IP Network Skill

• 最新号：2008-08-25
• 発行周期：週刊
• 読んでる人：1983人
• 創刊日：2001-04-30
• Score!：100点
• コメント数 ： 4
• メルマガID：36790
• バックナンバー：全て公開
• 発行者サイト：あり
• >> 月間ランキング

[ IP Network Skill - No. 0082 - ]

‥‥……━━━━━━ IP Network Skill No. 00000082 ━━━━━━……‥‥
　　┏━┓　
　　┃目┣━┓　　　　　　　　　《IP Network Skill No.82 -CONTENTS-》
╋━┗━┫次┣━━━━━━━━━━━━━━━━━━━━━━━━……‥‥
┃　　　┗━┛　　　　　　　　　 
┃【１】【学習のてびき】：IDS
┃【２】【シスコ対策】　：NAT
┃【３】【本日のネスペ試験対策問題】セキュリティ関連
┃【４】【本日のシスコ試験対策問題】：NAT関連
┃【５】【問題の解答】
┃【６】【今週のRFC】RFC2461 : IPv6 Neighbor Discovery
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━……‥‥

　【まえがき】
　本の校正作業が佳境を迎えた今月。
　初めての経験でした。
　このメルマガが本になります。。。
　（あとがきに続く）

◎￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣◎
｜　新規購読・購読解除・バックナンバー ⇒ http://www.xai.nu/ipnet　 
｜　　IP Network Skill 掲示板
｜　　⇒　http://www.xai.nu/cgibin/ipnet/bbs.cgi　 
｜　　バックナンバー一覧　　　　　　　　　　　　　　
｜　　⇒　http://xai.nu/ipnet/stack/index.html　 
◎＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿◎

┳┯┯┯┯┯━━━━━━━━━━━━━━━━━━━━━━━━━━┯┯┳
┠┼┼┼┴　　　学習のてびき：IDS　　　　　　 　　  　　 　 ┬┼┼┼┨
┻┷┷━━━━━━━━━━━━━━━━━━━━━━━━━━┷┷┷┷┷┻

　IDSという用語をご存知ですか？
　IDSはIntrusion Detection Systemの略で、侵入検知システムというもの
　です。

　これまでセキュリティ関連として、ファイアウォールを使って外部（インタ
　ーネット）から内部（イントラネット）へのアクセスを制御したり、IPSec
　を使ってデータを暗号化したり改ざんできないようにしたりする技術を紹介
　しました。

　しかしこれらの技術は他人にデータを見せないようにすることはできても、
　誰が見ようとしているのか調べたり、どんな攻撃をされるのか傾向をつかん
　で、今後のセキュリティ強化につなげる、ということまでできません。

　IDSを使うとネットワーク上のパケットをリアルタイムで監視して、変なアク
　セスがあったらそれを管理者に通知したり、自動的に攻撃を防御するために
　設定を変えたりすることができます。

　IDSで検知できる不正アクセスの具体例として以下のものがあります。
　・ログインしようとしてやたら失敗している
　・パケットを大量に送りつけてサーバをダウンさようとする（DoS攻撃）
　・pingやポートスキャンなどネットワーク情報を調べる

　ネットワークセキュリティ、特に検知とそれをかいくぐった新たな侵入方法
　の発見はいたちごっこです。
　新しい侵入手法が発見されるたびにそれらの知識を付けていかなければなり
　ません。。。

　このような情報はCERT (Computer Emergency Response Team) という機関に
　かなりの量がまとまっています。

　CERTのサイト
　⇒ http://www.cert.org/
　日本版CERT (JPCERT) のサイト
　⇒ http://www.jpcert.or.jp/

　　 ┏━┏━┏━┏━┏━┓　
　　 ┃シ┃ス┃コ┃対┃策┃　【NAT】
╋━━ ━┛━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━……‥‥

　NATはNetwork Address Translationの略で、イントラネットで使われている
　プライベートアドレスをグローバルアドレスに変換して、インターネットに
　アクセスできるようにするものです。

