前提
前回(ネスぺに昨年のリベンジ(第一回) – 日曜エンジニアの学習記録)の続き
今回は以下の教材を用いて基礎固めを行う。また、前回の差分のみメモし、既知の知識はメモしない
Course: ネスペの重要なところだけ!! IPA ネットワークスペシャリスト 午後試験 重要項目講座 | Udemy
学んだこと
RFI…企業や組織が情報収集のため発行してベンダに市場の選択肢について情報を求める
RFP…企業や組織が具体的な提案を求めるために発行しベンダに詳細な提案書を提出させる
DCの役割…データの保存とインターネットへの公開
SASE…NWセキュリティをクラウドで提供するどこからでも安全にネットやクラウドにアクセスするためのソリューション
ZTNA…SASEを支える要素の一つでゼロトラスト・全てのアクセスを厳しくチェックする方法→常に認証を要求したり最小権限の原則やセグメント化やコンテキストに応じたアクセス制御など
SD-WAN…ソフトで制御するWAN
オーバレイNW…物理NWインフラの上に構築される仮想的なNWでトンネリングの技術で実現→SD-WANとほぼセットの話題
アンダーレイNW…オーバレイNWの基盤になる物理的なNWのこと
LBのL7ベースの振り分け…HTTPの情報(URL,Header,Cookie等)を基に振り分け先を決定する、プロキシ(リバーシプロキシ)と呼ばれることも
他にも、DNSベースの負荷分散もある→名前解決の要求に対して応答するIPを変更して負荷分散
WLC→APや無線LANに関する設定を集中管理する装置→APがVLANやDHCPなどのNW機能を備える場合WLCの役割を兼ねることも
バカハブが全ポートからパケットを送信するのはL1SWだから
GW→L4以降のNW機器でプロキシサーバやLBやVoIPGWなど
名前解決コマンド→nslookup/digについて現代のシステムでDNSによる名前解決は必須(IPをそのままさらして通信することはパブリッククラウド全盛の今ないから)→hostsファイルに正しく記載しているときは不要(相当クローズドなNWでNW内のノードのIPを全て把握している場合など)
マルチホーミング→NWが複数のインターネット接続を持っている状態→複数ISPと契約していること
ローカルブレイクアウト→各拠点が直接インターネットに接続→特定のSaaSサービスについては本社を経由しないことで近道をする※でも本社経由しないからログが記録されない問題とかあるけど(DCを契約せず近道を使って直接インターネットに出るため遅延やコストを抑えることが出来る)
メリット→遅延削減・帯域の効率化・コスト削減、デメリット→セキュリティの複雑化・統一管理の困難さ
FWのステートフルインスペクションの課題→非対称ルーティングやAct/Actで運用している時片方の機器で戻りの通信を許可するルールがないので破棄される
→接続情報の同期の設定で回避する必要がある→ほかにもLBのセッション維持機能を利用して同じ通信を同じFWに振り分けることで回避
FWはIPやポート番号など固定的な情報で通信を制御するため80番ポート宛のSYN floodやマルウェア通信のブロックなどが難しいのでIDS/IPSが重要
閉域網はインターネットを経由しないので専用線や広域イーサネットやIP-VPN
インターネットVPNの使い分けとして拠点間のVPNはIPSec-VPN、拠点端末間はSSL-VPNを使用することが多いか
IEEE802.1XはLAN認証のためのフレームワークでRADIUSと合わせて使用され、EAPが認証に使用されポート毎に認証を行い認証に成功した端末のみLANに接続可能
EAPの認証方式について、EAP-MD5(パスワードとユーザ名を使用)は危殆化しているのでEAP-TLSが主流で802.1Xは認証状況により割り当てるVLANを決めることが出来て認証中に利用するVLANも決めれる。ウィルス対策やアップデートが不十分な端末は隔離VLAN(検疫NW)に割り当てることも可能
エフェメラルポートはクライアントがランダムに割り当てる送信側のポート番号
