Kerberos
一度の認証で複数にサインオンするときに使うSSOの一つ
共通鍵暗号方式を利用
ユーザとサーバの数だけ、鍵を持つ必要があるので、
鍵配布センター(KDC)を利用する
事前に鍵を生成して、KDCに共有
ユーザが認証要求を送信
認証が成功すると、KDCはセッション鍵とTGTを暗号化してユーザに送信
ユーザがセッション鍵を復号
ユーザはKDCにIDやパスワードで認証して、KDCから一時的な鍵である
セッション鍵をKDCの鍵で暗号化したTGT(チケット配布チケット)を
ユーザ鍵で暗号化してユーザに渡す
ユーザがTGTを送信してSTを要求する
KDCがサービス要求を復号
KDCがユーザにSTを払い出す
ユーザがサービス鍵やSTを復号
ユーザが認証データとSTをサーバに提示
サーバが認証データを復号
KDCはリプレイ攻撃対策として、TGT、STを送る際に時刻データも同時に送信
現在時刻と大きくずれている場合、チケットを無効とする
昔、ADのログインで、NTPをしっかり設定しないとログイン出来ないというのがあったがこれのことなんだろうな・・しらんけど
SSL-VPN
動作方式
リバースプロキシ方式
Webアプリケーションにしか使えない
ポートフォワーディング方式
クライアントに専用のアプリをインストールする
Webアプリケーション以外も使えるが、ポート番号とサーバを対応付ける必
要があるので動的にポート番号を変えるプロトコルは利用できない
L2フォワーディング方式
クライアントに専用のアプリをインストール
仮想IPを使って通信する。IPSECのトンネルみたい・・
TLS1.2 GCMモードとCCMモードが使える
TLS1.3 AEAD AES-CBCは廃止
無線
APをたくさん設置
電波干渉(チャネル)により遅くなる
ビーコンによる電波送信機械の減少
無線APは、半二重なので送信か受信のどちらかしかできない。
ビーコンが多いと、それだけ無線APが送信するので、クライアントからの
送信機会が減るということになる
Qos
IEEE802.11E(対応していてもちゃんと動かないという話もある・・)
優先度の高いデータのバックオフを短くし
優先度の低いデータのバックオフを長くする
バックオフって?
無線で通信したい端末は、一定時間(DIFS)待機し、さらに端末毎にランダムな時間待機(バックオフ)する
そしてデータ送信して、AP側が受け取り、短時間待機(SIFS)して、ackを返す
WIFI7
MLO(Multi-LINK Operation)
複数帯域の電波を同時に使う技術(5GHZと6GHZを同時に使うみたいな)
WIFI6ではハンドステアリング 切り替え時に認証作業が発生するので通信が切断される
WIFI7では、切断せつに通信ができるようにする
帯域幅の拡大
WIFI6 160MHZ
320MHZに広がる(日本では電波法の関係で現時点では無理)
変調符号化方式
4096QAMが使えるようになる
SASE(サシー)
Secure Access Service Edge
利用企業にとってのインターネットの入口となるエッジで動作し
多様な技術を組み合わせて、安全な通信を実現するアーキテクチャやサービス(米ガートナより)
IPアドレスの制御は、Saasは広範囲を利用することが多いので注意
SASEに何でも通信を通すと、遅延の問題を受けるかも・・・TV会議とかは、ローカルブレイクアウトかな
構成
セキュリティ面
SWG
アカ米
CASB
ZTNA
利用者や端末の状態を検査し、状態に応じてアクセスの可否を決める
プロキシ型 HTTPベース
ネットワーク型 パケットベース
IIJフレックスモビリティサービス、Cloudflare、
NGFW
リモートブラウザー分離
ネットワーク面
SD-WAN
CDN
WAN最適化
DNS
5つのセクションで構成
ヘッダーセクション
質問セクション
回答セクション
権威セクション
追加セクション
ヘッダーセクションの詳細
識別ID
フラグ
質問数
回答リソースレコード数
権威リソースレコード数
追加リソースレコード数
DNSメッセージのデータサイズが512バイトを超えるとUDPからTCPとなる
質問セクションの詳細
問い合わせ名
問い合わせタイプ
問い合わせクラス
回答セクションの詳細
ヘッダーセクション
タイプ
クラス
TTL
リソースデータの長さ
リソースデータ
DNSoverHTTPS(DoH)
DNSの通信をUDPではなく、TCPを利用する
DoHを扱うサーバは、「パブリックDNS」
GooglePublicDNS 8.8.8.8
Cloudflare 1.1.1.1
Windows11では、パブリックDNSを指定して、DoHを使うとすれば利用できる
IPSEC
プロトコルではなく仕組み
IPSECの構成
セキュリティプロトコル (AH,ESP
鍵管理 (IKE)
セキュリティアルゴリズム
セキュリティアソシエーション
トランスポートモード 2台の機器間
トンネルモード ルータなどで、IPヘッダも追加される
他プロトコルでは、GREとかIPinIP
