドが増加するため、スループットが低下する。グリーンフィールドモード（Greenfield Mode）： 11nのクライアントのみが動作するモードで、最大のスループットが得られる。

WLAN::接続形態（BSS, ESS, IBSS）

インフラストラクチャモード（Infrastructure Mode）：無線LANクライアント同士が直接的に通信せず、必ずアクセスポイントを経由する形態。 BSS（Basic Service Set）： 1つのアクセスポイントで構成されるネットワーク ESS（Extended Service Set）：複数のBSSで構成されるネットワークアドホックモード（Ad Hoc Mode）：無線LANクライアント同士が直接的に通信する形態。 IBSS（Independent Basic Service Set）：無線LANクライアント同士が直接するネットワーク

WLAN::BSSID / ESSID / ローミング

BSSID： BSSにおけるネットワーク識別子で、48bitの数値。通常はアクセスポイントのMACアドレスと同じ値となる。 ESSID： ESSにおけるネットワーク識別子で、最大32文字までの英数字。無線LANによる通信を行う場合、必ず同じESSIDを持つ必要がある。 ※俗にいう「SSID」はESSIDを指す。ローミング：無線LANクライアントが異なるアクセスポイント間をシームレスに移動できる機能。使用するアクセスポイントのESSIDは、全て同じでなければならない。セッションを切断せずローミングを行うためには、異なるchのセル（電波範囲）を15％程オーバーラップ（重ねる）させることが推奨される。

2013-09-25

WLAN::CSMA/CA（Carrier Sense Multiple Access with Collision Avoidance）

搬送波感知多重アクセス／衝突回避方式無線通信では衝突が検知できないため、イーサネットで使われるCSMA/CDは利用できない。そのため、予め「衝突を発生させない（衝突回避）」事を目的とした制御が行われる。回線の使用状況を確認し、他のホストが通信している場合（ビジー状態）に待機する動作はCSMA/CDを同じだが、 CSMA/CAでは、空きを確認（アイドル状態）してからもさらにランダムな時間（バックオフ）待機してからフレームを送出する。フレームを受け取ったアクセスポイントは、SIFSだけ待機した後にAckフレームを送信する。 DIFS：ビジー状態の回線から信号が検出されなくなり、アイドル状態と判断するまでの待ち時間 SIFS：フレームを送出する最小の待ち時間で、DIFSより短い。AckフレームはSIFSだけ待機した後に送信する。フレーム送出の流れ：｜ビジー状態｜ → DIFS → ｜アイドル状態｜ → バックオフ → ｜フレーム送出｜ → SIFS →｜Ack受信｜ CSMA/CA with RTS/CTS：上記の方法は「CSMA/CA with Ack」と呼ばれるが、「隠れホスト / 隠れ端末」という問題が発生する。同じアクセスポイントを使用するクライアントがお互いの電波を受信できる状況にあるとは限らないため、ビジー状態を正しく検知できず、フレームを同時に送出してしまい衝突が発生する場合がある。一方「CSMA/CA with RTS/CTS」は、送信する許可を求めて（RTS： Request to Send）、送信を許可する（CTS： Clear to Send）制御方式。アクセスポイントが明示的に送信権を与えるため、より完全なアクセス制御を行えるが、 RTS/CTSの送受信が必要となるためオーバーヘッドは増加する。「CSMA/CA with RTS/CTS」は、DSSS/OFDM等の変調方式が混在する環境においても、問題なく衝突を回避出来る。

