IT管理者のためのIPSec講座
IPSecの具体的な仕組みを見ていこう。実のところIPSecというのは、暗号化通信を実現する複数のプロトコルの総称である。本稿では、中核をなす以下の3つのプロトコルについて説明する。 IKE(Internet Key Exchange) ESP(Encapsulating Security Payload) AH(Authentication Header) では、それぞれを順に見ていこう。 鍵交換に使われるプロトコル「IKE」 IPSecによる暗号化通信は、まず鍵交換を含めたSAの合意をとることから始まる。この合意は、あらかじめ手動で設定しておくことも可能だ。しかし、SAの合意を手動で設定するのは面倒な作業であるだけではなく、通信相手となるコンピュータが遠隔地に設置されていたり、数が多かったりした場合は、手動で設定するのは事実上不可能である。また、暗号化通信の安全性を向上させるため、使用
BGPの仕組みと役割を理解する
本連載の第1回目「ルーティング・プロトコルの役割を理解する」では、IPルーティングの中核を成す「ルーティング・プロトコル」について、その役割や全体像を解説してきました。今回からは、その際に紹介した「BGP」「RIP」「OSPF」の3つのプロトコルにフォーカスを当て、仕組みや運用法をより詳細に説明していきます。まずは、AS間で経路情報の交換を行う「BGP」の仕組みと役割について解説していきましょう(編集局) AS(Autonomous System)とAS番号 ASとは、共通のポリシーや同じ管理下で運用されているルータやネットワークの集合を意味します。各AS内では独立したIGPやポリシーが運用されており、インターネットはこのASの集合体ととらえることができます。インターネットは、AS単位に分割して管理することでルーティングのオーバーヘッドを減らし、ネットワークの管理を容易にしています。 この
IEEE802.1Xって何ですか?
最近,無線LANアクセス・ポイントやLANスイッチの広告に「IEEE802.1X」という表記が増えている。IEEE802.1Xはその名の通り,IEEE(米国電気電子技術者協会)の802委員会が制定したLANの標準規格の一つで,LANスイッチや無線LANのアクセス・ポイントでユーザーを認証する技術だ。とはいえ,まだIEEE802.1Xのことをよく知らない人は多いだろう。そこで今回は,このIEEE802.1Xのしくみの基本を見ていこう。 IEEE802.1Xは,LANスイッチや無線LANアクセス・ポイントからLANを利用可能にする前にユーザーを認証するための技術である。一般的なLANスイッチはケーブルをポートに接続するとすぐLANを使えるようになる。しかし,802.1Xに対応したLANスイッチは,ケーブルを接続してもすぐにLANを利用できない。接続されたパソコンを認証し,正しいユーザーであるこ
DNSのTTL設定とは?(後編)
では、なぜ「短いDNSのTTL設定は危険」なのだろうか。 「日本ネットワーク・オペレーターズ・グループ」のホームページ( http://www.janog.gr.jp/meeting/janog19/2006/12/dnsttl.html )にその資料があるので深く知りたい方は参考にしていただくとして、ここでは主にVALUE DOMAINを利用している人にとって「短いTTL設定」でどういうリスクがあるのかを考えたい。 VALUE DOMAINではTTLについて「よくわからない人は120秒でよい」というスタンスであるが、これはプロバイダのDNSサーバーでは120秒後に情報が消されるということでもある。その情報が消えた間に、悪意を持つ人が嘘の情報を、そのサーバーに送り込んだらどうなるだろうか。 例えば「kazamidori.net=256.256.256.256」という情報をプロバイダのDNS
Sender ID:送信者側の設定作業 ― @IT
送信ドメイン認証は、Yahoo!やGmailで「DomainKeys」が、Hotmailで「Sender ID」が利用されているほか、多くのISPが対応を表明したことにより一段と普及が進んでいる。すでに米国などでは、送信ドメイン認証に対応しているドメインからのメールを優遇して通すなど、利用することのメリット、また利用しない場合のデメリットなどが現れてきている。 本稿では2回にわたって、IPアドレスベースの認証方式に分類される「SPF(Classic SPF)」およびSender IDについて解説する。前編では、SPFおよびSender IDを導入するに当たって、実際にどのように手を動かせばいいのかについて説明したい。 IPアドレスベースの送信ドメイン認証 まず、IPアドレスベースの送信ドメイン認証について説明する(図1)。送信側は、「Sender Policy Framework(SPF)
IPsecとVPN
ポイント ●IPsecは暗号通信のための通信プロトコルで,インターネットのような公衆網を仮想的な専用線(VPN)として利用するための技術として利用されている ●IPsecによるVPNを利用して,拠点間を結んだり,リモート環境からインターネットを介して社内の業務ネットワークにアクセスするような使い方ができる ●インターネット区間の伝送品質,速度,接続性に関しては保証はないが,専用線に比べ,コスト(通信にかかる費用)を抑えることができる 会社の拠点が離れた場所にあってネットワークで結びたい場合,理想的なのは専用回線を引くことです。これならば,回線上で盗聴される確率が格段に低くなります。しかし,専用回線の利用はどうしてもコスト高になりがちです。 そこで,接続コストが安価ですむインターネットを介して拠点間を結ぶVPNがさかんに使われています。こうすることで,仮想的に専用線を引いたような使い方ができ
