1班の諸君へ連絡

本日の話題
• インターネットセキュリティ
• IPv6 128ビット、IPv4 32ビット
• 過去の定期試験問題の解説
(後藤担当分:問題5~8, 2010年度)
ただし2010年度と2011年度は授業の内容が一部異な
るので注意
1
インターネット セキュリティ
• 情報を守る
ファイアウォール
暗号
認証
• セキュリティの問題
悪意のあるプログラム類
不正侵入、サービス妨害
2
情報を守る
• ファイアウォール(防火壁)
教科書 p.322, p.324.
• パケットに対するフィルタ
あるいはアクセス制限ということもある
• 例:
IPアドレスによる制限
TCPのポートによる制限
• 早稲田大学の入り口(ゲートウェイ)でも
ある種のフィルタが作用している
3
情報を守る
鍵
鍵
• 暗号 簡単な暗号の例
I am a boy
平文(ひらぶん、
(1文字ずらす)
へいぶん)
J bn b cpz
暗号文
(1文字戻す)
I am a boy
教科書 p.325.
4
公開鍵暗号
• 秘密鍵
公開鍵
• 公開鍵から秘密鍵を計算することが困難
A
Bの公開鍵で暗号化された
暗号文
B
Bは自分の秘密鍵
で復号できる
pp.326—337.
5
認証
• 公開鍵暗号を使う認証
電子署名に使われている
A
Aの秘密鍵で暗号化された
情報
B
受信者はAの公開鍵
で復号できる
pp.327—328.
6
米国の大学で
提案されてい
る具体的な
認証システム
Shibboleth
IdP
ユーザ
SP
日本の大学で
も検討が進む
属性が判れば済む
1. User attempts to access Shibboleth-protected resource on SP site application server.
2, 3, 4. User is redirected to a Where Are You From (WAYF) server, where the user indicates their
home site (IdP).
5. User is redirected to the Handle Service at their IdP.
6, 7 User authenticates at their IdP, using local credentials.
8. Handle service generates unique ID (Handle) and redirects user to Service Provider site's
Assertion Consumer Service (ACS). ACS validates the supplied assertion, creates a session,
and transfers to Attribute Requestor (AR).
9, 10. AR uses the Handle to request attributes from the IdP site's Attribute Authority. The
attribute authority responds with an attribute assertion subject to attribute release policies;
SP site uses attributes for access control and other application-level decisions.
7
セキュリティの問題(1)
• 悪意のあるプログラム類(不正プログラム)
マルウェア
ウィルス、ワーム、トロイの木馬
• 対策:
ワクチンソフト(ウィルスの検出と除去)
• 独立行政法人 情報処理推進機構 (IPA)
http://www.ipa.go.jp/
セキュリティセンター
8
9
セキュリティの問題(2)
• 不正侵入、サービス妨害
対策:
ファイアウォールは対策の一例
検出(検知)プログラム: Snort
http://www.snort.gr.jp/, http://www.snort.org/
• 一般社団法人 JPCERT/CC
http://www.jpcert.or.jp/
米国のCERTの支部ではない
10
11
IPv6
• 教科書 pp.162—190.
• 現在のIPは version 4
アドレスの不足が心配されている
現在のIPアドレスは32ビット
=4×1024×1024×1024
約40億のアドレス
• IPv6では128ビット
12
IPv4 アドレスの在庫枯渇問題
• 現在のアドレスは、使える
• 新規のIPv4アドレスを割り当てることができなくなる
http://www.nic.ad.jp/ja/ip/ipv4pool/
詳しい説明は次の報告書を参照
http://www.nic.ad.jp/ja/topics/2007/20071207-01.html
This report generated at 15-Jan-2012 07:59 UTC.
IANA Unallocated Address Pool Exhaustion: 03-Feb-2011
Projected RIR Address Pool Exhaustion Dates:
RIR
Projected Exhaustion Remaining Addresses
Date
in RIR Pool (/8s)
APNIC: 19-Apr-2011
1.2007
RIPENCC: 26-Jul-2012
3.2244
ARIN:
19-Jul-2013
5.6689
LACNIC: 30-Jan-2014
3.8817
AFRINIC: 20-Oct-2014
4.3534
13
http://www.potaroo.net/tools/ipv4/index.html
日本における状況 (JPNIC)
http://www.nic.ad.jp/ja/newsletter/No49/0700.html
IPv4アドレスの在庫
が枯渇したため、IP
アドレス管理指定事
業者1につき上限を
/22とする割り振りを
行っています。
(2011年9月現在)
ニュースレター No.49, 2011年11月発行「統計情報」
14
IPv6
• これまでのIPヘッダを整理した
教科書 p.154と p.187を比較
• 特徴
アドレスの拡大と経路の集約
ヘッダの簡素化
プラグアンドプレイ
認証機能や暗号化機能 (IPsec)
教科書 pp.162—109.