WLAN::IEEE802.11 フレームフォーマット

無線LANでは、「IEEE802.11フレーム」というEthernetとは異なるフレームを使用する。｜｜｜ P S D U ｜｜PLCPプリアンブル｜PLCPヘッダ｜IEEE802.11ヘッダ｜ペイロード（データ）｜FCS｜ PLCPプリアンブル：「L1 物理層」フレームの先頭に付加される同期信号のビット列。 PLCPヘッダ：「L1 物理層」変調方式、伝送速度、データ長等の情報を持つヘッダ。 PSDU：「L2 データリンク層」IEEE802.11ヘッダ、ペイロード（データ）、FCSから構成される。 IEEE802.11ヘッダ：｜フレーム制御｜デュレーション/ID｜アドレス1｜アドレス2｜アドレス3｜シーケンス制御｜アドレス4｜QoS制御｜フレーム制御（Frame Control）：フレームの種類や制御に関するフラグの集合体。アドレス1〜4に関わる「To DS」「From DS」フラグはここに格納されている。 To DS ：宛先がアクセスポイントである場合は1、クライアントの場合は0。 From DS：送信元がアクセスポイントである場合は1、クライアントの場合は0。デュレーション/ID（Duration/ID）：回線の使用時間等を通知するため等に使用。 ※RTS/CTS等で利用される。アドレス1〜4：「To DS」「From DS」フラグにより、格納する値が異なる。｜:To DS｜:From DS｜:アドレス1｜:アドレス2｜:アドレス3｜:アドレス4｜:通信形態｜｜ 0｜ 0｜宛先MAC｜送信元MAC｜ BSSID｜ ------ ｜Client → Client ｜｜ 0｜ 1｜宛先MAC｜ BSSID｜送信元MAC｜ ------ ｜Client → AP ｜｜ 1｜ 0｜ BSSID｜送信元MAC｜宛先MAC｜ ------ ｜AP → Client ｜｜ 1｜ 1｜宛APのMAC｜元APのMAC｜宛先MAC｜送信元MAC｜Client → AP → AP → Client｜ ※BSSIDは、一般的にアクセスポイントのMACアドレス IEEE802.11bにおけるPLCPプリアンブル：ロングプリアンブル： 18byte、PLCPプリアンブル/ヘッダ共に、常に1Mbpsで伝送される。ショートプリアンブル： 9byte、PLCPプリアンブル/ヘッダ共に、常に2Mbpsで伝送される。 PLCPプリアンブルとPLCPヘッダは、無線LANの伝送速度にかかわらず、常に規定の速度で伝送される → 無線LAN特有のオーバーヘッドの一つ

2013-09-26

WLAN::IEEE802.11 接続手順（管理フレーム）

クライアントは、アクセスポイントとの間で管理フレームによるやり取りを繰り返し、接続を確立する。ビーコン（Beacon）：アクセスポイントが100ms毎にブロードキャストするフレーム。利用可能なチャネルと、自身のESSIDを告知している。クライアントはビーコンを一定時間受信し、接続したいESSIDを持つアクセスポイントを特定する。プローブ要求 / 応答（Probe Request / Response）：主に、ビーコンが一定時間受信できなかった場合に利用。クライアントが接続したいESSIDを格納したプローブ要求をブロードキャストし、該当するESSIDを持つアクセスポイントがプローブ応答を行うことで次の接続手順に移る。 ビーコンを利用してアクセスポイントに接続する方法をパッシブスキャン、 プローブを利用する方法をアクティブスキャンという。 オーセンティケーション要求 / 応答（Authentication Request / Response）：設定した認証方式を利用し、認証を行う。アソシエーション要求 / 応答（Association Request / Response）：最終的にクライアントが接続要求を行い、アクセスポイントが許可を応答する。それぞれの管理フレームを受信した場合、（要求や応答に対しても）必ずAckを返す。

WLAN::セキュリティ機能

※より本質的な、暗号化によるセキュリティについては別項で記述。 ESSIDステルス： ESSIDを平文で含むビーコンフレームのブロードキャストを行わない設定。合わせて、ESSIDが一致しないプローブ要求も無視する。「ESSIDの隠蔽」「ESSIDブロードキャストの停止」とも。 ※開始された通信でESSIDが暗号化されることはないので、完全な隠蔽は不可能。 → デフォルト値からの変更が推奨される ESSIDを空欄にして接続を拒否する、“ANY接続拒否”も組み合わさる場合が多い。 MACアドレスフィルタ： MACアドレスによる指定で、クライアントの接続許可/拒否を決定する機能。 ※手軽かつ効果的なセキュリティ対策ではあるが、 MACアドレスは偽装可能であり、平文通信を傍受すれば簡単に入手できるため、効果には限界がある。 APアイソレーション：クライアント同士の通信を禁止する機能。プライバシーセパレータとも。公衆無線LAN等、第三者と共有するような無線LANでは使用が推奨される。

