DNSの概要

• 「www.yahoo.co.jp」のように「通信先を特定するもの」をドメイン名と言い、このドメイン名を探してくれるサーバはDNSサーバという。
• DNSの役割
  コンピュータ上での住所であるIPアドレスを覚えておくのは大変なため、文字での名前（ドメイン名）を覚えるようにしている。
• ネットワーク層のプロトコルとしてはドメイン名を備えていない。そこで、DNSサーバがIPアドレスとドメインの変換を請け負っている。
• 上記を名前解決といい、名前解決は各アプリケーションやOSがドメインによるアクセスをしようとしたときにOS（DNSクライアント）がDNSサーバへ依頼する。

名前解決の情報共有

hostファイルの場合

• DNSが出てくる前は、ホスト名とIPアドレスの対応を定義するhostsファイルが使われていた。現在でも、会社内や個人等で利用している。
• Windowsでの配置場所
  C:\Windows\System32\drivers\etc\hosts
• hostsファイルの場合は、1個のファイルを共有して使うため、組織間で情報共有したり情報を統合的に（一元）管理することは難しい。

DNSの場合

• ホストを管理している組織毎に、ホスト名とIPアドレスの対応関係を管理する。
• 組織内で変更すれば、インターネット全体に反映される仕組みになっている。
• （初期登録時や上位レベルの変更を除き、）ほかの機関に報告や申請をする必要はない。

ドメイン名の構造

• ドメイン名は、いくつかの部分に分割出来る。
  www.yahoo.co.jpの場合
  「www」はサーバ（ホスト）名、「yahoo」は組織名、「co」はセカンドレベルドメイン、「jp」はトップレベルドメイン、等と呼ぶ。
  （ドメインは4階層とは限らず、2階層や10階層等様々な場合がある。各階層が何なのかはその時々に応じて変化する。）
• ドメイン名からIPアドレスに変換することを名前解決といい、名前解決の要求を出したクライアントのことをネームリゾルバと言う。
• jpやnetやorg等のトップレベルドメインを管理しているのはルートネームサーバー。
• 各ネームサーバが管理する階層（ドメイン）のことをゾーンという。
  上の例の場合、ヤフーが管理するゾーンはyahoo.co.jp配下、株式会社日本レジストリサービス（JPRS）が管理するゾーンはco.jp配下(jp配下もJPRSが管理)。
  （※[]内には同じものが入る。）
• 管理組織のドメイン（ゾーン）そのもの（のIPアドレスとドメイン名）は、上位のDNSサーバに管理してもらう。
  上の例の場合、yahoo.co.jp自体は株式会社日本レジストリサービス（JPRS）が管理する。

DNSの問い合わせ順序

1. リゾルバ（OS等）が設定したキャッシュDNSサーバへ問い合わせを行う。
2. キャッシュDNSサーバは該当情報を持っていればそれを返す。
3. 該当情報を持っていなければ、ルートサーバへ問い合わせる。
4. そして、ドメインの木構造を上から順番にたどることで、目的の情報があるDNSサーバーを見つける。
5. その目的のゾーン情報を持っているDNSサーバから必要な情報を得る。
6. 得た情報をリゾルバへ返す。

代表的なゾーンファイルのレコード

IPアドレスとMACアドレスの連携

ARPの概要

• 宛先IPアドレスを手掛かりにして、MACアドレスを取得するプロトコル。
• 同一ネットワーク内のホスト宛の場合は、宛先ホストのMACアドレスを得ることになる。
• 異なる（別の）ネットワークのホスト宛の場合は、次ホップ（デフォルトゲートウェイ）のルーターのMACアドレスを得ることになる。
• ARPはIPv4とセットになっており、IPv6では使われない。
• 宛先IPアドレスに対するMACアドレスを知らない場合に、ARPによる情報交換が行われる。（知っている場合は行われない。）
• ARPはホスト（WindowsやLinux等）やルーターのOS等に実装されている。

ARPの要求と応答

1. 送信元ホストからARP要求がブロードキャスト送信される
2. ブロードキャストなので、全てのノードのNICが受信する
3. 宛先ホスト以外では、そのパケットを破棄する
4. 宛先ホストでは、そのパケットを受け取り、送信元のMACアドレスを取得しておく。
5. 宛先ホストはARP応答を送信元ホストへ返却する。
6. 送信元でARP応答を受け取り、宛先ホストのMACアドレス得る。
7. その（ARPで取得した）情報は数分間キャッシュする。

