[情報SEC]第45回 可用性対策

第45回　可用性対策

可用性とは、少々こけても動き続けることができる能力のことだ。
例えば、ディスク。
RAIDにしとけば、ディスクが一ヶ物理的に壊れても、システム(サーバ)は止まらない。

二重化／冗長化
二重化は例えば、FWを二台用意しておくことをいう。
普段は二台とも使って、負荷分散をし、片方壊れたら一台でその役割を負う。

あるいは、普段は一台だけにしといて、その隣にいつでも使える状態で、
もう一台置いておくという方法もある。
壊れたら瞬時に予備のシステムに切り替わるものをホットスタンバイ。

と、この本には書いてあるが...瞬時というか、自動的に。というのが正しいと思う。
もっと言えば、電源が入った状態で待機してある場合をホットスタンバイと言うこともある。
対して、電源を落とした状態で待機しておくものをコールドスタンバイという。

RAID
RAIDは0から5まであり、その組み合わせにより、RAID10なるものも存在する。
この本ではRAIDは6まであると書いてあるが、RAID6はまだ標準とはなっていない。

ので、製品によって実装やその挙動は若干違うので、まだ水神はRAID6は認めていない。
RAIDは0,1,5だけ覚えておけばよいです。

RAID0
ディスクを二つ以上横に並べて一つのディスクとして扱う技術。
複数のディスクを使っているので、アクセス速度が速いというのが特徴。
ただし、一台ディスクが壊れるとすべてクラッシュするので、危険。
通常RAID1(ミラー)と組み合わせて使う。これをRAID10(01,1+0など)と言うこともある。

RAID1
ミラーリング。
同じ内容を二台のディスクに書き込む技術。
一台壊れても、もう一台が完全な形で残るので、復旧は容易。
でも二台に同時に書き込みを行うので、速度の問題がある。
そこで、それを補うためにRAID0と組み合わせることがある。

RAID5
三台以上のディスクで、データをブロック単位で複数のディスクに書き込む。
ディスク一台分の容量を使い、パリティデータを格納する。
これにより、一台壊れても復旧が可能となる。
スピードもそこそこ速く、ディスクの使用効率もRAID1より高いため、
よく使われるRAID。

データのバックアップ
バックアップといえば、テープ装置という時代もあったが、
最近のディスク容量増のペースにテープ装置の容量増が追いつかず、

ちとでかいシステムではもうテープで取ることは不可能となっている。
そこで、さらにでかいバックアップ専用のディスク装置(SAN)にバックアップを
取るようにしているシステムもある。

---
お疲れ様でございます。
たぶん全45回全部読んでくれた人はいないと思いますが、
おつき合いいただいた方には御礼申し上げます。

ぎりぎり試験までにこの勉強が終わってよかった。
満足です。
試験の結果など大した問題ではありません。この勉強が大切なのです。

[情報SEC]第44回 ログ解析

第44回　ログ解析

そもそもログ解析とは。
ログは動作過程や実行内容を記述したテキストファイル。(であることが多い。)
これを見ることにより、障害や異常な動きを調べる(解析)ことができる。

ログはそのレベルにより、どうでもいいものから、重大なエラーまでいろいろ出せる。
どうでもいいものまで出すと、その量が膨大になり、ディスク容量食うだけでなく、
解析にまで支障が出る。

かといって、レベルを上げて重大なエラーしか出さないようにすると、
その前兆である警告(ワーニング)まで出なくなる。
このあたり、機器管理者の技量と才能そして性格による。

アクセスログなどはログ解析ツールを使って、どのくらいの数が、
どこから来たのかまとめてくれるものもある。(フリーのもある。)
Web管理者などは、この機能必須だね。

[情報SEC]第43回 PKI

第43回　PKI

PKIは公開鍵基盤という不思議な日本語訳の基本技術。
Iがインフラストラクチャ(略してインフラ)なので、
公開鍵インフラでよい気もするが。

PKIは、カギの正当性を保証するためのインフラ。
ディジタル署名とそれを発行・管理する機関の認証局によって成り立つもの。
SSL(https)で使われているのも、これ。

