BCRANメモ ●意外と大事かもしれない覚えにくいところ
2005年 10月 23日
Q.PRIネットワークモジュールの主なLED
RA(REMOTE ALARM)
・接続のリモート側でのローカルアラーム
LA(LOCAL ALARM)
・過剰エラーによるLoss of Signal(LOS:信号損失)、Loss of Frame(LOF:フレーム損失)または使用不能状態
LP(LOOPBACK)
・コントローラのローカルループバック
CD(CARRIER DETECT)
・Telcoリンク上でキャリアを受信
http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/rt/3600/nmhig/chapter08/08_ConntPRI.shtml#67166
Q.機密性、完全性、信頼性、可用性、再送防止(アンチリプレイ)について
●機密性
・送信前にデータを暗号化し盗聴されてもデータが解読されないようにする→暗号化で盗聴防止
ということは?
↓
・正しい権限を持つ(暗号キーが解っている)ユーザのみデータを参照できるようにする
●完全性/整合性
・送信されたデータが途中で改ざんされることなく受信できる→パケット認証で改ざん防止
●信頼性
・データの送信者が正規のユーザか悪意のある第三者か判断する為に認証を使う
●可用性
・利用したい時にいつでもデータを利用できるようにする→アクセス制御、帯域制御でDos攻撃防止
●再送防止
・AHやESPに含まれるシーケンス番号を監視して、意図的に同じデータが送られてきた時には(リプレイアタックの可能性)
データを破棄し攻撃を防ぐこと
Q.ISDNの用語?
TE1・・・・・・・・・・・・非ISDNデバイス
TE2・・・・・・・・・・・・ネイティブISDNデバイス
S/Tインターフェース・・・・4線
Uインターフェース・・・・・2線
R点・・・・・・・・・・・・TE2とTAの間の参照点
Q.キューイングの関連づけ
・LLQ
クラス分けを行い、VoIPトラフィックに対してプライオリティ付けが可能
・CBWFQ
クラス分けを行い、帯域幅の保証が可能。プライオリティクラスはない
・FBWFQ
クラス分けは無い、会話別に行う
・CQ
ラウンドロビンによるサービス、優先キューがない
・PQ
4つのキュー、最優先キューがある
Q.ISAKMP SAとIPsec SAの通信プロセス
1.IPsecカプセル化の対象トラフィックを認識
VPNデバイス(ルータ)があらかじめ設定しているIPecカプセル化の対象トラフィックを受信すると
IPsecのプロセスが開始する
2.IKEフェーズ1
IKEがIPsecピアを認証し、IKE SA(ISAKMP SA)を確立する。
IKE SAは実際にパケットをカプセル化して転送するIPsecに必要なパラメータをネゴシエートするのに
使う特別なSA
☆フェーズ1の詳細
・メインモードでは合計6個のパケットを使用する
*○は左側が送信側デバイス(イニシエータ)で右側が受信側デバイス(レスポンダ)
*矢印はパケットを送る方向
2-1 ○→○
・SAペイロードが含まれたISAKMPパケットを送信
・SAペイロードの中身(例)
暗号化アルゴリズム(3DES、DES)
ハッシュアルゴリズム(SHA-1、MD5)
Diffie-Hellmanグループ(1、2、5)
認証方式(Pre-shared Key)
ライフタイム
相手認証方式
・1つのSAペイロードに複数の提案を入れる事が可能
2-2 ○←○
・2-1の提案について1つ選択してSAペイロードでイニシエータに通知
・受け入れられる提案が無ければこの時点でフェーズ1ネゴシエートは終了
2-3 ○→○
・鍵交換ペイロード(Diffie-Hellman鍵共有アルゴリズムで使用する公開値)と乱数ペイロードを送信
↓
・2-4を受信してDiffie-Hellman鍵共有アルゴリズムによる共有の秘密鍵を計算する
2-4 ○←○
・鍵交換ペイロード(Diffie-Hellman鍵共有アルゴリズムで使用する公開値)と乱数ペイロードを送信
↓
・2-3を受信してDiffie-Hellman鍵共有アルゴリズムによる共有の秘密鍵を計算する
2-5 ○→○
・自分の身元を表わす暗号化されたIDと認証用のハッシュを送信
↓
・自分のハッシュ値と2-6から受信したハッシュ値が同じ場合認証成功
2-6 ○←○
・自分の身元を表わす暗号化されたIDと認証用のハッシュを送信
↓
・自分のハッシュ値を2-5から受信したハッシュ値が同じ場合認証成功
以上でフェーズ1完了
3.IKEフェーズ2
IKE SAを通じてパケットをカプセル化するIPsecSA(IPsecトンネル)を確立する。
IPsecSAは単一方向の為、双方向で通信するには2つのIPsecSAを確立する
☆フェーズ2の詳細
・ISAKMP SA上で行われるので最初から暗号化されている
・クイックモードを利用して3個のパケットを利用する
3-1 ○→○
・パケットに含まれるSAペイロードで提案を行う
・SAペイロードの中身(例)
セキュリティプロトコル(ESP、AH)
ライフタイム
カプセル化モード(トンネルモード、トランスポートモード)
暗号化アルゴリズム(3DES、DES)
認証アルゴリズム(HMAC-SHA)
Deffie-Hellmanグループ(PFSを使う場合設定)
3-2 ○←○
・3-1で受信したSAペイロードから1つ選択しイニシエータへ返信する
3-3 ○→○
・認証用のハッシュをレスポンダに送信
以上で双方向でIPsecが確立される
4.データ転送
IPsecトンネルを通じてIPsecでカプセル化したパケットを転送する
5.IPsecトンネルの切断
削除またはタイムアウトによって、IPsecトンネルを切断する
Q.PPPoEのセッションの詳細
1.ディスカバリステージ
PPPoE接続を確立する為に、PPPoEサーバのアドレスやセッションID等の情報を入手するステージ
4つの手順から成り立つ
詳細
*○は左側がPPPoEクライアント(ルータ)で右側がPPPoEサーバ
*矢印はパケットを送る方向
1-1 ○→○ PADI
・PADIパケットをブロードキャストで送信
1-2 ○←○ PADO
・PADIパケットに応答して自分のMACアドレスを通知する為にユニキャストで送信
1-3 ○→○ PADR
・信号のあったPPPoEサーバのMACアドレス宛にユニキャストで送信
1-4 ○←○ PADS
・サーバがクライアントと確立する為のユニークなセッションIDを生成し、そのIDをユニキャストで送信
・この状態でセッションが確立しセッションステージへ移行!!