WLAN::補足事項

アソシエーション：アクセスポイントとクライアント間の論理接続のこと。マルチパス：無線通信において、建物による反射等で信号が遅れて複数回到達する現象。ガードインターバル：上記のマルチパスによる影響を軽減するため、個々の伝送データの間に設ける待機時間。変調方式“OFDM”で利用される。ガードバンド：各チャネルの両端に設けられた、電波干渉防止のため通信に使用しない周波数。チャネルボンディングを行い2つのチャネルを束ねる場合、チャンネル間のガードバンドがなくなるため2倍“以上”の帯域速度が得られる。 IEEE802.1x：有線LANや無線LANを問わず利用される、LAN認証プロトコル。詳細は別項で記述。 PoE（Power over Ethernet： IEEE802.3af）： LANケーブルを通じて電力を供給する規格。アクセスポイントやIP電話のような末端機器のAC電源を省略できる。給電側をPSE（Power Sourcing Equipment）、受電側をPD（Powered Device）という。 DFS（Dynamic Frequency Selection）： 5GHz帯は気象観測レーダー等の既存設備で利用されているため、それらの電波を検知した場合に自動的に利用するチャネルを切り替える機能。法制度上、必要とされる機能であるため、詳細は国によって異なる。日本の場合、5GHz帯の一部（W53とW56 / W52は対象外）に義務付けられ、レーダー等の有無を1分間調べてからでなければチャネルの利用が許されない。 → 5GHz帯の無線LAN通信が停止するリスクの一つサイトサーベイ：無線LANを導入/構築する上で、電波干渉等の問題が発生しないかを確認するために行う事前の電波調査。

WLAN::セキュリティ（暗号化）

WEP（Wired Equivalent Privacy）： IEEE802.11として策定、暗号化方式はWEP、アルゴリズムはRC4。 64bitのWEPでは40bitの鍵を、128bitのWEPでは104bitの鍵を利用する。 WPA（Wi-Fi Protected Access）： IEEE802.11iまでの繋ぎとして、WFA（Wi-Fiアライアンス）が策定、暗号化方式はTKIP、アルゴリズムはRC4。 WPA2（Wi-Fi Protected Access 2）： IEEE802.11iとして策定、暗号化方式はCCMP、アルゴリズムはAES。 ※ 本来、暗号化方式は“CCMP”であるべきだが、“AES”として扱われる場合もある。 WEPではシェアードキー認証、WPA/WPA2ではPSK（Pre-Shared Key）認証が利用できる。

2013-09-27

FTP（File Transfer Protocol）：

ファイル転送に使用するアプリケーション層のプロトコル。コネクション： FTPでは、2つのTCPコネクションを利用する。制御用： TCP21番ログイン情報や転送方式など、データ転送を制御する命令とその応答を扱う。データ転送用： TCP20番実際のデータ送受信を行う。アクティブモード：制御/データ共にウェルノウンポートを利用。データ転送用コネクションをサーバ側から接続を開始するため、FWやNAT配下では利用できない場合がある。データ転送手順： 1, クライアントから制御コネクションを開始する 2, クライアントは“PORT”コマンドで、データコネクションを待ち受けるポートをサーバに通知する 3, 通知されたポートに対し、サーバからデータコネクションを開始するパッシブモード：制御用にはウェルノウンポートを利用するが、データ転送用にはランダムなポートを利用する。制御/データ共にクライアント側から接続を開始するため、FWやNAT配下でも比較的問題が起こりにくい。データ転送手順： 1, クライアントから制御コネクションを開始する 2, クライアントは“PASV”コマンドで、パッシブモードでのデータ転送をサーバに要求する 3, サーバは“PASV”コマンドの応答として、データコネクションを待ち受けるポートをクライアントに通知する 4, 通知されたポートに対し、クライアントからデータコネクションを開始するセキュリティ： FTPはログイン情報を平文で送信するため、安全ではない。セキュアな通信を行いたい場合は以下を利用する。 FTPS（FTP over SSL/TLS）： FTPによる通信をSSL/TLSで暗号化するプロトコル。 SFTP（SSH FTP）： SSH（Secure Shell）を利用して、安全なファイル転送を実現するプロトコル。