　IPアドレスは32ビットで、世界中の人が使うには十分でありません。
　また、アドレスを取得するにはNICに申請する必要があります。
　でもインターネットで情報のやりとりをするには、ユニーク（世の中に１つ
　だけ）なアドレスを持つ必要があります。１つのアドレスが複数の人に使わ
　れていると、どの人に送ればいいのか分からなくなってしまいます。

　ユニークなアドレスを取得するのは面倒です。
　インターネットにつなげていない、閉じた世界のネットワークでは勝手に
　アドレスを設定したいものです。そのためにできたのがプライベートアドレ
　スというものです。
　・10.0.0.0〜10.255.255.255(10.0.0.0/8)
　・172.16.0.0〜172.31.255.255(172.16.0.0/12)
　・192.168.0.0〜192.168.255.255(192.168.0.0/16)

　この範囲のアドレスなら勝手に使ってOKです。
　ただ、インターネットにつないではいけないことになっています。
　インターネットにつなぐときはNATしてグローバルアドレス（プライベート
　アドレス以外）に変換します。

　プライベートアドレスとグローバルアドレスを１対１で変換してあげる
　方法をスタティックNATといいます。この場合、あるプライベートアドレス
　に対して常に同じグローバルアドレスが割り当てられます。
　多対多で変換してあげるのをダイナミックNATといいます。この場合、範囲
　を決めてプールアドレス（pool address）を作ってあげます。たとえば
　200.10.1.0/24というプールアドレスを指定してあげれば、この中から空い
　ているアドレスが割り当てられます。
　
　また、NATでなくPAT (Port Address Translation) というものもあります。
　これはプライベートアドレスとグローバルアドレスを多対１で処理するもの
　です。ポート番号を変えていって、複数のイントラネット端末を１つの
　グローバルアドレスでインターネットと接続できるようにします。

　では問題です。
 
　【問題１】次のうちプライベートアドレスはどれですか？
　　　１．16.12.15.15
　　　２．172.19.7.3
　　　３．172.33.58.6
　　　４．192.167.79.1

　【解答１】２
　【解説１】プライベートアドレスは３パターン覚えておけばよいです。
　　172...のアドレスだけわかりにくいですがしっかり覚えましょう。

　【問題２】PATの特長として正しいものはどれですか？ 
　　　１．複数のプライベートアドレスに対して複数のグローバルアドレス
　　　　を使用する
　　　２．１つのプライベートアドレスに対して複数のグローバルアドレス
　　　　を使用する
　　　３．複数のプライベートアドレスに対して１つのグローバルアドレス
　　　　を使用する
　　　４．複数のプライベートアドレスに対して複数の送信元ポート番号を
　　　　使用する

　【解答２】３
　【解説２】PATを使うと、ポート番号をプライベートアドレスと関連付け
　　　るため、１つのグローバルアドレスについてポート番号を変える
　　　だけで複数のイントラネットのホストがインターネットと通信でき
　　　るようになるのです。

╋━━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━━━━……‥‥
　　　┃本┃日┃の┃ネ┃ス┃ペ┃試┃験┃対┃策┃問┃題┃　
╋━━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━━━━……‥‥

　〔問題１〕パケットの送信元IPアドレスを偽造することで、ルータやファイ
　　　アウォールのアクセス制御を通過し、イントラネットに侵入する手段を
　　　何というか。
　　　１. IPスプーフィング
　　　２. IPディテクション
　　　３．IPコリジョン
　　　４. DMZ

　〔問題２〕意図的にTCP SYNをサーバに送信して、サーバのCPUに過剰な負荷
　　　を与えることにより、サーバシステムダウンに追い込む手段を何という
　　　か。
　　　１．QoS攻撃
　　　２．ToS攻撃
　　　３．DoS攻撃
　　　４．MS-DOS攻撃

　
╋━━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━━━━……‥‥
　　　┃本┃日┃の┃シ┃ス┃コ┃試┃験┃対┃策┃問┃題┃　
╋━━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━━━━……‥‥

