Open rainit2006 opened 4 years ago
認定情報速度と呼ばれ、フレームリレーサービスにおいて、軽輻輳時においても最低限保証される伝送速度を表す。多くの商用FRサービスにおいて、アクセス回線速度とともに、CIRは料金計算に用いられる。
Fiber-distributed data interface (FDDI).
a standard for data transmission in a local area network.
The FDDI 1 protocol is based on the token ring protocol.
FDDI is a token-passing network that uses a pair of rings with traffic flowing in opposite directions.
FDDI 2 is an extended version of FDDI. It extends FDDI by adding capability to handle voice and video signals.
Further, FDDI-2 has a new mode of operation called the Hybrid Mode. In addition to asynchronous and synchronous types of frames, hybrid mode uses a 125 microsecond cycle to transport isochronous traffic.
FDDI-2 provides fixed bandwidth that can be allocated for specific applications. This makes it work more like a broadband connection, allowing voice, video, and data to travel over the same lines.
When Voice over IP (VoIP) is used, it employs the Session Initiation Protocol (SIP), which sets up and breaks down the call sessions, just as SS7 does for non-IP phone calls. SIP is an application layer protocol that can work over TCP or UDP. SIP provides the foundation to allow the more complex phone-line features that SS7 provides, such as causing a phone to ring, dialing a phone number, generating busy signals, and so on. SIP(Session Initiation Protocol,会话初始协议)是由IETF(Internet Engineering Task Force,因特网工程任务组)制定的多媒体通信协议。它是一个基于文本的应用层控制协议,用于创建、修改和释放一个或多个参与者的会话。广泛应用于CS(Circuit Switched,电路交换)、NGN(Next Generation Network,下一代网络)以及IMS(IP Multimedia Subsystem,IP多媒体子系统)的网络中,可以支持并应用于语音、视频、数据等多媒体业务,同时也可以应用于Presence(呈现)、Instant Message(即时消息)等特色业务。
VoIPとは、インターネット上で音声データを送受信するための技術です。 IP電話をする際、VoIPゲートウェイという機器を用います。VoIPゲートウェイが音声信号をデジタル化し、IPパケットに変換します。 音声情報をパケット化する前に電話を接続するための処理を行わなければなりません。その際に使われるプロトコルが「SIP」です。SIPとは、データをパケット化して送信する際に必要な「呼制御」を行うためのプロトコルです。 VoIP是技术的泛称,SIP是协议。
UDP/IPベースのネットワーク監視、ネットワーク管理を行うためのプロトコルです。ルーター、スイッチなどのネットワーク機器、WindowsやUNIXサーバーなどの状態監視、リソース監視、パフォーマンス監視、トラフィック監視を行うために使用します。 SNMPコミュニティとは、SNMPで管理するネットワークシステムの範囲のことです。
SNMP v3: ユーザ単位の暗号化されたパスワード認証。SNMPトラップにおける再送確認あり。
STP(Spanning Tree Protocol)は、円環上(ループ状)に形成されたレイヤー2ネットワークにおいて データトラフィックが永続的に流れ続けることを防止するプロトコルです。
A deterministic, i.e., noncontentious, access method used in Token-Passing Ring,Token Ring, and Token Bus local area networks (LANs). The token, which consists of a specific bit pattern, indicates the status of the network -- available or unavailable. The token is generated by a centralized master control station and transmitted across the network.
IP version 6, also called IP next generation (IPng), has an address space of 128 bits, auto-configuration (which makes administration easier), and IPsec integrated, but it does not require NAT. NAT was developed when |Pv4 addresses were running out. The IP address size could make NAT obsolete for the purpose of saving public addresses.
IPv6 over IPv4トンネリングプロトコル: Teredo,6to4. 6to4ではIPv4グローバルアドレスが6to4クライアントに割り当てられているか、 接続しているネットワークに6to4リレールータが存在する必要があります。 それに対して、 TeredoではTeredoクライアントがNATによってIPv4グローバルインターネットから隔離され、 IPv4プライベートアドレスしか割り当てられていなくても、 IPv6による通信が可能な点が特徴として挙げられます。 Teredo: Tunneling IPv6 over UDP through Network Address Translations Teredoは、IPv6パケットをIPv4のUDPパケットにカプセル化し、 複数のIPv4 NATを超えてIPv6の通信を行えるように設計されています。
IPv6 multicast addresses are defined in "IP Version 6 Addressing Architecture" [RFC4291]. This defines fixed scope and variable scope multicast addresses. Similar to a unicast address, the prefix of an IPv6 multicast address specifies its scope, however, the set of possible scopes for a multicast address is different. The 4-bit sc (or scope) field (bits 12 to 15) is used to indicate where the address is valid and unique.