2013-09-28

SNMP（Simple Network Management Protocol）

ネットワーク機器を、リモートから監視/管理するためのアプリケーション層のプロトコル。 SNMPマネージャ：（待受 UDP 162番）監視/管理を行う機器 SNMPエージェント：（待受 UDP 161番） SNMPマネージャによる監視/管理を受ける機器 MIB（Management Information Base）： SNMPエージェントが持つ、SNMPで取り扱う機器情報をツリー状に保持する領域。それぞれの情報をオブジェクトといい、OID（オブジェクトID）で識別できる。コミュニティ名： SNMPで管理するマネージャ/エージェント同士で同じ名前を持つ必要がある。他のプロトコルにおける「パスワード」に近い。メッセージ：マネージャ → エージェント： Get Request ：指定したOIDの情報を要求する GetNext Request：一つ次のOIDの情報を要求する Set Request ：指定したOIDの設定変更を要求するエージェント → マネージャ： Get Response ：マネージャからの要求に対する応答 trap ：変化を検出した場合にエージェントが自発的に送出するメッセージ

2013-09-29

NTP（Network Time Protocol）

ネットワークを通じて時刻同期を行うためのアプリケーション層のプロトコル。 UDPを利用し、ウェルノウンポート番号はサーバ/クライアント共に123番。 stratum（ストレイタム）： NTPは階層構造を持ち、それぞれの階層を“stratum”という単位で扱う。原子時計やGPS等の時刻源が“stratum0”であり、それらに直結されたNTPサーバが“stratum1”と、階層を降りる毎に1加算される。 “stratum16”が最下位で、サーバとして時刻同期を提供することは出来ない。時刻同期手順： 1, クライアント → サーバ：発信時刻（t1）を格納した要求を送出 2, サーバ：要求を受け取り、受信時刻（t2）を記録する 3, クライアント ← サーバ：発信時刻（t3）を追記した応答を送出 4, クライアント：応答を受け取り、受信時刻（t4）を記録する 5, クライアントがそれぞれの時刻を計算し、正確な時刻を得る時刻の算出式：ネットワークの遅延時間 = (t4 - t1) - (t3 - t2) クライアント時刻の遅延時間 = ((t3 + t2) - (t1 + t4)) / 2 ※NTPでは、ネットワークの遅延時間を双方向等しいものと仮定している。閏秒：原子時と世界時の誤差を補正するため、世界的な協定に基づいて挿入または削除される1秒のこと。 NTPでは閏秒の扱いが規定されており、パケット内のフラグによって閏秒の挿入または削除を警告出来る。 ※閏秒による時刻補正を行う場合、ドリフトには影響させない。 2036年問題： NTPは、「1900年1月1日 00時00分00秒 UTC」を起点とした積算秒を使用している。この値は32bit符号なし整数値として表現されるため、「2036年2月7日 06時28分16秒 UTC」に桁あふれを起こし、NTPが誤動作する恐れがある。 ※UNIX timeにおける2038年問題と同種の問題。ドリフト：クライアントの時刻源が持つ本質的な誤差のこと。現在時刻のずれ（オフセット）ではなく、時刻の進み方のずれ。ドリフトを計測/補正することで本質的な時刻ずれが抑制されるため、時刻同期の周期を段階的に長くでき、負荷軽減に役立つ。

Storage::接続形態（DAS, NAS, SAN）：

DAS（Direct Attached Storage）： SATAやSCSI等でサーバと直結したストレージ。 NASやSANとの区別を明示的にするため、後から考案された名前（レトロニム）。 NAS（Network Attached Storage）：ネットワークを経由して接続するストレージ。ストレージが自らOSやファイルシステムを持つことでファイルサーバとして機能し、一般的にはTCP/IPとファイル共有プロトコルを使って接続する。 SAN（Storage Area Network）： LANとは独立したストレージ専用のネットワーク。 NASと違いファイルシステムを介さない（ローデバイス方式）ため、性能面では有利だが、コスト面/技術面のハードルが高い。

Storage::ファイル共有プロトコル

ファイルサーバやNASとのファイル共有に利用される代表的なプロトコル。 NFS（Network File System）： Unix系OSで利用されるファイル共有プロトコル。 CIFS（Common Internet File System）： Windowsで利用されるファイル共有プロトコルで、SMB（Server Message Block）を拡張したもの。 Unix系OSでは“Samba”等のソフトウェアから利用できる。 AFP（Apple Filing Protocol）： Macで利用されるファイル共有プロトコル。元々はAppleTalk上で動作するプロトコルだったが、現在は“AFP over TCP”としてTCP/IP上で動作する。 Unix系OSでは“netatalk”等のソフトウェアから利用できる。 WebDAV（Web-based Distributed Authoring and Versioning）： HTTPを拡張したファイル共有プロトコル。特定のプラットフォームに依存しない。

