PPP、PPPoE、PPTP周り シリアル通信データリンクコネクション確立のプロトコル

まずシリアル回線とは一体なんぞやというところから。


シリアル通信とは、1本の信号線や回線を使って1ビットずつ順番にデータを送受信する通信・転送方式。これに対し、複数本の信号線などで一度に多くのデータを送受信する方式を「パラレル通信」（parallel communication）とか「パラレル転送（伝送）」（parallel transmission）などという。

OSIの７階層については最下層から数えて２つ目のデータリンク層でもプロトコル。
（その下の物理層は電気・電圧・電流・パルス・機械・物理的使用を定義。ツイストペアケーブルなどのケーブル関連やハブ・光ケーブルなど。）
物理的につながっている機器同士での通信におけるあれこれのプロトコル・仕様が書かれている。
（つまり、その先のネットワーク機器への伝送や、あるいは品質をどうする、再送をどうする、アプリで受け取ったらどうするは考えない・定義しない）

PPPの通信はリンク制御プロトコル (LCP (Link Control Protocol)) とネットワーク制御プロトコル (NCP (Network Control Protocol)) という2つの通信プロトコルを使用している。

LCPによってパスワード認証プロトコル (PAP (Password Authentication Protocol)) やCHAP (Challenge-Handshake Authentication Protocol) を使ってユーザ認証を行ってリンク確立後、
NCPがそれぞれの通信プロトコルに必要な設定や認証を行って接続を確立する。
＃第二層でここまでやるんか・・・

イーサネット上でPPPによるセッションを確立する方法としてPPPoE（次節参照）、ATM上での同様の方法としてPPPoA (PPP over ATM) がある。

PPPoE、PPPOE (Point-to-point protocol over Ethernet) は、イーサネットフレーム上にPPPをカプセル化する通信プロトコルである。RFC 2516によって定義される。主にDSLやCATV、FTTH等でのインターネット接続サービスでのブリッジ接続用に利用される。





PPTP 【 Point-to-Point Tunneling Protocol 】
http://e-words.jp/w/PPTP.html
PPTPとは、TCP/IPネットワーク上のある機器から任意のアドレスの別の機器まで仮想的な伝送路を構築し、データを送受信するためのプロトコル（通信規約）。インターネットなど信用できない経路を通るネットワーク上で保護された抜け道（トンネル）を作り出し、VPN（仮想専用ネットワーク）を構築するのに用いられる。


Why PPTP, L2TP, PPPOE are in OSI Layer2? - Network Engineering Stack Exchange
https://networkengineering.stackexchange.com/questions/17426/why-pptp-l2tp-pppoe-are-in-osi-layer2

PPTP, PPPoE, and L2TP all provide OSI Layer 2 services.

みんな疑問に思うらしい。

無線LAN隠れ端末問題とは何か

隠れ端末問題 (かくれたんまつもんだい、hidden node problem)とは、
ネットワーク通信の分野において、ALOHAや、CSMA/CA、IEEE 802.11などのプロトコルで発生する問題。

解説：

アクセスポイントにつながる端末が複数台あることを想定する。
これをアクセスポイントをＣ、このＣにつながる端末をＡ及びＢとする。

本来、このＣ，Ａ，Ｂは全て互いに検知できる距離になければならない。
CSMA/CA検知のシステムでは、ＡとＢとが互いに検知できないと同時送信した通信の衝突回避ができないからだ。
しかし、正三角形に配置されている場合ならまだしも、Ａ，Ｃ，Ｂなどの直線上などに配置して、ＡとＢが互いに認識できる距離になかった場合、この衝突が置き、コリジョンが回避できず、コリジョンが発生する（しやすくなる）。
これを、本来の通信設計上は互いに検知できる（見えている）距離にあるべきなのに、それがなされず、複数の端末が互いに互いを検知できずにコリジョンが発生するもんだいを隠れ端末問題という。


尚、無線通信の手順で言えば、

１．ビーコン信号

　　アクセスポイントがビーコンを出す。

２．プローブ要求（probe（証明））

クライアントはビーコンを受信すると、自身が設定している
ESS-IDかどうかをアクセスポイントに対して問い合わせます。
この問い合わせを「Probe Request（プローブ要求）」と呼びます。

３．プローブ応答

同じESS-IDであれば、アクセスポイントは返事を返します。
この返事を「Probe Response（プローブ応答）」と呼びます。

お互いが存在を認識することになります。

ただしこのやり取りだけだと、見知らぬクライアントであっても
通信が出来てしまいますので、次に接続を許可して良いかどうかの
判断を行います。

４．この判断を事前にお互いが設定していた認証方式を使って認証を行います。
　　この認証のやり取りを「Authentication（オーセンティケーション）」と呼びます。

