なんえ?なんえ?

記憶の片隅として利用

ネスペ勉強_IPsec

IPsecとは?

IPsecはSecurity Architecture for Internet Protocolの略称。暗号技術を利用してIPパケット単位で改ざん検知や秘匿機能を提供するプロトコル。よって、通信経路上でIPパケットは暗号化されているため、第三者に通信内容を覗き見られたり改ざんされることを防止できる。また、IPsecは、AH・ESP・IKEなどのプロトコルから構成されている。

プロトコル概要

IPsecは、2つのピア間にSA(Security Association)という単方向コネクションを確立して、ピア間にセキュアな通信を確立する。

  • AH(Authentication Headere

    • パケットが改ざんされていないかどうか認証を行う。(MAC)
    • パケットの暗号化はできない
    • プロトコル番号は51

  • ESP(Encapsulated Security Payload)

    • パケットが改ざんされていないかどうか認証を行う。(MAC)
    • パケットのペイロード部を暗号化( DES or 3DES or AES)する。
    • プロトコル番号は50

  • IKE(Key Exchange protocol)

  • トランスポートモード

    • パケットの元のIPヘッダは変更されない
    • パケットL4以上のデータ部のみ暗号化する
    • 認証の範囲はAHとESPにより異なる
    • パケットの元のIPヘッダに基づいてパケットが転送される

  • トンネルモード

    • パケットの元のIPヘッダは暗号化される
    • パケットL4以上のデータ部も暗号化する
    • 認証の範囲はAHとESPにより異なる
    • もとのパケットに新たなIPヘッダが付与される
    • 新たに加えられたIPヘッダに基づいて転送される

IPsecの暗号化は共通鍵暗号化方式(DES,3DES,AES)が使用される。

トンネルの種類

  • ISAKMP(アイサキャンプ) SA
    • 制御用のトンネル
  • IPsec SA
    • 実際のデータを通すトンネル
    • 実際の通信には、2本以上のトンネルが張られる

トンネルにはトンネルを識別する番号(SPI(エスピーアイ))と呼ばれる番号をパケットに含めて、どのトンネルを使用するかわかるようになっている。

  • メインモード

    • IPが固定の場合に採用

  • アグレッシブモード

    • IPが動的の場合に採用

IPv6ではどうなってるの?

NATトラバーサルが必要な理由は?

ネスペ勉強_SPF

ICT

とは

SPFはSender Policy Frameworkの略称。スパムメール等で送信者がメールアドレスを偽証してくる行為に対する対応策の一つ。メールアドレスを偽証してくる行為の対策は以下の通り。

1 Sender Policy Framework(SPF)
2 DOmainKeys Identified Mail(DKIM)
3 Sender ID

迷惑メールは、一般的に送信元アドレスを偽証して送信してくる場合が多い。これは送信者が突き止められないようにするためである。SMTP通信によるメールの送信は、送信者メールアドレスが2種類提供される

a 電子メールのFrom:ヘッダーに表示される送信者アドレス

b MAIL FROM:コマンドの引数として与えられるメールアドレス

SMTPではこれらのアドレスが任意に指定可能であるため、容易に送信元メールアドレスが偽証可能となる。

仕組み

端的に言うと、送信元メールサーバのIPアドレスと送信元メールアドレスのドメインに対するSPFレコードを比較して、送信元メールアドレスのドメイン名の妥当性を確認する。

<登場人物>
・ 送信者1
・ 送信元メールサーバA
送信先メールサーバB
送信先2
・ 送信元メールアドレスxxx@test.com

<通信フロー>
1 送信者1が送信先2にメールを送信する
2 メールはメールサーバAからメールサーバBに配送される(TCPコネクションはAとB間で確立)
3 メールサーバBはMAIL FROM:コマンドの引数=ヘッダに含まれる送信元メールアドレスのドメイン名をもとに、test.comのDNSSPFレコードを問い合わせる
4 test.comのSFPレコードと送信元メールサーバAのIPアドレスが一致すれば、送信元のメールアドレスに偽証はないと判断

<SFPレコード実装方法>
社内と直接メールをやり取りするアドレスをSPFレコードとして登録する。SPFの実装方法は複数存在する。詳細は参考を参照。

特徴は

他の方式に比べて既存システムに影響を与えずに早期に導入できる点が評価されている。

参考

大変わかりやすい説明ありがとうございます。
SPF(Sender Policy Framework)http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/

ネスペ勉強_ICMPリダイレクト

ICT

とは

ICMPリダイレクトとは、L3デバイスがパケットの送信元ホストに、特定の宛先ネットワークに対する適切なゲートウェイを通知する機能のこと。送信元ホストに通知されるこのICMPリダイレクトメッセージは、L3デバイスがパケットを受信したインタフェースと、パケットを送信するインタフェースが同じになると送信元ホストに通知されて、送信元ホストは自身のルーティングテーブルに一時的な経路情報を登録する。

・widowsはデフォルト10分間そのエントリを保持
・パケットを受けたルータがこっちに投げた方が効率いいよ、と伝える機能

ネスペ勉強_IGMP

ICT

とは

IGMP(Internet Group Management Protocol)は、ホストがラストホップルータに対してIGMPグループの参加、維持、離脱、を通知するためのプロトコル
プロトコルのバージョンはv1,v2,v3が存在する。。

IGMP(Internet Group Management Protocol)snooping機能

スイッチがIGMPメッセージをのぞき見して、必要なポートのみにIPマルチキャストパケットを通す機能。
この機能によりスイッチの負荷や不要なフレームの転送を低減することができる。

ネスペ勉強_キャリアグレードNAT

ICT

とは

CGNAT(Carrier Grade NAT)は、インターネットサービスプロバイダ(ISP)などの電気通信事業者が、自社内のネットワークと他社のネットワークの分界点付近でネットワークアドレス変換(NAT)を行うこと。IPv4におけるIPアドレス枯渇問題に対する取り組みの一つとして注目を集めている。

参考

JPNICさんいつもありがとうございます。
インターネット10分講座:大規模NAT(Large Scale NAT:LSN)あるいはキャリアグレードNAT(CGN)https://www.nic.ad.jp/ja/newsletter/No41/0800.html

ネスペ勉強_CoAP

ICT

とは

CoAP(Constrained Application Protocol)の略。RFC7252で標準化作業中。
HTTPより軽量でUDPベース。zigbeeとBLEも方が優勢らしく、あまり普及しない可能性あり。レベル。

考察まで記載してあってすごいhttp://qiita.com/toruuetani/items/cb85781e127b2959c1c3

ネスペ勉強_IDS検知方法

ICT

とは

IDS(侵入検知システム)のこと。センサーと呼ばれる、パケットを取り込んで解析する部分と、コンソールと呼ばれる解析結果を表示する部分がある。FWの外側or内側に置くケースがある。

検知方法

1 シグネチャ
シグネチャで不正とは何かを定義する。

2 アノマリ型
正常(閾値とうでルールを作成)とは何かを定義し、それ以外を異常と検知する。