　〔問題１〕送信元IPアドレスが10.1.1.1、送信元ポート番号が2000のIPパ
　　　　ケットがNAT処理されてインターネット上にある12.34.56.78という
　　　　あて先のサーバへtelnet（ポート番号23）を行うとき、正しいのは
　　　　どれですか？  
　　　１．インターネット上を流れるパケットでは10.1.1.1というIPアドレス
　　　　は使われない
　　　２．インターネット上を流れるパケットでは12.34.56.78というIPアド
　　　　レスは使われない
　　　３．インターネット上を流れるパケットでは2000というポート番号は
　　　　使われない
　　　４．インターネット上を流れるパケットでは23というポート番号は
　　　　使われない
 
　〔問題２〕シスコルータにおいて、NATの設定に関係しないコマンドはどれ
　　　ですか？  
　　　１．access-list
　　　２．ip nat interface
　　　３．ip nat outside
　　　４．ip nat pool

┏━┓　┏━┓　┏━┓　　
┃今┣━┫の┣━┫Ｆ┣━┓≪RFC2461 : IPv6 Neighbor Discovery≫　
┗━┫週┣━┫Ｒ┣━┫Ｃ┣━━━━━━━━━━━━━━━━━━━……‥‥
　　┗━┛　┗━┛　┗━┛⇒ http://www.xai.nu/cgibin/ipnet/rfc/hd.cgi　

　先々週の続きでRFC2461 IPv6 Neighbor DiscoveryのProtocol概要
　をご紹介します。都合により一週間、間を空けてしまいました。
　
　Next-hop determination
    宛先IPアドレスとその宛先に到達するためのnext-hopをマッピングする
　　アルゴリズムのこと。next-hopはルータのアドレスかあるいは宛先
　　そのものを示します。
 
　Neighbor Unreachability Detection
    IPv6は、ネイバーに到達性が無くなったことが分かるような機能を
　　持ちます。これにより到達性が無いことが分かると、代わりとなる
　　ネイバーにtrafficを流すことになります。
 
　Duplicate Address Detection
    IPv6には、使おうとするアドレスが、既に別のノードに割り当てられて
　　いるものであることを知らせる機能があります。これにより、アドレス
　　の重複を避けることができます。
 
　Redirect
    v6では、(ある)宛先まで、よりベターなルートがあった場合、その良い
　　方のルートの最初のhopを知らせる機能があります。
 
　Neighbor Discovery defines five different ICMP packet types
    Neighbor Discoveryでは、ICMPで5つのtypeを追加しています。
　　1)Router Solicitation
　　2)Router Advertisement
　　3)Neighbor Solicitation
　　4)Neighbor Advertisements
　　5)Redirect message
 
　1)は2)と、3)は4)とペアで使われます。　
　上記の5つのメッセージ概要は以下のとおりです。
    
　Router Solicitation
    インターフェイスがupになると、ホストはRouter Solicitationsを投げ
　　ルータにすぐRouter Advertisementsを出すようにリクエストします。
 
　Router Advertisement
    ルータは自分の存在についてをこのメッセージで各リンクに対して
　　定期的に、あるいはRouter Solicitationの返信として送信します。　　
　　このメッセージにはそのリンクで使うprefixであるとか、ホップ
　　リミットの値などが含まれます。
 
　Neighbor Solicitation
    このメッセージはネイバーのLink-Layerアドレスを確認するために　　　
　　あるいは、キャッシュされているLink-Layerアドレスがまだ到達性が
　　あるかどうかを確認するために、ノードから送信されます。
　　これにより、アドレスの重複もわかります。
 
　Neighbor Advertisement
    このメッセージはNeighbor Solicitationに対する返答に使います。
　　Link-Layerアドレスが変わったときは、ノードが(Neighbor 　　
　　Solicitationメッセージをもらわなくても)自発的に送信します。
 
　Redirect
    このメッセージで、ルータはもっと良いルート(=メトリックが
　　低い、など)に使うhopを知らせます。
 
 
　今週はここまでにします。
　IPv4とv6、結構機能が追加されているようです。。。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　解┃答┃と┃解┃説┃
　━┛━┛━┛━┛━┛