　（１）Association Request（アソシエーション要求）

認証を行い、正しいクライアントだと判断されると、
クライアントからアクセスポイントに接続要求を行います。
この要求を「Association Request（アソシエーション要求）」
と呼びます。


　（２）Association Response（アソシエーション応答）

この要求に対してアクセスポイントが許可を応答すると、
ここで接続が完了し通信を行うことが可能になります。
この応答を「Association Response（アソシエーション応答）」
と呼びます。




尚、「複数の端末が同時にフレームを送信した時、送信した端末が送信フレームの衝突を検出できない問題」
というのがあるが、普通は衝突を検出できない。
端末は送信成功したかどうかの応答を待ち、応答があれば送信成功、無ければ失敗とみなして再送信を行うので、これは通信仕様通りの動きと言える。

ステートフルインスペクション方式のファイアウォールの特徴はどれか。

と言うことで、問題文と解答解説。


https://www.sc-siken.com/kakomon/27_aki/am2_3.html

ステートフルインスペクション方式のファイアウォールの特徴はどれか。

ア WebブラウザとWebサーバとの間に配置され，リバースプロキシサーバとして動作する方式であり，WebブラウザからWebサーバへの通信に不正なデータがないかどうかを検査する。

イ　　アプリケーションプロトコルごとにプロキシプログラムを用意する方式であり，クライアントからの通信を目的のサーバに中継する際に，不正なデータがないかどうかを検査する。

ウ　　特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式であり，クライアントからのコネクションの要求を受け付けて，目的のサーバに改めてコネクションを要求することによって，アクセスを制御する。

エ　　パケットフィルタリングを拡張した方式であり，過去に通過したパケットから通信セッションを認識し，受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断させるかを判断する。



ステートフルインスペクション方式のファイアウォールは戻りパケットを精査するのでエが正解。

じゃあその他は・・・？　


ア WebブラウザとWebサーバとの間に配置され，リバースプロキシサーバとして動作する方式であり，WebブラウザからWebサーバへの通信に不正なデータがないかどうかを検査する。

　　　→Web Application Firewall(WAF)の特徴

イ　　アプリケーションプロトコルごとにプロキシプログラムを用意する方式であり，クライアントからの通信を目的のサーバに中継する際に，不正なデータがないかどうかを検査する。

　　　→アプリケーションゲートウェイ方式の特徴

ウ　　特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式であり，クライアントからのコネクションの要求を受け付けて，目的のサーバに改めてコネクションを要求することによって，アクセスを制御する。

　　　→サーキットレベルゲートウェイ方式の特徴


冗長だが解説。

Web Application Firewall(WAF)
→通常のファイアウォールと言えば物理層だが、アプリ層で用意するファイアウォールがこれ。
　リバースプロキシサーバとして動作する。
　リバースプロキシとは、特定のサーバへの要求を必ず経由するように設置されたプロキシサーバのこと。
　Webアプリ通信の内容を監視する。
　WAFが検知する攻撃はウェブサイトへのものに特化。インジェクションやxss、csrfなど。

アプリケーションゲートウェイ
→アプリケーションゲートウェイは、データ部分まで見て通信を制御したい場合に利用するファイアウォール機能のこと。
　パケットの内容まで見る。不正なデータやコマンドがないかをチェックする。負荷は高い。



おさらい。

https://www.shadan-kun.com/blog/measure/2775/
3.ファイアウォールの種類

ファイアウォールは従来から存在していますが、種類は一つではありません。使い方に違いがあり、それぞれ防御方法に特徴があります。お使いになっている環境に合わせて、ファイアウォールを使いこなすと、セキュリティ環境がより強固になります。様々なファイアウォールの種類について紹介します。

3-1.パケットフィルタリング型（IPでの遮断可否：なりすましに対応できない）

パケットフィルタリング型は、ファイアウォールの主流ともいえるタイプです。通信を許可するソフトウェアやサービスのIPを事前に設定することが特徴です。登録されていないIPからの通信には、繋がりをシャットアウトするようになっています。設定することには慣れが必要ですが、ほとんどのPC 端末に組み込まれており、不正アクセスに対するセキュリティ選択肢とはしては一般的です。


3-2.アプリケーションゲートウェイ型（パケットの中身まで見る。なりすまし対策としてはある程度まで有効。）

アプリケーションゲートウェイ型は、新しいタイプのファイアウォールです。従来の方法は通信先を指定することで、不審なアクセスをシャットアウトします。しかし、最近問題になっている「なりすまし」型の不正アクセスには効果は強くありません。一方、アプリケーションゲートウェイ型はそれぞれのアクセスの詳細をチェックして、セキュリティの是非を判断するので、従来のものよりネット速度が少し落ちますが、「なりすまし」には効果的です。