IPアドレスとMACアドレスの併用

• 住所（宛先）を示すのはあくまでもIPアドレス。
• データリンク層のアドレスはなくても、全てブロードキャスト送信してしまえば送ることは出来る。それでは混雑してしまうため、データリンク層レベルでもMACアドレスを用いることで、ユニキャストの送信が出来る様にしている。
• MACアドレスは同じブロードキャストドメイン内で宛先を示すためのものであり、IPアドレスはブロードキャストドメインを跨いでも宛先を示せる。
• IPアドレスは最終目的地を示し、MACアドレスは次の宛先を示す。

DHCP

DHCPはIPアドレスを一括管理したり自動的に設定するためのサービスである。DHCPを構築済みの環境であれば、PC等をLANに接続するだけで、IPアドレスが自動的に（割り振られて）設定される。

サーバーとクライアント

DHCPを利用するには、DHCPサーバーを立ち上げる必要がある。サーバーに予め使用するIPアドレスの範囲等を設定しておく。
1台１台のノードのOSにDHCPクライアントが備わており、クライアントとサーバーでやり取りをして自動割り当てが行われる。

DHCP割り当ての流れ

１．DHCP要求をするときはDHCPサーバのIPアドレスを知らなくても良いようにブロードキャストアドレスの255.255.255.255で送出する。

２．DHCPサーバはクライアントに、以下の４情報を割り当てる。（主要な４情報）
IPアドレス、サブネットマスク、デフォルトゲートウェイ、DNS。また、DHCPサーバはMACアドレスを利用して固定的に割り当てることもできる。

NATとPAT

ルータのNAT機能は２つIPアドレスを相互に変換する。グローバルIPアドレスであろうともプライベートIPアドレスであろうとも関係なく変換できる。
しかし、一般的にはグローバルIPアドレスとプライベートIPアドレスを変換する。（それ以外の用途でも使うが、まれである。）

NATで通信するイメージ

パソコンAがサーバAにアクセスする場合（NATの場合）

パソコンAとパソコンBがサーバAにアクセスする場合（PAT（NAPT）の場合）

その他のIP関連技術

ICMP とは
通信が届いているかどうかを確認するためのプロトコルである。

トンネリング とは
インターネット等のなんらかのネットワークで接続されている2点間を、仮想の回線（トンネル）によりあたかも同一点であるかのように扱えるようにすること。

VRRP（ Virtual Router Redundancy Protocol ） とは
複数のルーターによるデフォルトゲートウェイの冗長化によって障害体制を高めるプロトコル。

トランスポート層の役割

• ポート番号とアプリケーション層を関連付ける。
• データを分割する、分割されたデータを組みなおす。
• トランスポート層のプロトコルには、TCPとUDPがある。
• TCPの場合、信頼性のある通信を確立する。
• UDPの場合、信頼性のない通信だが、信頼確保についてはアプリケーションに委ねるか、もしくは速度重視。

ポート番号

ポート番号は、アプリケーション層への出入り口を示す

０～１０２３番まではあらかじめ予約されており、ウェルノウンポートという。

代表的なウェルノウンポート番号

クライアントで利用するポート番号

クライアント（Webブラウザ、メーラー等）ではOSに任せ、動的に49152〜65535までの中で空いているポートを割り当てるケースが多いです。
（※ものによっては、1024～　利用する場合もある。）

TCPとUDPでポート番号の重複

TCPとUDPでは別のプロトコルとして動いているため、TCPとUDPで同じポート番号を同時に違う用途で使用することが出来る。

ウェルノウンポートではTCPとUDPの両方とも、そのアプリケーションとポート番号の対応（割り当て）になっている。
※どちらか片方しか使わないものに対しても将来拡張される可能性を考えてのこと。

TCP

• 1対1の通信。
• 信頼性のある通信。コネクション型通信。
• シーケンス番号と確認応答番号（ACK）を用いて信頼性を確保する。
• 確認応答番号が、待っても来ない場合再送する。確認応答番号を待つ時間も、TCPが最適な長さに調整している。
• ３ウェイハンドシェイク。
• 送信側の観点として、下位の階層で分割処理が発生しないように、データを最大セグメントサイズ（MSS）（1460bytes等）に分割する。
• 受信側の観点として、まとめて受け取れる容量をウィンドウサイズという。
• ウィンドウ制御している時に、3回連続同じ確認応答番号（ACK）が来たら再送を行う。
• ウィンドウサイズをちょうど良い大きさに変更することによって、フロー制御を行う。
• 確認応答がないときは再送する。
• 送信時TCPヘッダをつけて、受信時TCPヘッダを外す。

