ひとり情シス日記#2　ネットワーク構築あれこれ

小さな組織でひとり情シスやる事になったので、自己リマインド＆勉強アウトプット用の記事。

ネットワーク設計

２階層ネットワーク設計(中規模ネットワーク)

オフィス１フロアの中規模ネットワーク設計に適している。アクセス層（PC、サーバー、IP電話がL2SWに接続される）とそれらを集約するディストリビューション層（L3SW、RT）に区分される。

３階層ネットワーク（大規模ネットワーク）

１つのビルで複数オフィスを網羅する場合はディストリビューション層を集約するコア層（L3、RT）が追加される。ネットワーク機器は光ファイバーで接続され大容量通信を可能にする。

WANサービス（通信事業者が提供する閉域網）

県外との拠点接続など、さらにネットワークが拡大する場合に用いる。（ISPのインターネット網側では無く、WAN事業者のサービス）
・IP-VPN
複数拠点との回線を共用するが、通信事業者側が仮想的にプライベートなネットワークを提供する。ネットワーク層のプロトコルはIPのみ使用可能。MPLS（ Multi-Protocol Label Switching ）でIPアドレスの変わりにラベルと呼ばれるタグを使用したパケット転送技術を用い、離れた拠点でのRT間でOSPFによる動的ルーティングが可能。帯域幅などの通信品質を保証。インターネットに抜けない閉域網なので暗号化はされない（行う必要がない）。
・広域イーサネット
複数拠点との回線を共用するが、超巨大なVLAN網により仮想的なネットワークを提供。VLANタグで識別されるため、一般のルーターをそのまま使用できる。

インターネットVPN（ISPが提供するインターネット網）

出典：SEの道標

「トンネリング」、「暗号化」、「認証」により、仮想的なプライベートネットワークを構築する。トンネリングだけであれば、レイヤ２で動作するPPTP、L2TPで可能だが暗号化機能が無いので経路上で改ざんされる危険性がある。レイヤ３で動作するipsec（プロトコルでは無く、枠組み）では、トンネリング、暗号化、認証を備えている。

IPsecについて

＜IPsecのフレームワーク＞
・IPsecプロトコルはどうするか？　⇒　AH（暗号化が禁止されている国などで使用されている） or ESP（※通常はこちらを使用）
・暗号化はどうするか？　⇒　DES or ３DES or AES
・認証はどうするか？　⇒　MD５ or SHA
・鍵交換はどうするか？　⇒　DH１ or DH２ or DH３

IKE（Internet Key Exchange/鍵交換プロトコル）を使用して事前共有鍵や証明書で認証を行い、IKE-SA（Security Association）というコネクションを生成し通信する。
利用状況に応じて双方が固定G-IPのメインモードまたは、クライアント側が動的IPのアグレッシブモードを選択。

フェーズ1/ISAKMP SA（制御用通信）
・ハッシュアルゴリズム　SHA-1やMD５
・認証方式　PSK認証、デジタル署名認証、公開鍵認証など
・DH(Diffie-Hellman)グループ　1,2,5などがあり、数字が大きいほどセキュリティが強化されるが、キー計算に時間がかかる。
・ISAKMP SAの有効期限

※DH(Diffie-Hellman)について
これまでの公開鍵方式では鍵交換通信の経路上で鍵情報を盗まれるリスクがあった。DHでは、各送受信者が独自に持った数値から鍵交換の数値をやりとりするが、最後に各自が特別な計算をすることで同じ共通鍵を生成でき、経路上での共通鍵のやりとりをしないので盗聴リスクが無い。

フェーズ2/IPsec SA（ISAKAMP SA内で通信路確保）
・セキュリティプロトコル（ESP、AH）
・カプセル化モード（GW間でVPN接続するトンネルモード、エンドツーエンドでVPN接続するトランスポートモードがある）
・暗号化アルゴリズム（ESP利用時の暗号化アルゴリズム）
・ハッシュアルゴリズム
・有効期限　DHE交換　PFS（Perfect Forward Secrecy/暗号鍵を使い捨てにする。エドワード・スノーデン氏で注目が集まる）

サイト間VPN（IPsec）

出典：YAMAHA IPsecを使用したVPN拠点間接続

拠点間にVPN対応ルーターを設置しIPsecにより、ルーター間でトンネリング・暗号化・認証を行う。そのため、利用者のデバイスは特別なソフトウェアが不要。

メインモード
VPNルーターの双方で固定G-IPまたはDDNSが割り当てられる状態。
IPアドレスをIDとして認証を行い、ID含めて暗号化するためセキュア。
各ルーターには対向側のローカルIPネットワークへのstaticを記述。その際に拠点間のローカルIPアドレスが同一ネットワークにならないように注意。（例192.168.1.0/24⇔192.168.2.0/24⇔192.168.3.0/24のように設定）
本来は固定G‐IPを各拠点に割り当てするが、YAMAHA製品の場合は動的G‐IPでもネットボランチ（DDNS）を利用して構築可能。

設定したWANアドレスに対し、ファイアウォール設定で許可したIPのみ通信可能とする事でセキュアな通信が可能。なお、ローカル側からの通常インターネット通信は「状態追跡型ファイアウォール」により、アウトバウンド起点のインバウンド方向へのフィルタは掛からないので、問題なく利用が可能となる。

