2017/10/11に予定していたKSKロールオーバ作業を中止することが発表されました。再実施は少なくとも2018年第1四半期になる見通しです。しかし、この日程も中止になった要因が解消されることが前提になるとのことです。 KSKロールオーバについては、かねてか…
IPA(情報処理推進機構)はWindowsのDLL読み込みやコマンド実行に関する脆弱性が多数報告されていると発表しました。 本問題はアプリケーション実行時にDLLファイルが読み込まれる際、正規のDLLファイルではなく、アプリケーションと同じディレクトリに置かれ…
近年ではスマートフォンの普及とともに、公衆無線LANが一般的になってきました。以前はユーザの手間を減らすため、パスワード無しの無線LANが多くありましたが、最近ではセキュリティ意識の高まりとともにパスワード認証(事前共通鍵)を求めるものが増えつつ…
近年クラウド型のWAF(Web Application Firewall)サービスが急増しています。クラウド型のWAFを利用することで既存のシステムへの影響を最小限にでき、導入までのプロセスが少ないのが利点です。 DNS誘導型の場合、現在のグローバルipとFQDNの紐付けをWAFで利…
久しく触っていなかったのですが、約1年ほど前にArubaOSのデフォルト証明書が失効していました。 ArubaOSが搭載されたWLCには工場出荷時から以下のCommon Nameの電子証明書がデフォルトで搭載されていました。 securelogin.arubanetworks.com このデフォル…
STPはBPDUを使用してループ防止を実現します。BPDUはCPU処理を行いSTPの状態管理を行いますが、VLAN数に比例してCPU負荷は上昇します。そのため、STP使用時にはVLAN数に制限値が存在します。その値はSTPインスタンスです。 #厳密にはSTPを使用しない場合で…
Cisco製品を使用するうえで、使用頻度の高い便利コマンドを記載します。 ・<文字列>が含まれる行とそれに続くインデント行が表示されます。 Router#show xxx | section <文字列> ・出力内容をファイルに保存(上書き)します。 Router#show xxx | redirect <…
キャッシュDNSサーバの管理者は2017/9/19と同様に、2017/10/11にDNSのトラブルが起きないか確認が必要です。 9/19にはDNSの応答サイズが1400オクテットを超える可能性があります。該当サーバが対象かどうかは以下のサイトにアクセスし、4つめまでPASSが出れ…
Bluetoothの脆弱性を突く攻撃の「BlueBorne」が発表されました。 本脆弱性は対象が「Bluetoothを有効にしているだけ」で攻撃可能であり、約10秒でスマートフォンを乗っ取ることが可能だそうです。本脆弱性の対象OSは、Android、iOS、Linux、Windowsと多岐に…
Ciscoルータに搭載できるL2/L3モジュールであるSM-X-ES3-16-P、SM-X-ES3-24-P、SM-X-ES3D-48-Pは搭載するルータの型番によってコマンドが変更になっているため、注意して下さい。以下にそれぞれのシリーズ搭載時のコマンドを記載します。 Use Platform Comma…
モバイルWiFiルータであるLG Electronics 製の「Wi-Fi STATION L-02F」に脆弱性が発表されました。V10g 以前のファームウェアを利用している場合は早急なアップデートが推奨されます。既に本脆弱性を利用してマルウエアに感染し、踏み台として第三者への攻撃…
802.11ac WAVE2よりMU-MIMOに対応します。MU-MIMOを使用することで1・1通信が原則の無線LAN通信が1・nになります。機器の仕様にもよりますが、最大4台のクライアントに対して同時に通信を行えます。以下にMU-MIMOを導入する際の注意点を記載します。 【注意…
AWSはAmazonが提供するクラウドサービスです。知名度が高いため、セキュリティも 万全で何かあればAmazonが責任を取ってくれる!と考えていたら要注意です。 Amazonが公式ページに記載している「責任共有モデル」は以下のとおりです。 以下はAWSの責任範疇と…
802.1X認証が有効なポートでは、シングルホストモード/マルチホストモードに設定 することが可能です。 シングルホストモードでは、802.1X 認証が有効なポートに接続できるクライアントは 一台だけですが、マルチホストモードでは複数の端末を1つのポートに…
最近対応製品の出始めたTLS1.3では、TLS1.2以降から多数の変更点があります。 TL1.3では通信方式を決めるハンドシェイクの効率化を行い、通常2往復でやりとりを1往復で可能にになりました。また、脆弱性のある暗号化方式を削除し、認証と暗号化を同時に実行…