https://www.infraexpert.com/study/ipv6z4.html
スコープフィードについて https://www.infraexpert.com/study/ipv6z10.html
DHCP Snoopingは、DHCPサーバーとDHCPクライアントでやり取りされるDHCPパケットをAPRESIAでスヌーピング(覗き見)し、端末に払い出されたIPアドレス情報をもとに、DHCPクライアントが接続されたポートに対して、払い出されたIPアドレスを送信元とする通信を許可する機能です
DHCP snooping is a layer 2 security technology built into the operating system of a capable network switch that drops DHCP traffic determined to be unacceptable. The fundamental use case for DHCP snooping is to prevent unauthorized (rogue) DHCP servers offering IP addresses to DHCP clients.2 SIP(Session Initiation Protocol)は、アプリケーション層で2つ以上の相手に対して、音声や映像、テキストメッセージの交換などを行うために必要なセッションの生成・変更・切断を行うプロトコルです。
A community string is basically a password a manager uses to request data from the agent, and there are two main community strings with different levels of access: read-only and read-write. As the names imply, the read-only community string allows a manager to read data held within a device’s MIB, and the read-write string allows a manager to read the data and modify them.
Internet Group Management Protocol (IGMP) とは、IPネットワーク上でマルチキャスト(特定の一対多または多対多通信)を行うために、マルチキャストに参加するホストのグループを設定し、ネットワークに通知するための通信プロトコルである。
MPLS( Multi-Protocol Label Switching )は、ラベルと呼ばれるタグを使用したパケット転送技術です。 MPLSではIPv4、IPv6、IPXなど様々なプロトコルに対応したラベルを付加しデータをスイッチングできます。 MPLS (Multiprotocol Label Switching) is a high-throughput high-performance network technology that directs data across a network based on short path labels rather than longer network addresses. This technique saves significant time over traditional IP-based routing processes, which can be quite complex. Furthermore, MPLS is designed to handle a wide range of protocols through encapsulation. Thus, the network is not limited to TCP/IP and compatible protocols. This enables the use of many other networking technologies, including T1/E1, ATM, Frame Relay, SONET, and Digital Subscriber Line (DSL).
The data link layer has two sub-layers, the Logical Link Control (LLC) and Media Access Control (MAC) layers. The LLC provides a standard interface for whatever network protocol is being used. This provides an abstraction layer so that the network protocol does not need to be programmed to communicate with all of the possible MAC level protocols (Ethernet, Token Ring, WLAN, FDDI, etc..)
一组用于在网络结点间传送数据的协议。各项数据和控制信息都以比特为单位,采用“帧”的格式传输。 IBM提出的SDLC,ISO建议的HDLC。PPP协议就是基于HDLC的。 PPP 协议是在高级数据链路控制协议(HDLC)的基础上设计的,因此,其基本格式与 HDLC 相同,只是地址域和控制域已经被固定。
在HDLC协议中,有三种不同的站点类型,分别是:主站、从站、复合站。
RSTパケットとは、TCPで接続を中断・拒否する際に送られるパケット。TCPヘッダの制御フラグでRSTフィールド(RSTフラグ)が1にセットされたパケットのこと。接続要求を拒絶したり、確立された接続を一方的に切断する際に送られる。
the unauthorized access of information from a wireless device through a Bluetooth connection, often between phones, desktops, laptops, and PDAs (personal digital assistant).
Both Bluesnarfing and Bluejacking exploit others' Bluetooth connections without their knowledge. While Bluejacking is essentially harmless as it only transmits data to the target device, Bluesnarfing is the theft of information from the target device.
The countermeasure is to put the device into "nondiscoverable" mode.
A gap in WAP between WTLS(Wireless Transport Layer Security) decryption and SSL/TLS encryption where data is plaintext.
