本日の話題 • インターネットセキュリティ • IPｖ６１２８ビット、IPv4 32ビット • 過去の定期試験問題の解説（後藤担当分：問題5～8, 2010年度）ただし2010年度と2011年度は授業の内容が一部異なるので注意 1 インターネットセキュリティ • 情報を守るファイアウォール暗号認証 • セキュリティの問題悪意のあるプログラム類不正侵入、サービス妨害 2 情報を守る • ファイアウォール（防火壁）教科書 p.322, p.324. • パケットに対するフィルタあるいはアクセス制限ということもある • 例： IPアドレスによる制限 TCPのポートによる制限 • 早稲田大学の入り口（ゲートウェイ）でもある種のフィルタが作用している 3 情報を守る鍵鍵 • 暗号簡単な暗号の例 I am a boy 平文（ひらぶん、 (１文字ずらす）へいぶん） J bn b cpz 暗号文（１文字戻す） I am a boy 教科書 p.325. 4 公開鍵暗号 • 秘密鍵公開鍵 • 公開鍵から秘密鍵を計算することが困難 A Bの公開鍵で暗号化された暗号文 B Bは自分の秘密鍵で復号できる pp.326—337. 5 認証 • 公開鍵暗号を使う認証電子署名に使われている A Aの秘密鍵で暗号化された情報 B 受信者はAの公開鍵で復号できる pp.327—328. 6 米国の大学で提案されている具体的な認証システム Shibboleth IdP ユーザ SP 日本の大学でも検討が進む属性が判れば済む 1. User attempts to access Shibboleth-protected resource on SP site application server. 2, 3, 4. User is redirected to a Where Are You From (WAYF) server, where the user indicates their home site (IdP). 5. User is redirected to the Handle Service at their IdP. 6, 7 User authenticates at their IdP, using local credentials. 8. Handle service generates unique ID (Handle) and redirects user to Service Provider site's Assertion Consumer Service (ACS). ACS validates the supplied assertion, creates a session, and transfers to Attribute Requestor (AR). 9, 10. AR uses the Handle to request attributes from the IdP site's Attribute Authority. The attribute authority responds with an attribute assertion subject to attribute release policies; SP site uses attributes for access control and other application-level decisions. 7 セキュリティの問題（１） • 悪意のあるプログラム類（不正プログラム）マルウェアウィルス、ワーム、トロイの木馬 • 対策：ワクチンソフト（ウィルスの検出と除去） • 独立行政法人情報処理推進機構 (IPA) http://www.ipa.go.jp/ セキュリティセンター 8 9 セキュリティの問題（２） • 不正侵入、サービス妨害対策：ファイアウォールは対策の一例検出（検知）プログラム： Snort http://www.snort.gr.jp/, http://www.snort.org/ • 一般社団法人 JPCERT/CC http://www.jpcert.or.jp/ 米国のCERTの支部ではない 10 11 IPｖ6 • 教科書 pp.162—190. • 現在のIPは version 4 アドレスの不足が心配されている現在のIPアドレスは３２ビット＝４×１０２４×１０２４×１０２４約４０億のアドレス • IPｖ６では１２８ビット 12 IPｖ４アドレスの在庫枯渇問題 • 現在のアドレスは、使える • 新規のＩＰｖ４アドレスを割り当てることができなくなる http://www.nic.ad.jp/ja/ip/ipv4pool/ 詳しい説明は次の報告書を参照 http://www.nic.ad.jp/ja/topics/2007/20071207-01.html This report generated at 15-Jan-2012 07:59 UTC. IANA Unallocated Address Pool Exhaustion: 03-Feb-2011 Projected RIR Address Pool Exhaustion Dates: RIR Projected Exhaustion Remaining Addresses Date in RIR Pool (/8s) APNIC: 19-Apr-2011 1.2007 RIPENCC: 26-Jul-2012 3.2244 ARIN: 19-Jul-2013 5.6689 LACNIC: 30-Jan-2014 3.8817 AFRINIC: 20-Oct-2014 4.3534 13 http://www.potaroo.net/tools/ipv4/index.html 日本における状況 (JPNIC) http://www.nic.ad.jp/ja/newsletter/No49/0700.html IPv4アドレスの在庫が枯渇したため、IP アドレス管理指定事業者1につき上限を /22とする割り振りを行っています。 (2011年9月現在) ニュースレター No.49, 2011年11月発行「統計情報」 14 IPｖ６ • これまでのIPヘッダを整理した教科書 p.154と p.187を比較 • 特徴アドレスの拡大と経路の集約ヘッダの簡素化プラグアンドプレイ認証機能や暗号化機能 (IPsec) 教科書 pp.162—109. 