ネスペ勉強_IPsec
IPsecとは?
IPsecはSecurity Architecture for Internet Protocolの略称。暗号技術を利用してIPパケット単位で改ざん検知や秘匿機能を提供するプロトコル。よって、通信経路上でIPパケットは暗号化されているため、第三者に通信内容を覗き見られたり改ざんされることを防止できる。また、IPsecは、AH・ESP・IKEなどのプロトコルから構成されている。
プロトコル概要
IPsecは、2つのピア間にSA(Security Association)という単方向コネクションを確立して、ピア間にセキュアな通信を確立する。
AH(Authentication Headere
ESP(Encapsulated Security Payload)
IKE(Key Exchange protocol)
トランスポートモード
- パケットの元のIPヘッダは変更されない
- パケットL4以上のデータ部のみ暗号化する
- 認証の範囲はAHとESPにより異なる
- パケットの元のIPヘッダに基づいてパケットが転送される
トンネルモード
- パケットの元のIPヘッダは暗号化される
- パケットL4以上のデータ部も暗号化する
- 認証の範囲はAHとESPにより異なる
- もとのパケットに新たなIPヘッダが付与される
- 新たに加えられたIPヘッダに基づいて転送される
IPsecの暗号化は共通鍵暗号化方式(DES,3DES,AES)が使用される。
トンネルの種類
- ISAKMP(アイサキャンプ) SA
- 制御用のトンネル
- IPsec SA
- 実際のデータを通すトンネル
- 実際の通信には、2本以上のトンネルが張られる
トンネルにはトンネルを識別する番号(SPI(エスピーアイ))と呼ばれる番号をパケットに含めて、どのトンネルを使用するかわかるようになっている。
メインモード
- IPが固定の場合に採用
アグレッシブモード
- IPが動的の場合に採用
IPv6ではどうなってるの?
NATトラバーサルが必要な理由は?
ネスペ勉強_SPF
とは
SPFはSender Policy Frameworkの略称。スパムメール等で送信者がメールアドレスを偽証してくる行為に対する対応策の一つ。メールアドレスを偽証してくる行為の対策は以下の通り。
1 Sender Policy Framework(SPF)
2 DOmainKeys Identified Mail(DKIM)
3 Sender ID
迷惑メールは、一般的に送信元アドレスを偽証して送信してくる場合が多い。これは送信者が突き止められないようにするためである。SMTP通信によるメールの送信は、送信者メールアドレスが2種類提供される
a 電子メールのFrom:ヘッダーに表示される送信者アドレス
b MAIL FROM:コマンドの引数として与えられるメールアドレス
SMTPではこれらのアドレスが任意に指定可能であるため、容易に送信元メールアドレスが偽証可能となる。
仕組み
端的に言うと、送信元メールサーバのIPアドレスと送信元メールアドレスのドメインに対するSPFレコードを比較して、送信元メールアドレスのドメイン名の妥当性を確認する。
<登場人物>
・ 送信者1
・ 送信元メールサーバA
・ 送信先メールサーバB
・ 送信先2
・ 送信元メールアドレスxxx@test.com
<通信フロー>
1 送信者1が送信先2にメールを送信する
2 メールはメールサーバAからメールサーバBに配送される(TCPコネクションはAとB間で確立)
3 メールサーバBはMAIL FROM:コマンドの引数=ヘッダに含まれる送信元メールアドレスのドメイン名をもとに、test.comのDNSへSPFレコードを問い合わせる
4 test.comのSFPレコードと送信元メールサーバAのIPアドレスが一致すれば、送信元のメールアドレスに偽証はないと判断
<SFPレコード実装方法>
社内と直接メールをやり取りするアドレスをSPFレコードとして登録する。SPFの実装方法は複数存在する。詳細は参考を参照。
特徴は
他の方式に比べて既存システムに影響を与えずに早期に導入できる点が評価されている。
参考
大変わかりやすい説明ありがとうございます。
SPF(Sender Policy Framework)http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/
ネスペ勉強_CoAP
とは
CoAP(Constrained Application Protocol)の略。RFC7252で標準化作業中。
HTTPより軽量でUDPベース。zigbeeとBLEも方が優勢らしく、あまり普及しない可能性あり。レベル。
考察まで記載してあってすごいhttp://qiita.com/toruuetani/items/cb85781e127b2959c1c3