IP Network Skill

• 最新号：2008-09-29
• 発行周期：週刊
• 読んでる人：1742人
• 創刊日：2001-04-30
• Score!：88点
• コメント数 ： 4
• メルマガID：36790
• バックナンバー：全て公開
• 発行者サイト：あり
• >> 月間ランキング

[ IP Network Skill - No. 0138 - ]

‥‥……━━━━━━ IP Network Skill No. 00000138 ━━━━━━……‥‥

　　┏━┓　
　　┃目┣━┓　　　　　　　　　《IP Network Skill No.138 -CONTENTS-》
╋━┗━┫次┣━━━━━━━━━━━━━━━━━━━━━━━━……‥‥
┃　　　┗━┛
┃【０】　　　　　　　　　 
┃【１】【学習のてびき】：パスワードについて
┃【２】【コラム】：RFC review RFC3570からRFC3579
┃【３】【ネットワーク一口英語】：トロイの木馬。ホメロス「イリアス」
┃【４】【本日の試験対策問題】：ネットワーク指標とsmurf
┃【５】【問題の解答】
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━……‥‥
----------------------------------------------------------------------
（CCIE受ける方も結構いらっしゃるんですね。。。）
Question: Given the following command, which statement below is false?
  router ospf 1
   area 1 nssa

  A. No type 5 LSAs are allowed in area 1.
  B. No type 3 or 4 summary LSAs are allowed in area 1.
  C. All type 7 LSAs are translated into type 5 LSAs by the NSSA ABR.
  D. All type 7 LSAs are leaked into the OSPF domain as type 5 LSAs.
（答えは最後）
----------------------------------------------------------------------

「金持ち大家さん」になるアパート・マンション経営塾
http://www.amazon.co.jp/exec/obidos/ASIN/4534036825/ipnetworkskil-22 
　↑単に反応が見たいだけです。

　【まえがき】
　　ボーナスシーズン到来です。
　　今年は健康保険と厚生年金の天引き額がボーナスに対しても月給と同様
　　の割合になってしまって、手取りが減って嘆いている方も多いと思いま
　　す。まとまったお金があるときに、ちょっと値の張る専門書を買って、
　　この年末年始に読みふけるのもどうでしょうか？
　　
　　TCP/IPをじっくりやりたい人
　　→　http://www.amazon.co.jp/exec/obidos/ASIN/0130183806/ipnetworkskil-22

　　OSPFをじっくりやりたい人
　　→　http://www.amazon.co.jp/exec/obidos/ASIN/0201634724/ipnetworkskil-22

　　BGPをじっくりやりたい人
　　→　http://www.amazon.co.jp/exec/obidos/ASIN/157870233X/ipnetworkskil-22

　（あとがきにつづく）　
　
◎￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣◎
｜　新規購読・購読解除・バックナンバー ⇒ http://www.xai.nu/ipnet　 
｜　　IP Network Skill 掲示板
｜　　⇒　http://www.xai.nu/cgibin/ipnet/bbs.cgi　 
｜　　バックナンバー一覧　　　　　　　　　　　　　　
｜　　⇒　http://xai.nu/ipnet/stack/index.html　
｜　　間違いご指摘
｜　　⇒　ipnet3@xai.nu 
◎＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿◎

┳┯┯┯┯┯━━━━━━━━━━━━━━━━━━━━━━━━━━┯┯┳
┠┼┼┼┴　学習のてびき： パスワードについて　　　　　　　 ┬┼┼┼┨
┻┷┷━━━━━━━━━━━━━━━━━━━━━━━━━━┷┷┷┷┷┻

　ネットワークの世界ではパスワードが大事です。
　ユーザとしても、管理者としても必ずといってよいほど使います。

　[パスワードに関する指標]
　１．最低１文字以上（あたりまえですが。）
　２．推奨は８文字以上
　　　　ポリシーによって最小文字数は決められていることが多いです。
　３．最初の１文字は数字にしない
　４．大文字英字小文字英字と数字を混ぜる
　５．記号を使うのも有効、ただし機器によってサポートされない特殊記号
　　があるので注意が必要（スペース、$など）

