Mais conteúdo relacionado
おうちねっとわーくのセキュリティ
- 3. 誰?
• 18歳
• 熊本の高専3年生
• コンピュータとかネットワーク,数学とかすき
(できるとは言っていない)
• seccamp2013 NW組
• CTF: decrement++
• Twitter: @y1r96
- 7. ネットワークに接続するもの
• コンピュータ
• 家族用
• 私用
• 会社用*2 (自宅が父の会社で,社員さん持ち込みのPCがある)
• ゲーム機,TV,プリンタ
• VMware vSphere Hypervisor
• CentOSのサーバ群(DNS, DHCP, DB, www, mail,
minecraft)
- 23. VLAN
(Virtual Local Area Network)
• スイッチなどのネットワーク機器の機能により、物理的な接続形態とは別
に仮想的なネットワークを構成することである。スイッチの接続ポートや
MACアドレス、プロトコルなどに応じて、端末のグループ化を実現する。
• 近年、VLANの用途は多様化しているが、最も多いVLANの用途としては
レイヤ3スイッチを用いて、スイッチをルータとしたネットワークを構成し
ているものなどがある。主にブロードキャスト・ドメインの分割による通
信帯域の有効活用を目的として利用される事が多いが、大企業などではス
イッチを用いて部門毎にVLANを設けることでネットワークを分割し、ア
クセスを制限するなどネットワークセキュリティ対策手段としての用途も
ある。
• http://ja.wikipedia.org/wiki/Virtual_Local_Area_Network
- 30. IEEE 802.1Q
• IEEE 802.1 ワーキンググループが策定したネットワーク規
格であり、ブリッジで連結された複数のネットワークで情
報を漏洩させることなく同じネットワークリンクを透過的
に共有する方式である。一般にイーサネットのネットワー
クでのカプセル化プロトコルを使った実装を指す。
http://ja.wikipedia.org/wiki/IEEE_802.1Q
- 31. • TPID (Tag Protocol Identifier)
• IEEE 802.1Q によるタグ付きフレームであることを示すため、0x8100 という値を置く16ビットのフィールド。
• PCP (Priority Code Point)
• IEEE 802.1p で定義された優先度を指定する3ビットのフィールド。フレームの優先度を0(最低)から7(最高)で示し、各種ト
ラフィック(音声、動画、データなど)の優先順位付けに利用できる。
• CFI (Canonical Format Indicator)
• 1ビットのフィールドで、1であればMACアドレスは正規フォーマットではないことを示す。0であれば、MACアドレスは正
規フォーマットである。イーサネットの場合は常に0である。これはイーサネットとトークンリングの相互接続時に使われる。
イーサネットポートでCFIが1のフレームを受信した場合、そのフレームはタグ付けされていないポートへはブリッジされな
い。
• VID (VLAN Identifier)
• 12ビットのフィールドで、そのフレームが属するVLANを指定する。0の場合、どのVLANにも属していないことを意味し、
そのような802.1Qタグは単なる優先度タグ (priority tag) として使われていることになる。0xFFFという値は実装で使用す
るために予約されている。それら以外の全ての値はVLANの識別子として使われるので、最大4094個のVLANを扱える。ブ
リッジでは、1番 (0x001) を管理用に予約していることが多い。
• http://ja.wikipedia.org/wiki/IEEE_802.1Q
IEEE 802.1Q
- 35. 最終的に
• 192.168.A.*: サーバ群
• 192.168.B.*: 自宅ネットワーク
• 全サーバとインターネットへのルーティングを行う
• 192.168.C.*: 会社ネットワーク
• 一部サーバとインターネットへのルーティングを行う
• 192.168.D.*: 来客向けネットワーク
• インターネットへのルーティング
• 192.168.E.*: VPN接続クライアント
• 全サーバとインターネットへのルーティング
- 47. eth0にVLANを設定する場合
$ configure
設定モードに切り替え
# set interfaces ethernet eth0 vif 1
eth0にVLAN ID 1としてNICを追加
# set interfaces ethernet eth0 vif 1 address 192.168.1.1/24
そのNICのIPアドレスを192.168.1.1に設定
# commit
反映
# save
保存
# exit
- 48. eth1にPPPoEを設定する場合
$ configure
設定モードに切り替え
# set interfaces ethernet eth1 pppoe 0
eth1にPPPoEトンネル終端のNICを作成する
# set interfaces ethernet eth1 pppoe 0 user-id hogehoge@example.com
PPPoE接続ユーザIDを設定
# set interfaces ethernet eth1 pppoe 0 password foobar
PPPoE接続パスワードを設定
# commit
反映
# save
保存
# exit