UDP

経路制御（ルーティング）とは

• ルータはネットワーク層のPDUであるIPパケットのヘッダ部に埋め込まれた宛先IP（アドレス）を、自身のルーティングテーブルと照らし合わせて、最適なインターフェースから送出する。
• ルータはネットワークの変化に柔軟かつ遅延なく対応する必要がある。ルータのルーティングテーブル等の経路情報は管理者が隅々まで把握しているわけではない。
• ルータのルーティングテーブル等の経路情報は、ルータ同士で情報交換をしていて、ある程度自動的に経路が作成される。コレを動的ルーティング（ダイナミックルーティング）ともいう。一方、管理者が隅々まで管理するスタティックルーティングもある。

動的（ダイナミック）ルーティング

• IGP（Interior Gateway Protocol）は、地域やISP等の団体で管理している範囲内でルーティングテーブルを作成する。地域やISP等の団体が運用する範囲を自律システム（AS：Autonomous System）という。
• EGP（Exterior Gateway Protocol）は、多数のAS間に対してルーティングテーブルを作成する。

経路制御アルゴリズム

距離ベクトル型（Distance Vector）

• 距離（メトリック）と方向によってルートを作成する。
• 隣接ルーターと情報交換を何度も繰り返し、情報が広がっていく方法をとっている。
• 他のアルゴリズムと比べると、処理が簡単で、ルーターが高性能でなくとも良く、設定も簡単。
• ネットワークの構造が複雑になると、経路の情報交換が安定する（コンバージェンス）までに時間がかかる。
• 経路にループが発生しやすくなる。
• 代表的なものにはＲＩＰや（Cisco社独自の）ＥＩＧＲＰ（ＩＧＲＰ）がある。

　　

リンク状態型（Link State）

• ルーターがネットワーク全体の接続状態を理解して、ルートを作成する。すべてのルーターが同じ情報を持つことになる。
• 経路の情報交換が安定する（コンバージェンス）までの時間が短く出来る。
• 処理が複雑で、CPUやメモリ等のリソースを多く消費する。
• 代表的なものにはＯＳＰＦがある。

RIP（Routing Information Protocol）

• サブネットマスクに対応したversion 2の方が使われるようになった。
• 距離（メトリック）の単位はホップ数である。ホップ数とは通過するルーターの数のこと。RIPではできるだけ少ない数のルーターを通過して、宛先IPアドレスに到達するようにルートが作成される。
• 経路情報が送信されるのは、30秒周期。
• 6回（180秒）待っても経路情報が送られてこない場合は、接続が切れたと判断する。

例）経路情報作成の概要

RouterAが知っている情報に注目して考える
0秒後　RouterA　　の情報
30秒後 RouterA、RouterB　　の情報
60秒後 RouterA、RouterB、RouterC、RouterE　　の情報
90秒後 RouterA、RouterB、RouterC、RouterD、RouterE、RouterF　の情報
120秒後 RouterA、RouterB、RouterC、RouterD、RouterE、RouterF　の情報
150秒後 RouterA、RouterB、RouterC、RouterD、RouterE、RouterF　の情報
180秒後 RouterA、RouterB、RouterC、RouterD、RouterE、RouterF　の情報

この例の場合90秒後で全ての情報を交換しきっており、それ以上ルーティング情報は変化しない、この状態をコンバージェンス（収束）という

ループの対策

• 経路が切断された際、過去に伝えた情報を逆に教えられてしまう状態を無限カウントと呼ぶが、それの対策としてホップ数16以上を通信不能としている。
• 経路情報を受信したインターフェースからは同じ情報を送り出さない。その機能をスプリットホライズンという。
• 経路が切れたとき、その情報を流さないのではなく、ホップ数を16として流すことによって通信不能と伝える方法をポイズンリバースという。
• 経路に変化が生じたとき、30秒待たずに直ぐに伝える方法をトリガーアップデートという。
• これらの機能が実装されているRIPでもルーティングループが発生してしまったり、コンバージェンスまでに時間がかかることがある。

例）RIPでの経路情報作成のやり取り

１．RIP開始時

２．RIP開始後　初回送信（B→A）

３．次に　送信（A→B）

４．ここまで来て（RIP開始から50秒後頃）

５．ルータ起動から60秒後頃

RouterAは　情報（表5-B→A）を受け取るが、現在自分の持っているルーティングテーブル（表4-A）と比較し受け取った情報は全てホップ数が大きいため何も変わらない