Storage::SAN（Storage Area Network）

FC-SAN：ファイバチャネル（FC: Fiber Channel）により構成されるSAN。 FCスイッチで接続し、サーバにはHBA（Host Bus Adapter）が必要となる。 WWN（World Wide Name）： HBAに付加されるユニークなアドレス。ゾーニング：サーバによるストレージへのアクセスを制御する機能。ソフトゾーニング： WWNに基づいて制御する方式、WWNゾーニングとも。ハードゾーニング： FCスイッチのポートに基づいて制御する方式、ポートゾーニングとも。 IP-SAN：既存のTCP/IPを利用するSAN。 FCIP（Fibre Channel over IP）： FCフレームをそのままカプセル化するプロトコル。 IPレベルではp2pでの接続を行い、ルーティング等は行われない。 TCP/IPをトンネリングのためだけに利用する。 iFCP（Internet Fibre Channel Protocol）： FCフレームをIPアドレスに対応付けてカプセル化するプロトコル。 IPレベルでのルーティングが可能。 iSCSI（internet SCSI）： SCSIコマンドをカプセル化するプロトコルで、FCを一切利用しない。 FCIPやiFCPと違い、唯一ネイティブなIP-SANと言える。 ※IP-SANでは、VLANを利用してゾーニングを行う。 FCoE（Fibre Channel over Ethernet）：ファイバチャネルを拡張されたEthernet上で動作させるプロトコル。 FC-SANとEthernetLANを1つのネットワークに収容出来る。 FCoE対応のスイッチで接続し、サーバにはCNA（Converged Network Adapter）が必要となる。 ※TCP/IPとの共存を目的としたもので、FCフレームをTCP/IPでカプセル化するわけではない。

2013-09-30

E-mail::利用するプロトコル

※ メールボックス：メールサーバ上に設置された、それぞれのユーザのメールを管理する領域 SMTP（Simple Mail Transfer Protocol）：メールの送信/転送に使用されるプロトコル。 TCPの25番ポートを使用し、暗号化・認証等は行わない。送信者からサーバ、サーバからサーバの転送に利用され、最終的に宛先のメールボックスまで転送する。 SMTPs（SMTP over SSL）： TCP 465番 SMTPによる通信をSSL/TLSで暗号化するプロトコル。 POP3（Post Office Protocol Version 3）：メールボックスからメールを受信するプロトコル。 TCPの110番ポートを使用し、暗号化は行わない。ユーザIDとパスワードによる認証を行うが、こちらも暗号化は行われない。 APOP（Authenticated POP）：パスワード認証を暗号化して行うプロトコル。メールヘッダ/本文の暗号化は行わない。 POP3s（POP3 over SSL）： TCP 995番 POPによる通信をSSL/TLSで暗号化するプロトコル。 IMAP4（Internet Message Access Protocol Version 4）：メールサーバ上のメールボックスを操作するプロトコル。 TCPの143番ポートを使用し、暗号化は行わない。認証方式には、平文で行うものと暗号化するものが存在する。 POP3と違い、基本的にメールボックスでメールを管理するため、複数端末で利用する場合も整合性が確保できる。 IMAP4s（IMAP4 over SSL）： TCP 993番 IMAP4による通信をSSL/TLSで暗号化するプロトコル。

E-mail::エンドツーエンドの暗号化

SMTPs、POP3s、IMAP4sは、伝送路の一部を暗号化するものであり、送信者から宛先まで（エンドツーエンド）の一貫した暗号化を行うわけではない。一方、これらの暗号化を提供するプロトコルとして、PGPやS/MIMEが存在する。 PGP（Pretty Good Privacy）：公開鍵暗号方式を利用して、メッセージの暗号化とデジタル署名を提供する。公開鍵の正当性は「信頼の輪」というモデルに基づいて検証する。 ※「信頼している相手が、信頼している相手」を信頼する S/MIME（Secure / Multipurpose Internet Mail Extensions）：公開鍵暗号方式を利用して、メッセージの暗号化とデジタル署名を提供する。公開鍵の正当性は認証局（CA： Certificate Authority）が証明する。どちらもメール本文の暗号化であり、メールヘッダが暗号化されることはない。

