【ネスぺ対策】ネットワーク関連技術

QueryとError。Queryを用いた通信プログラムにはpingやtracerouteがある。

• Echo reply（0）：pingやtracerouteで用いられるエコー応答
• Destination Unreachable（3）：ネットワークやホストに到達できない
• Redirect（5）：ネットワークやホストに最適経路を通知する
• Echo Request（8）：pingやtracerouteで用いられるエコー要求
• Time Exceeded（11）：TTLの値が超過やパケットの再構築処理中のタイムアウト

特に，Destination UnreachableにはHost UnreachableやPort Unreachableが含まれる。

一つのDNSレコードに複数のサーバのIPアドレスを割り当て，サーバへのアクセスを振り分けて分散させること。

偽のDNS応答をキャッシュDNSサーバにキャッシュさせることで偽のサイトに誘導し，フィッシングや乗っ取りなどを行う攻撃手法。対策としては，DNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するDNSSECが挙げられる。

メールアドレスのドメイン名とメールサーバのホスト名。IPアドレスではないので注意が必要。

正しくない。ゾーンのドメイン名→TTL→IN→NS→ネームサーバのホスト名の順番が正しい。ゾーンというのは，例えばexample.comで，ネームサーバというのはゾーンよりも一つ深いns.example.comなどを表す。ちなみに，INはInternetのINであり，IN/OUTのINではないため注意。

正しくない。別名はCNAMEで管理する。

PTR。Pointerの略であり，矢印を逆に向けるイメージで覚えるとよい。

マスタDNSサーバからスレーブDNSサーバにゾーン情報をコピーすること。

再帰問合せと反復問合せを逆にして覚えてしまうことが多いため注意。矢印で書くと反復問合せが再帰っぽく見えてしまうが，再帰は「結果が返ってくる」ことを指しており，DNSの名前解決は問合せの反復動作であったことを踏まえると，両者が下図のように位置づけられることも理解できるだろう。

• MXレコード：メールサーバのFQDNを指定
• Aレコード：ホスト（FQDN）のIPアドレスを指定

AレコードでFQDNを指定することも可能だが，一般にはドメイン名をnamed.confに指定することが多く，Aレコードではホスト名を記述することが多い。

• ファイアウォールの設定を不要とするため
• キャッシュを蓄積させるため

クライアントが自分で割り当てたIPアドレスに基づき，DNSサーバのゾーン情報を修正して機能させる仕組み。

無効にするべき。有効にした場合は，外部の悪質な攻撃者によってキャッシュの内容を改ざんされてしまう危険性がある。防止策としては，DMZのDNSサーバをコンテンツサーバとフルリゾルバサーバに分離し，キャッシュ機能（再帰問い合わせ機能）を停止する。すなわち，コンテンツサーバは自分が持っているゾーン情報のみを回答することになる。フルリゾルバサーバは内部からの問い合わせのみに応答するように設定する。イメージとしては，外部公開しているDNSサーバは自分のもっている（＝信頼できる）情報しか応答せず，他のDNSサーバへの問い合わせも行わない。とはいえ，このままだと内部のネットワークが通信できなくなるため，内部DNSサーバにはフルリゾルバ機能を持たせるが，問い合わせ元は内部ネットワークに限定する。こうすることで，外部からの通信に対しては自分たちの範疇内であるゾーン情報のみを提供し，内部からの通信に対しては十分な機能を提供することが可能になる。

ルートネームサーバは世界に13台しかないため，冗長化が必須である。その際は，ルートネームサーバに複数のIPアドレスを紐付けて，同じサービスを提供するサーバのうち最寄りのサーバに連携する仕組みであるIPエニーキャストを利用する。しかし，IPエニーキャストでは初回のパケットとそれ以降のパケットが同じサーバに連携されるとは限らないという問題点がある。そこで，初回のパケットのみをIPエニーキャストを用い，それ以降はユニキャストを用いることで継続的に同じサーバと通信することを可能にする。

下記記事を参照されたい。

• DKIM：受信側で送信元メールサーバのディジタル署名を検証する
• SPF：受信側で送信元IPアドレスを元に正当性を検証する技術
• POP before SMTP：SMTPサーバとの通信前に認証を行うことで一定期間メールの送信が可能になる仕組み

From: 差出人名 <差出人のメールアドレス>

クライアントがサーバに対して，EHLO→MAIL→RCPT→DATAの順番でコマンドを送信する。

• EHLO <クライアントのドメイン名>：セッション開始を要求する
• MAIL FROM <送信元アドレス>：メールトランザクション開始を要求する
• RCPT <送信先アドレス>：送信先アドレスを通知する
• DATA：メール本文を通知する

なお，サーバはそれぞれのコマンドに対し，2XXの成功などのステータスコードを返す。

• 送信プロトコル
  • SMTP
  • POP before SMTP
  • SMTP AUTH
• 受信プロトコル
  • POP3
  • APOP
  • IMAP4