携帯電話などのデバイスでインターネット閲覧などのサービスが行えるようにする為の技術仕様である。 wap是Wireless Application Protocol 即:无线应用协议。那个时候基本上pc站是没法在手机上打开,手机上的wap站在pc上访问也非常不方便。 wap面临着淘汰。
WAP 1.xのプロトコルは、より低速で遅延性の高い携帯電話ネットワークに最適化するという意図のもと、WTP(ワイヤレストランスポートプロトコル)、WSP(ワイヤレスセッションプロトコル)、WTLS(ワイヤレストランスポートレイヤーセキュリティ)などがIP層の上位にのせられることになった。これらのプロトコルは携帯電話の世界でしか使われず、また、TCP/IPの対応するプロトコルと比べるとかなり複雑なものであって、その効果と存在理由について主にインターネット側から多くの批判がなされてきた。WAP 2.0でWAP自体がトランスポートプロトコルとしてTCPを併記する形で採用し、最終的にこの論争には終止符が打たれた。
https://eset-info.canon-its.jp/malware_info/special/detail/151117.html WEP的安全性问题--IV:
実はこのIVの値は、あまり役に立たないことが後になって判明する。暗号解読の難易度は、暗号鍵の長さと暗号化するアルゴリズムの複雑さによって決まるのだが、WEPの場合、1)もともとの秘密鍵がいつも同じであること、2)しかも、それが場合によっては40ビットしかなく解読されやすいこと、そして、3)IVの数値が暗号化されずにデータに付加されて送られること、さらに、4)IVに対して実際に毎回異なる数値を使用していたとしても、通常のデータのやりとりならば6時間程度で一巡してしまうので、また同じ数値を使わねばならないこと、この4点によって、送信データが傍受された場合、いともたやすくデータを第三者に読まれてしまうのである。
目的是为了替代不安全的WEP,但是它后来发现也存在脆弱性。于是后来发展了WPA2或802.11i
目前被认为是安全的。 WPA2中使用更强的AES(Advanced Encryption Standard)加密算法取代WPA中的RC4,也使用了更强的完整性检验算法CCMP。 到现在,一共有三种认证方法:开放式认证、预共享密钥(PSK)认证、802.1X认证。 现在,在路由器设置的加密方式里看到wpa-personal、wpa2-personal、wpa-enterprise、wpa2-enterprise时就不会晕了。 personal指的PSK认证,enterprise指的便是802.1X认证。
WPA3には「個人用(WPA3-Personal)」と「企業用(WPA3-Enterprise)」の2種類があります。 WPA2にはKRACKsと呼ばれる深刻な脆弱性がありました。これは攻撃者が中間者攻撃をしかけることにより、暗号化通信の盗聴や改ざんが行われてします脆弱性です。
認証方式 | クライアント認証 | サーバ認証 | 認証局 | 動的WEP | セキュリティ | 特徴 |
---|---|---|---|---|---|---|
MD5 | ユーザ名/パスワード | なし | 不要 | 不可 | × | ・ Windows PCで標準搭載 ・ チャレンジレスポンスによる認証 ・ サーバ認証なし、WEPキーは固定 |
LEAP | ユーザ名/パスワード | ユーザ名/パスワード | 不要 | 可 | △ | ・ Cisco独自の認証方式 ・ EAP-MD5よりもセキュリティが高い ・ 辞書攻撃による脆弱性が発覚 |
EAP-FAST | ユーザ名/パスワード | ユーザ名/パスワード | 不要 | 可 | ○ | ・ Cisco独自の認証方式 ・ 辞書攻撃による脆弱性を解消 ・ セキュリティレベルが高く認証局も不要 |
TLS | 証明書 | 証明書 | 必要 | 可 | ◎ | ・ Windows PC で標準搭載 ・ 最もセキュリティレベルの高い方式 ・ 証明書発行などのスキルが要求される |
TTLS | ユーザ名/パスワード | 証明書 | 必要 | 可 | ○ | ・ 対応していないWindows製品がある ・ ユーザIDと証明書のハイブリッド認証 ・ TLSの拡張版 |
PEAP | ユーザ名/パスワード | 証明書 | 必要 | 可 | ○ | ・ Windows PCで標準搭載 ・ ユーザIDと証明書のハイブリッド認証 ・ 人気のある認証方式 |
IEEE 802.1Xを使った認証システムは、以下のものから構成される。
IEEE 802.1Xを使った認証動作は以下の3段階からなる。
802.1Xに使用できるEAPはいくつかあるが、サプリカントと認証サーバの両方が対応している必要がある。
EAP-TLS | EAP-TTLS | EAP-PEAP | |
---|---|---|---|
概要 | ・セキュリティ強度が高い・相互に電子証明書を発行するため、電子証明書の発行および管理負担とコストがかかる | ・EAP-TLSを拡張したもの・クライアント証明書の管理の必要がなく、手軽な方式・ユーザーは、ユーザー名とパスワードを覚える必要があり、万が一ユーザー名とパスワードが盗まれた場合、不正アクセスされる危険性有 | ・EAP-TTLSと認証手順および認証方式がほぼ同じだが、EAP-PEAPは、Windows7には標準搭載している |
セキュリティ強度 | ◎ | ○ | ○ |
端末側の認証 | 電子証明書 | ID/パスワード | ID/パスワード |
サーバー側の認証 | 電子証明書 | 電子証明書 | 電子証明書 |
IEEE 802.1X 是 IEEE 制定关于用户接入网络的认证标准,它为想要连接到 LAN 或 WLAN 的设备提供了一种认证机制,通过EAP协议(Extensible Authentication Protocol)进行认证,控制一个端口是否可以接入网络。 802.1X工作在二层,加上EAP只是一个框架,可以由厂商实现具体的认证方法,因此具有非常好的扩展性,在办公网络的很多方案中得到应用。不同的厂商也衍生出一大堆LEAP、PEAP、EAP-TLS、EAP-MD5等等具体的认证协议。
制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。 IEEE 802.1X是根据用户ID或设备,对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。 它采用RADIUS(远程认证拨号用户服务)方法。
使用802.1X的系统为典型的客户端/服务器的体系结构,包括3个实体,分别是客户端、设备端和认证服务器。 (1)客户端:局域网用户终端设备,但必须是支持局域网可扩展认证协议EAPOL的设备,可通过启动客户端设备上安装的802.1x客户端软件(Windows XP系统自带客户端)发起802.1x认证。 (2)设备端:支持802.1x协议的网络设备(如交换机),对所连接的客户端进行认证。它为客户端提供接入局域网的端口。 (3)认证服务器:为设备端802.1x协议提供认证服务的设备,是真正进行认证的设备,实现对用户进行认证、授权和计费,可以是交换机设备端自带的本地认证,但通常为RADIUS服务器或者TACACS服务器。
802.1x协议规定在完成认证之前是不允许信息交互的,因此手持终端与AC在认证之前只能通过802.1x协议规定的EAP(Extensible Authentication Protocol,可扩展认证协议)帧交换认证信息。 目前大多数手持终端都支持基于802.1x的EAP认证,输入相应的用户名密码,即可自动完成认证,这种方式称为EAP-PEAP,即Protected-EAP(受保护的可扩展的身份验证协议)。 已被Wi-FI联盟WPA和WPA2批准的有两个子类型:PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一个框架协议,目前业界使用最广的是由微软提出的PEAP-MSCHAPV2协议,又被称作MS-PEAP,也就是我们在iPhone上看到的WPA/WPA2企业级认证方式。
PPTP, L2F, L2TP, and IPsec are the most common VPN protocols. SPAP is the Shiva Password Authentication Protocol sometimes used with PPTP.