ルーティングの種類は2つあり、ルートベースルーティングは通常のルーティングで、ポリシーベースルーティングはパケットの属性に応じて動的にトラフィックやアクセスを制御(例:曜日・プロトコル・特定のポートベースなど)→基本的に後者は利用が勧められない(負荷があり転送が遅いから)
PACファイル→自動的にプロキシサーバを選択するファイルでJSで書かれておりメリットは次の通り→プロキシが自動的に適切なプロキシを選択・条件に基づいて異なるプロキシを使用・セキュリティ向上
Hostsファイル→ローカルな名前解決のためのテキストファイル(しかし.txtのような拡張子がない点には注意)でありAレコードに相当するものを手動で設定→通常OSのファイルシステムに保存、OSによるがDNSよりも優先される、nslookupコマンドはDNSサーバに問い合わせるのでhostsファイルを見ない
hostsファイルの編集は管理者権限でメモ帳を開く必要有→hostsファイルの位置はC:\Windwos\System32\drivers\etc\hosts
VRRPは複数のルータを一台に見せかける仕組み(主にデフォゲを一台に見せかける目的で使用されるがFWなど他の機器の冗長化のためにも使用される)→マスタとバックアップの間で共通の仮想IPと仮想MACを作って一台に見せかける→VRRP広告は224.0.0.18を使用
VRRPのフェイルオーバー→マスタからの広告が届かない場合残ったルータで再度マスタの選出を行う
プリエンプト機能→一度マスタを選出すると現在のマスタがダウンするまで通常はマスタの再選出はされないがプリエンプトが有効だとよりプラ値が高いルータが現れたときそのルータがマスタになる
マスタはARPを駆使してマスタのみに通信が行われるよう調整している→仮想IPはマスタが持っているので応答もマスタが行う
NetFlow/IPFIX→NWに流れるフロー(IPやプロトコル、ポートなどの組み合わせ)を監視・分析するためのプロトコル→コレクタにエクスポータ(一般にNW機器)からのフロー情報を集約する→CiscoがNetFlowを開発しその拡張版であるIPFIXが標準化される
SNMP・Syslogは機器の監視に特化、NetFlow/IPFIXはフローの監視や分析に特化
SNMPのMIBは標準MIBで一般的な情報を定義し拡張MIBでメーカ独自の情報などを定義→デバイス名やIF速度はOIDで識別されOIDを指定して情報をやりとり
SNMPv3の改良点→コミュニティでなくユーザ単位の認証・暗号化やユーザ単位でアクセス可能なMIBも制限可能
CDN→コンテンツをユーザに最も近い場所から配信するためのシステムで元のコンテンツを持つサーバをオリジンサーバ、各地のキャッシュを持つサーバをエッジサーバという→オリジンサーバへの負荷軽減や高速なコンテンツ配信が可能に
GSLBはユーザに最も近いエッジサーバを判断してそこにアクセスさせる負荷分散のしくみ→DNSベースが一般的で送信元IPを基にクライアントの国を判断
ハイブリッド暗号方式における暗号化は公開鍵を送信するわけでなくDH方式を使って共通鍵生成のための素材のみを交換して両端で同じ共通鍵を生成しておりインターネット上で共通鍵自体が流れず素材だけが流れているのでセキュア
ネスぺ対策におけるIP-VPNで押さえておくべき用語→CE、PE、LER、LSR、LSP、FEC、スタック(2つ以上のラベルが付与された状態)
ポリシング・シェーピングはどっちがどっちか忘れがちだがポリシングはPoliceで強制的・シェーピングはshapeでイメージする
QoSはCoSとDSCPの両方を組み合わせて安定性を実現→QoSといえば現在はDiffServ(トラフィックをクラスに分類してパケット・クラスごとに優先度の制御を行う方式で大規模NW向け)→具体的にはLAN内でCoS値を見て異なるNW間ではDSCPを見る
IP precedenceのより柔軟に設定できるようにしたのがDSCPでその違いはフィールドに占めるビット数
QoSの処理→分類→マーキング→キューイング→スケジューリング
LBについて、セッション維持機能のことをセッションアフィニティ機能と呼ぶこともあり、死活監視用の通信のことをプローブとも呼ぶ
LBの振り分け方式について、主要なものとしてラウンドロビン方式とハッシュベース方式とURLベース方式がある
