本日の話題 インターネットセキュリティ IPv6 128ビット、IPv4 32ビット 過去の定期試験問題の解説 (後藤担当分:問題7~10, 2009年度) ただし2009年度と2010年度は授業の内容が一部異なるので注意
インターネット セキュリティ 情報を守る ファイアウォール 暗号 認証 セキュリティの問題 悪意のあるプログラム類 不正侵入、サービス妨害
情報を守る ファイアウォール(防火壁) 教科書 p.322, p.324. パケットに対するフィルタ あるいはアクセス制限ということもある 例: IPアドレスによる制限 TCPのポートによる制限 早稲田大学の入り口(ゲートウェイ)でもある種のフィルタが作用している
情報を守る 暗号 簡単な暗号の例 I am a boy (1文字ずらす) J bn b cpz (1文字戻す) I am a boy 平文(ひらぶん、 へいぶん) 鍵 暗号文 鍵 教科書 p.325.
公開鍵暗号 A B 秘密鍵 公開鍵 公開鍵から秘密鍵を計算することが困難 pp.326—337. Bの公開鍵で暗号化された 暗号文
認証 A B 公開鍵暗号を使う認証 電子署名に使われている pp.327—328. Aの秘密鍵で暗号化された 情報
米国の大学で提案されている具体的な 認証システムShibboleth IdP SP ユーザ 属性が判れば済む 1. User attempts to access Shibboleth-protected resource on SP site application server. 2, 3, 4. User is redirected to a Where Are You From (WAYF) server, where the user indicates their home site (IdP). 5. User is redirected to the Handle Service at their IdP. 6, 7 User authenticates at their IdP, using local credentials. 8. Handle service generates unique ID (Handle) and redirects user to Service Provider site's Assertion Consumer Service (ACS). ACS validates the supplied assertion, creates a session, and transfers to Attribute Requestor (AR). 9, 10. AR uses the Handle to request attributes from the IdP site's Attribute Authority. The attribute authority responds with an attribute assertion subject to attribute release policies; SP site uses attributes for access control and other application-level decisions.
セキュリティの問題(1) 悪意のあるプログラム類(不正プログラム) マルウェア ウィルス、ワーム、トロイの木馬 対策: ワクチンソフト(ウィルスの検出と除去) 独立行政法人 情報処理推進機構 (IPA) http://www.ipa.go.jp/ セキュリティセンター
セキュリティの問題(2) 不正侵入、サービス妨害 対策: ファイアウォールは対策の一例 検出(検知)プログラム: Snort http://www.snort.gr.jp/, http://www.snort.org/ 一般社団法人 JPCERT/CC http://www.jpcert.or.jp/ 米国のCERTの支部ではない
IPv6 教科書 pp.162—190. 現在のIPは version 4 アドレスの不足が心配されている 現在のIPアドレスは32ビット =4×1024×1024×1024 約40億のアドレス IPv6では128ビット
IPv4 アドレスの在庫枯渇問題 現在のアドレスは、使える 2012年頃に、新規のアドレスを割り当てることができなくなる http://www.nic.ad.jp/ja/ip/ipv4pool/ 詳しい説明は次の報告書を参照http://www.nic.ad.jp/ja/topics/2007/20071207-01.html http://www.potaroo.net/tools/ipv4/index.html Projected IANA Unallocated Address Pool Exhaustion: 12-Feb-2011 Projected RIR Unallocated Address Pool Exhaustion: 26-Oct-2011
IPv6 これまでのIPヘッダを整理した 教科書 p.154と p.187を比較 特徴 アドレスの拡大と経路の集約 ヘッダの簡素化 プラグアンドプレイ 認証機能や暗号化機能 (IPsec) 教科書 pp.162—109.