PPP carries out several functions, including the encapsulation of multiprotocol packets. It has a Link Control Protocol (LCP) that establishes, configures, and maintains the connection. Network Control Protocols (NCPs) are used for network layer protocol configuration, and it provides user authentication capabilities through PAP, CHAP, and EAP protocols.
The LCP is used to carry out the encapsulation format options, handle varying limits on sizes of packets, detect a looped-back link and other common misconfiguration errors, and terminate the link when necessary. LCP is the generic maintenance component used for each and every connection. So LCP makes sure the foundational functions of an actual connection work properly, and NCP makes sure that PPP can integrate and work with many different protocols. PPP has to “plug in” and work with different network layer protocols, and various network layer protocol configurations have to change as a packet moves from one network to another one. So PPP uses NCPs to be able to understand and work with different network layer protocols (IP, IPX, NetBEUI, AppleTalk).
PAP(密码认证协议)和CHAP(挑战握手认证协议)。 PAP: PAP 密码认证协议又称为二次握手协议。比如有两台路由器相连:R1--------------R2,其中R1为主,R2为被动。之时就需要R2 给 R1 发送用户名密码。即Authentication- request 被认证方主动发送给主认证方,包含用户名密码,都是明文表示。主认证方收到后,在他的 AAA 数据库里包含用户名密码条目做一个匹配,匹配成功会返还 Authentication-ACK,失败返还 Authentication-NAK。
CHAPとは、PPPなどで利用される認証方式の一つ。パスワードを原文(平文)のまま送るのではなく、ハッシュ化して送ることで伝送路上での盗み見、漏洩を防止する。 CHAP也称为三次握手协议,密文认证。 Challenge:主认证方给被认证方发送,包含随机数(防止重放攻击)、报文 IP(用来做确认,是否包含主认证方的用户名是可选的)。 Response: 被认证方给主认证方发送的回应 包含用户名(被认证方接口配置的用户名)、散列值(密码:接口配置的密码+随机数+会话 ID、执行 MD5 计算),会话 ID(表示我这个 Response 是关于你 Challenge 的回应)主认证方收到后,做一个匹配,成功返还 success、失败返还 failure。
送信元のPCのことをPACといいます。 受信側のサーバのことをPNSといいます。 GRE: Generic Routing Encapsulation
The more recently developed tunneling protocol, L2TP, allows for tunneling over frame relay and ATM as well as TCP/IP. PPTP can work only over IP networks. PPTP can encapsulate data other than IP, but it can move data only over networks that use the IP protocol.
L2F: UDPを利用するトンネル技術ですが現在はあまり使われていません。 L2TPは、PPTPとL2Fをあわせたトンネル技術です。
为什么说L2TP会取代PPTP? L2TP can use IPsec to provide encryption of traffic, ensuring confidentiality of the traffic carried via an L2TP VPN. PPTP sends the initial packets of a session in plaintext, potentially including usernames and hashed passwords.
https://www.zhihu.com/question/279686051 L2TP 是为了PPP协议而存在的,PPP是为了解决远程用户访问企业网络时的用户认证问题。 而L2TP是明文的的,所以需要再加上IPSec进行加密处理。
PPP是一种链路层协议,这种协议最大的优势是可以支持用户名+密码方式的链路层认证。因此,如果希望接入VPN服务器的时候,可以针对不同的用户进行权限验证等需求,IPSEC是很难支持的。
SOCKS is an Internet protocol that exchanges network packets between a client and server through a proxy server. SOCKS performs at Layer 5 of the OSI model (the session layer), A SOCKS server accepts incoming client connection on TCP port 108。
https://it-trend.jp/waf/article/162-0020
https://dev.classmethod.jp/articles/getting-started-waf/
以太网(Ethernet)
Ethernet は LAN (Local Area Network: ローカルエリアネットワーク) の一種です。LAN 用の L2 通信は今は Ethernet が主流であるため、LAN = Ethernet と解釈されることも多いです。
Ethernet uses a bus topology. While devices may be physically connected to a switch in a physical topology that looks like a star, systems using Ethernet can all transmit on the bus simultaneously, possibly leading to collisions.