そもそもSSLでは何を認証しているのか。
単なる暗号化技術ではない。
そもそも暗号を使って情報をやりとりして、平気(安全)なのかを証明する技術。

試しにSSLのどっかのサイトに接続して、証明書を見てみるとよい。
ブラウザのどっかに出てるカギマークをダブルクリックすれば出てくる。
自分が接続している企業(お店)の名前と、それを証明している認証局の名前が出てくる。

自分で証明書をとってみるのが一番よいけどね。
もちろん、仕事で。だけど。
結構ややこしい。インターネットでウィンドウズ使う奇特な人は少ないだろうからみんなUNIX系だろうし。

１．OpenSSLというソフトを使ってカギペア(公開用・秘密用)を作ります。
　　OpenSSLが入ってなければインストールから始めます。
２．公開用のカギを認証局(ベリサインとか)に送ります。
　　この際、会社の存在を証明する書類を送ります。
　　正確には忘れたけど、登記簿の写しとかが必要だった気がする。
　　上場会社の方が簡単です。(証券取引所が証明してくれてるので。)
３．送り返されてきたサーバID(ベリサイン用語かの)を設定します。

デジタル証明書による認証基盤を構成する要素(なげータイトル)
登場人物は次の通り。
１．CA
２．RA
３．ディレクトリ
４．証明書有効性検証機関
５．利用者(サーバ屋さん)

たぶん、３と４は試験的には無視でいいと思います。
CAは認証局のことで、証明書発行するところです。
RAは証明書保持者の身元を保証するところです。

証明書とる際に、身元の確認をとるので、外部業者使ってるんでなければ、CAがRAも兼ねます。
けれども、インフラ上の定義としては、CAとRAは別物という扱いになります。
このあたりきっと試験に出るので、覚えておきましょう。

ディレクトリは証明書のデータベースのこと。(それだけ。)
証明書有効性検証機関(VA)は、証明書の失効情報の集中管理や有効期限の確認などをするところ。
...ようわからんの。

ディジタル署名については、前にもちと書いたので割愛。
公開鍵と秘密鍵を使って、逆説的に署名が本物であることを証明する技術。
本物であることは、本人が本人であることの証明が必要で、それが認証局の仕事。

[情報SEC]第42回 無線LAN環境におけるセキュリティ対策

第42回　無線LAN環境におけるセキュリティ対策

無線LAN == 危険
この公式は常に当てはまります。
公理と言ってもいいくらい。

その理由は、電波が外に漏れ出すから。
のぞき放題なのです。
侵入し放題なのです。

そこで。
有線LANでは「まあいいやん、そこまでせんでも」というところまでやらねばなりません。
大変です。でもここで手を抜いてはいくらFWを林立(乱立)させようと無意味です。

なんせ、裏口から入られるわけですから。
玄関いくか頑丈にしても無駄。
というわけで、がんばりましょう。無線LANセキュリティ。

現在主な無線LANの規格は次の三つです。
IEEE 802.11b　2.4GHz帯　最大11Mbps
IEEE 802.11a　5.2GHz帯　最大54Mbps
IEEE 802.11g　2.4GHz帯　最大54Mbps

11bは古いタイプで、昔からあります。その昔は最大2Mbpsでした。
11aと11gは帯域と若干の電波特性が違うだけなのでここでは同列に扱います。
最近のはこのみっつどれでも使えるのも多いしね。

ESSID
通信端末をグループ化するためのID。
アクセスポイント(AP)に設定されたこのIDを指定して接続する。

昔のは(今もか？)このIDをAPがばらまいてました。
電波に乗せて。
なので、好きなの選んで、接続。というのがでいていた古き良き時代もありました。

現在は、APの存在自体知られるのは危険(攻撃対象を知らせることになるので)なので、
ばらまくのは止めることが多いです。(ビーコン信号ゆうそうです。)
これは、11bの時代からありました。