　[パスワードの見破られ方]
　辞書攻撃といって、辞書に載っているような単語を総当りで試していく暗号
　解読攻撃もあるので、一般用語などをパスワードにしないようにしましょう。
　ブルートフォースアタックと呼ばれる総当り攻撃も効率は悪いですが、パス
　ワード入力回数に制限がないとやられてしまいます。
　あとは人的ミス。どこかにメモしたものを紛失したり、電話越しに話して
　聞かれていたり。パスワード管理には気をつけましょう。

　[簡単なパスワードの作り方]
　そうはいっても、覚えやすくて、それでいて他人に知られにくいパスワード
　って難しい。。。と考える方もいるでしょう。
　簡単な覚えやすいパスワードとしては、パスワードそのものを作るのでは
　なくて、ルールを決める方法があります。
　例えば、住所の頭文字を繋げる方法。
　東京都港区六本木1-2-3という住所であれば、Tokyo-to Minato-ku Roppongi
　1-2-3から、"tmr123"というパスワードができます。頭２文字、とルールを
　決めて"tomiro123"というのもあるかと思います。さらに２文字置きに大文字
　にしてみて"tOmIrO123"とするとよりパスワードらしくなります。

　[シフトキーを押して分かりづらくする]
　同じ文字をキーボード上でシフトを押しながら書くと"tOmIrO!@#"とワケが
　わからなくなりますが立派なパスワードになります。
　このとき、現住所ではなくて以前住んでいたときの住所や実家の住所など
　にするともっとわからなくなって効果的です。
　ただし、端末によってキーボードの配列が変わるので注意が必要です。

　[定期的に変えましょう]
　パスワードは定期的に変えましょう、というのも他人に知られたときの回避
　策として有効です。しかしそんなにたくさんのパスワードは覚えられません。
　しかしこの場合も、ルールだけ作って、そのルールに適用させるキーワード
　をいくつか用意しておけば簡単です。

　あまり凝ったパスワードにして自分でも分からなくならないように気をつけ
　ましょう。

　[文字数制限]
　Ciscoルータは25文字まで、PIXファイアウォールは63文字まで、RADIUSを
　使った認証では128文字までというパスワードの上限が決められています。
　利用する機器によってパスワードの上限が決められていますので、注意して
　ください。

　[パスワードリカバリ]
　Ciscoルータの場合、有名な方法はコンフィグレジスタを0x2102から0x2142
　に変更してリブートし、コンフィグがまっさらになったところでパスワード
　を入れなおす、という方法があります。
　http://www.cisco.com/warp/public/474/

　[いろいろなパスワード]
　テキスト型のパスワードだけでなく、ワンタイムパスワード、ハッシュ、
　電子証明書や指紋認証などもあります。
　それぞれに長所、短所があります。この辺は次週。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　コ┃ラ┃ム┃【RFC review RFC3570からRFC3579】
　━┛━┛━┛

--------------------------------------------------------------------------
3570 Content Internetworking (CDI) Scenarios. P. Rzewski, M. Day, D.
     Gilletti. July 2003. (Format: TXT=42432 bytes) (Status:
     INFORMATIONAL)
--------------------------------------------------------------------------
　　RFC3466でCDIの概要を紹介しています。CDIはWebページなどキャッシュして
　　WAN帯域を有効に使おうとするネットワーク技術です。RFC3466で紹介しきれ
　　ていない特殊な場合のコンテンツネットワークの相互接続を例示し、そのと
　　きの動きを解説しています。

--------------------------------------------------------------------------
3571 Framework Policy Information Base for Usage Feedback. D. Rawlins,
     A. Kulkarni, K. Ho Chan, M. Bokaemper, D. Dutt. August 2003. (Format:
     TXT=70894 bytes) (Status: INFORMATIONAL)
--------------------------------------------------------------------------
　　QoSのポリシーなど、ネットワークをどのように制御するか、というポリシー
　　（決め事）をネットワーク内の機器に配布したり、状況をレポートとして
　　受けるためのデータベース定義です。SNMPのMIBのように、PIB (Policy
　　Information Base) というものがASN.1、SMIv2でかかれています。

--------------------------------------------------------------------------
3572 Internet Protocol Version 6 over MAPOS (Multiple Access Protocol
     Over SONET/SDH). T. Ogura, M. Maruyama, T. Yoshida. July 2003.
     (Format: TXT=30607 bytes) (Status: INFORMATIONAL)
--------------------------------------------------------------------------
　　レイヤ１の伝送プロトコルであるSONET/SDH上でPPPフレームを流すときに
　　使うのがMAPOSです。このRFCでMAPOS上でIPv6を流すために、フレーム
　　カプセル化を定義しています。