Network convergence refers to the provision of telephone, video and data communication services within a single network. In other words, one company provides services for all forms of communication. Network convergence is primarily driven by development of technology and demand.
以太网(Ethernet)
IEEE 802.11iとは、Wi-Fi(無線LAN)における通信の暗号化や認証など、セキュリティ技術の仕様を定めて標準規格の一つ。
IEEE 802.1Xは、有線/無線のEthernetで認証システム(正確に書けばPort-Based Network Access Control)を構築するための標準規格である。
IEEE 802.11iとは、Wi-Fi(無線LAN)における通信の暗号化や認証など、セキュリティ技術の仕様を定めて標準規格の一つ。2004年6月にIEEEによって策定された。
従来のWEPによる暗号化が脆弱であることから、新たな暗号化の標準としてTKIP(Temporal Key Integrity Protocol)やAES(Advanced Encryption Standard)、CCMP(Counter mode with CBC-MAC Protocol)などの技術が採用された。
利用者や機器の認証方式として、有線LANや通信サービスにも用いられるEAP(Extensible Authentication Protocol)およびIEEE 802.1Xが採用された。これにより認証情報をより安全に交換でき、大規模ネットワークにおいて認証サーバによる認証の一元管理が可能となった。
業界団体のWi-Fi Allianceでは、IEEE 802.11iのドラフト版(草案)の仕様を元に2002年にWPA(Wi-Fi Protected Access)を、完成した規格の仕様を元に2004年にWPA2(Wi-Fi Protected Access 2)を策定し、対応機器の試験や認証を行っている。
新名称 | 規格名 | 最大通信速度 | 周波数 |
---|---|---|---|
Wi-Fi 6 | IEEE 802.11ax | 9.6Gbps | 2.4GHz帯/5GHz帯 |
Wi-Fi 5 | IEEE 802.11ac | 6.9Gbps | 5GHz帯 |
Wi-Fi 4 | IEEE 802.11n | 600Mbps | 2.4GHz帯/5GHz帯 |
-- | IEEE 802.11g | 54Mbps | 2.4GHz帯 |
-- | IEEE 802.11a | 54Mbps | 5GHz帯 |
-- | IEEE 802.11b | 11Mbps | 2.4GHz帯 |
-- | IEEE 802.11 | 2Mbps | 2.4GHz帯 |
WPA认证基本是最常见的一种无线接入认证方式,其版本分为WPA和WPA2,二者的区别在于加密算法:WPA使用TKIP,而WPA2使用AES。WPA和WPA2指的是版本上的区别,目前WPA3已经在2018年发布,其目的也是取代WPA2。
WPA包括两种认证:WPA/WPA2-PSK(即WPA/WPA2-个人)、WPA/WPA2-802.1x(即WPA/WPA2-企业)。WPA-个人版是我们生活中家用WiFi最常用的一种认证方式,而802.1x认证的方式通常存在于企业等大型网络认证,因为其需要特定的802.1x认证服务器,但就安全性而言802.1x认证方式要强很多,几乎是几种安全认证中最强的。
Devices: WAN switch, CSU/DSU Technologies:
older packet-switching technology, use PVC(Permanent Virtual Circuit)s.
是一种思想,是为了实现网络控制平面和数据平面解耦的技术统称。实现数控分离。 在传统网络中,控制平面功能是分布式的运行在各个网络节点中的,如果想支持一个新的网络功能,就必须将所有网络设备进行升级,这极大地限制了网络创新,更不符合云计算网络中快速变更和迭代的需求。数控分离后,数据平面只需要关注通用的转发,尽可能的利用各种技术提高封包、拆包和转发的速率,控制平面则专注于抉择转发路径,同时扩展、迭代新功能以便支持业务需求。
Software-defined networking(SDN) separates the control plane from the data plane. Network devices then do not contain complex logic themselves but receive instructions from the SDN.
Centralized SDN Controller Architecture
https://www.designet.co.jp/faq/term/?id=UkFESVVT44K144O844OQ
従来、RADIUSサーバでよく使われていた認証方式は、PAPとCHAPです。
RADIUSサーバ側のSSL証明書だけを使って、通信経路を暗号化するEAP-PEAPという拡張暗号方式もよく使われています。
OSSのFreeRADIUS。 Red Hat Enterprise Linuxなどにも同梱されていて、比較的簡単に入手することができます。
https://docs.grapecity.com/help/securemail-dotnet-4/MailProtocolsOverview.html https://docs.grapecity.com/help/securemail-dotnet-4/BriefHistory.html
現在の E メールモデルは、SMTP、POP、IMAP、MIME(およびその他の数多くの技術)の複合体です。メッセージ送信には SMTP が、受信側メールサーバー上で、ダウンロードを待つメッセージをキューイングするには POP が、受信側メールサーバー上でメッセージを保管し、サーバー側からの操作を可能にするためには IMAP が、ASCII 以外のデータの送信方法を定義するには MIME がそれぞれ使用されています。次の図は、この関係を示します。
an email security standard that offers authentication and confidentiality to email through public key encryption and digital signatures. Authentication is provided through X.509 digital certificates. Privacy is provided through the use of Public Key Cryptography Standard (PKCS) encryption.