Catalyst3650/3850シリーズはWLC機能をサポートしています。 L3SWにWLC機能を追加できるため、既存のL3SWにモジュール追加のみで無線LANのシステムを導入でき、APの集中管理が出来ますが注意点があります。 【注意点】 ・IP BASE以上のライセンスが必要です…
ログの取得などで複数の機器に対して同一のコマンドを実行したい場合があります。このような場合、Tera Termの機能を使えば容易に実現できます。 telnetやコンソールを使用して複数Tera Termウィンドウを立ち上げ、以下の手順を実行します。 「コントロール…
一般的なコントローラ型APはすべてのWLC障害時に無線サービスが停止します。無線サービス停止時間はざっくり以下のようになります。 項番 内容 時間 1 優先度の1番高いWLCへ接続確認 30秒毎のポーリング、数秒の再確認 2 次に優先度の高いWLCへ接続確認 数…
技術の進歩により無線lanは非常に高速化されてきました。ここで問題となるのは有線側 です。802.11ac Wave2の理論値は6.8Gに対し、一般的なAPのアップリンクは1Gです。 LAGを組むことで2Gに出来る機種もありますが、それでも1/3以下です。 また、仮に10G対応…
Cisco4000 ISRシリーズではこれまでのルータとは違い、CPU負荷や回線帯域に余裕があってもパフォーマンス制限値を超えたパケットをドロップしてしまいます。パフォーマンス制限値はインターフェース出力量の総和です。 各型番のパフォーマンス値を以下に記載…
本日正午ごろからOCNで発生した障害はBGPの誤経路注入のようです。 大量の経路情報が流れ込み、ルータの負荷が増大してフリーズに近い状態になったとのことです。 影響を受けたのは世界で約10万アドレスと、(日本が約2万5000)かなり大規模です。また、問題…
リンクアグリケーションとは複数の物理リンクを束ねて1つの論理リンクとして扱う ことが出来ます。 複数のリンクを同時に使用出来るため、帯域の理論値は×n(束ねる本数)となります。 使用できるチャネルグループ数は機種によって違うため、要件と拡張性を考…
今後NIST(米国標準技術研究所)はパスワードの定期変更を推奨しないそうです。 WebサイトやWebサービスも、不正アクセス等がない限りパスワードが一定期間変更されていませんなどの警告を定表示するのを止めるよう勧告するそうです。 本勧告は、銀行や病院の…
SymantecはSSL/TLS事業を含むPKI系の事業をDigCertへ売却することになりました。 事の発端はGoogleがSymantecの証明書が信用出来ないとし、Chomeでは信頼しないと 宣言したことにあります。 2015/9 Symantecのグループ会社がgoogle.com www.google.comという…
パスワードの使いまわしが横行する現在では、他サービスから流出したパスワードを使 用することで不正ログインすることが可能です。 本問題を抑止するため、gmailなどではSMS等を用いた2要素認証を標準として採用する サービスが増えています。 しかし、NIST…
最近のUTMにはhttps decode機能が搭載されています。 これはhttpsで暗号化された通信を解析し、フィルタリングを行えるようにします。 「https decode」「ssl inspectio」「SSL Decryption」など各メーカで名称こそ若干 違いますが、基本的には同じ仕組みで…
CiscoのEEM(Embedded Event Manager)機能を使うことで、特定のイベント発生時に設定したアクションを実行してくれます。この機能を使うことで、TeraTermマクロ等で定期的にログ取得等を行っていた作業をNW機器で完結できます。本機能はipbaseから実行できる…
同一SSIDを使用し、ユーザIDに基づいたVLANを無線クライアントに割り当てる機能を Dynamic Vlanと呼びます。 ArubaでDynamic Vlanを使用する際の注意点を以下に記載します。 【注意点】 通常ArubaではVAPに割り当てられたVlanを無線クライアントに割り当てま…
UDLDとは単一リンク障害を検出することができるL2プロトコルです。 単一リンクとは送信(TX)と受信(RX)の片系障害を検知できます。特にケーブルで送受信がピンポイントで分かれている光ファイバーケーブルの障害検知に有効です。 UDLDで単一方向リンクを検知…
IOS12.4(20)T以降からEPC(Embedded Packet Capture)機能を使うことで、 Ciscoルータ単体で 102400Kbytesまでのパケットキャプチャを実行し、Wiresharkで 取得したパケットを確認できます。 本機能はキャプチャ用のPCを別途用意できないような場合に有効です…