--------------------------------------------------------------------------
3573 Signalling of Modem-On-Hold status in Layer 2 Tunneling Protocol
     (L2TP). I. Goyret. July 2003. (Format: TXT=22758 bytes) (Status:
     PROPOSED STANDARD)
--------------------------------------------------------------------------
　　L2TPは主にネット常時接続でプロバイダにPPP接続をする際、電話局からプロ
　　バイダまでユーザからのPPPを通すために張られるトンネルです。ここでいう
　　モデムはアナログ電話のモデムで、ADSLではないです。On Holdは保留した場
　　合で、モデムを使ったデータ通信中にキャッチフォンが入り、キャッチフォン
　　を取ったときに、データ回線を一旦保留するパターンを考えます。この保留
　　情報をどのようにL2TPのLACとLNSがやりとりするか、を規定してます。

--------------------------------------------------------------------------
3574 Transition Scenarios for 3GPP Networks. J. Soininen, Ed.. August
     2003. (Format: TXT=23359 bytes) (Status: INFORMATIONAL)
--------------------------------------------------------------------------
　　ノキアの人が書いた、携帯系のRFCです。3GPPは3rd Generation Partnership 
　　Projectの略で、ドコモのFOMAなど第３世代携帯技術標準を策定するための
　　国際標準化グループです。現行のGPRS (General Packet Radio Service) で
　　は他のネットワーク（インターネット）を介した通信は規定外でしたが、
　　ここではIPv4やIPv6網で中継するシナリオを紹介しています。

--------------------------------------------------------------------------
3575 IANA Considerations for RADIUS (Remote Authentication Dial In
     User Service). B. Aboba. July 2003. (Format: TXT=15539 bytes)
     (Updates RFC2865) (Status: PROPOSED STANDARD)
--------------------------------------------------------------------------
　　RFC2865で作られたRADIUS registry (RADIUSで使用するパラメータ）をIANA
　　に登録する必要があることを示しています。ここで言うパラメータは
　　Packet Type Codes, Attribute Types, Attribute Valuesの３つです。
　　IANAでは各RFCや他規格で決められたいろいろな値を一元管理しています。
　　RADIUSに関しても一元管理する、ということです。

--------------------------------------------------------------------------
3576 Dynamic Authorization Extensions to Remote Authentication Dial In
     User Service (RADIUS). M. Chiba, G. Dommety, M. Eklund, D. Mitton, B.
     Aboba. July 2003. (Format: TXT=70027 bytes) (Status: INFORMATIONAL)
--------------------------------------------------------------------------
　　RADIUSサーバがNAS (Network Access Server; ダイアルアップユーザから
　　見たネットワークの入り口のルータ) へ動的に送る２つのメッセージに関して
　　実装が示されています。１つは切断メッセージ (Disconnect Message), もう
　　１つは権限変更メッセージ (Change-of-Authorization Message) です。

--------------------------------------------------------------------------
3577 Introduction to the Remote Monitoring (RMON) Family of MIB Modul.
     S. Waldbusser, R. Cole, C. Kalbfleisch, D. Romascanu. August 2003.
     (Format: TXT=68551 bytes) (Status: INFORMATIONAL)
--------------------------------------------------------------------------
　　RMON (Remote Monitoring) のプロトコル一覧をまとめています。これは
　　使えますね。RMONはプローブという専用機器やスイッチのインタフェース
　　に実装される機能を使って、ネットワーク内のトラフィック情報を収集
　　します。まずデータリンク層までを見るRMON-1ができ、次にアプリケーション
　　層まで見れるRMON-2ができました。その後拡張としてSMONやDSMON, APMなど
　　いろいろできました。ネットワーク監視をされる方は一読されるとよいです。

--------------------------------------------------------------------------
3578 Mapping of Integrated Services Digital Network (ISDN) User Part
     (ISUP) Overlap Signalling to the Session Initiation Protocol (SIP).
     G. Camarillo, A. B. Roach, J. Peterson, L. Ong. August 2003. (Format:
     TXT=26667 bytes) (Status: PROPOSED STANDARD)
--------------------------------------------------------------------------
　　ISUP (ISDN User Part) のシグナリングをSIPと共存させるための実装です。
　　SIPはIP電話で使われる呼制御プロトコルになりますが、通常の電話網を中継
　　したIP電話を用いるときに利用されることになります。RFC3398でも既存の
　　電話の呼制御プロトコルであるSS7のISUPとSIPとのエンブロックシグナリング
　　を書いていますが、こちらではオーバーラップ手法を書いてます。