15 IPv6は使われ始めている • あるメーカの小型ルータ 16 日本はIPv6を活用している www.apnic.net http://www.apnic.net/publications/research-and-insights/stats/ipv6-sub-regions Eastern Southern JP, Japan South-eastern HK, Hong Kong CN, China Oceania TW, Taiwan KR, Korea http://www.apnic.net/publications/research-and-insights/stats/ipv6-eastern-asia 17 ＩＰｖ６とエニーキャスト • 通信における終点（宛先）の記述ユニキャスト：一つの宛先マルチキャスト：集合エニーキャスト：どれか一つ (any), IPv6 ブロードキャスト：あるネットワークの全員イーサネット, IPv4 • ＤＮＳルートネームサーバとエニーキャストルートネームサーバは１３台であるが物理的な台数は１３台よりも多い。これはエニーキャストを活用して複数のマシンが同じ 18 アドレスを共有しているからである。問題５：次の図は、コンピュータがイーサネットを用いて TCP/IPのプロトコルで送信した時のパケットの形を示している。この図の中の(1)～(7)を表現するのに最も適切な用語を選択肢の中から選び、解答欄に A～L の記号で記入しなさい。なお本図の各フィールドの寸法は必ずしも実際のパケットのフィールドの長さに比例していない。 19 （6）パケットの先頭 (1) (2) (3) パケットの末尾 (4) (5) （7）選択肢： (A) TCPのヘッダ, (B) IPのヘッダ, (C) ダブルヘッダ, (D) イーサネットのヘッダ, (E) TCPのトレイラ, (F) IPのトレイラ, (G) イーサネットのトレイラ, (H) ロングテール, (I) シグネチャ, (J) TCPのデータ, (K) IPのデータ, (L) イーサネットのデータ. 20 問題６：日本のJPドメイン名には複数の種類がある。 waseda.ac.jpのようにac.jp（大学等），co.jp（企業）など、組織の種別ごとに区別された属性ドメイン名では、１つの組織が登録できるドメイン名は１つだけに限られる。これを「１組織１ドメイン名」の原則という。 waseda.jpのような汎用ドメイン名は、個人でも組織でも日本に住所があれば誰でも登録できる。汎用ドメイン名では登録できるドメイン名の数に制限がない。 21 問題６の続きこのようにJPドメイン名の種類によって運営方針（ポリシー）が異なるのは、１組織１ドメイン名の原則には長所と欠点があるからである。諸君は１組織１ドメイン名の原則の長所と短所を、どのように考えるか。各自の見解を述べよ。解答の中では、長所と欠点をそれぞれ少なくとも１つ以上挙げて説明せよ。 22 問題７：次の文(１)～(１０)を読み、その内容が正しいものには○印を、内容が誤っているものには ×印を右側の解答欄に記入しなさい。文の一部の内容が正しくても，誤りを含む文は× と見なすこと。 23 問題７： (１) 現在のインターネットの原型と言われるARPAネットが誕生したのは1969年のことである。この年に UCLA (カリフォルニア大学) からスタンフォード (SRI) に最初に送信した文字列は“LO”であった。 (２) １９８０年代の米国ではインターネットの商用利用を行う事業者が皆無であった。その理由はインターネットを商業的に使用すると高率の税金が課せられていたからである。この税金の名前はNCPである。これはNational Commercial Paymentの略称 24 である。問題７： (３) ドメイン名からIPアドレスへの変換には DNS (Domain Name System) を用いる。逆向きにIPアドレスからドメイン名を求める時にも DNSを用いる。 (４) WWW (World Wide Web) の情報を転送するプロトコルは、電子メールのプロトコルと全く同一であり、SMTP (Simple Mail Transfer Protocol) と呼ばれている。そのポート番号は７0番である。 25 問題７： (５) IPv4のIPアドレスは32ビット (4オクテット長) である。IPv6のIPアドレスは、32ビットの2倍の 64ビットに拡張されている。 (６) 日本国内では社団法人日本ネットワークインフォーメーションセンター(JPNIC)がIPアドレスの割り当て機関として活動している。 26 問題７： (７) TCP／IPのプロトコルはIETF (Internet Engineering Task Force) で議論されて標準化される。標準化されたプロトコルは RFC (Request for Comments) というドキュメントとして公開される。 (８) 光の速度は真空中では約３００km／ミリ秒である。シングルモードの光ファイバ中の光速は真空中の光速と等しい。マルチモードの光ファイバ中の光速は約180km／ミリ秒に減速する。 27 問題７： (９) ツイストペアの導線はノイズの影響を小さくするために撚って(ツイストして)ある。 (１０) インターネットはオープンなネットワークである。情報公開の原則を尊重して、インターネットの上で暗号化を施した通信を行なうことはマナーに反するので避けるべきである。 28 問題８：アプリケーションプロトコルを識別するためにポート番号(port number)が使われる。 (1) ポート番号は次のどこに含まれる情報か。下の選択肢の中から正しいものを全部選び、その記号（ア～オ）を答えよ。［選択肢］ア: TCPのヘッダ，イ：IPのヘッダ, ウ：イーサネットのヘッダ, エ：UDPのヘッダ，オ：（ア～エ）のいずれでもない． 29 問題８続き (2) １つのアプリケーションプロトコルには１つのポート番号が割り当てられることが多い。中には２つのポート番号を割り当てられているアプリケーションプロトコルがある。そのプロトコルの名前を答えよ。この解答は英語でも日本語でも良い。また英語のフルネームでも略語でも良い。 30