　《本日のネスペ試験対策問題》
　　（解答１）１
　　（解説１）送信元IPアドレスを意図的に変えてアクセスを試みることを
　　　IPスプーフィングといいます。日本語にすると「なりすまし」です。
　　　ちなみに４．のDMZはDeMilitarized Zoneの略で非武装地帯という軍事
　　　用語です。イントラネットとインターネットの間にDMZというネットワ
　　　ークエリアを設けて、ここに外部とのアクセスを許す機器を置きます。

　　（解答２）３
　　（解説２）DoS攻撃はdenial-of-serviceの略です。サービス不能攻撃、
　　　ということです。QoSはQuality of Serviceで優先制御などを扱うもの
　　　です。ToSはType of ServiceでIPヘッダにあるフィールドです。
　　　MS-DOSはMicrosoft Disk Operating Systemですね。。。全然関係ない
　　　ですけど。

　《本日のシスコ試験対策問題》
　　（問題１解答）１
　　（問題１解説）10.1.1.1という送信元IPアドレスが何らかのグローバル
　　　アドレスに変換されて、12.34.56.78のサーバへアクセスします。この
　　　ときポート番号は変わりません。

　　（問題２解答）２
　　（問題２解説）NAT処理を行うにはip nat insideでイントラネット側の
　　　IPアドレスを定義し、ip nat outsideでインターネット側のIPアドレス
　　　を指定します。ダイナミックNATを行う場合、どの範囲のIPアドレスに
　　　対してNAT処理を行うか、アクセスリストを用いて定義します
　　　　
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆◆◆◆◆◆　┃ あとがき ┃　◆◆◆◆◆◆

　（まえがきのつづき）
　といってもこんなマニアックな内容ではないです。
　初心者用のテキスト、という位置付けで、このメルマガ同様
　練習問題もたくさんあります。
　書いていくうちに結構深いところまでいってしまったところ
　もあり、読み応えはあるかと思います。またアップデートし
　ます。

　ところで、なかなかビジュアルで表現できないネットワーク
　の世界ですが、特にケーブル類は難しいです。
　図形で書くと、ケーブルは単なる線でしかありません。
　同軸ケーブルやトークンリングのケーブルなんてみたこと
　ある人のほうが少ないでしょう、特に最近ネットワークを
　始めた方は。

　というわけで、オススメのページです。
　Black Boxという有名なネットワークパーツベンダさんです。
　シグネチャで見るとケーブルやパーツの写真が一覧で見れて
　違いがよくわかりますよ。
⇒http://networkservice.blackbox.jp/shop/goods/goods.asp?category=0001&shop=

………………………………………………………　　　　　　　　　　 
　IP Network Skill vol.000082 　11/08/02
　発行者：adzuki　http://www.xai.nu/ipnet  
……………………………… ipnet@xai.nu ……　　　　　　　　　　 

のんびりやろう！情報処理試験！　〜１問１問コツコツと〜

ソフトウェア開発＆基本情報技術者試験対策を中心に初級シスアドや高度区分まで幅広く対応。流行のIT用語の解説も行っているので，パソコンについて勉強した...

Office & VBA パーフェクトマスター

Excel・Access・Word等の今さら聞けない「疑問」、今すぐ知りたい「困った」、たちまち解決！のmoug（モーグ）がお送りする、関数初心者か...

ネットワークのおべんきょしませんか？

TCP/IPってなに？LANって？ルータって何をするの？というネットワークに関することをわかりやすく解説します。情報処理の試験を受ける方にもぴったり...

全部フリーソフト！！

ネット上にはこんなに便利なフリーソフトがいっぱい。お金なんか使わなくても、あると絶対にお得で楽しいソフトを1つずつご紹介します。

ＩＰネットワーク考

インターネットのネットワークＳＥの実務者が、IPネットワークにまつわる話題、問題、技術について実務者ならではの視点から解説します。ネットワーク、TC...

この記事へのコメント

■オススメ■銀行系カードローン

三菱東京UFJ銀行系 モビットなら急な出費も安心♪
ネットで24時間申込OK⇒ネットで審査結果表示！
【頼れる】限度額300万円
【おトク】年利9.8％〜18.0％
【便　利】全国提携ATM72,000台
三菱東京UFJ銀行系 モビット

melma!協賛企業