8月25日(月)1コマ目

今日、やったこと

  • [確認テスト 解説]OSI基本参照モデル・ネットワーク接続機器
  • ファイアウォール
  • 暗号化

今日のホワイトボード

[確認テスト 解説]OSI基本参照モデル・ネットワーク接続機器

 正解例です。

図 確認テスト OSI基本参照モデル・ネットワーク接続機器 正解例

[ファイアウォール]ステートフルパケットインスペクション

要は、行きのルールだけ設定すれば、帰りのルールは自動生成される仕組み。
図 ステートフルパケットインスペクション


[ファイアウォール]DMZ

DMZとは、De Milliterized Zoneの略。非武装地域。
F/WはWAN->LANの直接通信は拒否するが、公開サーバーはWANから直接アクセスを許可する必要がある。
そこで、LANとは別に、DMZと呼ばれるゾーンを追加し、公開サーバーはDMZに配置。
DMZはWANから公開サーバーへのアクセスだけを許可する。
図 DMZ

[ファイアウォール]練習問題

問1

F/Wのルール作成。
基本情報では、行きと帰りの両方のルールを作成する必要がある。
ステートフルパケットインスペクションの場合は、注意書きがあるはず。
図 ファイアウォール 練習問題 問1

問2

問1とほぼ同じ。Webサーバー(ポート番号は80)からSMTPサーバー(ポート番号は25)に変わっただけ。
図 ファイアウォール 練習問題 問2

[セキュリティ]ネットワークの3大脅威

ネットワーク通信における3つのリスク。
図 ネットワークの3大脅威
3大脅威に「否認」を加えた4つの脅威に対して、以下が有効。
盗聴には暗号化
改ざん、なりすまし、否認にはデジタル署名

[セキュリティ]暗号化のキー、アルゴリズム

暗号化、復号のやり方がアルゴリズム。
図 暗号化のアルゴリズム、キー

[暗号化]共通鍵暗号方式

秘密鍵暗号方式とも呼ぶ。
暗号化、復号に同じ鍵を使う。
図 共通鍵暗号方式
送信側、受信側で鍵を共有する必要がある。
鍵をどうやって秘密裏に共有するかがポイント。

[暗号化]公開鍵暗号方式

鍵がペアになっている。
片方の鍵で暗号化すると、もう片方の鍵しか復号できない。
図 公開鍵暗号方式
鍵の共有は簡単だが、そもそも仕組みが複雑なため、暗号化、復号は共通鍵方式に比べると負荷が大きい。

[暗号化]ハイブリッド暗号方式

共通鍵暗号方式、公開鍵暗号方式それぞれのメリットだけを活かした通信方式。
図 ハイブリッド暗号方式
共通鍵の共有だけ、公開鍵暗号方式で行う。
実際のデータのやりとりは、共通鍵暗号方式で行う。


次回は

暗号化のつづき。
終盤にテストをします。(多分)




このブログの人気の投稿

6月11日(水)1コマ目

イメージ
今日、やったこと [確認テスト 解説]ルーティングテーブル作成 その1 [確認テスト]ルーティングテーブル作成 その2 ルーティングテーブル作成演習 その3 今日のホワイトボード [確認テスト 解説]ルーティングテーブル作成 その1 今までサブネットマスクが/24(255.255.255.0)だったので /20 に気付かなかった人が多数おられました。 図 ホストAのルーティングテーブル [確認テスト]ルーティングテーブル作成 その2 今日、やった確認テストですが、回収時に「えっ」と思ったので、軽く解説。 問題は今までないパターンで、どうしていいかわからない問題だったかもしれません。 図 ホストAのルーティングテーブル ポイントは最寄りのルーターが2つあるホストA。 異なるネットワーク宛てのパケットをどうすればいいか、悩んだかもしれません。 〇解答例1 192.168.0.0/20と192.168.32.0/20と別々にルーティングルールを用意する。 宛先 マスク ゲートウェイ インタフェース 192.168.16.0 255.255.240.0 リンク上 192.168.18.10 192.168.0.0 255.255.240.0 192.168.19.1 192.168.18.10 192.168.32.0 255.255.240.0 192.168.20.254 192.168.18.10 ネットワークが増えると、ホストAのルーティングテーブルを変更する必要があるため、いい方法ではないですが。 〇解答例2 欲しかったのはこれ。ルーター1(またはルーター2)に送信して、あとはルーターにお任せ。 宛先 マスク ゲートウェイ インタフェース 192.168.16.0 255.255.240.0 リンク上 192.168.18.10 0.0.0.0 0.0.0.0 192.168.19.1 192.16...
続きを読む