セッション維持機能はIPベース(同じ送信元IPからの通信を同じサーバに振り分ける)やCookieベース(Cookie内のセッションIDを基にする)がある
SSL/TLSアクセラレータ機能→バックエンドのサーバに代わりLBがTLS通信を終端させることでHTTPS通信の中身が確認できるのでCookieベースのセッション維持などで併せて利用される→CookieはHTTPヘッダに含まれている情報だから
インライン構成→LBを直接バックエンドサーバに接続する方式でシンプルだがLBの追加や交換が難しくスケーラビリティに欠く
ワンアーム構成→LBに直接バックエンドサーバを接続せずNWを介して間接的に接続する方式、異議前述の弱点を克服(上記構成のLBをSWに変更してそのSWにLBを接続するような構成)
DSR→ワンアーム構成だと行きと戻りの通信がLBを経由するがDSR方式を採用すると戻りの通信を直接クライアントに返す→メリットはLBを経由しないのでパフォーマンスが向上するがSSL/TLSアクセラレータ機能が利用できないのと構成が複雑になるデメリットも→実現する仕組みが若干ややこしいので要確認
TCPヘッダのフィールドでフラグはパケットの役割(SYNとかコネクションの強制終了を表すRSTとか)を示し、ウィンドウは受信側が一度に受信可能なデータ量を示しバッファオーバフローを防ぎ、チェックサムはエラーチェック用の値
TCPのウィンドウ制御は受信側からのAckを待たずに次のデータを送信する仕組みで受信側がTCPヘッダ内のウィンドウフィールドにAckを待たずに一度に受け取れるデータ量を示すことで実現
スライディングウィンドウ→ウィンドウ制御の途中でまとめて送信したデータの一部に対してackが返ってきたらその分のデータが空いたと判断して次のパケットを送信すること
TCPのフロー制御→受信側が自身の負荷状況によってウィンドウサイズを増減させる仕組み→TCPヘッダ内のウィンドウサイズを変更して通知して実現
VXLAN→L3NW上に仮想的なL2NWを構築するためのトンネリングプロトコルで24bitのVNIによりL2NWを識別→VTEPはVXLAN対応のSWorIFのことでVXLANトンネルを終端しIF障害に対応するためLoopbackIFにVTEPアドレスを割り当てることが多い
IPが重複していてもVNIが異なれば違う宛先と認識されるので超大型のDCでも使用に向く
スパインリーフ型のDCにおけるLeaf層がVTEPにあたる
VXLANはトンネリングプロトコルなのでどのVTEP配下にどのVMが所属するかを把握する手段が必要→Flood&Learn or EVPNを使用
Flood&LearnはマルチキャストによってVTEPとVNIとVMの関係をテーブルで把握
EVPNはMP-BGPによってVTEPとVNIとVMの関係をテーブルで把握→上と違ってマルチキャスト通信しないので効率的にVXLANNWを構築・維持可能
PPPは二点間でのデータ通信プロトコルで初期のネット接続で使用されていた、PPPoEはイーサネットでPPPを利用するためのプロトコルでADSLで接続するために使われていた→現在でもその基盤となる認証やトンネリング技術は使用されている
PPPの認証はPAP(平文によるIDとパスワード)やCHAP(チャレンジ&レスポンス方式で定期的にチャレンジ(乱数)を対向に送って対向がパスワード+チャレンジをMD5でハッシュ化して返送することによりPAPにない盗聴への強さを実現)によって行われている
つまりまずリンクを確立したのち次に認証を行うのがPPP
PPPoE→Ethernetは認証機能を持たないのでL2フレームにPPPフレームをカプセル化することによりIPパケットを運べるようにしたもの
ASには1=64555のグローバルAS番号とそれ以外のプライベートAS番号がある
SSLVPNのリバーシプロキシ型→社内ポータルなどブラウザから接続するタイプのアプリにリモート環境からアクセスするときなどに使用される、ポートフォワーディングは特定のアプリにアクセスしたいときに使用(社内のDBなど)
リバーシプロキシ型はクライアント端末にブラウザさえあればOK
