おうちねっとわーくのセキュリティ
- 2. 谁?
- 3. 谁? ? 18歳 ? 熊本の高専3年生 ? コンピュータとかネットワーク,数学とかすき? (できるとは言っていない) ? seccamp2013 NW組 ? CTF: decrement++ ? Twitter: @y1r96
- 4. 今回话すこと
- 7. ネットワークに接続するもの ? コンピュータ ? 家族用 ? 私用 ? 会社用*2 (自宅が父の会社で,社員さん持ち込みのPCがある) ? ゲーム機,TV,プリンタ ? VMware vSphere Hypervisor ? CentOSのサーバ群(DNS, DHCP, DB, www, mail, minecraft)
- 8. IPアドレスの割り振り ? 基本的にネットワーク全て同一ネットワークで 192.168.1.*を用いる ? 192.168.1.2~99: DHCP ? サーバ群以外 ? 192.168.1.100~: static ? サーバ群
- 9. 问题なさそう?
- 10. ある日 iTunesを開くと…?
- 11. _人人人人人人人人人人_ >? ?< >? ?< >? ?<  ̄Y^Y^Y^Y^Y^Y^Y^Y ̄ 社員さんの iTunesライブラリが 私のiTunesに 表示されてる!!!
- 12. 奥丑补迟?
- 14. ARP Spoo?ng
- 15. ARP (Address Resolution Protocol) ? IPアドレスとMACアドレスを変換する. ? ブロードキャストして,対応するIPアドレスからの? MACアドレスの通知を待つ. ? そのReplyをARPテーブルに保存し,それを用いて? MACアドレスを調べる.
- 21. 复数枚なんて买えない…
- 23. VLAN (Virtual Local Area Network) ? スイッチなどのネットワーク機器の機能により、物理的な接続形態とは別 に仮想的なネットワークを構成することである。スイッチの接続ポートや MACアドレス、プロトコルなどに応じて、端末のグループ化を実現する。 ? 近年、VLANの用途は多様化しているが、最も多いVLANの用途としては レイヤ3スイッチを用いて、スイッチをルータとしたネットワークを構成し ているものなどがある。主にブロードキャスト?ドメインの分割による通 信帯域の有効活用を目的として利用される事が多いが、大企業などではス イッチを用いて部門毎にVLANを設けることでネットワークを分割し、ア クセスを制限するなどネットワークセキュリティ対策手段としての用途も ある。 ? http://ja.wikipedia.org/wiki/Virtual_Local_Area_Network
- 27. 狈滨颁复数枚买うより安い?
- 29. 组める!
- 30. IEEE 802.1Q ? IEEE 802.1 ワーキンググループが策定したネットワーク規 格であり、ブリッジで連結された複数のネットワークで情 報を漏洩させることなく同じネットワークリンクを透過的 に共有する方式である。一般にイーサネットのネットワー クでのカプセル化プロトコルを使った実装を指す。? http://ja.wikipedia.org/wiki/IEEE_802.1Q
- 31. ? TPID (Tag Protocol Identi?er) ? IEEE 802.1Q によるタグ付きフレームであることを示すため、0x8100 という値を置く16ビットのフィールド。 ? PCP (Priority Code Point) ? IEEE 802.1p で定義された優先度を指定する3ビットのフィールド。フレームの優先度を0(最低)から7(最高)で示し、各種ト ラフィック(音声、動画、データなど)の優先順位付けに利用できる。 ? CFI (Canonical Format Indicator) ? 1ビットのフィールドで、1であればMACアドレスは正規フォーマットではないことを示す。0であれば、MACアドレスは正 規フォーマットである。イーサネットの場合は常に0である。これはイーサネットとトークンリングの相互接続時に使われる。 イーサネットポートでCFIが1のフレームを受信した場合、そのフレームはタグ付けされていないポートへはブリッジされな い。 ? VID (VLAN Identi?er) ? 12ビットのフィールドで、そのフレームが属するVLANを指定する。0の場合、どのVLANにも属していないことを意味し、 そのような802.1Qタグは単なる優先度タグ (priority tag) として使われていることになる。0xFFFという値は実装で使用す るために予約されている。それら以外の全ての値はVLANの識別子として使われるので、最大4094個のVLANを扱える。ブ リッジでは、1番 (0x001) を管理用に予約していることが多い。 ? http://ja.wikipedia.org/wiki/IEEE_802.1Q IEEE 802.1Q
- 32. IEEE 802.1Q
- 35. 最終的に ? 192.168.A.*: サーバ群 ? 192.168.B.*: 自宅ネットワーク ? 全サーバとインターネットへのルーティングを行う ? 192.168.C.*: 会社ネットワーク ? 一部サーバとインターネットへのルーティングを行う ? 192.168.D.*: 来客向けネットワーク ? インターネットへのルーティング ? 192.168.E.*: VPN接続クライアント ? 全サーバとインターネットへのルーティング
- 41. どうやって设定するの…
- 43. そんなあなたに…
- 45. VyOS ? VyOSは、Vyattaから派生したオープンソースのネットワーク?オペレー ティング?システムで、ソフトウェアベースのルーティング、ファイア ウォール、VPNなどの機能を提供します。 ? 物理環境、仮想環境双方で動作します ? 仮想環境用の準仮想化ドライバおよび統合パッケージをサポートします ? 完全にフリーかつオープンソースです ? http://wiki.vyos-users.jp/ %E3%83%A1%E3%82%A4%E3%83%B3%E3%83%9A %E3%83%BC%E3%82%B8
- 46. 例えば どんなふうに設定するの?
- 47. eth0にVLANを設定する場合 $ con?gure 設定モードに切り替え # set interfaces ethernet eth0 vif 1 eth0にVLAN ID 1としてNICを追加 # set interfaces ethernet eth0 vif 1 address 192.168.1.1/24 そのNICのIPアドレスを192.168.1.1に設定 # commit 反映 # save 保存 # exit
- 48. eth1にPPPoEを設定する場合 $ con?gure 設定モードに切り替え # set interfaces ethernet eth1 pppoe 0 eth1にPPPoEトンネル終端のNICを作成する # set interfaces ethernet eth1 pppoe 0 user-id hogehoge@example.com PPPoE接続ユーザIDを設定 # set interfaces ethernet eth1 pppoe 0 password foobar PPPoE接続パスワードを設定 # commit 反映 # save 保存 # exit
- 49. ね、简単でしょ?
- 50. まとめ ? ネットワーク構築,自宅でやってみませんか! ? VLAN使えば分離されたNWが格安で作れます! ? 痴测翱厂でルータ,めっちゃ简単なのでおすすめ!