安全なセッション管理を実現するために
任意のセッションIDを付加したリクエスト発行のわな http://example.com/Top.do;jsessionid=135383EED2F6BDFB50329A67DB1F4542 のように「;jsessionid=XXX」という文字列が付加されたURLを見たことはあるだろうか。 jsessionidとはJ2EEを使用したWebアプリケーションにおいてデフォルトで使用されるセッションIDを表すパラメータ名である。Servlet仕様では、セッションIDの格納先にCookieが利用できないクライアントが存在することを想定してURLへの文字列付加によるセッションIDの送信もサポートすることが推奨されている。 この仕様はURLリライティングと呼ばれ、
@IT:クロスサイトスクリプティング対策の基本
最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング」と呼ばれる脆弱性が有名であるが、クロスサイトスクリプティング脆弱性について正確に理解している人が依然として少ないと感じる。 本稿では、クロスサイトスクリプティングとはどのような脆弱性であるのか、この脆弱性を持ったサイトが攻撃されるとどのような被害が起き得るのか、なぜそのようなセキュリティホールが作り込まれてしまうのか、どのように対策をすればよいのかを解説していく。 ※以下本文中では、クロスサイトスクリプティング脆弱性のことを「XSS」と表記する。「Cross Site Scripting」の略であるから「CSS」と表記している記事もあるが、「Cascading Style Sheets」の略も「CSS」となり紛らわしいため、「XSS」と表記する場合が多くなってきている。本稿で
第2回 意図しない操作をさせられる「クロスサイト・リクエスト・フォージェリ」
今回はセッションに関連したぜい弱性について解説する。まずは,クロスサイト・リクエスト・フォージェリ(CSRF)を取り上げよう。 CSRFのぜい弱性とは,「サイト利用者が意図しないところで,何らかの情報変更を無理やり実行させられてしまう」問題のことである。例えば,「自分の名前で勝手にブログに書き込まれる」,「パスワードがいつのまにか書き換えられる」などといった問題が発生することになる。 攻撃は次のように実行される。 ユーザーが,ターゲット・サイト http://target.example.com にログインする。 http://target.example.comのサーバーが,ユーザーのブラウザにクッキーをセットする。 ユーザーが,メールによる誘導などによって,罠を仕掛けられた攻撃者のサイト http://attacker.example.com にアクセスする。 罠の例:ブログへの意図し
SSL/TLS
ポイント ●SSL(TLS)とは,主にWebアクセスでやり取りするデータを暗号化するための仕組みである。相手が信頼できるか確認する機能もある ●SSL(TLS)を利用してクライアントがサーバーを認証するためには,事前に認証局(CA)の公開鍵証明書を入手している必要がある ●ショッピング・サイトなどでSSLを利用する際に警告画面が出ないのは,あらかじめ認証局の公開鍵証明書がWebブラウザにインストールされているからである SSLは,第2章で勉強した技術の中では最も身近に感じると思いますが,いろいろな技術が組み合わさって出来ています。わからないところが出てきたら,すでに解説してきた記事へのリンクをたどって復習をしながら読み進めてみてください。 SSL/TLSとは SSL(Secure Sockets Layer)/TLS(Transport Layer Security)とは,主にクライアント
5分で絶対に分かるPKI
公開鍵基盤とはいったい何だ Public Key Infrastructure(PKI)は、一般的な日本語訳では「公開鍵暗号基盤」もしくは、「公開鍵暗号方式を利用したセキュリティインフラ」だと言われる。しかしそういわれても、その実体や機能はさっぱり伝わってこない。 一方で、電子署名法の施行や電子政府構想など、社会的にPKIの重要度が確実に高まってきている。いったいPKIとは何なのだろうか、この記事は、わずか5分でその疑問をすっかり解決することに挑戦した。 PKIの分かりにくさは、主に複数の技術の組み合わせであることと、インフラであるがゆえのつかみどころのなさに起因する。しかし、そのコンセプトはそれほど複雑ではない。さっそく説明を始めよう。
ルーティング編 OSPFのしくみを知る
RIPやIGRPのようなディスタンスベクタ型ルーティングプロトコルはコンバージェンスが遅いことや,ルーティングループのような「弱点」があるため,ある程度以上の規模のネットワークでは使われなくなっています。そのためRIPの後継として作られたルーティングプロトコルがOSPFです。中規模以上のネットワークにも対応できるのが利点です。現在の主流である技術を盛り込んだ,高性能ルーティングプロトコルであるOSFPのしくみを覚えましょう。 リンクステート型ルーティングプロトコル 第2回で説明したルーティングプロトコルの種別のうち,OSPFはリンクステート型に当てはまります。リンクステート型はディスタンスベクタ型のように「自分のルーティングテーブルに,隣のルータのルーティングテーブルを追加していく」方式と違い,「すべてのルータから情報を集め,現在のネットワークの構成を知る」方式です。 リンクステート型は,
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