ポートフォワーディング型はクライアントにSSLVPN用の専用モジュールをインストールする必要有、また、SSLVPNGWに宛先ポート番号と転送先の対応付けが必要(GWにてカプセル化を解除するということ)
L2フォワーディング型はクライアントに専用ソフトをインストールしてVPN用の仮想NICを作成する
X-Forwardedヘッダーについてリクエストの元の情報を伝えるヘッダ(X-Forwarded-Forはリクエスト元の送信元IP,X-Forwarded-Hostは宛先ホスト、つまりFQDN及びポート番号,X-Forwarded-Protoはプロトコル)→LBやプロキシが通信経路上にあると左の機器が終端してしまうから送信元の情報が分からなくなってしまうので送信元情報を伝えるために機能
Cookieのセッション管理の流れ→サーバがユーザにセッションIDを発行してset-cookieヘッダに情報を含めて送信→クライアント側のブラウザはリクエストの度にcookieヘッダを提示してログイン状態を維持→set-cookieヘッダに設定可能な情報で一番大事なのがsecure属性でHTTPS通信の場合のみブラウザからサーバにcookieを送信するように指示
HTTP通信の認証方式→BasicとDigest→流れとしてはクライアントがサーバかプロキシにリクエスト→サーバ・プロキシがヘッダでクライアントに認証要求→クライアントがヘッダのフィールドで認証に応答
大苦手分野1:認証
SSO→一度の認証で複数のサービスにアクセスできる仕組
社内システムや外部サービスの認証を一元管理し、利便性と効率性を向上しユーザの負担を軽減→MFAと組み合わせてセキュアに
SSOを実現する方法→SAML認証(Webアプリ向け)・oAuth認証(WebアプリやAPI向け)・Kerberos認証(社内システム向け)
LDAP→TCP/389でユーザ情報を管理するDB(ディレクトリサービス)へアクセスするためのプロトコルでユーザ認証・検索・管理・更新などに使用される
MicrosoftのADでも採用されており、SAMLやKerberos認証でも良く利用される
※ディレクトリサービスはリソース(ユーザや機器)の情報を階層構造で管理し迅速に検索や管理を実現するサービス
大苦手分野2:PKI
PKI…公開鍵暗号方式による暗号化や電子署名を実現するための基盤
PKIは以下の3つを実現してくれる
- 盗聴防止→暗号化で盗聴防止
- 改ざん防止→電子署名でインターネットでのデータ改ざんを防ぐ
- なりすまし防止→信頼された証明書でなりすましを防ぐ
クライアントは信頼されていないCAから発行された電子証明書を受領した場合なりすましを疑うようになっている
パブリック証明局(=ルート証明局or中間認証局)について、一般的にOSやブラウザにおいて既定で信頼されるようになっているのでパブリック認証局が発行した電子証明書は追加設定なしで信頼できる→パブリック認証局から発行される証明書はLet’s Encryptを除いて有料)
中間認証局はルート認証局によって信頼されている認証局
プライベート認証局は既定で信頼されていないので認証局の電子証明書を端末に手動で追加する必要がある
プライベート認証局から発行された証明書はオレオレ証明書と呼ばれる
電子証明書の有効期限や失効依頼に応じて電子証明書を失効させることが出来る→失効させた電子証明書はCRLとして公開され、証明書の失効状況はOCSPによって問い合わせ可能
接続がプライベートではありませんの警告はオレオレ証明書か証明書の有効期限が切れていることによるエラー
大苦手分野3:無線LAN
無線LANの暗記ポイント→規格(802.11b,g,a,n,ac,ax)と最大速度と対応する周波数を覚える
n→WiFi4,ac→WiFi5,ax→WiFi6で4,5,6の機能についても暗記→OFDMやMIMOなど
2.4GHz→障害物に強く遠くまで届きやすいが電子レンジなどと干渉しやすい
5GHz→干渉が少なく高速通信も可能だが障害物に弱い
6GHz→5GHzの長所・短所共に強化版
BSS→一つのAP配下の無線NWで識別子をBSSIDといい、BSSIDはAPのMACが使われることが多い