Two types of messages can be formed using S/MIME: signed messages and secured enveloped messages. A signed message provides integrity, sender authentication, and nonrepudiation. An enveloped message provides integrity, sender authentication, and confidentiality.
provide authentication, confidentiality, integrity, and nonrepudiation for email messages. MOSS employs Message Digest 2 (MD2) and MD5 algorithms; Rivest–Shamir–Adleman (RSA) public key; and Data Encryption Standard (DES) to provide authentication and encryption services.
an email encryption mechanism that provides authentication, integrity, confidentiality, and nonrepudiation. PEM uses RSA, DES, and X.509.
a means to assert that valid mail is sent by an organization through verification of domain name identity. 用来确保发件人地址真实存在,邮件内容未被篡改。
a public- private key system that uses a variety of encryption algorithms to encrypt files and email messages.
To protect against spam and email spoofing. SPF operates by checking that inbound messages originate from a host authorized to send messages by the owners of the SMTP origin domain.
DKIM和DMARC以及SPF一样,都是用来防止在邮件中进行网络钓鱼攻击的主要方法。
SPF: 判断邮件来源的IP DKIM: 原理是由发送域的邮件服务器在邮件中添加数字签名,收件方通过数字签名判断邮件是否被修改。 DMARC: 将确认收件栏中的邮箱是否和SPF以及DKIM中的邮件域是否相匹配。SPFやDKIMの認証が失敗した場合の対応策を定めたもの。送信側は受信側の認証失敗時の推奨アクションをDNSに「DMARCポリシー」として宣言しておき、受信側は認証失敗時にこのDMARCポリシーを参照して、受信メールをどう扱う(拒绝,隔离,接受)か判断します。
这三种方法都是基于DNS来提供策略的,即域的所有者需要将域中所需要的策略添加到DNS设置的特殊的SPF当中。
DKIMでは電子署名を使って認証を行います。
一般来说都是由私网内主机主动发起连接,数据包经过NAT地址转换后送给公网上的服务器,连接建立以后可双向传送数据,NAT设备允许私网内主机主动向公网内主机发送数据,但却禁止反方向的主动传递,但在一些特殊的场合需要不同私网内的主机进行互联(例如P2P软件、网络会议、视频传输等),TCP穿越NAT的问题必须解决。
peer-to-peer mode, independent mode, IBSS ( Independent Basic Service Set ) Don't require AP(access point).
A teardrop attack uses fragmented packets to target a flaw in how the TCP stack on a system handles fragment reassembly. If the attack is successful, the TCP stack fails, resulting in a denial of service. パケットの分割と再構築の機能を悪用したDos攻撃の一種です。 パケットを再構築する際に参照するフラグメントオフセットの値を改ざんすることで受信側のIPモジュールに異常動作を起こさせてサービスを不能状態にしてしまう攻撃をTeardropといいます。 最大伝送単位(MTU)を超えるパケットは分割されて送信されるが、分割されたパケットを組み立てるためのオフセット情報に故意に不整合な値をセットし、送信先のコンピュータを誤動作させる攻撃。
Christmas tree attacks set all of the possible TCP flags on a packet, thus “lighting it up like a Christmas tree. 参考:https://medium.com/cryptogennepal/did-you-know-about-the-xmas-attack-c6daae776a0e
DoS攻撃(サービス拒否攻撃)のひとつ。SYN flood 攻撃は、 TCP接続時にACK返答の操作を意図的に行わないようにして、サーバを「中途半端な」状態にすることである。SYN flood攻撃をおこなう (悪意ある) クライアントは、サーバに大量の SYN パケットを送ったあと、サーバから返された SYN ACK パケットを無視して、そのまま放置する。
対策:SYN proxies,which limit the number of open and abandoned network connections. The SYN proxy is a piece of software that resides between the sender and receiver, and only sends TCP traffic to the receiving system if the TCP handshake process completes successfully.
Crosstalk occurs when data transmitted on one set of wires is picked up on another set of wires.
Spam over Internet Telephony (SPIT) attacks against VoIP.
Basic RPC does not have authentication capabilities, which allows for masquerading attacks to take place. Secure RPC (SRPC) can be implemented, which requires authentication to take place before remote systems can communicate with each other. Authentication can take place using shared secrets, public keys, or Kerberos tickets.