6月2日(月)1コマ目

イメージ
今日、やったこと [練習問題]パケットの経路をたどる  ルーティングテーブル作成 今日のホワイトボード [練習問題]パケットの経路をたどる  ルーティングテーブルからパケットがとおる経路の決定。 ホストAー>ホストB(ルーティングテーブルはケース1) 図 ホストA->ホストB(ルーティングテーブルはケース1) ホストAー>ホストB(ルーティングテーブルはケース2) 同じ送信元->宛先だが、ルーティングテーブルが変わると、パケットがとおる経路も異なる。 図 ホストA->ホストB(ルーティングテーブルはケース2) ホストC->ホストA(ルーティングテーブルはケース2) 図 ホストC->ホストA(ルーティングテーブルはケース2) 同一ネットワーク、異ネットワーク 自分に設定されているIPアドレス、サブネットマスクから自分のネットワークアドレスが分かる。 送信先のIPアドレスと自分のサブネットマスクから、自分から見た送信先のネットワークアドレスが決まる。 ※送信先はIPアドレスで指定される ※送信先に設定されているサブネットマスクはわからない 自分のネットワークアドレス=自分から見た送信先のネットワークアドレス =>同一ネットワーク 自分のネットワークアドレス≠自分から見た送信先のネットワークアドレス =>異ネットワーク 図 同一ネットワーク、異ネットワーク ルーティングテーブルを作る 極端な話、送信先にパケットが届くならどんなルーティングテーブルでもいい。 でも、それでは自由度が高すぎてルーティングテーブルを作ることができない。 そこで、あらかじめルーティングポリシーを決めておく。 〇PCのルーティングポリシー 異なるネットワークは同一ネットワーク以外すべてにしたいので、  宛先アドレス 0.0.0.0  マスク        0.0.0.0 にする。 図 PCのルーティングポリシー 〇ルーターのルーティングポリシー ルーターにはPCなどから異ネットワーク宛てのパケットが送信される。 ルーターの役割はこの異ネットワーク宛てのパケットを宛先に届けること。 宛先が同一ネットワークならPCと同じように直接送信(ゲートウェイ:リンク上)。 宛先が異ネットワークの場合は、ケースバイケースになる...
続きを読む

7月16日(水)1コマ目

イメージ
今日、やったこと TCPヘッダのウィンドウサイズ スライディングウィンドウ 今日のホワイトボード TCPヘッダのウィンドウサイズ パケットを受信すると、すぐに処理せずに、一旦メモリ上に保存する。 このメモリエリアのことをバッファと呼んだりする。 バッファが空いている限り、パケットは受信可能。そこで、 相手に空きバッファサイズを伝えて、受信応答を待たずに連続送信を可能にしている。 空きバッファサイズはTCPヘッダ内のウィンドウサイズで伝える。 図 受信パケット用バッファと空きバッファを通知するためのウィンドウサイズ 実際のパケットで確認① 下図のように、②で通知したウィンドウサイズ5840バイトまでは受信応答を待たずに連続送信できる。 ④で1450バイト、⑤で171バイトを受信応答を待たずに連続送信。 図 連続送信の例1 実際のパケットで確認② 下図では、受信データサイズ分だけ通知するウィンドウサイズが減っている。 図 空きバッファサイズの通知 相手に通知するウィンドウサイズは 始めは少な目 => 大量受信を防ぐ 徐々に増やす => 効率アップ とちょっとずつバッファサイズを増やしていく。 ただ、OSやPCの利用状況によって、異なる。 スライディングウィンドウ 送信側は相手から伝えられるウィンドウサイズまでは連続送信可能。 何バイト目までデータ送信可能かを「スライディングウィンドウ」と呼ばれる仕組みを使って管理。 図 スライディングウィンドウ 受信パケットの 確認応答番号がウィンドウの開始位置 ウィンドウサイズがウィンドウのサイズ で、ウィンドウの位置、大きさをコントロール。 このウィンドウが空いている部分が送信可能なデータ。 次回は 今日の内容の練習問題。 その次にテストをします。
続きを読む