--------------------------------------------------------------------------
3579 RADIUS (Remote Authentication Dial In User Service) Support For
     Extensible Authentication Protocol (EAP). B. Aboba, P. Calhoun.
     September 2003. (Format: TXT=104469 bytes) (Updates RFC2869) (Status:
     INFORMATIONAL)
--------------------------------------------------------------------------
　　802.1xで使われるRADIUSとEAPの連携に関する情報です。
　　プロトコル概要、再送、フラグメント、利用ガイドラインとともに、EAP
　　利用の場合に使うアトリビュートをまとめていたり、例が記されています。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

╋━━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━━━━━━━━━━……‥‥
　　　┃本┃日┃の┃試┃験┃対┃策┃問┃題┃　
╋━━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━━━━━━━━━━……‥‥

　〔問題１〕次の指標のうち、誤っているものはどれか。
　　　１．ルータのCPU使用率は75%を超えないように設計する
　　　２．ブロードキャストはトラフィック全体の40%を超えないように設計
　　　　　する
　　　３．イーサネットの場合セグメントのネットワーク利用率が40%を超え
　　　　　ないように設計する
　　　４．ルータに設定するパスワードは8文字以上にする

　〔問題２〕smurfの説明として正しいものはどれか。
　　　１．ICMPを利用したDDoS攻撃
　　　２．擬似DNSキャッシュを用いたDoS攻撃
　　　３．TCPのSYNパケットを大量に送出するDDoS攻撃
　　　４．大量の暗号鍵を送出する解読攻撃

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　解┃答┃と┃解┃説┃
　━┛━┛━┛━┛━┛

　《本日の試験対策問題》
　　（解答１）２
　　（解説１）ブロードキャストやマルチキャストのトラフィックは全体の20%
　　　以内、という指標があります。ルータのCPU使用率75%以内は暗号化を行わ
　　　ない場合で、暗号化を行う場合は50%以内、という指標があります。
　　　このような指標は、バースト（突然発生する大きな負荷）にも耐えれる
　　　ように余裕を持たせてあります。実際には１〜３の指標より大きくなる
　　　場合もありますが、平均して指標以内のパーセンテージに設計するのが
　　　無難です。４に関しては学習の手引きにも書いたようにパスワードは８
　　　文字以上が推奨、というだけです。一般論です。

　　（解答２）１
　　（解説２）smurf攻撃はなりすまし攻撃とも呼ばれています。攻撃者は複数
　　　の悪意のないユーザPCに、ある特定の機器のアドレス（例えば192.168.1.1）
　　　を送信元、あて先として適当なブロードキャスト（例えば10.x.x.255）に
　　　ICMP echoを送るよう指示を出します。ブロードキャストアドレスで指定した
　　　ネットワーク内のすべてのPCがこのICMP echoに対して応答するため、膨大
　　　な量のecho replyが192.168.1.1へ返されることになります。すると本物の
　　　192.168.1.1を持つ機器はecho replyの処理に耐え切れなくなってクラッシュ
　　　してしまいます。
　　　２．はDNS-DoS攻撃とも呼ばれ、ドメイン名に対する偽のアドレスを登録
　　　したキャッシュへDNS参照を行わせるようにして、そのドメインへ行くことが
　　　できないようにしてしまうものです。
　　　３．はSYN flood攻撃と呼ばれるものです。SYNはTCPのコネクションを確立
　　　するときに最初に出されるパケットで、SYNに対するACK/SYNとそのACKを確認
　　　して初めてコネクションが確立します。SYNだけだと半開きの状態です。
　　　半開きの状態のコネクションを大量に作ることで攻撃対象PCが持つことの
　　　できるコネクションの数をすべて使ってしまい、他のコネクションが張れ
　　　ない、つまりアプリケーションレベルの通信が何もできないようになって
　　　しまいます。
　　　４．は総当り攻撃（brute force attack）と呼ばれる暗号解読手法の一つで
　　　す。考えられる全ての鍵をリストアップし、片っ端から解読を試みます。
　　　DoSはDenial of Service、サービス不能という意味です。サービスを停止
　　　させてしまう攻撃をDoS攻撃、またはDoSアタックと呼ばれます。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[ネットワーク一口英語]
Trojan horse : トロイの木馬。