RPC 呢,是 Remote Procedure Call Protocol 的简写,它可以实现客户端像调用本地服务(方法)一样调用服务器的服务(方法)。而 RPC 可以基于 TCP/UDP,也可以基于 HTTP 协议进行传输的。
Distance-vector protocols use metrics including the direction and distance in hops to remote networks to make decisions. 隣接するルータ間でルーティングテーブル(経路表)を交換し合い、どの隣接ルータを経由すれば最短のホップ数で宛先に届くかを基準に経路を指定する方式。RIPやIGRPなどが採用している。
RIP(Routing Information Protocol ,路由信息协议),是应用较早使用较为普遍的内部网关协议(Internal Gateway Protocol , 简称IGP)。是基于UDP,端口520的应用层协议。 适用范围:小型同类网络,是典型的距离矢量协议 距离:[ --R1------R2------2.2.2.0/24 ] 如图,对于路由器R1来说发送数据包到达2.2.2.0/24网段,就有1跳(距离)。 矢量:也就是方向的意思,也就是路由器应该往哪个方向或者说是使用哪个接口转发数据包。 https://zhuanlan.zhihu.com/p/110599663 https://www.zhihu.com/question/62872429
A link-state routing protocol considers the shortest distance to a remote network. どのルータとどのルータが隣接しているかという接続情報(リンクステート)を交換し合い、この情報の集合に基づいて経路を選択する方式(この接続情報を元に、宛先までの最短の経路を探索して経路を決定する。)。OSPFやIS-ISなどが採用している。 OSPF比RIP强大的地方是,OSPF对整网的拓扑结构了如指掌,一旦某一条路径断了,可以及时选择备份链路,对通信的影响小。
XXyyyyZZ.
ウォードライビング (war driving) は、自動車などで移動しながら無線LANのアクセスポイント(AP)を探す行為である。 Warbiking, warcycling, warwalking and similar use the same approach but with other modes of transportation.
the process of investigating the presence, strength, and reach of wireless access points deployed in an environment.
An evil twin attack is a hack attack in which a hacker sets up a fake Wi-Fi network that looks like a legitimate access point to steal victims’ sensitive details.
RFC 1918 defines the following address ranges as private,
The IP address 127.0.0.1 is a loopback address and will resolve to the local machine.
127.0.0.1 is a public address, non-RFC 1918, non-reserved addresses.
ループバックアドレスはネットワーク上において自分自身を表す仮想的なアドレスであり、IPv4においては「127.0.0.1」、IPv6においては「::1」(0:0:0:0:0:0:0:1)が使われる。また、ホスト名としては慣用的に「localhost」が用いられる。
所以可以执行“ping 127.0.0.1”来检测自己PC的TCP/IP通信是否有效。
An APIPA address is a self-assigned address used when a DHCP server cannot be found. APIPA(Automatic Private IP Addressing,Auto IP) 169.254.0.0到169.254.255.255是B类网中保留地址,不是RFC 1918定义的私有地址。 如果你的IP地址是自动获取IP地址,而你在网络上又没有找到可用的DHCP服务器,这时你将会从169.254.0.1到169.254.255.254中临时获得一个IP地址。 如果系统里存在DHCP服务器的时候,APIPA是一个DHCP故障转移机制。当DHCP服务器出故障时, APIPA在169.254.0.1到 169.254.255.254的私有空间内分配地址,所有设备使用默认的网络掩码255.255.0.0。客户机调整它们的地址使用它们在使用ARP的局域网中是唯一的。APIPA可以为没有DHCP服务器的单网段网络提供自动配置TCP/IP协议的功能。
AT&T designed its T-carrier system to allow the grouping of individual channels together into larger units. A T2 line, for example, consists of four aggregated T1 lines. Similarly, a T3 line consists of 28 T1 lines. The system defined five levels — T1 through T5:
Name | Capacity (maximum data rate) | T1 multiples |
---|---|---|
T1 | 1.544 Mbps | 1 |
T2 | 6.312 Mbps | 4 |
T3 | 44.736 Mbps | 28 |
T4 | 274.176 Mbps | 168 |
T5 | 400.352 Mbps | 250 |
中文通常译作“强制主页”或“强制登录门户”。是一个登录Web页面,通常由网络运营商或网关在用户能够正常访问互联网之前拦截用户的请求并将一个强制登录或认证主页呈现(通常是通过浏览器)给用户。该页面可能要求用户输入认证信息、支付、接受某些条款或者其他用户授权等,随后用户才能被授权访问互联网。该技术广泛用于移动和个人宽带服务,包括有线电视、商业WiFi、家庭热点等,也可用于访问企业和住宅区有线网络。 https://www.jianshu.com/p/b4da31480f2c
SSIDとは、無線LAN(Wi-Fi)におけるアクセスポイントの識別名。 混信を避けるために付けられる名前で、最大32文字までの英数字を任意に設定できる。 同一のネットワークで複数のアクセスポイントを設置する場合を考慮してネットワーク識別名に拡張したものをESSID(Extended SSID:拡張SSID)という。 Many modern wireless routers can provide multiple SSIDs.
