こんにちは！chocoです。

なかなか梅雨が明けない今日この頃ですが、体調は崩されていませんか？体調管理には充分に気をつけましょう(=ﾟωﾟ)ﾉ

というわけで、今日はHSRPについてまとめたいと思います。

HSRP(Hot Standby Routing Protocol)とは、デフォルトゲートウェイの冗長化プロトコルです。つまり、ゲートウェイを複数作ることによって、1つのルータがダウンしてしまったとしても、他のルータが自動的にデフォルトゲートウェイとして機能するということです。これにより、輻輳が発生した場合でも別のネットワークに動的に切り替わることができるので、障害が発生しにくくなるという利点があります。

詳しく説明しますと、冗長化させたい複数のデフォルトゲートウェイに「ＩＰアドレス」と「ＭＡＣアドレス」を共有させています。しかしこれでは、どちらがその共有のアドレスで応答すれば判断できないため、プライオリティを設定し、Helloパケットを交換し合いどのルータが応答するのかを判断しています。
このHelloパケットは継続して交換し合っているため、アクティブになっているルータがダウンした場合、そのHelloパケットが交換できなくなるため、スタンバイのルータはそれを検知して、スタンバイからアクティブに切り替わり冗長します。

HSRPはシスコ独自のプロトコルであるため、シスコ社製の機器でしか扱えません。
そこで、出てきたのがVRRPです！これはRFC3768で定義されている世界標準プロトコルです。
機能はほぼHSRPを同様です。

この二つのデフォルトゲートウェイ冗長化プロトコルは1つ欠点があります。それは、“リソースを無駄にしていること”です。
なぜかというと、3つのルータがHSRPを使って冗長化しているとします。しかし、アクティブになっているルータはそのうちの一つです。つまり通常時に機能しているのは３台のうち１つだけという状況です。

この欠点を解消するために開発されたのが、GLBP(Gateway Load Balancing Protocol)です。名前の通りロードバランシング機能を備えています。
このプロトコルはホストのMACアドレスによって、どのルータが応答するかを判断しています。ホストが初めに送信するARPリクエストにたいして、どのルータが応答するのかを判断し、応答するルータのMACアドレスを応答することで実現します。つまり、配下にあるL3以上の機器が１つである場合にはこの役割を果たすことができません。

これらのプロトコル(HSRP,VRRP,GLBP)の利点は、配下の機器に特別な設定をすることなく切り替えやロードバランスを自動で行ってくれるところです。

概要だけを説明しましたが、詳しくは別の日に改めてｗ（いつになるかわからないけどｗｗｗ

以上chocoでした(´∀｀)

2014/05/14-16に開かれた情報セキュリティＥＸＰＯに参加いたしました。自分が参加したのは最終日の16日です。結構多くの方がいて圧力に負けそうになりました。ｗ

各企業の製品を目の当たりにして、トレンドやその企業の強みを知ることができました。

参加して気になったことが一つ。
それは、次回のＥＸＰＯ参加企業の予約をしていたこと。
次回のセキュリティＥＸＰＯの予約をするということは、今ある製品を半年後に紹介することになるか？

そうなると、少し遅れたトレンドや製品になってしまうという懸念が自分の中に生まれました。

実際はどうなのでしょうか・・・。

では、また

最近ニュースなどで、頻繁に目にする”フィッシング詐欺に注意！”という言葉。このフィッシング詐欺について気になったので、調べてみた。
頻繁にニュースにもなっている。（ねとらぼ）また、2013年12月27日にJPCERTコーディネーションセンター（フィッシング対策協議会）も、このフィッシング詐欺について注意喚起している。非常に被害が多いことを意味している。「自分には関係ないとお思いの方にもう一度お知らせです・・・・。」ｗｗｗｗ

　

では、このように500件以上の被害が出ているフィッシングサイトはどのような仕組みになっているのか。また、どのように誘導しているのか。調べてみたいと思う。

誘導の仕方
誘導方法には２つのパターンが存在する。

• メールで偽サイトへ誘導
• DNSキャッシュポイズニングで正規のURLで誘導

まず、メールで偽サイトへ誘導する方法を説明する。
この方法は、現在被害が多い方法で自分に関係がありそうな内容がメールの本文に書かれている。たとえば、「アカウントがロックされないように定期的にチェックしてください。」などと書かれており、その下に本家のURLに似た偽サイトのURLが書かれており、そのURLを踏むと本家のサイトと酷似したページが表示される。そのページのログイン画面で自分のIDとpassを入力すると、本家のサイトのログイン後のページにジャンプできる。つまり、ユーザ的には普通にログインしている感覚である。
このとき、実際は偽サイトの管理者にIDとpassを教えていることになるのです。
このロジックは、まず偽サイトにアクセスしたユーザがIDとPassを入力することで、偽サイトにその情報が残ります。これで、取得完了です。その後、偽サイトがそのIDとPassを使って本家サイトにログインします。そのreplyをそのままユーザに送信することで、ユーザにはログインしただけのような感覚になる。

次は、DNSキャッシュポイズニングで正規のURLで誘導する方法について説明する。
DNSキャッシュポイズニングとは、DNSキャッシュサーバに偽のDNS情報をキャッシュとして蓄積させる攻撃のこと。手法としては以下の４つからなる。

1. DNSキャッシュサーバに偽情報を送り込みたいドメイン名を問い合わせる。
2. 問い合わせを受けたキャッシュサーバは、外部の権威サーバに問い合わせる。
3. 攻撃者は、権威サーバから正しい応答が返ってくる前に、偽の応答パケットをキャッシュサーバに送り込む
4. キャッシュサーバが2.で送った問い合わせメッセージのIDと、攻撃者が3.で送った偽メッセージのIDが一致した場合、攻撃が成功する。

この手法での成功率は低い。なぜならば、4.でもある通り「2.で送った問い合わせメッセージのIDと、攻撃者が3.で送った偽メッセージのIDが一致した場合」にだけ攻撃が成功する。その成功率は1/65536である。この手法を応用した攻撃方法が2008年にカミンスキー氏が発表した「新DNSキャッシュポイズニング攻撃」だ。

この手法は、下記の３つからなる。

1. キャッシュサーバに送信する問い合わせに実在しないドメイン名（yyy.example.jp)を使用する。
2. １．の問い合わせの後すぐに「yyy.example.jpは知らないがxxx.example（偽装したいドメイン名)なら知っている」と応答する。
3. xxx.example.jpのIPは201.25.3.x（偽サイトのIP）と教える。

このような手法を使用することによって、DNSキャッシュサーバのキャッシュに偽情報をテーブルに書き換えることが可能となる。

メールによるフィッシング詐欺だけでないことを理解してほしい。DNSキャッシュポイズニングはユーザ側で防ぐことはできないが、注意深くサイトの変化・違和感を感じてほしいと思う。