HSRP,VRRP,GLBP
こんにちは!chocoです。
なかなか梅雨が明けない今日この頃ですが、体調は崩されていませんか?体調管理には充分に気をつけましょう(=゚ω゚)ノ
というわけで、今日はHSRPについてまとめたいと思います。
HSRP(Hot Standby Routing Protocol)とは、デフォルトゲートウェイの冗長化プロトコルです。つまり、ゲートウェイを複数作ることによって、1つのルータがダウンしてしまったとしても、他のルータが自動的にデフォルトゲートウェイとして機能するということです。これにより、輻輳が発生した場合でも別のネットワークに動的に切り替わることができるので、障害が発生しにくくなるという利点があります。
詳しく説明しますと、冗長化させたい複数のデフォルトゲートウェイに「IPアドレス」と「MACアドレス」を共有させています。しかしこれでは、どちらがその共有のアドレスで応答すれば判断できないため、プライオリティを設定し、Helloパケットを交換し合いどのルータが応答するのかを判断しています。
このHelloパケットは継続して交換し合っているため、アクティブになっているルータがダウンした場合、そのHelloパケットが交換できなくなるため、スタンバイのルータはそれを検知して、スタンバイからアクティブに切り替わり冗長します。
HSRPはシスコ独自のプロトコルであるため、シスコ社製の機器でしか扱えません。
そこで、出てきたのがVRRPです!これはRFC3768で定義されている世界標準プロトコルです。
機能はほぼHSRPを同様です。
この二つのデフォルトゲートウェイ冗長化プロトコルは1つ欠点があります。それは、“リソースを無駄にしていること”です。
なぜかというと、3つのルータがHSRPを使って冗長化しているとします。しかし、アクティブになっているルータはそのうちの一つです。つまり通常時に機能しているのは3台のうち1つだけという状況です。
この欠点を解消するために開発されたのが、GLBP(Gateway Load Balancing Protocol)です。名前の通りロードバランシング機能を備えています。
このプロトコルはホストのMACアドレスによって、どのルータが応答するかを判断しています。ホストが初めに送信するARPリクエストにたいして、どのルータが応答するのかを判断し、応答するルータのMACアドレスを応答することで実現します。つまり、配下にあるL3以上の機器が1つである場合にはこの役割を果たすことができません。
これらのプロトコル(HSRP,VRRP,GLBP)の利点は、配下の機器に特別な設定をすることなく切り替えやロードバランスを自動で行ってくれるところです。
概要だけを説明しましたが、詳しくは別の日に改めてw(いつになるかわからないけどwww
以上chocoでした(´∀`)
アクセスリストの記述
アクセスリストの条件文は”上”から順番に照合される。
条件に合致した場合、それ以降の条件は適用されない。
↓
条件の狭い記述から順番に並べる必要がある。
・アクセスリストの設定の仕方
- 標準アクセスリスト
アクセスリスト作成
(config)# access-list 1 permit [送信元アドレス] [ワイルドカードマスク]
インターフェースに適用
(config-if)# ip access-group 1 [in|out]
host
(config)#access-list 1 deny host 192.168.2.1
any
(config)#access-list 1 permit any
- 拡張アクセスリスト
(config)#access-list 100 permit tcp 192.168.3.0 0.0.0.255 192.168.10.32 0.0.0.0 eq 80
インターフェースに適用は標準アクセスリストと同様。
注意点
icmpはポート番号の記述の際に"eq"は不要
アクセスリストで最も注意しなければならないのは
「 暗黙のdeny any 」
である。
記述されないpermitはすべてdenyになる。
フィッシング詐欺の仕組み
最近ニュースなどで、頻繁に目にする”フィッシング詐欺に注意!”という言葉。このフィッシング詐欺について気になったので、調べてみた。
頻繁にニュースにもなっている。(ねとらぼ)また、2013年12月27日にJPCERTコーディネーションセンター(フィッシング対策協議会)も、このフィッシング詐欺について注意喚起している。非常に被害が多いことを意味している。「自分には関係ないとお思いの方にもう一度お知らせです・・・・。」wwww