Simple Authentication and Security Layer (SASL) is a protocol-independent authentication framework. It is a framework for authentication and data security in Internet protocols. It decouples authentication mechanisms from application protocols, with the goal of allowing any authentication mechanism supported by SASL to be used in any application protocol that uses SASL. SASL’s design is intended to allow new protocols to reuse existing mechanisms without requiring redesign of the mechanisms, and allows existing protocols to make use of new mechanisms without redesign of protocols. This means that any protocol that knows how to interact with SASL can use its various authentication mechanisms without having to actually embed the authentication mechanisms within its code.
SASL 为应用程序和共享库的开发者提供了用于验证、数据完整性检查和加密的机制。 开发者可通过 SASL 对通用 API 进行编码。 此方法避免了对特定机制的依赖性。 SASL 特别适用于使用POP3, IMAP、SMTP、ACAP 和 LDAP 协议的应用程序,因为这些协议全都支持 SASL。 RFC 2222 中对 SASL 进行了介绍。
SSLとSASLの明らかな違いは、SSLが証明書に基づいて認証を行うためにバインドされているのに対し、SASLではさまざまなメカニズムを選択してクライアントを認証できることです。 SASLでは、GSSAPI、Kerberos、NTLMなどの使用を選択できます。
SASL并不是一种协议,只是提供给应用和共享库的开发者一种认证、数据完整性校验和加密的机制的框架。
This layer allows two systems to start communication with each other in half-duplex or full-duplex.
This layer prevents two parties from attempting the same critical operation at the same time.
This layer allows a process to add checkpoints which are considered as synchronization points into stream of data.
Unified threat management (UTM) appliance products have been developed that provide all (or many) of these functionalities in a single network appliance. The goals of UTM are simplicity, streamlined installation and maintenance, centralized control, and the ability to understand a network’s security from a holistic point of view.
統合脅威管理は、コンピュータウイルスやハッキングなどの脅威からコンピュータネットワークを効率的かつ包括的に保護する管理手法。 ファイアウォール、VPN、アンチウイルス、不正侵入防御、コンテンツフィルタリング、アンチスパムなどの機能をセキュリティアプライアンスとしてゲートウェイ1台で処理する。
The assignment of endpoint systems to VLANs is normally performed by a network switch.
https://networklessons.com/cisco/ccnp-switch/vlan-hopping https://en.wikipedia.org/wiki/VLAN_hopping VLAN Hopping is an attack where the attacker is able to send traffic from one VLAN into another. There are two different methods to accomplish this: 攻击技术1:交换欺骗 (Switch spoofing) 攻击技术2:双重标记 (Double tagging)
IEEE 802.1Q, often referred to as Dot1q, is the networking standard that supports virtual LANs (VLANs) on an IEEE 802.3 Ethernet network. The standard defines a system of VLAN tagging for Ethernet frames and the accompanying procedures to be used by bridges and switches in handling such frames.
https://www.zhihu.com/topic/20214278/top-answers VXLAN 有几个常见的术语: VTEP(VXLAN Tunnel Endpoints,VXLAN 隧道端点) VXLAN 网络的边缘设备,用来进行 VXLAN 报文的处理(封包和解包)。VTEP 可以是网络设备(比如交换机),也可以是一台机器(比如虚拟化集群中的宿主机)。
VNI(VXLAN Network Identifier,VXLAN 网络标识符) VNI 是每个 VXLAN 段的标识,是个 24 位整数,一共有 $2^{24} = 16777216$(一千多万),一般每个 VNI 对应一个租户,也就是说使用 VXLAN 搭建的公有云可以理论上可以支撑千万级别的租户。
Tunnel(VXLAN 隧道) 隧道是一个逻辑上的概念,在 VXLAN 模型中并没有具体的物理实体向对应。隧道可以看做是一种虚拟通道,VXLAN 通信双方认为自己是在直接通信,并不知道底层网络的存在。从整体来说,每个 VXLAN 网络像是为通信的虚拟机搭建了一个单独的通信通道,也就是隧道。
上图所示为 VXLAN 的工作模型,它创建在原来的 IP 网络(三层)上,只要是三层可达(能够通过 IP 相互通信)的网络就能部署 VXLAN。在 VXLAN 网络的每个端点都有一个 VTEP 设备,负责 VXLAN 协议报文的解包和封包,也就是在虚拟报文上封装 VTEP 通信的报文头部。 物理网络上可以创建多个 VXLAN 网络,可以将这些 VXLAN 网络看成一个隧道,不同节点上的虚拟机/容器能够通过隧道直连。通过 VNI 标识不同的 VXLAN 网络,使得不同的 VXLAN 可以相互隔离。
オーバーレイ・ネットワーク (overlay network) とは、あるコンピュータネットワークの上に構築された別のコンピュータネットワークのことである。
インターネットなどの基盤となる、物理的に構築されたネットワークの総称。ルーター、サーバー、ケーブルなどで構成される。