ESS→複数のBSSから構成される無線NWで識別子をESSIDという→複数のAPに同じSSIDを付与できるのでAPが切り替わっても途切れず通信可能
ローミングは上記の通りあるBSSからあるBSSへクライアントが移動すること(=同一ESS内でクライアントが移動すること)
変調→バイナリデータを電波の形式に変換することで復調はその逆で変調方式により通信効率も変わる
無線LANの変調方式はOFDM(複数のサブキャリアに分割して同時並行的に通信),OFDMAはOFDMを基にしたマルチユーザアクセス技術→複数サブキャリアをグループ化して各クライアントに割り当てる
無線LANの高速化技術→フレームアグリゲーション(複数のフレームをまとめて一つのフレームとして送信することだが複数のフレーム分一つの端末がチャネルを占有する時間が長くなる)とビームフォーミング(特定の端末に向け電波を集中させること)
無線LANの暗号化方式も現在使用されているWPA2(脆弱性が見つかっている)とWPA3は暗号化アルゴリズムと鍵交換方法と端末ごとの個別暗号化が可能かは暗記
鍵交換方法はPSK(APとクライアントで事前にパスワードを共有)とSAE(PSKと公開鍵暗号化を組み合わせた方式)→SAEにより端末ごとの個別の暗号化が可能でPSKのみでは他端末の通信を盗聴できてしまう課題を克服
しかし試験対策として使われてないWEPなどを含めた暗号化方式の表を暗記すべき
無線LANの認証方式について暗号化方式でも取り上げたPSKも認証の役割を兼ねるがパスワードさえ知られたらまずいので企業では更に厳密な認証が必要
→暗号化方式のパーソナルモードと比べてエンタープライズモードでのWPAではIEEE802.1X認証が利用される
→このときPC・スマホがサプリカントでAPがRADIUSクライアントでWLCがRADIUSサーバでサプリカント↔RADIUSクライアント間でEAPOL、RADIUSクライアント↔RADIUSサーバ間でRADIUS、全体でEAP認証が行われている
→認証方式はMACアドレス認証とWEB認証(ブラウザから正しいID・パスを入力したクライアントの認証→飲食店とかで会員しか使えないWiFiとか)と802.1X認証があるが企業は普通802.1X
大苦手分野4:DNS周り
内部DNSサーバ→組織内のNWでのみアクセス可能なので組織内のニーズや構成に合わせた名前解決が可能
外部DNSサーバ→インターネットからのアクセスで外部向けの名前解決のみを提供し、キャッシュサーバの機能(再帰問い合わせ)を無効にする→キャッシュを持たないのでキャッシュポイズニングされようがないのでセキュア→再帰問い合わせしないというのはキャッシュを使わないということなので自分の持っているレコードの情報でしか解決しないということ
→内部外部で分けるとキャッシュポイズニング対策になるし社内のNW構成を推測させないメリットがある
コンテンツサーバは実際にレコードを管理しているサーバで外部から名前解決が必要な場合は組織外からアクセスできる(インターネット上に公開)必要がある
キャッシュサーバ自体はレコードを持たず問い合わせ結果の記憶であるキャッシュ情報を持ちなければコンテンツサーバに問い合わせる→ルータ(ホームルータ)がキャッシュサーバの役割を兼ねることもある→セキュリティの観点から内部からキャッシュサーバ、外部にコンテンツサーバに分ける必要有
プライマリDNSサーバはメインとなるDNSサーバで人間がゾーンファイルを設定する(windowsの設定画面における優先DNSがプライマリDNSサーバ)
DNSゾーンファイル→複数のレコードから構成されるDNSが持つドメイン名とIPを対応付けるために使用する設定ファイル
CNAMEのメリット→ホスト名のエイリアスを作成することでIPの変更やサービスの移行を容易にすることが可能→しかしCNAMEの設定されたホスト名は他のDNSレコードを追加することが出来ないのと多くのDNSプロバイダではルートドメインにCNAMEを設定できないのでAレコードを使用する必要があることに注意