では、このように500件以上の被害が出ているフィッシングサイトはどのような仕組みになっているのか。また、どのように誘導しているのか。調べてみたいと思う。
誘導の仕方
誘導方法には2つのパターンが存在する。
- メールで偽サイトへ誘導
- DNSキャッシュポイズニングで正規のURLで誘導
まず、メールで偽サイトへ誘導する方法を説明する。
この方法は、現在被害が多い方法で自分に関係がありそうな内容がメールの本文に書かれている。たとえば、「アカウントがロックされないように定期的にチェックしてください。」などと書かれており、その下に本家のURLに似た偽サイトのURLが書かれており、そのURLを踏むと本家のサイトと酷似したページが表示される。そのページのログイン画面で自分のIDとpassを入力すると、本家のサイトのログイン後のページにジャンプできる。つまり、ユーザ的には普通にログインしている感覚である。
このとき、実際は偽サイトの管理者にIDとpassを教えていることになるのです。
このロジックは、まず偽サイトにアクセスしたユーザがIDとPassを入力することで、偽サイトにその情報が残ります。これで、取得完了です。その後、偽サイトがそのIDとPassを使って本家サイトにログインします。そのreplyをそのままユーザに送信することで、ユーザにはログインしただけのような感覚になる。
次は、DNSキャッシュポイズニングで正規のURLで誘導する方法について説明する。
DNSキャッシュポイズニングとは、DNSキャッシュサーバに偽のDNS情報をキャッシュとして蓄積させる攻撃のこと。手法としては以下の4つからなる。
- DNSキャッシュサーバに偽情報を送り込みたいドメイン名を問い合わせる。
- 問い合わせを受けたキャッシュサーバは、外部の権威サーバに問い合わせる。
- 攻撃者は、権威サーバから正しい応答が返ってくる前に、偽の応答パケットをキャッシュサーバに送り込む
- キャッシュサーバが2.で送った問い合わせメッセージのIDと、攻撃者が3.で送った偽メッセージのIDが一致した場合、攻撃が成功する。
この手法での成功率は低い。なぜならば、4.でもある通り「2.で送った問い合わせメッセージのIDと、攻撃者が3.で送った偽メッセージのIDが一致した場合」にだけ攻撃が成功する。その成功率は1/65536である。この手法を応用した攻撃方法が2008年にカミンスキー氏が発表した「新DNSキャッシュポイズニング攻撃」だ。
この手法は、下記の3つからなる。
- キャッシュサーバに送信する問い合わせに実在しないドメイン名(yyy.example.jp)を使用する。
- 1.の問い合わせの後すぐに「yyy.example.jpは知らないがxxx.example(偽装したいドメイン名)なら知っている」と応答する。
- xxx.example.jpのIPは201.25.3.x(偽サイトのIP)と教える。
このような手法を使用することによって、DNSキャッシュサーバのキャッシュに偽情報をテーブルに書き換えることが可能となる。
メールによるフィッシング詐欺だけでないことを理解してほしい。DNSキャッシュポイズニングはユーザ側で防ぐことはできないが、注意深くサイトの変化・違和感を感じてほしいと思う。
LANケーブル
最近LANケーブルの種類が多いことに気がついた。なぜ、こんなに種類が多いのか
なぜ種類によって速度が違うのか。気になったので、少しまとめてみた。
カテゴリ1
最大周波数規定なし
RJ−11
カテゴリ2
1MHz
8芯4対
カテゴリ3
16MHz
カテゴリ4
20MHz
カテゴリ5
100MHz
2対だけ銅線を用いる
カテゴリ5e enhanced 拡張の意
100MHz
4対すべてに銅線を用いる
24AWG 0.511mm 米国ワイヤーゲージ規格 AWGの値が大きくなるほど直径は小さくなる(銅線の太さ)
カテゴリ6
250MHz
十字の区切り物 十字介在
8芯4対のうち2対を受信と送信用で分けられている
26AWG 0.405mm
カテゴリ6a Augmented 増大の意
500MHz
カテゴリ7
600MHz
8芯4対を対ごとに箔によりシールド保護
全体もシールド保護
また、外部皮膜(シース)の違いで帯域幅が違う。
PVC ポリ塩化ビニル
PE ポリエチレン
FEP テフロン
調べてみると、思った以上に種類があり、驚いた。