ipv6には送信元アドレスの選択に優先順位が存在します。本記事で記載するものは一時期話題となったipv4とipv6の優先順位ではなく、ipv6のみに限ったものとします。 まずipv6の自動アドレス設定には大きく2つの方法が存在します。 ステートフル自動設定 ステ…

利用ユーザの急激な増加に伴い、フレッツ回線の遅延が目立ってきました。この問題はipv6化することで解消できる可能性があります。ただし、勘違いしがちなのですが、決してipv6自体が高速な訳ではないです。また、必ず速度が早くなるわけではないです。 まず…

Wi-Fi Allianceは米国時間の2018/1/8にWPA3について明らかにしました。今回の発表ではおおまかに以下の機能が判明しました。 総当り攻撃に対するセキュリティ向上 任意の端末での別端末の認証 端末～ルータ間の暗号化 デフォルトの鍵長を192bitへ 1番目は任…

BGPはaddress-familyを使用することでvrfごとにネイバーを形成することが可能です。今後のプロジェクトではOSPFとBGPを使用する頻度が高くなりそうなので設定例を書き起こしておきます。 AS10000#ip vrf VRF-1 rd 10001:1!ip vrf VRF-2 rd 10002:1!no ip dom…

2017/12/13にTLS実装の脆弱性が発表されました。この脆弱性はFacebookやPayPalなど有名なサイトも影響対象であり、RSA暗号の解読やトラフィックの暗号解読を目的とした鍵署名を実行できます。本脆弱性はサーバ側の問題のため、クライアント側では回避出来な…

複数のメールクライアントで「Mailsploit」という脆弱性が発表されました。この脆弱性を利用することで、一部のスパム対策が無効化され、正常なメールとの見分けが困難になります。この攻撃の恐ろしいところは、スパム対策の回避だけでなく、受け取ったメー…

SkypeやLINEなど、最近ではスマートフォンを利用したVoIPが市民権を得ています。企業でも内線通話が可能なVoIP環境が浸透してきており、通話品質も以前より安定しています。しかしVoIP環境には多くの考慮すべき設計があるため、企業向けVoIP環境作成時の注意…

先日、SD-WAN(Software Defined WAN)について説明を受けてきました。今までSD-WANについてあまり詳しく触れたことがなく、漠然とOpenFlowのような構成を想像していたのですが、実態はちょっと違っていました。 まずSD-WANサービスの定義がメーカによってマチ…

HPの法人向けプリンタ「LaserJet」「PageWide」「LaserJet Managed」「OfficeJet」の各シリーズはSolution DLLの署名検証に不備があり、任意コードが実行される可能性があるそうです。CVSSスコアは 8.1と高く、HPはファームウェアを公開済みで早急にアップデ…

最近ではSSL Decryption(復号)機能は殆どのUTM/Proxy製品が対応していると思います。Palo Altoの場合、SSL Decryptionに3種類の方式があるため、要件に応じて使い分ける必要があります。 (1) SSL Forward Proxy 一般的なSSL Decryption機能であり、Clientか…

Palo AltoのUser-ID機能はActive Directoryと連携することでユーザ単位の通信制御を実現することが出来ます。本機能の大前提として、1 ユーザ = 1 IPアドレスでの利用となります。これはPalo AltoではIPアドレス単位で通信制御を行うためです。 実際の動きと…

proxy-arpは他のデバイス向けのarp要件を代理応答する機能です。proxy-arpが有効なインターフェースでarp要求を受信すると、その機器が代理応答してくれるため、arp要求を行った端末からは同じセグメントにいるように見せることができます。 下記図ではPC01…

Catalyst9300シリーズは高度な学習機能と自動制御を実現できる新しい製品群です。Catalyst9300シリーズから従来とは異なるパッケージ体系で提供されます。新しい体系は「ADVANTAGEパッケージ」および「ESSENTIALSパッケージ」の2種類となります。DNAライセン…

通常DHCPによるIPアドレス取得はDHCP ClientとDHCP Serverが同一セグメントに存在する必要があります。IPアドレス取得時にDHCP Clientからの発信する要求(DHCP Discover)がブロードキャストを使用するためです。しかしDHCPサーバをDHCP Clientと同一セグメン…

先日行われた情報セキュリティEXPOで興味深い説明を受けたのでメモを残しておきます。マルウェア対策としては機械学習型と振る舞い検知型が一般的です。最近は機械学習型のセキュリティソフトがトレンドなのか、各メーカがこぞって製品を出しています、どの…