キャッシュポイズニング→攻撃者がキャッシュサーバに問い合わせてキャッシュサーバがコンテンツサーバに問い合わせて攻撃者が偽の応答を作成してコンテンツサーバの正当な応答よりも先に偽の応答をキャッシュサーバに送り付けてキャッシュサーバがそれを信用すれば攻撃完了→DNSはUDPプロトコルなので偽情報を挿入できる→偽のWEBサイトに誘導
キャッシュポイズニングの対策→キャッシュ機能無効化・ランダムポートの使用・DNSSEC・キャッシュの期限設定・FW設定
DNSアンプの対策→オープンリゾルバ機能の停止・レートリミット・送信元の検証・キャッシュとコンテンツサーバの分離
オープンリゾルバ→外部のDNSリクエストに対してレスポンスを送信するDNSサーバのこと
大苦手分野5:メール周りとその認証
メールは送信・受信・認証・暗号化でプロトコルが分かれていて煩雑
クライアント→自社メールサーバ→他社メールサーバ←クライアントで通信
SMTP-AUTH→SMTPにユーザ認証機能を追加したもので送信プロトコル
SMTPS→TLS暗号化したのちSMTPやSMTP-AUTHによって転送する送信プロトコルで転送時両方の機器がこのプロトコルに対応する必要有
STARTTLS→転送する両方の機器がこのプロトコルに対応していればTLS暗号化したのちSMTPやSMTP-AUTHによって送信するプロトコル
メールサーバは各企業が独自に管理しているので正解中の全てのメールサーバがSMTPSに対応しているわけでないからSTARTTLSを使用することも
POP3→メールサーバに届いたメールをDLする受信用プロトコルで平文のパスワードの認証機能を持つ
APOP3→POP3の暗号化されたパスワードによる認証機能を追加したものだがメールデータ自体は平文でやりとりされる
IMAP4→メールサーバ上のメール管理するためのプロトコルで必要なメールをDLせずともサーバ上で確認することも可能で平文のパスワードによる認証機能もあり複数端末での利用に向く
POP3S→TLSで暗号化してからPOP3によってメールをDL
IMAP4S→TLSで暗号化してからIMAP4によってメールをDLor閲覧
STARTTLS→受信もイケる
スパム対策→OP25B・SMTP-AUTH・SPF、DKIM、DMARC
OP25B→ISPがスパムを防ぐために実施する規制→ポート25を使用した外部メールサーバへの接続をブロックすること→外部のメールサーバへメール送信できなくなるので25番以外のシステムポートを使用するプロトコルを使用したり認証付きでメール送信する必要がある
電子メールのヘッダに記載があるメールの転送経路について上ほど新しい→ヘッダは偽装できるので認証が重要
MIME→メールで画像や動画などテキスト以外のファイルを送るための拡張機能→ファイルをクライアントが暗号化・復号する必要がある
S/MIME→MIMEを拡張してメールの内容を暗号化するようにした機能→公開鍵暗号方式で本文の暗号化やデジタル署名を行う
SPFレコード→ドメイン所有者がメールを送信する際に使用するメールサーバを指定するためのDNSレコードでTXTレコードに記載→受信側のメールサーバは送信元のメールサーバがそのドメインから送信することを許可されているかどうか検証→-all,~allのオプションについても覚える
DKIMレコード→送信者がメッセージにデジタル署名を付けて送信することで受信者側で署名を検証してメッセージの送信元を検証する→DKIMレコードに公開鍵を格納して受信側が公開鍵を取得して送信側の署名したメッセージを解読して送信元のドメインを確認する。これもTXTレコードに記載
DMARC→DKIMとSPFを組み合わせてメールの送信ドメインの認証と信頼性を強化→DMARCのおかげで送信元の認証を保証し受信ドメインのメールサーバにポリシーを提供→DMARCのポリシーはDKIMとSPFの結果に基づいてメール受信後の処理方法を指定→主に否定形
大苦手分野6:IPsec
IPsecはNW層で動作するのでL3がIPなら上位がTCPでもUDPでも動作する→アプリに依存しない
日本ではESP+IKE+トンネルモードが鉄板の構成
IKEは暗号化に必要な鍵交換を行い暗号化通信のために必要なSAを確立→DHによって安全な鍵交換を行う