E-mail::ヘッダに含まれるフィールド：

Received ：経由したメールサーバ（経由するたび、一番上に追記する） Return-Path：何らかの理由でメールを転送できなかった場合などに、エラーメッセージを返却するメールアドレス From ：差出人のメールアドレス（記述に対する制約はなく、自由に偽装可能） Reply-To ：差出人が返信先として指定するメールアドレス To ：宛先のメールアドレス Cc ：メールの複製を送信する宛先メールアドレス、カーボンコピー Bcc ： Ccと同じだが、宛先にメールアドレスを通知しない。ブラインドカーボンコピー Subject ：タイトル Date ：送信日時

E-mail::OP25B（Outbound Port 25 Blocking）

ISP等がスパムメール防止のため、SMTPで使用されるTCP 25番ポート宛の通信をブロックすること。通常、ISP内部ネットワークから外部への境界で実施されるため、ISP内部ネットワークのメールサーバには影響を及ぼさない。 ISP外部のメールサーバが利用できないという弊害が発生するため、解決策として“サブミッションポート”と“SMTP AUTH”等を利用する。サブミッションポート： TCP 587番ポート、“メール送信を受け付ける”ために予約されたポート。通常、サーバはクライアントにユーザー認証を要求する。 POP before SMTP：メールを送信する前に、受信動作を行うことでPOP3のユーザ認証機能を利用する。送信元ホスト単位で許可されるため、ユーザ認証ではなくホスト認証に過ぎない。 SMTP AUTHと違い、クライアント側での対応を必要としないため、繋ぎの技術として一時的に普及した。 SMTP AUTH： SMTPでユーザ認証を実現する機能。サーバ/クライアント双方での対応が必要となる。

2013-10-01

Gigabit Ethernet

伝送速度1Gbpsと規定されるイーサネットの規格。略称は“GbE”、“GE”など。 IEEE 802.3ab： 1000BASE-T：（一部のCat5と）Cat5e以上のUTPケーブルを使用し、最大伝送距離は100m。既存の設備を流用しやすいため、Gigabit Etherneとしては最も普及している規格。 IEEE 802.3z： 1000BASE-SX：マルチモードの光ファイバーを使用し、最大伝送距離は550m。 1000BASE-LX：シングル/マルチモードの光ファイバーを使用する。最大伝送距離はマルチモードで550m、シングルモードで5km。 1000BASE-CX：同軸ケーブルを使用する。最大伝送距離が25mと非常に短いため、普及していない。

10 Gigabit Ethernet

伝送速度10Gbpsと規定されるイーサネットの規格。略称は“10GE”、“10GbE”、“10GigE”など。半二重通信とCSMA/CDのサポートが打ち切られ、全二重通信だけを行う。 IEEE 802.3ae：光ファイバを使用する規格群、WAN用/LAN用の二種類があり、最大伝送距離は40km。通常、「10GBASE-[用途][伝送距離]」といった表記で表される。 [用途]： 10GBASE-W： WAN用規格、SONET/SDHとの相互接続性が確保できる。（9.95Gbps） 10GBASE-R： LAN用規格（10.3Gbps） 10GBASE-X：伝送を多重化した規格 ※SONET/SDH： ISP等が利用するバックボーン回線 [伝送距離]： 10GBASE-S： 300m以下（波長： 850mm） 10GBASE-L： 10km以下（波長： 1,310mm） 10GBASE-E： 40km以下（波長： 1,550mm）定義された規格：｜:規格名｜:モード｜:伝送距離｜｜10GBASE-SR ｜マルチ｜ 300m｜｜10GBASE-LR ｜シングル｜ 10km｜｜10GBASE-ER ｜シングル｜ 40km｜｜10GBASE-SW ｜マルチ｜ 300m｜｜10GBASE-LW ｜シングル｜ 10km｜｜10GBASE-EW ｜シングル｜ 40km｜｜10GBASE-LX4｜シングル｜ 10km｜ IEEE 802.3an： 10GBASE-T： Cat6以上のSTPケーブルを使用する。最大伝送距離はCat6で55m、Cat6a以上で100m。 IEEE 802.3ak： 10GBASE-CX4：同軸ケーブルを使用し、最大伝送距離は15mであるため、比較的短距離用。