15
IPv6は使われ始めている
• あるメーカの小型ルータ
16
日本はIPv6を活用している
www.apnic.net
http://www.apnic.net/publications/research-and-insights/stats/ipv6-sub-regions
Eastern
Southern
JP, Japan
South-eastern
HK, Hong Kong
CN, China
Oceania
TW, Taiwan
KR, Korea
http://www.apnic.net/publications/research-and-insights/stats/ipv6-eastern-asia
17
IPv6 と エニーキャスト
• 通信における終点(宛先)の記述
ユニキャスト: 一つの宛先
マルチキャスト: 集合
エニーキャスト: どれか一つ (any), IPv6
ブロードキャスト: あるネットワークの全員
イーサネット, IPv4
• DNSルートネームサーバとエニーキャスト
ルートネームサーバは13台であるが物理
的な台数は13台よりも多い。これはエニ
ーキャストを活用して複数のマシンが同じ
18
アドレスを共有しているからである。
問題5:
次の図は、コンピュータがイーサネットを用いて
TCP/IPのプロトコルで送信した時のパケットの
形を示している。この図の中の(1)~(7)を表現す
るのに最も適切な用語を選択肢の中から選び、
解答欄に A~L の記号で記入しなさい。なお本
図の各フィールドの寸法は必ずしも実際のパ
ケットのフィールドの長さに比例していない。
19
(6)
パケットの先頭
(1)
(2)
(3)
パケットの末尾
(4)
(5)
(7)
選択肢:
(A) TCPのヘッダ, (B) IPのヘッダ, (C) ダブルヘッダ,
(D) イーサネットのヘッダ, (E) TCPのトレイラ,
(F) IPのトレイラ, (G) イーサネットのトレイラ,
(H) ロングテール, (I) シグネチャ, (J) TCPのデータ,
(K) IPのデータ, (L) イーサネットのデータ.
20
問題6:
日本のJPドメイン名には複数の種類がある。
waseda.ac.jpのようにac.jp(大学等),co.jp(企業)
など、組織の種別ごとに区別された属性ドメイン
名では、1つの組織が登録できるドメイン名は1つ
だけに限られる。これを「1組織1ドメイン名」の原
則という。
waseda.jpのような汎用ドメイン名は、個人でも組
織でも日本に住所があれば誰でも登録できる。
汎用ドメイン名では登録できるドメイン名の数に
制限がない。
21
問題6の続き
このようにJPドメイン名の種類によって運営
方針(ポリシー)が異なるのは、1組織1ドメ
イン名の原則には長所と欠点があるからで
ある。
諸君は1組織1ドメイン名の原則の長所と短
所を、どのように考えるか。各自の見解を述
べよ。解答の中では、長所と欠点をそれぞ
れ少なくとも1つ以上挙げて説明せよ。
22
問題7:
次の文(1)~(10)を読み、その内容が正しい
ものには○印を、内容が誤っているものには
×印を右側の解答欄に記入しなさい。文の
一部の内容が正しくても,誤りを含む文は×
と見なすこと。
23
問題7:
(1) 現在のインターネットの原型と言われるARPAネ
ットが誕生したのは1969年のことである。この年に
UCLA (カリフォルニア大学) からスタンフォード
(SRI) に最初に送信した文字列は“LO”であった。
(2) 1980年代の米国ではインターネットの商用利
用を行う事業者が皆無であった。その理由はインタ
ーネットを商業的に使用すると高率の税金が課せ
られていたからである。この税金の名前はNCPで
ある。これはNational Commercial Paymentの略称
24
である。
問題7:
(3) ドメイン名からIPアドレスへの変換には
DNS (Domain Name System) を用いる。逆向
きにIPアドレスからドメイン名を求める時にも
DNSを用いる。
(4) WWW (World Wide Web) の情報を転送す
るプロトコルは、電子メールのプロトコルと全
く同一であり、SMTP (Simple Mail Transfer
Protocol) と呼ばれている。そのポート番号
は70番である。
25
問題7:
(5) IPv4のIPアドレスは32ビット (4オクテット長)
である。IPv6のIPアドレスは、32ビットの2倍の
64ビットに拡張されている。
(6) 日本国内では社団法人日本ネットワークイ
ンフォーメーションセンター(JPNIC)がIPアドレ
スの割り当て機関として活動している。
26
問題7:
(7) TCP/IPのプロトコルはIETF (Internet
Engineering Task Force) で議論されて標
準化される。標準化されたプロトコルは
RFC (Request for Comments) というド
キュメントとして公開される。
(8) 光の速度は真空中では約300km/ミリ
秒である。シングルモードの光ファイバ中
の光速は真空中の光速と等しい。マルチ
モードの光ファイバ中の光速は約180km/
ミリ秒に減速する。
27
問題7:
(9) ツイストペアの導線はノイズの影響を小さく
するために撚って(ツイストして)ある。
(10) インターネットはオープンなネットワークで
ある。情報公開の原則を尊重して、インターネ
ットの上で暗号化を施した通信を行なうことは
マナーに反するので避けるべきである。
28
問題8: アプリケーションプロトコルを識別する
ためにポート番号(port number)が使われる。
(1) ポート番号は次のどこに含まれる情報か。
下の選択肢の中から正しいものを全部選び、
その記号(ア~オ)を答えよ。
[選択肢] ア: TCPのヘッダ,イ:IPのヘッダ,
ウ:イーサネットのヘッダ, エ:UDPのヘッダ,
オ:(ア~エ)のいずれでもない.
29
問題8続き
(2) 1つのアプリケーションプロトコルには1つの
ポート番号が割り当てられることが多い。中には
2つのポート番号を割り当てられているアプリケー
ションプロトコルがある。そのプロトコルの名前を
答えよ。この解答は英語でも日本語でも良い。
また英語のフルネームでも略語でも良い。
30