Category : 技術ネタ
PCをポート単位で認証してからLANに接続させる技術、有線・無線問わず使われる。

サプリカント(PC)-オーセンティケーター(認証SW)-認証サーバ(RADIUS)

認証のやり取りにはPPPを拡張したEAPと呼ばれるプロトコルを使う。

LANに接続した時点でサプリカント(クライアントPC)からオーセンティケーター(無線APや認証SW)に認証要求を送る。

サプリカントはEAPOLでオーセンティケータにEAPパケットの入った
MACフレームを送り、オーセンティケーターではEAPパケットを取り出し、RADIUSパケットの先頭に、MACヘッダー、IPヘッダー、UDPヘッダー、に乗せ変えて認証サーバへ中継する。
(RADIUSはUDP上で動作するプロトコル)

RADIUSパケット上で所属VLANも指定できる。

EAPOLパケットのタイプ「3」は,オーセンティケータからサプリカントに暗号通信用の鍵情報を配布するためのEAPOL-Keyと呼ばれるメッセージである。
このメッセージは「キー・フレーム」と呼ばれ,無線LANにおいて無線LANアクセス・ポイントからサプリカントに対して暗号通信の鍵情報を通知する際に使われる。

無線LANを使う際には,暗号通信のために無線LANアクセス・ポイントと無線LANクライアントにWEPキーなどの暗号鍵情報を設定する必要がある。
IEEE802.1Xを使うと,このキー・フレームのしくみを利用して,無線LANクライアントに自動的に暗号鍵情報を通知できるようになる。

認証方式(3種類)
1.ユーザidとPWを使うEAP-MD5方式
認証サーバより、まずチャレンジコードと呼ばれるものをサプリカントに送る。
認証サーバより送られたチャレンジコードとPWをMD5ハッシュ関数に入れたものと、ユーザidを合わせて、認証サーバに送り返す。
認証サーバでもチャレンジコードをハッシュ関数に入れ、サプリカントより送られたレスポンスコードと一致すれば認証成功とする
(生データは流れないが、チャレンジコードとレスポンスコードの組み合わせによってはPWが推測されてしまう可能性あり)

無線LANアダプタの設定画面では,そもそもEAP-MD5が選択肢として表示されない。
電波を盗聴されやすい無線LANでは,EAP-MD5方式は利用できないようになっているのである。


2.EAP-PEAP
SSLの仕組みを使って、共有鍵でやりとりする。
暗号化した上でチャレンジ・レスポンス方式を使用する為、MD5より安全だが、認証サーバにはサーバ証明書が、サプリカントにはサーバ証明書を検証できるルートCA証明書が必要になる。


3.EAP-TLS
EAP-PEAPで行なった証明書のやり取りをサーバとクライアントの両方で行なう。
サーバはまずサプリカントにサーバ証明書を送り、サプリカントは自身のルートCA証明書でサーバ証明書を検証する。その後、サプリカントはクライアント証明書を認証サーバに送り、認証サーバも自身のCA証明書で検証し、うまくいけば認証成功。最もセキュリティ強度は高い。この方式はユーザIDとPWを入力する必要がないが、ユーザ毎にクライアント証明書とCAルート証明書を配布する必要がある為、管理が大変になる。

※注意
IEEE802.1Xはあくまでも認証プロトコルであり,暗号化については規定していない。
セキュリティを高めるには,ユーザ認証と暗号化を同時に実施する必要がある。




にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
ネットワークスペシャリスト試験では定番の負荷分散技術。
負荷分散入門はひととおり読んでおくとよい。

負荷分散技術系の問題では、ループバックインターフェースがらみの問題や、負荷分散の方式レイヤーレベルでの故障監視方式に注目。

クライアントはLBのVIPにアクセスし、そのアクセスをWebサーバに転送するわけだが、そもそもVIPへのアクセスなので、Webサーバは自身のIPアドレスと異なるパケットを受信するためパケットを破棄してしまう。
これを防ぐには、WebサーバのループバックインターフェースにVIPを指定する。(ループバックインターフェースとは自身の仮想的なIPアドレス)

LBにてSSLアクセラレータも兼用する場合は戻りもLBにする必要あり。

以下、負荷分散入門より引用

負荷分散の方式
・ラウンドロビン
各サーバに、順番にリクエストを振り分けます
・静的な重み付きラウンドロビン
各サーバに、あらかじめ設定された比率でリクエストを振り分けます
・最小コネクション数
処理中のコネクションが少ないサーバにリクエストを振り分けます
・最小クライアント数
接続中のクライアントが少ないサーバにリクエストを振り分けます
・最小データ通信量
処理中のデータ通信量が少ないサーバにリクエストを振り分けます
・最小応答時間
応答時間が短いサーバにリクエストを振り分けます
・最小サーバ負荷
CPU、メモリ、I/Oの利用率が低いサーバにリクエストを振り分けます
・最小FNA LU数
使用中のLUが少ないサーバにリクエストを振り分けます