先日行われた情報セキュリティEXPOに行ったところ、気になっていたWebブラウザの仮想化についてデモがあったので説明を受けてきました。デモが行われていた製品は「Menlo Security Isolation Platform」です。 ブラウザを仮想化することで、クライアント端末…

過去にイラクの核プログラムを標的としたマルウェアが合法的なデジタル署名付き(コードサイニング)のマルウェアだったことは有名だと思います。この手法は年々増加しており、近年のマルウェアは正規の証明書で署名されているものが徐々に一般的となっていま…

2017/11/6 IPAはSavitech製USBオーディオドライバの脆弱性を発表しました。本脆弱性はSavitechのルート CA証明書を、ユーザーの許可なくWindowsの信頼されたルート証明機関ストアにインストールしてしまうそうです。仮にSavitechの秘密鍵が漏洩した場合、攻…

IPSecに引き続き、GREについても環境を作成する機会があったので整理します。GREはトンネリングプロトコルの一つです。トンネリングと言っていますが、実態はGRE機能を有効化した機器の両端でGREヘッダを付与および剥奪しています。 GREの良いところはGREを…

久しぶりにIPSecとNAPTを併用した環境を作ったら動作に違和感を覚えたので書き出しておきます。 PC01(172.16.0.1)からPC02(172.16.10.1)にPing疎通時、以下のACLによってIPSecの暗号化トラフィック対象としていた場合、IPSecのセッションが形成され疎通可能…

DDE(Dynamic Data Exchange)とはWindowsの機能であり、各種実行ファイルを起動することが出来ます。本機能を使うことでMicrosoft Wordにおいてマクロを使わずにマルウェアを実行させる方法が公表されました。 sensepost.com DDE自体は便利な機能ですが、本機…

Arubaのtroubleshootingで使うCLIコマンドを以下に記載します。 ＃随時更新してきます。 ・接続User一覧 (Controller)#show user-table verbose ・接続AP一覧 (Controller)#show ap active ・ライセンス一覧 FlagがEになっているか確認してください (Control…

将来のISDNサービスの停止に伴い、NTT東西がIP網への移行計画を正式発表しました。実際のIP網への移行開始は2024年初頭から始まり、2025年初頭までに完了させる予定だそうです。これに伴う終了サービスは以下となります。 INSネット64 INSネット64ライト INS…

現在公開されているiOS版「AnyConnect (ver.4.0.07070)」は従来の同アプリと名称が異なります。以前の同アプリは「Cisco Legacy AnyConnect」としてver.4.0.05069が配布されています。 Cisco Legacy AnyConnect Cisco Systems, Inc. ビジネス 無料 今後、同…

気づいたら進展していました。。。 2017/8/2にSymantecはSSL/TLS事業を含むPKI系の事業をDigCertへ売却することになりました。本件でのGoogleの対応が決まりました。 developers-jp.googleblog.com ざっくり書くと以下のようになります。 発効日が2016/6/1以…

2017/10/16 WPA2の脆弱性が発表されました。本脆弱性の対象はWPA/WPA2を使うほぼすべてのデバイスが対象です。適切なアップデートを適用していない場合、攻撃者にトラフィックを解析される恐れがあるため、WiFiの使用は控えたほう良いでしょう。 特に意識し…

いつの間にかArubaの日本語フォーラムが出来ていました。閲覧するだけならアカウントも不要で、一般的な見解ではありますが、Aruba従業員からも回答がされています。気になることがあれば調べてみると答えが見つかるかもしれません。 community.arubanetwork…

Catalyst2960-Lシリーズの15.2(5)E2以降では、Bluetoothドングルを利用することで自動的にipアドレスが割り当てられ、Telnet/SSH接続かGUI接続が可能になります。Bluetoothドングルを利用する際の注意点を以下に記載します。 【Bluetoothドングル利用時の注…

現在、情報を盗み出すマルウェアに感染させる電子メールが大量に出回っているそうです。感染経路は電子メールの添付ファイルを通じてPDFやMicrosoft Officeに悪意のあるURLやマクロを仕掛けることで、実行者が感染するようになっています。 現時点で日本でも…

BPDUについて改めて確認したくて整理しました。 BPDUはSTPで正しくトポロジを形成するため、定期的にマルチキャストアドレス宛(0180.C200.0000)に送信します。 ※以下の記載のSTPが有効なポートとは同一Vlanの前提で記載します。 【RootBridgeの選定】 STPが…