ITSS ネットワーク 第五回 「その他のネットワーク技術」

Presentation on theme: "ITSS ネットワーク 第五回 「その他のネットワーク技術」"— Presentation transcript:

1 ITSS ネットワーク 第五回 「その他のネットワーク技術」
2003/08/25-30 2003/09/01-06

2 コースの流れ 一日目：通信媒体とデータリンク 二日目：IP ルーティング 三日目：ネットワーク基盤サービス
シングルホップの通信 LAN、無線LAN、IP、ARP (実習) 二日目：IP ルーティング マルチホップの通信 静的経路設定、OSPF (実習) 三日目：ネットワーク基盤サービス 通信に必要なサービス DNS、DHCP (実習) 四日目：ネットワークの監視とデバッグ ネットワーク管理 SNMP、tcpdump (実習) 五日目：その他のネットワーク技術 フィルタ、BGP、冗長性、負荷分散、（試験）

3 ファイアウォール パケットフィルタリング

4 アクセス制御 1．必要なサービスのみにしてしまう。 ＝ 不要なサービスはシャットダウンする。
＝＞ /ｅｔｃ/ｉｎｅｔｄ．ｃｏｎｆ の不要な行をコメントアウト （1） 共通; ｃｏｎｍｓａｔ， ｆｉｎｇｅｒ， ｎｔａｌｋ， （2） クライアント; ｐｏｐ， ｉｍａｐ （3）ｓｓｈ導入時; ｌｏｇｉｎ， ｅｘｅｃ， ｓｈｅｌｌ， ｆｔｐ

5 アクセス制御 2． tcp_wrapper http://csrc/nist.gov/tools/tools.htm
(1) /etc/inetd.conf Before; #service socket protocol wait? User program arguments ftp stream tcp nowait root /usr/sbin/ftpd ftpd telnet stream tcp nowait root /usr/sbin/telnetd telnetd shell stream tcp nowait root /usr/sbin/rshd rshd login stream tcp nowait root /usr/sbin/logind logind After; ftp stream tcp nowait root /usr/sbin/tcps ftpd telnet stream tcp nowait root /usr/sbin/tcpd telnetd shell stream tcp nowait root /usr/sbin/tcpd rshd login stream tcp nowait root /usr/sbin/tcpdd logind (2) ｉｎｅｔｄ のreread ＃ ｋｉｌｌ -ＨＵＰ pid-of-inetd-process

6 アクセス制御 3. ホスト・サービスのアクセス制御 (1) /etc/hosts.allow (2) /etc/host.deny
fingerd : ophelia hamlet laertes rshd,rlogind : LOCAL EXCEPT hamlet telnetd,ftpd : LOCAL, .expcons.com, (2) /etc/host.deny ｔｆｔｐｄ ： ALL ： (/usr/sbin/safe_finger | /usr/sbin/mail -s %d-%h root) & ALL : ALL

7 アクセス制御 1. セキュリティーポリシーを決める 2. ユーザーの認証(パスワード管理) 3. ファイルの保護
4. Secureなホストへの アクセスの方法 5. アクセス制御(xinetd，TCP wrappers) → 6. 暗号化 (IPsec) (1) 暗号メール (2) トランスポート層での暗号化 (3) IPsec 7. Firewall

8 4 Levels of Firewall Configurations
Internet Intranet (1) Simple gateway Choke Internet Intranet Proxyサーバ Proxyサーバ (2) Belt and Suspender

9 4 Levels of Firewall Configurations
Internet Intranet Proxyサーバ (3) TIPなどによる接続 Internet Intranet (4) Disconnect

10 ファイアウォール 1. 経路情報の交換を停止 → FW内の経路情報は外部に広告されない。 (注) Source routingで進入可能
2. パケットフィルタリング socket{src_IP, src_port, dsrt_IP, dst_port}の情報 でフィルタリングを行う。 (注) - ftpなど相性がよくないアプリケーションが存在 (a) 公開されるべきサービス WWW, anonymous-ftp, IRC (b) 公開されるべきではないサービス NIS, NFS, PRC, TFTP, SNMP (c) 内向きを禁止すべきサービス SMTP, NNTP, HTTP, FTP