MACアドレスによるフィルタリング
パソコン(通信機器・装置・部品)固有MACアドレスをあらかじめAPに登録しておいて、
非登録のMACアドレスからの接続は拒否するもの。

MACアドレスは偽装できるし、何よりも管理がめんどう。
これを完璧に管理するのは至難の業です。
台数が増えると指数関数的に管理者のストレスは増えていくでしょう。

WEP
無線LANに実装されている暗号化方式。
昔からあるやつです。

致命的な脆弱性があり、この暗号は解読可能です。
若干手間と時間がかかりますが。
その気になれば、その辺の素人でも(ぼくでも)できます。

11a,g(正確には11i)が出るまでは、以上のようなセキュリティ状態でした。
危険です。
なので、心あるネットワーク管理者は無線LAN禁止してたりしてました。

だって、どんなに手間かけても完璧に守る術がないし、
AP全部にFWを設置するわけにもいかんのです。
なので、一律禁止。

EAPによるユーザ認証機能の追加
そもそも。無線LANにはユーザ認証(ユーザID/パスワードをつかった認証)がなかった。
そこで、IEEE 802.1xという規格が作られた。

今では家庭用のを除けば大概ついてる。
このユーザ認証は、パソコン上のソフトで行う。
OSログインと連動するのもあったはずなので、かなり便利(安全)になった。

けど、設定が面倒。無線LANだからね。
つながらないのが、ESSIDなのか、ID/PASSなのか、電波障害なのかわからんのです。
素直につながらない場合は、かなり苦労することになります。

TKIP(てぃーきっぷ・てきっぷ)
WEPがあまりにもタコなので、新しいのを作りました。
詳細は述べませんが、WEPと違いまだ暗号は破られていません。

[情報SEC]第41回 その他の主な暗号通信技術

第41回　その他の主な暗号通信技術

SSL/TLS
これまで何度も出てきましたが、webの通信を暗号化する技術です。
元々は、ネットスケープ・コミュニケーションズ社が作った方式。

けれども、すぐに業界標準(デファクトスタンダード)になり、IEにも搭載された。
TLSはそのSSLの後継。
ネットスケープもなくなったしね。(今はAOLが持ってる。で、そのAOLもgoogleに。)

SSL-VPN
SSLを使ったVPN。
当然Web専用だ。

と思ったら、HTTPS,FTPS-DATA,FTPS,TELNETS,IMAPS,POP3Sなんかもあるらしい。
それぞれのプロトコルをSSL化したものだ。
...無理矢理感ありありです。(IMAPSはIMAP4のSSL化です。)

でも、まあ基本的にはWeb用です。
Webで全ての業務が片づくのなら、これもお手軽でよいです。
なにせ、VPNソフトはいらんので。(Webブラウザのみでよい。)

IP-VPN
これはこの間VPNのところで出たので、よいね。
通信業者がやってるサービス。MPLSゆう技術を使ってる。

インターネットVPNと違って、通信業者がやっているので、
通信業者を信用できるのであれば、暗号化の必要はありません。
専用線よりかかなり安いので、その代わりとして使われます。

SSH
SSHも前に書いたのでよいね。
元々はtelnet(やrコマンド)の通信を暗号化するものだったけど、今ではいろんなのに使われている。

これを、ポートフォワーディング機能という。
いろんな通信(ポート)をSSHの通信の中にラッピング(つつむ)するもの。
最近のunixサーバはtelnet不可(sshのみ)がデフォルトになっている。

S/MIME
MIMEを拡張して、暗号化できるようにしたもの。
MIMEはメールの添付ファイルなどに使われる。(前にちと書きました。)

