1gの勇気

奥手な人の思考と試行

捨てるということ

2006-04-09 22:09:34 | 1gの思いつき
こんばんは。
水神です。
掃除完了。

たまにやると、いろいろありますな。
でも前回ゴミ捨てやったので、ゴミはほとんどでなかったけど。
ゴミと言えば、冷蔵庫からゼリーが一ヶ。

おお。食えるんかの。賞味期限...2006年1月。
...いつからいたんだ?ここに。
いつからといえば、謎のミカンの缶詰も発見。こちらはまだ賞味期限見てない。

いつも見ているはずの冷蔵庫も、奥の方まではちゃんと見てないらしい。
たまには冷蔵庫の掃除も必要ですな。
あと、お菓子のたぐいもなんかいっぱいあったけど、全部捨て。(賞味期限は切れてる模様。)

捨てるというのも、次なるものを得るために必要な過程。
恋愛もそうでしょ?

[情報SEC]第43回 PKI

2006-04-09 21:58:34 | 1gの情報セキュリティ
第43回 PKI

PKIは公開鍵基盤という不思議な日本語訳の基本技術。
Iがインフラストラクチャ(略してインフラ)なので、
公開鍵インフラでよい気もするが。

PKIは、カギの正当性を保証するためのインフラ。
ディジタル署名とそれを発行・管理する機関の認証局によって成り立つもの。
SSL(https)で使われているのも、これ。

そもそもSSLでは何を認証しているのか。
単なる暗号化技術ではない。
そもそも暗号を使って情報をやりとりして、平気(安全)なのかを証明する技術。

試しにSSLのどっかのサイトに接続して、証明書を見てみるとよい。
ブラウザのどっかに出てるカギマークをダブルクリックすれば出てくる。
自分が接続している企業(お店)の名前と、それを証明している認証局の名前が出てくる。

自分で証明書をとってみるのが一番よいけどね。
もちろん、仕事で。だけど。
結構ややこしい。インターネットでウィンドウズ使う奇特な人は少ないだろうからみんなUNIX系だろうし。

1.OpenSSLというソフトを使ってカギペア(公開用・秘密用)を作ります。
  OpenSSLが入ってなければインストールから始めます。
2.公開用のカギを認証局(ベリサインとか)に送ります。
  この際、会社の存在を証明する書類を送ります。
  正確には忘れたけど、登記簿の写しとかが必要だった気がする。
  上場会社の方が簡単です。(証券取引所が証明してくれてるので。)
3.送り返されてきたサーバID(ベリサイン用語かの)を設定します。

デジタル証明書による認証基盤を構成する要素(なげータイトル)
登場人物は次の通り。
1.CA
2.RA
3.ディレクトリ
4.証明書有効性検証機関
5.利用者(サーバ屋さん)

たぶん、3と4は試験的には無視でいいと思います。
CAは認証局のことで、証明書発行するところです。
RAは証明書保持者の身元を保証するところです。

証明書とる際に、身元の確認をとるので、外部業者使ってるんでなければ、CAがRAも兼ねます。
けれども、インフラ上の定義としては、CAとRAは別物という扱いになります。
このあたりきっと試験に出るので、覚えておきましょう。

ディレクトリは証明書のデータベースのこと。(それだけ。)
証明書有効性検証機関(VA)は、証明書の失効情報の集中管理や有効期限の確認などをするところ。
...ようわからんの。

ディジタル署名については、前にもちと書いたので割愛。
公開鍵と秘密鍵を使って、逆説的に署名が本物であることを証明する技術。
本物であることは、本人が本人であることの証明が必要で、それが認証局の仕事。

[情報SEC]第42回 無線LAN環境におけるセキュリティ対策

2006-04-09 13:51:59 | 1gの情報セキュリティ
第42回 無線LAN環境におけるセキュリティ対策

無線LAN == 危険
この公式は常に当てはまります。
公理と言ってもいいくらい。

その理由は、電波が外に漏れ出すから。
のぞき放題なのです。
侵入し放題なのです。

そこで。
有線LANでは「まあいいやん、そこまでせんでも」というところまでやらねばなりません。
大変です。でもここで手を抜いてはいくらFWを林立(乱立)させようと無意味です。

なんせ、裏口から入られるわけですから。
玄関いくか頑丈にしても無駄。
というわけで、がんばりましょう。無線LANセキュリティ。

現在主な無線LANの規格は次の三つです。
IEEE 802.11b 2.4GHz帯 最大11Mbps
IEEE 802.11a 5.2GHz帯 最大54Mbps
IEEE 802.11g 2.4GHz帯 最大54Mbps

11bは古いタイプで、昔からあります。その昔は最大2Mbpsでした。
11aと11gは帯域と若干の電波特性が違うだけなのでここでは同列に扱います。
最近のはこのみっつどれでも使えるのも多いしね。

ESSID
通信端末をグループ化するためのID。
アクセスポイント(AP)に設定されたこのIDを指定して接続する。

昔のは(今もか?)このIDをAPがばらまいてました。
電波に乗せて。
なので、好きなの選んで、接続。というのがでいていた古き良き時代もありました。

現在は、APの存在自体知られるのは危険(攻撃対象を知らせることになるので)なので、
ばらまくのは止めることが多いです。(ビーコン信号ゆうそうです。)
これは、11bの時代からありました。

MACアドレスによるフィルタリング
パソコン(通信機器・装置・部品)固有MACアドレスをあらかじめAPに登録しておいて、
非登録のMACアドレスからの接続は拒否するもの。

MACアドレスは偽装できるし、何よりも管理がめんどう。
これを完璧に管理するのは至難の業です。
台数が増えると指数関数的に管理者のストレスは増えていくでしょう。

WEP
無線LANに実装されている暗号化方式。
昔からあるやつです。

致命的な脆弱性があり、この暗号は解読可能です。
若干手間と時間がかかりますが。
その気になれば、その辺の素人でも(ぼくでも)できます。

11a,g(正確には11i)が出るまでは、以上のようなセキュリティ状態でした。
危険です。
なので、心あるネットワーク管理者は無線LAN禁止してたりしてました。

だって、どんなに手間かけても完璧に守る術がないし、
AP全部にFWを設置するわけにもいかんのです。
なので、一律禁止。

EAPによるユーザ認証機能の追加
そもそも。無線LANにはユーザ認証(ユーザID/パスワードをつかった認証)がなかった。
そこで、IEEE 802.1xという規格が作られた。

今では家庭用のを除けば大概ついてる。
このユーザ認証は、パソコン上のソフトで行う。
OSログインと連動するのもあったはずなので、かなり便利(安全)になった。

けど、設定が面倒。無線LANだからね。
つながらないのが、ESSIDなのか、ID/PASSなのか、電波障害なのかわからんのです。
素直につながらない場合は、かなり苦労することになります。

TKIP(てぃーきっぷ・てきっぷ)
WEPがあまりにもタコなので、新しいのを作りました。
詳細は述べませんが、WEPと違いまだ暗号は破られていません。

乾燥剤取り替え

2006-04-09 00:39:37 | 1gの思いつき
こんばんは。
水神です。
半期に一度の押入の乾燥剤取り替え。

ざっと40ヶはあるな。
玄関に積んであります。
ちょっとした塔です。

それでも。
見事にかびてました。
んー、しかたないのでアルコール消毒。

黒いのはおちんかった。
まあいいや。
扇風機で乾燥させたし。

気づけば来週試験でした。
...まだ終わってない。
明日がんばろう。