アグレッシブモード
VPNルーターの片側にのみ、固定G-IPまたはDDNSが割り当てられる状態。
接続先と接続元のルーターのIDを同一にする。公開鍵認証を行わない限り、IDが暗号化されずセキュアではない。
動的IPルーター側へ固定ルーターIP側の設定を投入し、動的ルーター側から接続を確立させる。

リモートアクセスVPN（L2TP-IPsec）

接続先にVPNルーターを設置し、暗号化情報やユーザーID/PASSを設定。YAMAHAルーターであれば、動的G-IPアドレスでもネットボランチ機能（DDNS）で接続先を固定できる。対して接続元のwindowsPCのVPN接続設定で、VPNルータで設定した各種情報を入力保存すればVPNアクセスが利用できる。同セグメントのネットワークアドレス運用が可能。

リモートアクセスVPN（SSL-VPN）

社外ネットワークから社内ネットワークへ接続する場合に用いる。webブラウザベースで動作するため、特別なソフトは不要。TCP/IPで動作するので、UDPなどの通信は出来ない。トンネリングもしない。もしトンネリングの必要があれば、別のVPN接続手段を設ける必要がある。

ワイヤレスLAN（ｗifiアクセスポイント）

有線LANと異なり、半二重通信で行われている。
コリジョン制御はCMSA/CAで、現在通信をしているhostがいないか確認する。通信できる状態と分かってもランダム時間待機してからデータ送信するため、有線と比較して仕組み上、遅延が起きる。

APの配置はチャンネルが重複しないよう考慮する。（2.4GHzは実質3チャンネル運用）コントローラーを置けば、自動調整してくれる。

BSS（Basic　Service　Set）
単一のAPと、その電波エリアにあるクライアントで構成される範囲。BSSを識別するIDをBSSIDと呼ぶ。

ESS（Extended Service Set）
複数のBSSで構成する無線LANネットワーク。ESSのエリアの中で識別するAPのIDをESSID（俗に言うSSID）と呼ぶ。複数のAPに同じESSIDを設定することで、ローミング（端末が別APの電波エリアへ移動しても繋がる）が可能になる。

APの保守・運用
自律型APにおいて、現地保守以外に昨今ではクラウドに対応した製品であればネットワークにつなげるだけで、細かい設定を遠隔でweb上からGUI操作する事が可能なので、導入ハードルが下がる。

WLC（コントローラー）には様々なポートが存在し、IPアドレスやVLANを設定して管理する。
・冗長ポート　WLC機器の冗長構成が可能。（WLC1-WLC2）
・サービスポート　トラブルシュートやメンテナンスで現地コンソール接続ではなく、SW側をアクセスポートに接続することでリモート保守が可能。ユーザートラフィックとは物理分離されており、輻輳の影響を受けない。
・ディストリビューションシステムポート　ユーザートラフィックを束ねる（SW側はtrunkかつLAGで帯域増も可能）SSIDごとにVLANを分けて管理することが可能。

WPA2の脆弱性「KRACK」の発見により、後継規格のWPA3が登場した。
しかし、このKRACKは攻撃のハードルが高い。
・KRACKは中間攻撃であり、ユーザー端末と正規アクセスポイントの中間に攻撃用アクセスポイントを設置する必要がある。
・正規アクセスポイントと同一のMACアドレスにする必要がある。MACアドレスはユニーク値のため、ソーシャルエンジニアリングなどにより情報を入手し、LINUXベースの特殊なアクセスポインを準備する必要がある。
・ユーザーの端末を確実に攻撃用アクセスポイントに接続させるため、正規のアクセスポイントより電波レベルを高出力にする必要がある。
・そもそもWPAの暗号区間はデバイスとアクセスポイント間でデータリンク部分である。昨今のブラウザはHTTPSが標準であり、攻撃者にパケットキャプチャで盗聴されていてもTLSはトランスポートレイヤーでサーバークライアントのエンドツーエンド通信のため、この攻撃単体でショッピングサイトで入力したパスワードなどの解読は出来ない。

ファイアウォール

パケットフィルタリング型

①スタティックパケットフィルタ
要求と応答パケットのルールを設定。L3SWのACLに似ているが、こちらはネットワークの境界に設置して外部通信とのトラフィックをコントロールイメージ。

②ダイナミックパケットフィルタ
要求ルールのみ設定し、応答パケットは要求パケットに対して動的に通過される。相手起点のパケット通過は拒否される。

③ステートフルパケットインスペクション
ダイナミックパケットフィルタの高機能版で、要求ルールのみ設定するのだが、要求側のふるまい（異常パケット、TPCヘッダのシーケンス不整合など）を検知して遮断する。

パーソナルファイアウォール型

PCにインストールしてプロセスごとに通信をフィルタリングする。ポート番号ごとの通信管理が可能。マルウエアによっては、この機能をオフにして通信させるものがある。

アプリケーションゲートウェイ型

URLフィルタリング、コンテンツフィルタリングが可能。次世代ファイアウォール、Ｌ７ファイアウォールとも呼ばれる。

DKIM、SPF

準備中