2013-10-02

ルーティングプロトコル（IGP / EGP）

ルータが経路情報の交換に使用するプロトコル AS（Autonomous System：自律システム）： ISPや巨大な組織等、一つの管理ポリシーで制御されたネットワーク。それぞれに一意なAS番号（16bit 65536個）が割り当てられる。 IGP（Interior Gateway Protocol）： AS内のルーティングに使用される。 RIP（Routing Information Protocol）：ディスタンスベクター方式、メトリックにホップ数を利用。 RIPv1：クラスフル、ブロードキャストを利用 RIPv2：クラスレス、マルチキャスト（224.0.0.9）を利用 RIPng：IPv6対応版（RIP Next Generation） OSPF（Open Shortest Path First）：リンクステート方式、メトリックにコスト値を利用。リンク情報等を含むLSAと呼ばれる情報を、マルチキャスト（224.0.0.5）で交換する。 EGP（Exterior Gateway Protocol）： ASとAS間のルーティングに使用される。 eBGP（External Border Gateway Protocol）：パスベクタ方式、単にBGPとも。メッセージ： OPEN ：対向ルータ（ネイバー）との関係を確立する UPDATE ： Open直後はすべての、それ以降は差分の経路情報を交換する NOTIFICATION ： BGPそのものの切断やエラーの検出を通知する KEEPALIVE ：お互いの生存確認のため、定期的に交換する ROUTE-REFRESH：すべての経路情報を要求する

IEEE802.1x

有線/無線LANへの接続に、認証を要求するプロトコル。構成機器：サプリカント（Supplicant）： IEEE802.1xによる認証を受けるために必要なクライアントソフトウェア。オーセンティケータ（Authenticator）： IEEE802.1xに対応したスイッチやアクセスポイント。クライアントからの接続要求を受付、認証サーバに問い合わせる。認証サーバ（Authentication Server）：実際にクライアントを認証するサーバ。一般的にはRADIUS（Remote Authentication Dial-In User Service）サーバを利用する。 EAP（Extensible Authentication Protocol）： PPPを拡張した認証プロトコル。カプセル化方式： EAPOL（EAP over LAN）： EAPメッセージを独自の“EAPOLフレーム”にカプセル化し、LAN上で伝送するプロトコル。 サプリカント〜オーセンティケータ間の通信に利用。 EAP over RADIUS： EAPメッセージを通常のIPパケットとしてカプセル化するプロトコル。 オーセンティケータ〜認証サーバ間の通信に利用。認証方式： EAP-MD5 ： ID/PWをチャレンジレスポンス方式で認証する EAP-TLS ：認証にデジタル証明書を利用する PEAP ： ID/PWをSSL/TLSで暗号化する（※サーバ側に証明書が必要）

2013-10-03

QoS（Quality of Service）

通信の種類によって優先度を定義し、特定の通信の遅延や停止を軽減する技術。アドミッション制御（Admission Control）：通信を開始する前に、必要なリソースを予め要求し、状況に応じて制御する。シェーピング（Shaping）：パケットの送出間隔を制御し、規定された最大速度を超過しないようトラフィックを平準化する。ポリシング（Policing）：トラフィックが規定された最大速度を超過しないか監視し、超過した場合は破棄するか優先度を下げる。 RSVP（Resource reSerVation Protocol）： QoSを実装した代表的なプロトコル。送信元から送信先までの帯域（リソース）を予約し、品質保証を行う。

2013-10-04

用語集::03

統合脅威管理（UTM： Unified Threat Management）： FW、IDS/IPS、VPN、アンチウィルス、Webフィルタリング等を統合したセキュリティアプライアンス。 IEEE802.15：近距離無線通信の標準化のため、IEEE802.11から独立して設置されたワーキンググループ。 BluetoothやZigBeeを扱っている。 ZigBee： IEEE802.15.4 近距離無線通信規格で、センサネットワークで利用される。伝送距離が短く、低速である代わりに安価で消費電力が少ない。 WiMAX（Worldwide Interoperability for Microwave Access）：広域無線通信規格で、最大半径50km等の非常に広い範囲をカバーする。 MPLS（Multi Protocol Label Switching）：ラベルスイッチングとも。予め経路情報を計算し、ラベルとしてパケットに付加することで、転送処理と経路処理を分離する。