トランスポートモードとトンネルモードのパケット構成を覚える→トンネルモードはい拠点間VPNなので自明ではある
ESPヘッダ→セキュリティ設定やシーケンス番号を管理して暗号化と復号を正しく行うための情報を提供
ESPトレーラ→ペイロードの整合性を保つための詰め物や上位プロトコル(TCP,UDP)の情報を提供
ESP認証データ→パケットの完全性と送信元認証を行って改ざんや中間者攻撃を防ぐ
NATトラバーサル→NAPT環境下でIPsecを確立するためのしくみ→ESPパケットがNAPTに対応していない(L3なのでポート番号情報を持たない)、他にもISAKAMPはUDP/500で通信することになっているのでNAPTでポート番号が変わってしまうと影響を受けるから
→一般にトンネルモードで採用され、トンネルモードのパケットに専用のUDPヘッダを付与する→NAPTされた通信であることを知らせるために追加されたUDPヘッダにはNATトラバーサル専用のポートである4500を利用
ISAKMP→鍵交換や認証を定義したフレームワーク
IPsecのメインモードはIPが固定されている必要があるのでルータ間のIPsecで使用される(主に拠点間VPNということ)、アグレッシブモードはIPが変わっても問題ないクライアント↔ルータ間で使用される
IKEv2はv1よりシンプルに接続が確立されるのでモバイル環境や不安定なNW環境でも接続が確立しやすい
IKEでネゴされる主な情報→暗号化方式・ハッシュ方式(メッセージ認証のため)・ライフタイム(SAの有効期間)・認証方式(対向機器の認証)・鍵生成の素材(暗号化のための鍵生成でDHを使用)
IPsecではセキュリティ確保のために定期的に暗号化鍵の情報を更新(Rekey)→更新タイミングはライフタイムで管理されISAKAMPSA・IPsecSAでそれぞれのライフタイムを持つ
大苦手分野7:VoIP
電話などの音声データをIPNW経由で配送するためのプロトコル→電話は基本的に電話線を介してやり取りされるがそれをIPNW上で行う
メリットは電話線より圧倒的に安い、電話線に比べ拡張が容易、インターネットさえあれば利用可能
PBX→内線や外線などの接続などを行う
IP-PBX→IP網においてPBXと同じ役割を持つ
VoIPGW→電話線のアナログデータをデジタルに変換
VoIPはSIPによる呼制御(電話番号から相手のIPを特定したり相手の電話機を呼び出したり切断したり…)とRTPによる音声通話のフェーズに分かれる
SIPの機能を末端の端末が全て持つのは非効率なので通話の制御管理を行うSIPサーバを経由する→SIPはSDPと呼ばれる形式に則り電話機間で接続に必要な情報を交換
IP-PBXがSIPサーバの役割を兼ねる場合も
音声品質の低下の原因→遅延(対策:QoS、ボトルネックの機器の増強),損失(対策:同左),ジッタ→音声の順序が不規則な間隔で到着することによっておかしく聞こえる→ジッタバッファ(パケットの並び替えが出来るようにする)の利用
R値→VoIPの通信品質を表す
大苦手分野8:証明書関連
X.509電子証明書→X.509と呼ばれるフォーマットに則った電子証明書のこと→主要なフィールドは暗記する
CSR→電子証明書の発行を認証局に依頼すること→リクエストにあたり以下のような情報を認証局に対して提供→DN(申請者の情報)や申請者の公開鍵
DNのフィールドは様々あるが、代表的なものがCD(証明書の対象となるドメイン名やホスト名),O(証明書を申請する組織名),C(申請した組織が所属する国)
電子証明書のファイル拡張子の代表的なもの→der(windows環境でバイナリ形式),pem(Linux環境でBASE64形式),p7b,pfx
windowsで証明書をエクスポートする段取り→win+Rで(certlm.msc or celtmgr.msc)→その後表示されるrootcertから右クリックしてすべてのタスクからエクスポートを選択して形式を選択する
サーバ証明書やクライアント証明書は暗号化と自身の信頼性の証明のために必要であるが特にクライアント証明書を持つクライアントからのアクセスのみ許可するサーバ側の設定もあるので重要