　TrojanはTroy（トロイ）の形容詞形。トロイアとも。horseは馬です。
　ウィルスはメールやアプリケーションソフトのマクロ（プログラムの一部）
　として提供され、増殖を目的にしています。
　Outlookのメール用ウィルスであれば、Outlookを使って増殖していく、と
　いう特徴があります。
　トロイの木馬は、ウィルスと異なり、そのものがアプリケーションソフトです。
　ワームとも呼ばれます。これは単体で実行できるので、ネットワークにつな
　がっていれば自発的にメールを送信したり、何か処理を行おうとします。

　トロイの木馬は、ギリシャ神話に出てくる話です。ホメロスの叙事詩「イリ
　アス」にある話です。
　ギリシャ軍対トロイ軍の戦いのさなか、篭城しているトロイの城壁を攻略
　すべく、ギリシャ軍が使った戦術です。突然ギリシャの船が夜の港を去って
　行き、翌朝トロイの城壁の外には巨大な木馬が残されていました。一人の
　ギリシャ兵が捕虜となり、「この木馬をトロイの場内に入れると我々は負け
　てしまいます。」トロイの兵士たちは木馬をがんばって場内に入れ、戦いに
　勝ったと祝宴を挙げ、酔いつぶれて寝てしまいました。そこを木馬の内部で
　待機していたギリシャ兵に襲われ、あっけなくトロイの街は壊滅されてしま
　った、というお話です。

　

◆◆◆◆◆◆　┃ あとがき ┃　◆◆◆◆◆◆

（まえがきから続く）
　
　　忘年会のシーズンです。先週、予約を試みたのですが、既にお目当ての
　　お店は満席でした。。。
　　ボーナス日になっている会社の多い12月10日以降はホント、取りづらい
　　です。ちなみに都内のお話です。オシャレなスポットほどすぐに埋まっ
　　てしまいます。
　　この時期、取りづらいといえば帰省の新幹線チケット。毎年忘れてしま
　　います。前回も書いたように、今年は品川駅ができた関係で指定席の埋
　　まり具合がまた変わってくると思います。早めに予約しておきましょう。

………………………………………………………　　　　　　　　　　 
　IP Network Skill vol.000138 　12/12/03
　発行者：adzuki　http://www.xai.nu/ipnet  
……………………………… ipnet3@xai.nu ……　　　　　　　　　　 

----------------------------------------------------------------------
（答え）B.が誤り。"area 1 nssa no-sammary"コマンドによりTotally Stub
　AreaにしないとB.の事象は起きません。あとはNSSA (Not So Stubby Area)
　の振る舞いです。
CCIEを目指す方はこちらをどうぞ。まず頑張って一読してみましょう！
http://www.amazon.co.jp/exec/obidos/ASIN/1587200023/ipnetworkskil-22 
----------------------------------------------------------------------

のんびりやろう！情報処理試験！　〜１問１問コツコツと〜

ソフトウェア開発＆基本情報技術者試験対策を中心に初級シスアドや高度区分まで幅広く対応。流行のIT用語の解説も行っているので，パソコンについて勉強した...

Office & VBA パーフェクトマスター

Excel・Access・Word等の今さら聞けない「疑問」、今すぐ知りたい「困った」、たちまち解決！のmoug（モーグ）がお送りする、関数初心者か...

ネットワークのおべんきょしませんか？

TCP/IPってなに？LANって？ルータって何をするの？というネットワークに関することをわかりやすく解説します。情報処理の試験を受ける方にもぴったり...

全部フリーソフト！！

ネット上にはこんなに便利なフリーソフトがいっぱい。お金なんか使わなくても、あると絶対にお得で楽しいソフトを1つずつご紹介します。

ＩＰネットワーク考

インターネットのネットワークＳＥの実務者が、IPネットワークにまつわる話題、問題、技術について実務者ならではの視点から解説します。ネットワーク、TC...

この記事へのコメント

■三菱東京UFJ銀行系 モビット■

【１】ネットで自動審査・来店不要！
【２】限度額300万円
【３】年利9.8％-18.0％（実質年率）

急な出費にモビット！