PGP
フリーの暗号化ツール。
主にメールの暗号化に使われる。

[情報SEC]第40回 IPsec

第40回　IPsec

IPsecはパケットをインターネット層(IP層)でカプセル化して、暗号化するもの。
これをVPNと私鉄買えば、IPsecVPNとなる。
IPv6ではIPsecの実装が必須となっている。

用語として試験に出るのはこの程度でしょう。
あとは、VPNのネットワーク構築などが午後問題に出るかも知れません。
というか、出るでしょう。ネットワーク図が出たらまずIPsecVPNが使われると考えてよい。

でもネットワーク図をここでは書けないので、一般的なネットワーク構成名だけ書いときます。
・拠点間の接続
・VPN端末(パソコン。VPNはソフトで実装。)による職場への接続
・RAS接続...モデム(携帯含む)などで接続するもの(上のはADSLなどの固定通信)

IPsecには暗号化モード(方式)が二つあります。
１．トランスポートモード
　　IPヘッダは暗号化せずにデータ部のみを暗号化する。
２．トンネルモード
　　IPヘッダも暗号化する。(データ部も当然暗号化する。)
　　IPヘッダを暗号化してしまうと、送信元送信先共に不明(解読不能)となるため、
　　IPsec通信専用のIPヘッダを別途付加する。
　　これがトンネルモードと呼ばれる所以。

なんかこの部分(IPsec)急に内容が詳しくなっとる。
この本書いた人はネットワーク屋かの。
あまりに細かい話なので省略します。

万が一試験にこのレベルの内容がでたらその問題はあきらめましょう。
情報処理試験では捨てる問題もまた必要です。
100点(800点?)はいらんので。

[情報SEC]第39回 VPN

第39回　VPN

VPNは(Virtual Private Network)の名前の通り、仮想的に閉じたネットワークを作る技術。
VPNはIP層(第三層)に作られる技術。
したがって、その上に乗るTCP,UDPはその存在を意識することなく利用可能。

しかも、通信は暗号化されて行われるため、通信(パケット)を覗かれても安全。
最近はインターネットVPN装置が安く(十数万円)なってきているため、
安価なWANとしても利用されることが多い。

VPN自体をサービスとして提供する通信会社もある。(というか、みんなやってる。)
これは、インターネットVPNとは区別して、IP-VPNと一般に言われてる。
けど、日本では広域イーサ(イーサネット)が主流となり、いまいちな印象。

広域イーサはイーサネット(第二層)を仮想化するため、IPも完全な形で実現できる。
それに加え、必要ならIP以外のプロトコルも流せる。
そのため人気。それを作った会社(CWC)は競争に負けてしもたけど、技術は未だ健在。

[情報SEC]第38回 暗号の基礎

第38回　暗号の基礎

暗号とは
１．ある決められた約束事に従い、
２．固有の値を用いて他の文字/記号を変換すること。

たとえば、HAL。
2001年宇宙の旅にでてきたコンピュータだ。
この名前もまた一種の暗号といえる。

この三文字を
２．アルファベット順に(固有の値)
１．一ヶずつずらす(約束事)

と、IBMとなる。
五十音順にずらすとか、クイズなどでもよく使われる簡易(安易)な手法。
これも一種の暗号化です。

主な暗号方式として、次の二つがある。(三つ目として両方つかうものもある。)
１．共通かぎ暗号方式
　　同じ暗号鍵を使って暗号化するもの。
　　簡易で昔からある方式で、今でも重要な技術。
　　両者(暗号する人複合する人)が同じ鍵(パスワードみたいなもの)を持っている
　　必要があるため、この鍵を安全に双方が知る・使う必要がある。
　　有名なものとして、DES(です)、3DES(とりぷるです)、AES(読み方不明)がある。