2.セッションステージ
・通常のPPPにおけるLCP/NCPのフェーズ
・クライアントかサーバのいずれかがPADTパケットを送信するまで接続は確立される
・セッションステージでPPP認証が成功すると、PPPoEクライアントはIPCPによって自動的にIPアドレスを取得する
ということなのでクライアントが取得するのは
ディスカバリステージでPADOを取得すると→サーバーのMACアドレス
ディスカバリステージが終わると→セッションID
セッションステージも終わると→IPアドレス
Q.IPsec色々なbit数
○暗号化アルゴリズム
・DES・・・56bit
・3DES ・・112bit or 168bit (DESを3回繰り返す)
・AES・・・128/192/256bit
○ハッシュ関数
・MD5・・・128bit
・SHA-1・・160bit
Q.IPsecでのAH/ESPでのカプセル化
*オリジナルIPヘッダ=オIPヘッダ、新IPヘッダ=新IPヘッダ
*()=認証の対象 []=暗号化の対照
・通常のIPパケット
オIPヘッダ+TCPヘッダ+データ
・AHトランスポートモード
(オIPヘッダ+AHヘッダ+TCPヘッダ+データ)
・AHトンネルモード
(新IPヘッダ+AHヘッダ+オIPヘッダ+TCPヘッダ+データ)
・ESPトランスポートモード
オIPヘッダ+(ESPヘッダ+TCPヘッダ+[データ+ESPトレーラ])+ESP認証データ
・ESPトンネルモード
新IPヘッダ+(ESPヘッダ+[オIPヘッダ+TCPヘッダ+データ+ESPトレーラ])+ESP認証データ
<a href=http://www.goedkoopuggsbestelle.nl/>Goedkope UGGS Bestellen</a>
<a href=http://uggsoutletonlineshop.com/>UGG Outlet Store</a>
<a href=http://monclersitoufficiale.com/>Moncler Outlet</a>
<a href=http://uggbootsclearancec.com/>UGGS Clearance</a>
<a href=http://uggsbootsclearanceu.com/>UGG Boots Clearance Sale</a>
http://www.bootsshop-jp.com <a href=http://www.bootsshop-jp.com/#7842>ugg 激安</a>
http://www.bootssaledeutschland.de <a href=http://www.bootssaledeutschland.de/#3396>ugg boots sale</a>
wSr 8kF h1e uVk 6hC x2g xXx 6sH b7x bFy 6qK a3q rMf 0wD x9g oNu 7vP l0u mNf 4vO m5m bEf 1iI h7q
<a href=http://uggsgoedkoop.webnode.nl/#1040>go for it</a>
<a href=http://uggbootsale.webnode.fr/#6082>ugg pas cher</a>
<a href=http://ugg4u.jimdo.com/#9033>ugg 楽天</a>
<a href=http://discountuggs4u.weebly.com/#8454>discount uggs boots</a>
<a href=http://uggsaustralia.blinkweb.com/#4759>visit my website</a>
http://www.goedkopeboots.nl <a href=http://www.goedkopeboots.nl>find more</a>
http://www.bootsoutletssale.com <a href=http://www.bootsoutletsale.com>uggs outlet</a>
rVw 6uU c9d zIu 9hY o1l bOs 4uR g7p gIm 4kN x5q
<a href=http://discountuggs4u.weebly.com>here</a>
<a href=http://uggspaschers.webnode.fr>find more</a>
<a href=http://uggbootsale.webnode.fr>bottes ugg</a>
<a href=http://www.uggsclearances.350.com>come here</a>
<a href=http://ugg4u.jimdo.com>ugg ブーツ</a>