2013-10-07

用語集::04

FDDI（Fiber-Distributed Data Interface）：トークンパッシング方式を採用した、光ファイバによるLAN規格。 100Mbpsの通信が可能で、最大伝送距離は2km。ほぼ同様の仕様で、同軸ケーブルを使うものとしてCDDIがある。 SDP（Session Description Protocol）：マルチメディアセッションを開始するために、必要な情報を記述するプロトコル。

OSPF（Open Shortest Path First）：

内部ネットワークで利用される、リンクステート方式のルーティングプロトコル。ルータの種類： DR（Designated Router）： L2セグメント毎に選出される、代表ルータ。 BDR（Backup Designated Router）： DRのバックアップ。 Internal Router：内部ルータ、他のエリアに一切属さないルータ。 Backbone Router：最低でも1つのインタフェースがバックボーンエリア（Area 0）に属するルータ。 ABR（Area Border Router）：複数のエリアに属するルータ。 ASBR（Autonomous System Boundary Router）：最低でも1つのインタフェースがOSPF以外のネットワークに属するルータ。

2013-10-09

IPv6::アドレス体系

アドレスの種類：ユニキャストアドレス：インタフェースごとに割り当てられるアドレス。マルチキャストアドレス：「ff00::/8」、1対多の通信を行う場合に使用するアドレス。エニーキャストアドレス：複数のインタフェースに割り当てられるアドレス。アドレススコープ：グローバルアドレス：全世界で一意となるアドレス。IPv4と同じ概念。リンクローカルアドレス：同じセグメント上でのみ有効なアドレスで、自動的に構成される。サイトローカルアドレス： IPv4におけるプライベートアドレスに相当するが、廃止された。代替案としてULA（Unique Local IPv6 Unicast Address）が提案されている。 ULA：外部にルーティングしないことを前提とした一意なアドレス。特殊なアドレス：非指定アドレス：「::/128」（オール0）、IPアドレスが指定されていない状態。ループバック：「::1/128」（最下位桁のみ1）、IPv4の127.0.0.1に相当する。

2013-10-10

用語集::05

ステートレス：以前の状態を保持しない方式。ステートレスなプロトコルとして代表的なのは、HTTP。ステートフルインスペクション：ファイアウォールにおける方式の一つで、以前の状態を保持するもの。 ACKフラグのついたパケットを受信した際に、そのパケットに対応する適切な送信が行われていたか等をセッションログを用いて確認する。 CSR（Certificate Signing Request）：デジタル証明書の発行要求。組織名やFQDN等、証明書に含まれる情報を記載し、CAに送付する。

ToDo

ToDo::抑える必要のある要素とか

・VPN / IPSec ・アプリケーション層・VoIP ・TCP/UDP ・ロードバランシング（ロードバランサ, DNSラウンドロビン）・OSPF LSAの種類・1000BASEの物理層、LANケーブル周り。

2014-03-20

サイドチャネル攻撃

サイドチャネル攻撃：暗号装置を物理的に観測することで、動作状況を推測し機密情報を得ようとする攻撃。タイミング攻撃： 処理時間に着目し、推測する。対応策：アルゴリズム上で処理時間の差を解消するテンペスト（TEMPEST： Transient Electromagnetic Pulse Surveillance Technology、電磁波解析攻撃）：装置から漏れ出た電磁波に着目し、推測する。対応策：物理的なシールドにより電磁波を遮断する、あるいはジャム信号を流し撹乱する。

ウイルス検出手法

パターンマッチング法：ウィルスの断片が登録された、ウィルス定義ファイル（シグネチャ）と検査対象を比較することで、ウィルスを検出する。チェックサム法：正常と判断された時点のファイルチェックサム（またはハッシュ値やファイルサイズなど）を登録しておき、常時監視することで、ファイルの状態変化を検出する。ビヘイビア法：検査対象を実際に動作させ、挙動の危険性や不審さを評価することで、ウィルスを検出する。コード比較：検査対象を予め安全な場所に保管してある原本と比較し、ウィルスを検出する。

ToDo

ToDo:: ｜柱｜ω・｀) o O （あとで・・・しらべる・・・）

APT OCSP S/KEY DKIM FIPS 140-2 TDMA アーラン GRANT文（SQL）ランツーランコントロールベイジアンフィルタリングデジタルフォレンジックス XKMS SAML XML Signature CSIRT CRYPTREC MTA（電子メール） SPF（電子メール）