セッション維持機能として次のオプションを提供しています。
ノード単位の分散
リクエストの送信元IPアドレスに基づいて、クライアントを識別します
cookie(クッキー)オプション
cookieに登録された情報に基づいて、クライアントを識別します
URLリライト・オプション
URLに埋め込まれた情報に基づいて、クライアントを識別します
HTTP認証ヘッダー・オプション
HTTPリクエストヘッダーの認証情報に基づいて、クライアントを識別します
SSLセッションID・オプション
SSLセッションIDに基づいて、クライアントを識別します


IPCOMでは、次の故障監視方式を提供しています。
装置監視
各サーバに対してPINGを送信し、その応答で故障を判断します(L3レベル監視)
サービス監視
各サーバのTCPポートおよびUDPポートにリクエストを送信し、その応答で故障を判断します(L4レベル監視)
アプリケーション監視
各サーバのアプリケーションにリクエストを送信し、その応答で故障を判断します(L7レベル監視)
負荷計測エージェントによる監視
各サーバの負荷計測エージェントから送られるパケットの有無で故障を判断します
バックLAN 監視
負荷分散装置に直接接続していないLANインターフェースを、SNMPで監視します



にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
回線速度は物理的に信号を伝送する速度、スループットは実質的なデータの転送速度。要するに回線速度や途中のネットワーク機器の伝搬処理や通信相手コンピュータの処理等を全て含んだものがスループット(末端同士の実質的な通信速度)

RTT
クライアントの処理遅延(データをパケット化してネットワークに送出する)ルータ等ネットワーク機器の処理遅延、物理的な回線を伝送する伝搬遅延、サーバが処理する処理遅延、全ての遅延を足した応答時間をRTTと呼ぶ
※ネットワーク遅延=機器遅延+伝搬遅延




にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
ネットワークスペシャリストで毎年のように出題される技術。

ネットワーク上でIPパケットを暗号化しデータの完全性や機密性を実現する仕組み。
レイヤー3で動作するのでTCPやUDPなど上位のプロトコルを利用するアプリケーションソフトはIPsecが使われていることを意識する必要はない。

IPSec メインモードグローバルIPアドレスによる認証を行う。主にLAN間接続を想定。

接続相手のIPアドレスが動的に変わる場合はアグレッシブモードでIPアドレスではないIDの認証を行う。主にリモートアクセスを想定。

トランスポートモードとトンネルモード

トランスポートモードはipsecを実装したPC同士での接続
元のIPヘッダを使う(カプセル化はしない)のでセキュリティはやや落ちる。端末数が多くなるとインストール作業などの管理工数の手間がかかる
ペイロード部分だけをESPなりで暗号化する

トンネルモードはルータ間(LAN間)接続を行う
IPヘッダを含めたパケット全てを暗号化し、新たなIPヘッダを付加する




にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
ネットワークスペシャリストで定番の技術、SSL-VPNのまとめ。
SSL-VPN入門

アクセス方式

・リバースプロキシ
VPNへのHTTPSアクセスを他サーバへHTTPに変換して中継する。
https://vpn.hoge.co.jp/intra を http://intra.hoge.co.jp/ に変換して中継
ブラウザで動作するアプリケーションしか使えない。

・ポートフォワーディング
MPCのhostsを書き換え(例 127.0.0.1 intra.a-sha.co.jp intra)、社内サーバ宛ての通信はモジュールを経由する。
モジュールでパケットをSSLでカプセル化してVPNへ転送、VPNサーバにて予め443宛ての通信を宛先IPやポートなどの情報を定義しておき、宛先サーバに転送する。(ポートが固定されているサービスしか使えない)

・L2フォワーディング
VPNに接続すると仮想NICが構成され社内IPが割り当てられる。(ActiveX等利用)
アプリケーションが仮想NICへデータを送信した際に、L2レベルまるごとSSLでカプセル化してVPNへ送信する。
|イーサ|IPヘッダ|TCPヘッダ|VPN(SSL/TCP)ヘッダ|★イーサ|IPヘッダ|TCPヘッダ|データ| ★以降がソフトNIC元データ(SSL暗号化対象)

VPNではカプセル化を解除して、L2のデータを転送する。

認証方式
・固定PW
・ワンタイムパスワード
・チャレンジレスポンス方式
・同期方式(トークン)
・クライアント証明書

アクセス制御
FWなど

エンドポイントセキュリティ
・ウイルスソフトが入っているか、セキュリティパッチは適用されているかモジュールを使って検査する


にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
プロフィール

Author:katsudon
どーしてもネットワークスペシャリストに合格したいオッサンが、試験テクニックや技術ネタ・勉強法や勉強記録なんかを備忘録もかねてログに残していきます

スポンサード リンク

Powered by amaprop.net
月別アーカイブ
カテゴリ
検索フォーム
最新記事
RSSリンクの表示