1. バックアップが必要となる点
2. 複数のクライアントから同じメールを読むことができない点
3. パスワードが平文で流れる点

1.と2.はIMAPで解決できる一方で，3.はIMAPでも解決できないため，SSL/TLSなど他のプロトコルの組み合わせて利用される。

外部メールサーバをDMZに置き，内部メールサーバを内部ネットワークに置く。外部メールサーバはプロキシサーバとして動作させるため，SMTPを行う送信サービスのみを動作させておけばよく，内部メールサーバは送信サービスだけでなくPOP3やIMAP4を行う受信サービスを動作させておく必要がある。なお，外部メールサーバで受信サービスを動作させないのはセキュリティ上の観点からである。

• 帯域制御
• 優先制御

• IntServ
• DiffServ

• どのパケットを優先するか
  • L2：VLANタグのCoS（Class of Service）値
  • L3：IPヘッダのDSCP（DiffServ Code Point）値
• パケットの処理順
  • PQ：常に優先度付きキューに格納されたパケットを優先
  • RR：優先度付きキューと通常のキューを交互に出力
  • WRR：RRを重み付きで行う

L2のCoS値とL3のDSCP値がある。CoS値はイーサネットフレームにおけるVLANタグの中に含まれるため，CoS値に基づく優先制御を行うためにはVLANを用いる必要がある。下図の通り，QoS値は3bitであるため0～7の8段階で優先度を制御する。

一方で，DSCP値は以前のToSフィールドを再定義したDS（DiffServ）フィールドで定義される。ToSフィールドでは優先制御の項目が細かくフィールドで定義されていたが，DSでは一括してDSCP値に置き換わっている。DSCPは6bitで定義されているため，0～63の64段階で優先度を制御できる。ECN（Explicit Congestion Notification）フィールドは輻輳の通知に利用される。

行きのIPヘッダで輻輳しているかを記録し，帰りのTCPヘッダで輻輳が起きていることを送信元に通知する。

通信開始前に帯域等のリソースを要求し，確保の状況に応じて通信を制御することをアドミッション制御という。

SDNコントローラから見て上位（アプリケーション）側に指示を出すインタフェースがノースバウンドインタフェースであり，下位（ネットワーク）側に指示を出すインタフェースがサウスバウンドインタフェースである。

入力されたトラフィックが規定された最大速度を超過しないか監視し，超過分のパケットを破棄するか優先度を下げる制御をポリシングと呼ぶ。PolicingはPolice（警察）からも推測される通り「取り締まり」という意味を持つため，トラフィックの最大速度の超過に対して破棄や優先度制御を行う。一方，パケットの送出間隔を調整することによって，規定された最大速度を超過しないようにトラフィックを平準化する制御をシェーピングと呼ぶ。ShapingはShape（形）からも推測される通り「徐々に目的を形作っていく」という意味を持つため，トラフィックを平準化させる制御を行う。

• Cookie：サーバ上で認証後にCookieを発行してクライアントで保存
• リバースプロキシ：全てのWebサーバへのアクセスをプロキシに集約
• OAuth（Open Authorization）：認可サーバでアクセストークンを生成および付与
• ケルベロス認証：LAN内のケルベロスサーバで一括認証
  • KDC（Key Distribution Center）：サーバとユーザに関する情報を一元管理
  • AS（Authentication Server）：認証サーバ
  • TGS（Ticket Granting Server）：チケットを発行するサーバ
  • TGT（Ticket Granting Ticket）：チケット発行の種となるチケット（証明書）
  • ST（Service Ticket）：発行されたチケット
• SAML（Security Assertion Markup Language）：認証・属性・許可情報を異なるドメイン間で共有
  • IdP（Identity Provider）：認証を行うWebアプリ
  • SP（Service Provider）：実際に利用するWebアプリ
  • Assertion：SAMLで利用する情報が含まれているトークン（認証/属性/許可）

まず前提として，TGTとSTはケルベロス認証で利用される概念であり，ケルベロス認証では共通鍵による暗号化を行う。共通鍵自体はクライアントをID/Passで認証する際に発行するが，クライアント・KDC間とKDC・SSO対象サーバ間でそれぞれ別の共通鍵が用意される。

TGTは，クライアント・KDC間の共通鍵によって暗号化される。STは，KDC・SSO対象サーバ間の共通鍵によって暗号化される。

• NAS：TCP/IPのコンピュータネットワークに接続するファイルサーバ
• DAS：直接PCに接続するストレージ
• DAFS：クラスタ環境で高速かつ低負荷なデータ転送が可能するファイル共有プロトコル

ホストが接続しているサブネットが変わっても，IPアドレスが変わらないようにする技術。従来は，ホームエージェント経由のトンネリングを用いて，外部エージェントが移動ホストにパケットを連携するという仕組みで構成されていた。しかし，外部エージェントが存在しないネットワークには移動できないことや，ホームエージェントを経由する通信の効率が悪いといった問題が存在した。さらに，移動先のネットワークで移動ホストが外部と通信することを考えたときに，移動ホストのIPアドレスである送信元IPアドレスと移動ホストが所属するネットワークのIPアドレスが異なるために，宛先ネットワークのFWのセキュリティ制限で通信が遮断されてしまう可能性も存在した。これらの問題を解決するため，Mobile IPv6では外部エージェントの機能を移動ホスト自身が担えるように実装されているだけでなく，通信経路が最適化されたり，IPv6拡張ヘッダのオプションであるホームアドレスが利用されたりしている。