がんばりましょ。
今日覚えたこと
IEEE802.1X(Port-Based Network Access Control)
認証VLANhttp://www.infraexpert.com/study/dot1x.htm
http://www.infraexpert.com/study/wireless14.html
・EAP(Extensible Authentication Protocol)
802.1Xでの認証に利用されるプロトコル
・接続→EAP認証→接続完了の流れ
PPP(Point to Point Protocol)
http://ascii.jp/elem/000/000/337/337668/2点間を結ぶためのプロトコル
純粋なデータリンク層(イーサネットはデータリンク層+ちょっと物理層)
認証はPAPとCHAP
PAP(Password Authentication Protocol)
PPPで使われる。ID、パスワードを暗号化しないで流す。
ゆるゆる。
CHAP(Challenge Handshake Authentication Protocol)
これもPPPで使われる。チャレンジ・レスポンス方式での認証を行う。
送られてきたチャレンジに対して特定の処理をしてレスポンスを作る。
それを使って認証する方式。毎回パスワードが変わる感じ。
PAPよりいい感じ。
PPPoE(PPP over Ethernet)
http://itpro.nikkeibp.co.jp/article/COLUMN/20060424/236003/Ethernetは認証の仕組みもってない。
そんなEthernet上でPPPの認証を使えるようにするためのもの。
PPPフレームにPPPoEヘッダを付け、それをイーサネットフレームで挟んで通信する。
EAP認証(Extensible Authentication Protocol)
PPPを拡張した認証方式。いろんな認証方法がある。
・EAP-MD5
ID,パスワードによる認証方式。無線LANでは安全じゃない。
・EAP-TLS(Transport Layer Security)
デジタル証明書による認証。USBトークンなどと組み合わせる場合が多い。無線LANでも大丈夫。
・PEAP(Protected EAP)
ID,パスワードによる認証。SSLと同じ暗号化技術を利用。認証行程も暗号化されている。
認証サーバにデジタル電子証明書が必要。だけど無線LANでも安全。
・LEAP(Lightweight EAP)
CISCOの何か。
・EAP-TTLS(EAP-Tunneled Transport Layer Security)
FuncSoftwareの何か。
EAP-TLS(Transport Layer Security)
無線LANの認証とかに使われる。
イメージはこんな感じ↓。
[PC] ---(EAPOL)--- [無線AP] ---(RADIUS)--- [認証サーバ]・PCと無線AP間はEAPOLフレームとして送られる。
EAPOLはレイヤ2
・無線APと認証サーバ間はRADIUSパケットとして送られる。
・無線APが認証しているわけではない。変換してスルーしてるだけ。
EAPOL(EAP over LANs)
http://www.infraexpert.com/study/dot1x.htmEAPをレイヤ2のフレームに入れてやりとりするためのプロトコル
無線APとPC間などでやりとりする。
RADIUS(Remote Authentication Dial-In User Service)
EAPをレイヤ3のパケットに入れてやりとりするためのプロトコル無線APと認証サーバー間でやりとりする。
VPN-GW(Virtual Private Network GateWay)
外部からVPN通信をする装置IEEE802.11i
無線LANでセキュリティを確保するための標準仕様。IEEE802.11a/b/gで利用可能
・暗号化方式
TKIP(WEPの脆弱性を改善したもの)
CCMP(AESを利用)
・認証方式
IEEE802.1X
ざっくりいうと
802.11i = AESによる暗号化+TKIPの鍵交換管理+802.1X認証
らしい。はぁ…
・WPA2
IEEE802.11iとは別物だが中身はほぼ同じ。こっちはWiFiアライアンスが標準化した。
・CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance)
搬送波感知 多重アクセス / 衝突回避無線で利用。
これはもう分かった。
・RTS/CTS(Request To Send/Clear To Send)
・CSMA/CA方式を使っても、位置関係や障害物の有無によって事前確認できない場合がある。・CSMA/CAに加えてRTS/CTSを使う。
・送信したい端末はデータ送信前にRTSフレームを送る。
・RTSを受け取ったAPはCTS全端末に配信する。
・CTSを受け取った端末は待機する。(衝突回避)
・衝突はどうしても起きちゃうので、必ず受信側はACKを返送する。
ACKが受け取れない場合は衝突が起きたと判断し、再送する。
・無線APがCTSを送信するが、送信端末がCTSを送る方式もある(自己CTS)
なるほどねぇ。
・CSMA/CD(Carrier Sense Multiple Access/Collision Detection)
搬送波感知 多重アクセス / 衝突検知イーサネットで利用。
・衝突を検知したらジャム信号を流す。
・ジャムを受け取ったら衝突してるので一定時間待って再送する。
無線LAN規格
IEEE802.11a 5GHz 最大54MbpsIEEE802.11b 2.4GHz 最大11Mbps
IEEE802.11g 2.4GHz 最大54Mbps
IEEE802.11n 2.4GHz、5GHz 最大300Mbps
PKI(Public Key Infractructure)
公開鍵基盤CRL(Certificate Revocation List)
失効リストCA(認証局)で管理する。
電子証明書を無効化するためのブラックリスト。
認証サーバがCAにあるCRLを確認し、失効されてないか確認する。
今日のまとめ
午後問やばすぎでしょ。芋づる式に分からん言葉がどんどん出てくる。午後問1を説き始めてから解説読んで理解しきるまでに4時間半かかった。
このペースだとやばい…どうしよ。