3-3.サーキットレベルゲートウェイ型（3-1からもうちょい絞る。ポート指定制御など。）

サーキットレベルゲートウェイ型とは、従来のパケットフィルタリング型の動作に加えて、通信を許可するポート指定や制御を行うタイプです。使用するアプリケーションごとに設定が可能なため、特定のシステムやソフトにだけ通信を制御するという使い方も出来ます。

レイヤ3・IPパケットではなく、TCP/IPなどのレイヤ4・トランスポート層のレベルで通信を代替し、制御する。


http://www.ric.co.jp/expo/bctj/column/kobayashi01/kobayashi_10.html
　最初に名前の由来を追い、そこから動作を考えましょう。 サーキットは、車の世界では、レース場の道を指し、電気回路の世界では、電子回路を指し、両方とも、道路や通信路という流通路を提供しています。

　ファイアウオールが守る外部のネットワークと内部側のネットワークはTCP/IPの世界において、IP通信での通信路が構築されてます。

　このIP通信での通信路を、仮想通信路（バーチャルサーキット）で、結び、車での荷物検査の様に運ばれるレイヤー4以上のデータを確認しつつ中継（GW:ゲートウエイ）動作をする事でゲートウエイとしての守りを提供します。 　TCP/IPの世界では、IPがOSIの第３層に属し、その上にOSI第４層のTCPとUDPフレームで包まれた情報が有ります。

うーんまだ消化不良だな。

ステートフルインスペクションとは何か

ファイアウォールの一つである。


https://www.infraexpert.com/study/security25.html

ファイアウォールの基本機能

　ファイアウォール製品には、ステートフルインスペクションとステートフルフェールオーバーと呼ばれる
　ファイアウォールとしての2つの基本機能が備わっています。以降ではこれら2つの基本機能を解説します。
　※　ステートフルインスペクションは、ステートフル パケット インスペクション（ SPI ）とも呼ばれる。



　◆　ステートフルインスペクション Stateful Inspection

ステートフル・インスペクション(Stateful Inspection)とは、TCPコネクションや往復が必須のUDP(DNSやNTP等)を管理し、戻りの通信についてを動的に許可する仕組みのことです。

　ステートフルインスペクションとは、ファイアウォールを通過するパケットの中身を見て、動的にポートを
　開放したり、閉鎖したりする機能のことです。このステートフルインスペクションではLAN側から送信した
　データをセッションログとして一時的に保存しておき、WAN（インターネット）側から到着したパケットが
　セッションログと整合性が合うかどうかを確認して、整合性があう場合は開放、矛盾する場合は閉鎖します。


　一般的に、このステートフルインスペクションは
　LAN側（内部）から発信したトラフィックは、その
　戻りのトラフィックを動的に許可させて、WAN側
　から開始される着信トラフィックは拒否するという
　実装で使用する機能です。

　Cisco ASAやJuniper SRXなどの主要なFWでは
　ステートフルインスペクションがデフォルトで
　有効な仕様なので、特に設定が必要ありません。




　◆　ステートフルフェールオーバー

　ステートフルフェールオーバーとは、ファイアウォールで保持している通信セッションの情報を、冗長化
　したバックアップのファイアウォールに引き継つぐことができる機能のことです。この機能により、主系
　のファイアウォールに障害が発生した場合でも、副系のファイアウォールで通信を継続することができる。

　ステートフルフェールオーバーを実装させるために、冗長化を構成する2台のファイアウォール同士を
　フェールオーバーケーブルで接続します。このフェールオーバーケーブルは、ファイアウォール製品に
　よって異なり、専用ケーブルまたはLANケーブルを使用します。フェールオーバーケーブルで接続した
　ファイアウォール間のリンクはフェールオーバーリンクと言い、このリンクでFWの正常性を確認します。

Sender Policy Framework(SPF)とは何か

Sender Policy Framework（センダー・ポリシー・フレームワーク）とは、電子メールにおける送信ドメイン認証のひとつ。
差出人のメールアドレスが他のドメイン名になりすまししていないか検出する技術である。
SPF もしくは SPF認証 とも呼ばれる。
電子メールの送信元ドメインの詐称を検知する技術。

送信側は送信側DNSサーバにIPアドレスを登録して公開しておく必要がある。



DNS問い合わせポート番号を変更する必要は？　→ない。
メールサーバにデジタル証明書を導入する必要は？　→ない。
メールサーバのTCPポート25番を利用不可にする必要は？　→ない。そもそもメール送信ポート塞いでどうすんねんと。
　但し、指定した送信メールサーバー以外のサーバ以外からのメール受信をブロックできるらしい。