２．公開鍵方式
　　秘密鍵と公開鍵というのを使って行う方式。
　　鍵を二つ作り、一つは秘密にし、一つは公開する。
　　秘密鍵で暗号化したものは、公開鍵で復号可能。(秘密鍵では復号できない。)
　　公開鍵で暗号化したものは、秘密鍵で復号可能。(公開鍵では復号できない。)
　　なので、Aさんに暗号化した情報を送りたい場合は、Aさんの公開鍵で暗号化する。
　　すると、秘密鍵を持っているAさんしかこれを復号することはできない。
　　もう一つ。
　　Aさんが秘密鍵で暗号化したものは、Aさんの公開鍵でしか復号できない。
　　つまり、その暗号化された情報はAさんが、Aさんしかしらない秘密鍵で
　　暗号化したものであることが証明できる。
　　一般に電子署名と呼ばれるのが、これ。
　　ちなみに一般的に使われている公開鍵暗号方式はほとんどRSAです。
　　もうひとつ、認証局ですが、これは公開されている鍵が本物であることを
　　保障するためのシステムです。
　　偽物のAさんの鍵を本物として使われては、意味ないので。

ここでSSLの話をひとつ。
SSLは暗号化された通信ですし、公開鍵暗号化方式です。
でも公開鍵暗号化方式は計算にCPU負荷がかかるのです。

そこで。SSLでは、秘密鍵を安全に相手に送る手段として公開鍵方式を使っています。
なので、通信自体は秘密鍵(CPUに比較的負荷がかからない)を使っています。
この本に書いてあるハイブリッド方式にあたります。

ハッシュ関数
これまでにも何度か出てきましたが、これは不可逆暗号を作るものです。
元には戻せないが、同じものを確実に作れる仕組み。

いろんなところで密かに使われております。
現在はMD5やSHA-1(水神はシャー読んでます。たぶんエスエッチエイが正しい。)が主流。
MD5はPHPにも実装されているので、簡単に作れます。(JavaにもPerlにもあるでしょ。)

[情報SEC]第37回 シングルサインオンによる認証システム

第37回　シングルサインオンによる認証システム

さて、認証の話もようやくこれで最後。
何しろ四月に入り、受験票まで届いてしまったので、急いでおります。
シングルサインオン(SSO...えすえすおー)について。

SSOは一般的にはWeb向けに使われます。(広義の意味では全ての認証ですが。)
一度の認証(ログイン)で、全てのシステムにアクセスできるというシステム。
正確には、SSOに対応したシステム。ですが。

最近では社内でも社外でもWebシステム(インターフェースがWeb(IE専用も多数))ばかりとなっているため、
Web専用になってもさして害はないのです。
SSOをやるには、ユーザIDの統一が必要です。

この本ではパスワードも統一が必要と書いてありますが、裏技はたくさんあります。
正確にはユーザIDも統一しなくてもいいんだけど。(情報は必要。)
SSOでは、当然ですがどのシステムが使えるかを設定します。

各システムはSSOを全面的に信用しているため、SSOが許可すれば受け入れるためです。
もちろん、SSOを疑うシステムも作れますが、それでは認証システム一元化の意味が薄れます。
コストもかかるし、変な挙動するし、バグも増えるし。いいことないです。

あと、認証はクッキーをつかうため、クッキー特有のセキュリティの問題が発生します。(既述)
SSOは個別のシステムであり、SSOの統一プロトコルがあるわけではありません。
なので、互換性はありません。

SAMLによるSSOシステム
SSOがあまりに互換性がないので、インターネット上で不特定多数のサーバで
使うのは事実上不可能です。

そこで、SSO業者(とネットワーク屋)がまとまってSAML(さむる)という仕様をつくりました。
これは、認証情報をXML形式にしてやりとりするものです。
XML上の情報をどう使うかは、各SSOシステムに依存します。

当然ながら、あるシステム(A)で認証された情報を信用するかどうかは、
別なシステム(B)が決めることです。
BはAを信用できないなら、改めて認証をする(ログインを求める)ことになります。

でも、これも用語だけ覚えておけばいいと思います。
もしかしたら午後問題にでるかもしれませんが、よく分からない場合は
選択しないことをお勧めします。

水神はSSOもやってました。
無線LAN(802.1x)もやってたし、LDAPもRADIUSも指紋認証もS/Keyも。
...なんでも屋さんだの。なんかキャリア的には拡散しすぎな気がします。

