本日の話題 • インターネットセキュリティ • IPv6 128ビット、IPv4 32ビット • 過去の定期試験問題の解説 (後藤担当分:問題4~7, 昨年度) ただし昨年度と本年度は授業の内容が一部異なるの で注意 1 インターネット セキュリティ • 情報を守る ファイアウォール 暗号 認証 4年生の選択科目 「情報セキュリティ」 (英語の授業です) • セキュリティの問題 悪意のあるプログラム類 不正侵入、サービス妨害 2 情報を守る • ファイアウォール(防火壁) 教科書 p.325—327 • パケットに対するフィルタ あるいはアクセス制限ということもある • 例: IPアドレスによる制限 TCPのポートによる制限 • 早稲田大学の入り口(ゲートウェイ)でも ある種のフィルタが作用している 3 情報を守る 鍵 鍵 • 暗号 簡単な暗号の例 I am a boy 平文(ひらぶん、 (1文字ずらす) へいぶん) J bn b cpz 暗号文 (1文字戻す) I am a boy 教科書 p.328—331. 4 公開鍵暗号 • 秘密鍵 公開鍵 • 公開鍵から秘密鍵を計算することが困難 A Bの公開鍵で暗号化された 暗号文 B Bは自分の秘密鍵 で復号できる pp.329—330. 5 認証 • 公開鍵暗号を使う認証 電子署名に使われている A Aの秘密鍵で暗号化された 情報 B 受信者はAの公開鍵 で復号できる pp.330—331. 6 米国の大学で 提案されてい る具体的な 認証システム Shibboleth IdP ユーザ SP 日本の大学で も検討が進む 属性が判れば済む 1. User attempts to access Shibboleth-protected resource on SP site application server. 2, 3, 4. User is redirected to a Where Are You From (WAYF) server, where the user indicates their home site (IdP). 5. User is redirected to the Handle Service at their IdP. 6, 7 User authenticates at their IdP, using local credentials. 8. Handle service generates unique ID (Handle) and redirects user to Service Provider site's Assertion Consumer Service (ACS). ACS validates the supplied assertion, creates a session, and transfers to Attribute Requestor (AR). 9, 10. AR uses the Handle to request attributes from the IdP site's Attribute Authority. The attribute authority responds with an attribute assertion subject to attribute release policies; SP site uses attributes for access control and other application-level decisions. 7 セキュリティの問題(1) • 悪意のあるプログラム類(不正プログラム) マルウェア ウィルス、ワーム、トロイの木馬 • 対策: ワクチンソフト(ウィルスの検出と除去) • 独立行政法人 情報処理推進機構 (IPA) http://www.ipa.go.jp/ セキュリティセンター 8 9 セキュリティの問題(2) • 不正侵入、サービス妨害 対策: ファイアウォールは対策の一例 検出(検知)プログラム: Snort http://www.snort.gr.jp/, http://www.snort.org/ • 一般社団法人 JPCERT/CC http://www.jpcert.or.jp/ 米国のCERTの支部ではない 10 11 暗号化通信(VPN) 教科書 pp.331, 332 • VPN (Virtual Private Network) 早稲田大学のネットワークでも利用 • IPsec トランスポートモードとトンネルモード 認証ヘッダ (AH, Authentication Header) 暗号ペイロード (ESP, Encapsulating Security Protocol) 自動鍵交換 (IKE, Internet Key Exchange) • AHだけを使う場合には暗号化されない 学内ネットワーク クライアント IPsec対応ルータ 12 通信の暗号化(Web) 教科書 pp.332, 333. • https ポート番号 443 • TLS/SSLを使う • 公開鍵暗号方式を利用して、共通鍵を送 信する(教科書p.333, 図9.8 HTTPS) 具体的な方法は「情報理工学実験C」にて 学ぶことができる。 • 公開鍵が正しいかどうかの確認には、認 証局(CA, Certificate Authority) から発行 された証明書を使う。 13 通信の暗号化(電子メール) • メールの本文を暗号化する (end-to-end) PGP (Pretty Good Privacy, 暗号ソフト) S/MIME (Secure/Multipurpose Internet Mail Extension) • 通信経路を暗号化する (client/server) POP3 over TLS/SSL (POP3Sとも言う) SMTP over TLS/SSL (SMTPSとも言う) STARTTLS クライアント メールサーバ メールサーバ クライアント 14 IPv6 • 教科書 pp.160—170, pp.176—179. • 現在のIPは version 4 アドレスの不足が心配されている 現在のIPアドレスは32ビット =4×1024×1024×1024 約40億のアドレス • IPv6では128ビット 15 IPv4 アドレスの在庫枯渇問題 • 現在のアドレスは、使える • 新規のIPv4アドレスを割り当てることができなくなる http://www.nic.ad.jp/ja/ip/ipv4pool/ 詳しい説明は次の報告書を参照 http://www.nic.ad.jp/ja/topics/2007/20071207-01.html • IANA Unallocated Address Pool Exhaustion: 03-Feb-2011 Projected Address Pool Exhaustion Dates: RIR Projected Exhaustion Date, Remaining /8s APNIC: 19-Apr-2011 (actual) 0.9035 RIPE 14-Sep-2012 (actual) 0.9661 NCC: ARIN: 16-Sep-2013 3.1244 LACNIC: 15-Jun-2015 3.1291 AFRINIC:02-Sep-2019 3.9802 16 http://www.potaroo.net/tools/ipv4/index.html 日本における状況 (JPNIC) (JPNIC), Oct 9, 2012. IPv4アドレスの在庫 が枯渇したため、IP アドレス管理指定事 業者1につき上限を /22とする割り振りを 行っています。 (2011年9月現在) http://www.nic.ad.jp/ja/stat/ip/ assigned IPv4 addresses 17 IPv6 • これまでのIPヘッダを整理した 教科書 p.171と p.177を比較 • 特徴 アドレスの拡大と経路の集約 ヘッダの簡素化 プラグアンドプレイ 認証機能や暗号化機能 (IPsec) 教科書 pp.166—170. 18 IPv6は使われ始めている • あるメーカの小型ルータ 19 日本はIPv6を活用している www.apnic.net http://www.apnic.net/publications/research-and-insights/stats/ipv6-geographic 20 IPv6 と エニーキャスト • 通信における終点(宛先)の記述 p.39 ユニキャスト: 一つの宛先 マルチキャスト: 集合 エニーキャスト: どれか一つ (any), IPv6 ブロードキャスト: あるネットワークの全員 イーサネット, IPv4 • DNSルートネームサーバとエニーキャスト ルートネームサーバは13台であるが物理 的な台数は13台よりも多い。これはエニ ーキャストを活用して複数のマシンが同じ 21 アドレスを共有しているからである。 問題4: 次の図は、コンピュータがイーサネットを用いて TCP/IPのプロトコルで送信した時のパケットの 形を示している。この図の中の(1)~(7)を表現す るのに最も適切な用語を選択肢の中から選び、 解答欄に A~L の記号で記入しなさい。なお本 図の各フィールドの寸法は必ずしも実際のパ ケットのフィールドの長さに比例していない。 22 (6) パケットの先頭 (1) (2) (3) パケットの末尾 (4) (5) (7) 選択肢: (A) TCPのヘッダ, (B) IPのヘッダ, (C) ダブルヘッダ, (D) イーサネットのヘッダ, (E) TCPのトレイラ, (F) IPのトレイラ, (G) イーサネットのトレイラ, (H) ロングテール, (I) シグネチャ, (J) TCPのデータ, (K) IPのデータ, (L) イーサネットのデータ. 23 問題5: 東京と関西のある地点(以下ではA地点と書く)との 直線距離が450kmであるとする。長距離の伝送に 使われるシングルモードの光ファイバ中の光速が 1ms(ミリ秒)に180kmであるとする。 (1) この光ファイバを用いて東京からA地点まで到 達するのに要する時間を求めよ(単位ms)。 24 問題5続き (2) 東京とA地点の間で、ウィンドウサイズ64KB(キ ロバイト)のTCPの通信を行う。この時のスループッ ト(実効的な通信速度, 単位Mbps=毎秒メガビット) の上限を求めよ。ただし1024を1000と等しいと見な して近似的に計算しても良い。この近似を用いない で計算しても良い。 (1)(2)ともに解答の中に必ず計算式を示すこと 25 問題6: 次の文(1)~(10)を読み、その内容が正しい ものには○印を、内容が誤っているものには ×印を右側の解答欄に記入しなさい。文の 一部の内容が正しくても,誤りを含む文は× と見なすこと。 26 問題6: (1) 現在のインターネットの原型と言われるARPAネ ットが誕生したのは1969年のことである。この年に UCLA (カリフォルニア大学) からスタンフォード (SRI) に最初に送信した文字列は“LO”であった。 (2) 1980年代の米国ではインターネットの商用利 用を行う事業者が皆無であった。その理由はインタ ーネットを商業的に使用すると高率の税金が課せ られていたからである。この税金の名前はNCPで ある。これはNational Commercial Paymentの略称 27 である。 問題6: (3) ドメイン名からIPアドレスへの変換にはDNS (Domain Name System) を用いる。逆向きに IPアドレスからドメイン名を求める時にも、 DNSを用いる (4) WWW (World Wide Web) の情報を転送する プロトコルは、電子メールのプロトコルと全く 同一であり、SMTP (Simple Mail Transfer Protocol) と呼ばれている。そのポート番号は 70番である 28 問題6: (5) IPv4のIPアドレスは32ビット (4オクテット長) である。IPv6のIPアドレスは、32ビットの2倍の 64ビットに拡張されている。 (6)日本国内では社団法人日本ネットワークイ ンフォーメーションセンター(JPNIC)がIPアドレ スの割り当て機関として活動している。 29 問題6: (7) TCP/IPのプロトコルはIETF (Internet Engineering Task Force) で議論されて標準化 される。標準化されたプロトコルはRFC (Request for Comments) というドキュメントとし て公開される。 (8) ) プロトコル・アナライザを用いると他人のコ ンピュータ宛のパケットの内容を見ることができ る。よってインターネットの上で通信を暗号化し ても情報の漏洩を防ぐことができない。 30 問題6: (9) ツイストペアの導線はノイズの影響を小さくす るために撚って(ツイストして)ある。 (10) マルウェアというのは悪意のある(mal)ソフト ウェアという意味で、コンピュータウィルス、トロ イの木馬、スパイウェアなどの総称である。 31 問題7:アプリケーションプロトコルを識別するため にポート番号(port number)が使われる。 (1) ポート番号は次のどこに含まれる情報か。下の 選択肢の中から正しいものを全部選び、その記号 (ア~オ)を答えよ。 [選択肢] ア: TCPのヘッダ,イ:IPのヘッダ, ウ:イ ーサネットのヘッダ, エ:UDPのヘッダ,オ:(ア~エ) のいずれでもない. 32 (2) 1つのアプリケーションプロトコルには1つのポ ート番号が割り当てられることが多い。中には2つ のポート番号を割り当てられているアプリケーショ ンプロトコルがある。そのプロトコルの名前を答え よ。この解答は英語でも日本語でも良い。また英 語のフルネームでも略語でも良い。 33
© Copyright 2024 ExpyDoc