この状態になればコンバージェンスである

「４．ここまで来て（RIP開始から50秒後頃）」でコンバージェンスし、ずっとそのままである。

セキュリティの重要性

• TCP/IPでは、昔はセキュリティを重視していなかったが、インターネットが普及した現在では悪意を持った利用者等が多数存在するようになったため、セキュリティが重視されるようになった。
• セキュリティとは害からの保護である。一般には保安のことであり、犯罪や事故などを防止するための警備や予防措置全般を指す。（さらに、害が発生してしまってからの回復処置を検討・計画しておくこともセキュリティの一部と言える。）
• セキュリティの中でもIT技術者が主に行うのは、情報セキュリティやサイバーセキュリティである。
• 情報セキュリティやサイバーセキュリティは大枠では同じ様な意味である。情報セキュリティは置き忘れ等の自己管理の部分や物理的な部分を含むが、サイバーセキュリティはネットワーク経由での犯行に対するセキュリティという意味合いが強い。

サイバー攻撃の例

被害の例

• 機密情報を盗まれる。
• ホームページやファイルの内容が改ざんされる。
• 攻撃の踏み台にされる。
• サーバーやシステムが攻撃されてサービス提供が不能になる。

被害者と加害者

• 個人、組織、企業いずれに対して行われる。
• 金銭目的も愉快犯的なものもある。
• 首謀者が直接行うのではなく、他者に依頼して犯行が行われることもある。

手口の具体例

• （ランサムウェア）システムやファイルを人質にして金銭を要求する。
• （標的型攻撃）特定の組織内の機密情報を狙う攻撃。
• （マルウェア）不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称。 コンピュータウイルスやワームなどが含まれる。

ネットワークセキュリティ

セキュリティ用語

セキュリティの（3大）目的

機密性

完全性

可用性

主なセキュリティ機器

ファイアウォールの役割や機能

ファイアウォールのアクセス制御の例

ファイアウォールあって、ルータにない機能

IDS/IPSの役割

IDSの特徴

不正アクセスがあった場合などの流れ

1. IDSから管理者に電子メールなどで、アラート（警告）が通知される
2. 管理者がすぐにファイアウオールの設定変更などを行う
3. この繰り返しを２４時間　３６５日続ける

IDSの種類

IPSの特徴

不正アクセスがあった場合などの流れ

1. IPSから管理者に電子メールなどで、アラート（警告）の通知　＆　防御動作が行われる。
2. 管理者は、防御動作で解決できない問題があった場合対処に当たる。
3. この繰り返しを２４時間　３６５日続ける

暗号化技術の基礎

暗号化技術の階層分類

共通鍵暗号方式と公開鍵暗号方式

認証技術

認証とは本人確認の様な事である。それによって、利用者が正当な利用者であるかを確認し、正当な利用者のみが使える様にする。
費用対効果で認証方法を検討する。組み合わせて使う場合も多い。

• 情報による認証

  パスワード、暗証番号、鍵（公開鍵・秘密鍵 等）、ワンタイムパスワード　等を用いて認証する。

• ものによる認証

  IDカード、電子証明書、電話番号、携帯電話の製造番号　等を用いて認証する。

• 生体による認証

  指紋、目の瞳孔、静脈　等を用いて認証する。

セキュリティのためのプロトコル

IPsecとVPN

• VPN（Virtual Private Nework）とは、仮想的に拠点間を専用線で接続したのと同等に扱えるネットワークである。つまり、仮想的なプライベートネットワーク接続である。
• インターネット（広帯域で安価な光回線　等含む）などの公衆網を利用する場合でも、安全に企業の拠点間通信を実現できる。
• 安全確保のために拠点と拠点の間では通信は暗号化されている。それを実現するためにIPsec等の高度なセキュリティを実装させられる

TLS/SSLとHTTPS

１．クライアントがサーバーにHTTPSでアクセスする。
２．サーバーが「サーバーの公開鍵」「証明書」を送信する。
３．クライアントが認証局の公開鍵を用いて、証明書を復号する。（もし、復号失敗したら偽物。）

４．クライアントが共通鍵を作成し、サーバーの公開鍵を用いて暗号化し、送信する。
５．サーバーがサーバーの秘密鍵を用いて、復号する。

６．やり取りの本番は、クライアントもサーバーも共通鍵を用いて　暗号化・復号を行う。

IEEE802.1X

LANに接続する際に、ユーザ認証を行うプロトコル。有線・無線共に使えるが、無線が普及し始めた頃は、暗号化認証が弱かったため、無線LANと組み合わせて使う用途で普及した。