11 ファイアウォール 3. アプリケーション ゲートウェイ ; Proxyサーバ → 各アプリケーションでProxyサービスを提供する。
e.g., SOCKS ftp://ftp.nec.com/pub/security/socks.cstc/socks.cstc.4.2.tar.gz

12 SOCKS 外部DNS mail.A.com : A1.1.1.3 Internet SOCKS Router Intranet 内部DNS
: A 外部DNS mail.A.com : A : A ftp.A.com : A Internet SOCKS Router A Application Gateway socks.A.com A Mail.A.com A A ftp.A.com A Intranet 内部DNS socks.A.com : A

13 Firewall System Configuration
Internet 外とのProxy External Router Proxyサーバ 内とのProxy 内→外(直接) フィルタリング Proxyサーバ パケットフィルタリング 特定のホスト間のみ パケット交換を許容 Intranet

14 DoSアターック！ DoS (Denial of Service) アタック 処理しなければならないパケットが多すぎ
パケットが落ちる確率は同じ 嫌がらせ ファイアウォール

15 NAT

16 グローバルアドレス/プライベートアドレス
世の中全てに対して有効なIPアドレス 世界中で一意でなくてはならない プライベートアドレス プライベートな利用が可能なアドレス 自分で勝手に利用して良いアドレス 閉じたネットワーク内での利用が可能 どんなアドレスを使っても良いけど、一応 ～ ～ ～ これらのアドレスは,グローバルインターネットの世界では使わないことにしてある

17 NAT(Network Address Translation)、IPマスカレード
グローバルホストとプライベートホストは通信不能 どこかでプライベートIPアドレスをグローバルIPアドレス対応させる必要 NAT、IPマスカレード 家でブロードバンドルータを使っている人 プライベートIPアドレスはグローバルに変換される 家の中はプライベート ルータはグローバル、プライベート両方 Internet プライベート ネットワーク ブロードバンド ルータ グローバル IPアドレス x.x プライベート IPアドレス

18 NATで、できること/できないこと できること 自分からコネクションを張りに行くもの WWWの閲覧 IRCクライアント SSH メールの送信
メールの受信 できないこと 外からコネクションを張られるもの 各種サーバの構築 FTP（PassiveではないFTP) FTPはプロトコル上ダウンロードする側に対してサーバがコネクションを張りに行く IMなどでのファイル交換 片方の人がNATの内側に居るとできない

19 BGP

20 AS Hierarchy EGP The Internet (Exterior Gateway Protocol) IGP
(Interior Gateway Protocol) IX (Internet eXchange) AS (Autonomous System) Private Peering

21 AS Autonomous System 自律システム インターネットをAS単位に分割 AS番号の割り当て
「単一のポリシで運用される経路制御ドメイン」 経路制御のための定義 インターネットをAS単位に分割 AS番号の割り当て

22 BGP Border Gateway Protocol
現在のAS間経路制御プロトコル（EGP） パスベクタ型アルゴリズム Loop Free ASレベルでのルーティングポリシーを実現

23 Path Vector Algorithm には自分 が既に 現れているので、ループを検知 A 3 B 1 Loop? 2 4 C D と
には自分 　　 が既に A C AS C D A B 1 2 3 4 C D A C Loop? A C B A C B A C と 短いパス　　　　　を採用

24 Internal BGP peer AS R Internal BGP Peer eBGP iBGP External BGP Peer
IGP eBGP iBGP Internal BGP Peer External BGP Peer BGPの経路制御情報を 伝播できない

25 ルーティングポリシ ポリシーに基づく経路選択 他のISP(AS)とどのようにトラフィックをやりとりしたいか
単に近さやコストをもとにした選択ではない 他のISPとの間でどのように経路情報をやり取りするか 個々の目的地ごとに経路を選択する  BGPのパス属性を用いる 経路情報のやり取りの制御だけでは実現できないポリシーもある ネットワークトポロジの再考などが必要