IPv6は使われ始めている あるメーカの小型ルータ
日本はIPv6を活用している www.apnic.net http://www.apnic.net/publications/research-and-insights/stats/ipv6-sub-regions Eastern Southern JP, Japan South-eastern HK, Hong Kong CN, China Oceania TW, Taiwan KR, Korea http://www.apnic.net/publications/research-and-insights/stats/ipv6-eastern-asia
IPv6 と エニーキャスト 通信における終点(宛先)の記述 ユニキャスト: 一つの宛先 マルチキャスト: 集合 エニーキャスト: どれか一つ (any), IPv6 ブロードキャスト: あるネットワークの全員 イーサネット, IPv4 DNSルートネームサーバとエニーキャスト ルートネームサーバは13台であるが物理的な台数は13台よりも多い。これはエニーキャストを活用して複数のマシンが同じアドレスを共有しているからである。
問題7: 次の図は、コンピュータがイーサネットを用いてTCP/IPのプロトコルで送信した時のパケットの形を示している。この図の中の(1)~(7)を表現するのに最も適切な用語を選択肢の中から選び、解答欄に A~L の記号で記入しなさい。なお本図の各フィールドの寸法は必ずしも実際のパケットのフィールドの長さに比例していない。
選択肢: (A) イーサネットのデータ, (B) IPのデータ, (6) パケットの先頭 パケットの末尾 (1) (2) (3) (4) (5) (7) 選択肢: (A) イーサネットのデータ, (B) IPのデータ, (C) フィンガープリント, (D) TCPのデータ, (E) イーサネットのトレイラ, (F) ロングテール, (G) IPのトレイラ, (H) TCPのトレイラ, (I) ダブルヘッダ, (J) イーサネットのヘッダ, (K) IPのヘッダ, (L) TCPのヘッダ.
問題8: 東京と関西のある地点(以下ではA地点と書く)との直線距離が450kmであるとする。長距離の伝送に使われるシングルモードの光ファイバ中の光速が1ms(ミリ秒)に180kmであるとする。 この光ファイバを用いて東京からA地点まで到達するのに要する時間を求めよ (単位ms)。
問題8の続き (2) 東京とA地点の間で、ウィンドウサイズ64KB(キロバイト)のTCPの通信を行う。 この時のスループット(実効的な通信速度, 単位Mbps=毎秒メガビット)の上限を求めよ。ただし1024を1000と等しいと見なして 近似的に計算しても良い。この近似を用いないで計算しても良い。 解答の中には計算式を示すこと。
問題9: 次の文(1)~(10)を読み、その内容が正しいものには○印を、内容が誤っているものには×印を右側の解答欄に記入しなさい。文の一部の内容が正しくても,誤りを含む文は×と見なすこと。
問題9: (1) 現在のインターネットの原型と言われるARPAネットが誕生したのは1969年である。この年に世界に先駆けてUCLA (カリフォルニア大学) からスタンフォード (SRI) にTCP/IPの通信が行われた。 (2) 1980年代の米国ではインターネットの商用利用を行う事業者が存在しなかった。その理由は、インターネットを商業的に使用することを禁止したAUPという規則が存在したからである。AUPとはAcceptable Use Policyの略称である。
問題9: (3) TCPはコネクション型の通信を行う。UDPはコネクションレス型の通信を行う。IPはコネクションレス型の通信を行う。 (4) ドメイン名からIPアドレスへの変換にはDNS (Domain Name System)を用いる。逆向きにIPアドレスからドメイン名を求めるには、DNSではなくRARP (Reverse Address Resolution Protocol)を用いる。
問題9: (5) ファイル転送のアプリケーションプロトコルFTP (File Transfer Protocol)は、2つのTCPコネクションを利用する。1つは制御用で、もう1つはデータの転送用である。 (6) IPv4のIPアドレスは32ビット (4オクテット長) である。IPv6のIPアドレスは、32ビットの2倍の64ビットに拡張されている。
問題6: (7) 日本国内では社団法人日本ネットワークインフォーメーションセンター(JPNIC)がIPアドレスの割り当て機関として活動している。 (8) TCP/IPのプロトコルはITU (国際電気通信連合)で議論されて標準化される。標準化されたプロトコルはOSI (Open Systems Interconnection)というドキュメントとして公開される。
問題9: (9) ツイストペアの導線はケーブルの機械的な強度を向上させるために撚って(ツイストして)ある。 (9) ツイストペアの導線はケーブルの機械的な強度を向上させるために撚って(ツイストして)ある。 (10) インターネットはオープンなネットワークである。情報公開の原則を尊重するべきである。インターネットの上で暗号化を施した通信を行なうことはマナーに反するので避けるべきである。
問題10: DNSのルートネームサーバは全世界に13個存在している。 ルートネームサーバが1個ではなく、全世界に複数個設置されている理由を述べよ。 ルートネームサーバを全世界に13個を越えて設置することはできない。その理由を述べよ。