DHCP
動作
クライアントから ブロードキャストでIPアドレス要求
DHCPサーバから、ユニキャストでIPアドレスの提案
クライアントから、ブロードキャストでIPアドレスの使用を申請
DHCPサーバから、ユニキャストでIPアドレスの使用を承認
(推奨)クライアントは、受け取ったIPアドレスが使われていないか、ARPで
確認
リース期限の延長
リース期間が半分になったら、DHCPResquestを送信(ユニキャスト)
端末の再起動時
前回に使用していたIPアドレスを再提案する
DHCPv6
割り当て方式
SLAAC
プレフィックスをRA(ルータ広告)で作成、インタフェースIDを端末で生成
DNSは、RDNSSで配布
DADを使って、重複を確認する
DAD 近接要請(NS)というICMPv6メッセージをマルチキャストして確認する
これで、リンクローカルアドレス確定する
ルータ要請(RS)というICMPv6メッセージをマルチキャストで送信
受け取ったルータが,RAを返す
これで、グローバルユニキャストアドレスを作る
DADを使って、重複を確認する
ステートフルDHCPv6
プレフィックス、インタフェースID、DNSのDHCPv6で配布、Mフラグの値が1
クライアントが「Solicit」メッセージをマルチキャストで送信
DHCPv6サーバが「Advertise」をユニキャストで返信
クライアントが「Request」メッセージをユニキャストで送信
DHCPv6サーバが「Reply」を送信
DADを使って、重複を確認
SLAAC+ステートフルDHCPv6
プレフィックスをRA(ルータ広告)で作成、インタフェースIDを端末で生成
DNSは、DHCPv6で配布 Oフラグの値が1
DHCPv6-PD
ISPと契約した場合、ISPからプレフィックスを受け取るようにする方法
ルータがISPのルータからプレフィックスを受け取るようにする
プロキシ
HTTP クライアントから GETとRequest-URI
プロキシサーバは、Request-URIをおきかえて
HTTPS
クライアントから connectで、接続先のホスト名とポート番号だけを伝える
プロキシサーバは、TCPを確立させた後は、IPヘッダとTCPヘッダを変更して
転送する
OSPF
LSAtype1 ルータID、リンク数などすべてのルータが生成する
同一エリア内でLSAを交換して、同じLSDBを持つようにする
LSAtype2 DRのIPアドレス、ルータのID一覧で、DRのルータのみが生成する
マルチアクセスネットワーク(複数のセグメント)でDRとBDRを選出する
type3 エリアが広くなるとLSDBの同期に時間が掛かる
複数エリアとして、境界のルータをエリア境界ルータ(ABR)と呼ぶ
エリア0のABRだけが、Type3を生成する
エリア0のABRはtype1/type2から生成したType3だけをエリア0に送信する
ABRはtype1、type2、type3を生成して、エリア0にtype3を伝える
エリア0以外のエリアはエリア0に隣接する必要がある
ネットワーク拡張とかで、隣接出来ないエリアが出た場合は、仮想リンクを使う
マルチキャスト
マルチキャスト「ベンダーコードに01-00-5E」+0
マルチキャストグループ
IGMPを使って、マルチキャストグループの参加を決める
IGMPv2
端末からルータにマルチキャストグループからの離脱を知らせる機能が追加
PIM マルチキャストルーティングプロトコル
ディストリビューションツリー構成をとる
送信元ツリー 送信元の配信サーバ毎にディストリビューションツリーを作成
PIM-DIM
共有ツリー 複数の送信元で共通のディストリビューションツリーを作成
必ずランデブーポイントを経由する
PIM-SM
IGMPスヌーピング
ICMPはレイヤ3パケットだが、レイヤ2スィッチでICMPスヌーピングをすることで
全ポートにフラッディングせず、マルチキャストメンバーに送付する
CHATGPT
対話型AIを含む生成AI
LLM(LarageLanguageModel) 大量のテキストデータを学習した自然言語処理モデル(大規模言語モデル)
青いという単語に、空、海が続く可能性が高いといった言語の関係性をモデル化して、繋がる確率に基づいて文書を生成
LLMが得意なタスク
文書生成・校正 もっと丁寧な表現にして
情報の分類 このログから警告を抽出して
情報の要約 この文字お越しの結果を議事録にして
多数の提案 ネットワーク設定の候補5つ
教科書みたいな定、参考に
問合せ文555 例)
あなたは優秀なネットワーク技術者です
2拠点間を結ぶネットワークを作るプロジェクトを実施しています
ネットワークの構築にはシスコシステムズ製ルータを使う予定です
このルータを使って2拠点間を接続するIPsecVPNのコンフィグを作成してください
WindowTerminal
MicroSoft Store Windows terminalでインストール
LINUXも操作出来る
JSONも触れる
プロファイルを設定できる