26 ルーティングポリシの実現 Multi Exit Discriminator Local Preference AS Path Prepend

27 ケーススタディ：MCC

28 ポリシールーティング

29 ポリシールーティング 宛先のみでなく、他の情報を使ってルーティングすること 送信元アドレス 受信インターフェイス ポリシ表 送信元S: ↑
受信I/F IFa：↓ 経路表 D: → 宛先：D

30 L4スイッチ

31 スイッチ種類 switch 【レベル】1、【発音】swi't∫、【＠】スイッチ、スウィッチ、【変化】《動》switches | switching | switched 【名-2】 交換｛こうかん｝、交代｛こうたい｝、転換｛てんかん｝ 【自動-1】 切り換わる、交代｛こうたい｝する 【自動-2】 移る 【他動-2】 （話題｛わだい｝・スイッチ）を切り換える 【他動-3】 ～を交換｛こうかん｝する、交代｛こうたい｝させる、取り替える、差し替える、乗り換える 【他動-4】 ～を転換｛てんかん｝する、変える L2スイッチ：MAC アドレスで Ethernet frame をスイッチ L3スイッチ：IP アドレスで IP packet をスイッチ L4スイッチ：フローで IP packet をスイッチ L7スイッチ：アプリケーション層を認識して IP packet をスイッチ（URLなど）

32 L4スイッチ用途 サーバ冗長化・負荷分散 QoS (Quality of Service) 制御 Internet サーバ L4スイッチ

33 VRRP

34 VRRP Increasing Reliability and Failover with Virtual Router Redundancy Protocol
simitaka

35 VRRP概要 目的 2個以上のゲートウエイルータ ホストは仮想的なIPアドレスをゲートウエイに
single point of failureを無くす 2個以上のゲートウエイルータ バックアップルータを建てる ホストは仮想的なIPアドレスをゲートウエイに ディフォルトゲートウエイアドレスを変えずバックアップ

36 X VRRPの例 by RFC gateway1 gateway2 host1 host2 host3 host4 gatewayの変更
IP address A IP address B gatewayの変更 hostからaddressAに見えたまま VRID1:マスター VRID1:スレーブ X 仮想的にaddressAに見せる グループで一つの仮想 MACアドレスを持っている GW=A VRID = 1

37 VRRPまとめ ルータの冗長化 ユーザへの透過性 三つの状態 マルチキャストによるメッセージの交換
Initialize, Master, Backup マルチキャストによるメッセージの交換

38 トンネル・VPN

39 IP tunneling IP-in-IP encapsulationによりIP層での仮想ネットワークを実現可能にする技術
IPv6 over IPv4 Virtual Private Network(VPN) IPv4でのroutingしか行われていないnetworkでIPv6の通信を可能にする技術 IPv6のpacketにIPv4のヘッダを付加 IPv6 Hdr payload encapsulation IPv4 Hdr

40

41 IPv6 over IPv4 tunneling IPv6 packetにIPv4 headerを付加
IPv4 headerの宛先にてdecapsulateされた時、次のheaderがIPv6なので、そのままIPv6 packetとして配送 Internet IPv4 IPv4 sfc.wide.ad.jp so-net.ne.jp IPv6 over IPv4 IPv6 IPv6 v6 host v6 host

42 ＩＥＴＦ

43 IETFとは Internet Engineering Task Force 1986年に発足 インターネット技術の標準化を推進する任意団体
誰でも参加可能 標準化をRFCという技術文章で公開

44 IETFの活動 標準化文章の公開と作成 IETFミーティング メーリングリスト上での議論 年３回（２回は北米、１回はその他）
標準化すべく草案を練る IETFミーティング 年３回（２回は北米、１回はその他） だれでも参加可能 組織の代表ではなく個人として参加 ＩＥＴＦというのはワーキンググループという小さなグループ単位で実際の活動を行っています。また議論はメーリングリストを基本に行われています。しかし、年に３回、ミーティングが開かれ、ここではface-to-faceでの議論がされます。