今回この勉強をしてて、本気でセキュリティ屋を目指すべきなきもしてきました。
初めて聞く話は一つもないし、理解不能(したくない)なのはRADIUSくらいだし。
いつの間にかセキュリティ全般を経験(勉強ではなく仕事上で)していたようです。

スカウト募集します。
興味があったら、gooのメールまで。
セキュリティ屋なら、ぼくのgooメールアドレスは分かるはず。

[情報SEC]第36回 認証システムを実現するさまざまな技術

第36回　認証システムを実現するさまざまな技術

RADIUS
ネットワークの利用者の認証と利用記録を一元的に行うシステム。
いろんなところで必要とされる認証を全てこれでやります。というシステム。

ユーザ情報が一元管理できるので、管理上もセキュリティ上もすぐれています。
フリーのRADIUSもあり、密かにいろんなところで使われています。
RADIUSは認証システムなので、ここまで書いてきた全ての認証を扱えます。

扱えるシステムが売っているか(存在するか)どうかは問題ではありません。
理論上扱えるというのが重要です。
つまりお金さえかければできない認証はないということです。

TACACS/TACACS+
RADIUSとは発生元が違うようだが、目的は同じ。
認証を一元管理するためのシステムだ。

TACACS+はCISCOが勝手に拡張したシステム。
でも、事実上デファクトスタンダードとなっていて、TACACSといえば、+(プラス)のことを指すくらい。
TACACSとの違いは、プロトコルがTCPであることと、認証に加え、認可と課金の機能をもつこと。

Kerberos
Windowsサーバに標準で実装されたことから、普及するかと思われたが、
さすが、マイクロソフト。

勝手に実装を追加したため、他のシステムではつかえず、結局閉じたシステムになってもた。
標準化させない度No1企業の面目躍如といったところか。
最近は態度を改めてきている模様だけど。

これの仕組みはややこしいし、ぼくは嫌いなので書きません。
まあ、そんな認証方式もあるということで。
言葉だけは有名です。

ディレクトリサービス
これもまた、マイクロソフトがアクティブディレクトリ(AD)なる名前で実装して有名になった。
一般的にはLDAP(えるだっぷ)と呼ぶことの方が多い。

LDAPはツリー構造で情報を管理する仕組み。
LDAP自体がプロトコルでもある。(正確にはDAPプロトコル)
LDAPはもともとインターネット上の電話帳(あるいは住所録)として作られた。

現在はユーザ情報の管理として使われている。
ADは例によって勝手に拡張しているが、プロトコルはDAP。
LDAPの構造自体は自由に拡張可能なため、マイクロソフトの行為自体はふつーである。

LDAPは簡単に使えるため、社内アドレス帳などのDBとしても使われる。
というか、ちょちょいとこの間作った。
linux+LDAP+PHPで簡単に作れます。一番面倒なのはデータ(個人情報)の入手。

EAP
PPPの認証機能を強化・拡張したユーザ認証プロトコル。
というよりは、IEEE 802.1xを実装したプロトコルとして有名。

IEEE 802.1x
元々は有線LAN用のユーザ認証プロトコルとして作られたが、
需要は無線LANにあったようで、現在では主に無線LANで使われている。

EAP(802.1x)はRADIUSとセットで使われます。
比較的安価(数十万円)で構築できるし、無線LANはそのまま使うにはあまりにも
危険なので、かなり普及してます。

安価な無線LANでは無敵のバッファロー(旧メルコ)にもあるので、
ホームページ見ときましょう。
ちなみに認証情報はパソコンにセットしておいて、いちいちログインしないで済むようにもできます。

本当は毎回入力させるべきなんだけど。
面倒だしね。
問い合わせを受ける管理者が。(だから自動化する。認証を？...本末転倒な。)