なし-IPA独立行政法人情报处理推进机构.PPT

* WebサーバーとWebブラウザーの関係を図にしたものです。 Webブラウザーは、URLが指定されると、そのIPアドレスをDNS（もしくは、ローカル設定ファイル）に参照し、 IPアドレスを引きます（名前解決）。 次に、そのIPアドレスに対し、HTTPリクエストという要求を行います。 Webサーバーは、HTTPリクエストに従い、必要なファイルを送信するか、あるいは、エラーメッセージを送信します。 * Wiresharkをインストールしてみます。 コマンドを実行して、既にインストールされているか確認します。 インストールされていなければ、インストールコマンドを実行します。 * RHEL5、CentOS5の標準デスクトップ環境であるGNOMEのメニューにインストールされます。 インターネットメニューから、Wiresharkを選択します。 rootにパスワードを聞かれますので、打ち込んでください。 Wiresharkの画面が開きます。 次に、Captureメニューから、インターフェースを選択します。 標準の設定では、ローカルループバック（lo）と、イーサネット0（eht0）と、全てが設定されています。 キャプチャーしようとしているインターフェースを選択してください。 ローカルなのか、ホスト間の通信なのか、あるいはわからないのか。 考えてください。 * ローカルホストから、ローカルサーバーへの通信をキャプチャします。 インターフェースloを選択し、表示させます。 実際にtelnetクライアントを接続し、表示がどうなるか調べてください。 結果をまとめてください。 * ホスト#1から、ホスト#2サーバーへの通信をキャプチャします。 インターフェースeth1を選択し、表示させます。 実際にtelnetクライアントを接続し、表示がどうなるか調べてください。 結果をまとめてください。 そして、盗聴者が盗聴するには、ネットワークのどこに、キャプチャをかければいいのかを考えてみなさい。 * 先ほどと逆のtelnet接続を行います。 そして、パケットキャプチャの状態を調べて、パケットがどのように流れているか考えてください。 * TCP Wrapperを使って、アクセス制限をかけます。 /etc/hosts.allowに許可するサービスと、設定ホストを記述します。 /etc/hosts.denyに不許可にするサービスと、設定ホストを記述します。 最後に、元に戻しておきます。 * 6章のまとめです。 暗号化されていないプロトコルがどのように盗聴されるかを考えます。 また、使用する際には、制限をかけておくことも一つの方法です。 パケットが監視できるのは、どのような環境かを考えてください。 また、インターネット上に、盗聴者が存在したらどのようなことができるかを考えてください。 個人情報などは、暗号化されたプロトコルを使うようにしましょう。 * 7章では、セキュアシェルの構築について学びます。 * SSHプロトコルは、暗号化によって、通信経路を盗聴されないための接続プロトコルです。 リモートログインと、ファイル転送の機能があります。 SSHプロトコルには、バージョン1とバージョン2の規格があり、バージョン1は既に破られているので、使わないようにしましょう。 telnetと同じように、クライアントサーバーシステムです。 OpenSSHは、SSHプロトコルのオープンソース実装です。 Linuxディストリビューションには、標準で搭載されていることがほとんどです。 * サーバー側には、ホスト公開鍵と呼ばれる公開鍵がインストールされています。 この公開鍵は、クライアントが接続した時に、必ず、送信されてきます。 ですから、この公開鍵をあらかじめ、保存しておき、 接続してきた時に、送信されてきた公開鍵を比較すれば、 そのホストがなりすましているかどうかを調べることができます。 （もし、一回目の接続の際に既になりすまされている時には、比較方法しても、 なりすましを検知する方法はないことに注意） * この図では、ホスト公開鍵が接続したときに送信されてくるところを図示しています。 * ユーザー認証について説明します。 これは、ホスト側がユーザー単位で認証するためのものです。 二つの方法があります。 一つめは、ユーザー単位に、公開鍵を使用する方法です。 （パスワードは設定しない場合もある。） パスフレーズといって、パスワードより長い文章を、認証に組み合わせることもあります。 二つ目は、パスワード認証の方法です。 * ユーザー単位に、公開鍵、秘密鍵を作成しておかなければなりませ