45 IETFの構成 IETF IESG Internet routing security IPv6 dhc ospf isis sasl
エリア Internet routing security ＩＥＴＦの上にあるＩＥＳＧと「エリア」、「ＷＧ」の大まかな位置づけを知ってもらう。 Working Group IPv6 dhc ospf isis sasl ipsec

46 エリア 構成 役割 エリアディレクタ WG（複数） ＷＧの方向性ガイド ＷＧの設立承認 ＷＧの「区分」 例えば・・・
Internet(IPv6,DHC,MIP) Routing(ospf,isis) Security(IPsec,TLS)

47 WG(Working Group) テーマごとに分かれたグループ 役割 例 関連RFCに関する議論（メーリングリスト）
IPv6(Internet)、IPsec(Security)、OSPF(Routing) 役割 関連RFCに関する議論（メーリングリスト） IESGに標準化の検討要請 必要に応じ作られ目的を完了したら解散

48 IESG(Internet Engineering Stearing Group)
構成 各エリアのエリアディレクタ 役割 WGの設立承認 標準化の最終検討

49 RFC(Request For Comment)
IETFの公開する文章 標準化に関するもの（Standard Track） POP,SMTP,FTP,etc… メールアドレスやURLのフォーマット 標準化ではないが公開しておく価値のあるもの インターネットの歴史 WGガイドライン プロトコルの運用方法 ある国や企業の提案する標準化ではない

50 RFCの背景 昔のインターネット技術 公開するための抜け道 技術開発はARPA/DARPAから資金援助 一般に公開不可
他の技術者と共有されない 公開するための抜け道 「コメント求む」というメモ 「標準化した規格」として公開してるのではない よりよくするためのコメントを世界中からもらう

51 ＲＦＣの分類 Historic Standard Track Informational Experimental 標準化に関するもの
その他 RFC

52 RFCの分類－Standard Trackー
標準化には３つの段階がある Proposed Standard 仕様が明確で多くの人に支持される見込みがある Draft Standard 複数の実装や運用がされている Standard 運用実績が十分 標準化する十分な有用性がある

53 RFCの分類－その他ー Informational Experimental Historic 有益な情報
標準化にはもっと実験・改良が必要 Historic 標準化されていたが今は使われないもの 新しいプロトコルの出現等 Ex.POP2,RIP、BGP3

54 ＲＦＣの草案 誰でも投稿することができる 投稿されたものは「Internet Draft」と呼ばれる
基本的に該当するＷＧのメンバ 投稿されたものは「Internet Draft」と呼ばれる この段階では「ＲＦＣ」ではない 有用性を問う段階 標準化する価値があるか ＲＦＣとして保存しておく価値があるか ＷＧでの議論を経てＲＦＣにする申請がされる 再検討と言われたら再び議論 ６ヶ月以内にいずれかの形にならないと破棄

55 承認 次の場面では承認が必要 IESGの承認を得る Internet DraftをRFCにする時
Proposed Std.⇒Draft Std.になる時 Draft Std.⇒Standardになるとき IESGの承認を得る 通らなければＷＧで再検討

56 RFCの流れ 破棄１ 研究が求められる ６ヶ月経過 Internet Draft Experimental Standard Track
標準化提唱 Proposed Standard ４ヶ月経過後承認 しっかりした運営や実装がある Draft Standard ６ヶ月経過後承認 有効性が高く運用実績なども多い 有益情報 Standard 古い技術情報 Informational Historic

57 まとめ インターネットのプロトコルはRFCで仕様が公開されている。 IETFはRFCというインターネット標準の文章を作成している。
RFCの標準化はInternet Draftとして提案された後、３段階のステップを経て行われる。

58 まとめ ＲＦＣは「 rough consensus and running code 」というボトムアップの標準化
“We reject kings, presidents, and voting. We believe in rough consensus and running code.” -Dave Clark (1992)