DHCP とは?
IPアドレスとは
IPアドレス 【Internet Protocol Address – IP address -】
インターネットやイントラネットなどのIPネットワークに接続されたコンピュータや通信機器1台1台に割り振られた固有の識別番号です。パソコン、スマートフォン、タブレットなどでネットワーク通信を行う場合に必ず必要な識別番号です。
ネットワークに接続されたプリンターやIP電話にも、IPアドレスは利用されています。また近年は「IoT」のキーワードの基、家電製品や設備機器など、いままでネットワーク接続の対象外であった機器にもIPアドレスの利用が広がりつつあります。
インターネットアクセスにはIPアドレスが必要不可欠であり、意識していなくてもIPアドレスによる通信は行われています。現行のIPv4は、ネットワーク番号(ネットワーク部)と個々のコンピュータの番号(ホスト部)を連結し合わせて32ビットで、例えば「192.168.0.1」の様に表されます。IPv4の枯渇が想定される現在、より多いIPアドレス配布が可能となる次世代のIPv6ではこれが128ビットに拡張されています。
◆参考◆
http://e-words.jp/w/IP%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9.html
https://ja.wikipedia.org/wiki/IP%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9
DHCPって何?
DHCP(Dynamic Host Configuration Protocol)
ネットワーク経由でパソコン等の端末に「IPアドレス」や「その他設定情報」を配布するために使用するRFC 2131で標準化されている通信手順です。「IPアドレス」や「その他設定情報」は、以下のような画面から端末毎に登録する必要がありますが、DHCPを利用した場合にはDHCPサーバのみに設定情報を登録するだけで設定情報の共有化が行なえるため、端末毎の設定が不要となります。
◆参考◆
http://ja.wikipedia.org/wiki/DHCP
DHCPのメリット①
DHCPを用いず固定IP運用を行う場合には、「IPアドレス」や「その他の設定情報」をPC等の端末1台毎に登録する必要があり大変手間がかかります。DHCPのメリットは、DHCPによる一元設定・管理が行えるため、これらの手間がかからないことです。
また、ネットワーク上でIPアドレスの重複は許されませんので、「どの端末にどのIPアドレスを割り当てているか」を誰かが管理することになります。DHCPでは、このIPアドレスの重複管理も行う必要がありません。
DHCPのメリット②
無線LAN環境においては、端末を気軽に移動できる点が魅力の一つです。
無線LANのAP(アクセスポイント)には電波の届く範囲がありますので、場所により利用するAPが異なります。APが変わると利用するIPアドレスも変わります。右図のように移動を行う度に、PCやIP電話端末にIPアドレスを設定し直すというのは現実的ではありません。設定作業も面倒ですし、通信も切れてしまいます。どのIPアドレスを割当れば良いかの確認も大変です。よって、無線LAN環境においては、DHCPが重要な役割を果たします。
DHCPのメリット③
~固定IPの運用のデメリット~
ネットワーク管理者は、バージョン管理や利用状況、不正のチェックを目的に、固定IPによりパソコン端末と利用ユーザを個々に管理していました。
この度に管理者がPC端末毎の設定を直す必要がありました。
- セキュリティの確保とフレキシブルな運用を双方を実現したい。
- ノートPCも利用したいし、携帯電話端末もあるし…
最近では、無線LAN回線利用やIP電話の普及でDHCP運用は必要不可欠となっています。また、さまざまな個人認証、端末認証方法が確立されたことで、固定による個別管理から、より運用しやすいDHCPが選ばれるようになってきました。
DHCPの主な利用方法
前ページまでの内容を整理して、以下にDHCPの利用方法をまとめます。
- 1.有線ネットワークでのIPアドレスや設定情報の配布
-
- ① PC端末への配布
効果:管理負荷軽減
- ② IP電話端末への配布
効果:作業負荷の高い電話端末へのIPアドレスや設定情報の入力を省略
- 2.無線ネットワークでのIPアドレスや設定情報の配布
-
- ① PC端末への配布
効果:移動先毎で設定の変更が不要
- ② IP電話端末への配布
効果:作業負荷の高い電話端末へのIPアドレスや設定情報の入力を省略
RADIUS とは?
認証とは
認証【authentication】
正規の利用者であることを検証する作業を指します。
例えば、ユーザ名とパスワードの組み合わせによりネットワークやシステムを利用しようとする人にその権利があるかどうかや、その人が本人かどうかなどを確認することが挙げられます。
認証の際に用いられる情報(ユーザ名やパスワードなど)が他人に発覚すると不正利用が行われ、データへのアクセスやアプリケーションを利用されてしまう恐れがあるため、なりすまし防止等のセキュリティ対策は非常に重要です。
RADIUSって何?
RADIUS(Remote Authentication Dial In User Service)
ネットワーク経由でユーザ認証や利用状況の記録を行うための手順です。RADIUS(サーバ)は利用者の情報を管理し、端末からの要求に対する認証やアクセス可否を判断します。ダイヤルインという言葉からも判るとおり、元々はダイヤルアップ接続を行うために開発されました。
RADIUSは不正アクセスや情報の不正入手を防ぐため、端末から送信されたユーザIDとパスワードと、RADIUSサーバに登録されているユーザID/パスワードと照合し、正規ユーザかを判定します。
またRADIUSでは、ユーザID/パスワード盗用による「なりすまし防止」のため、電子証明書等を用いた認証も行うことが出来ます。
電子証明書とは、電子的に作られた身分証明書のようなものです。電子証明書を端末にインストールし、認証時に電子証明書を提示することにより、RADIUSは正当な端末であることを確認(端末認証)します。
RADIUSの主な利用方法
パスワードの組み合わせ
無線LAN環境での利用
RADIUSは現在、無線LAN用の認証に多く利用されています。
無線LANでセキュリティを確保するためには、情報漏洩や不正アクセス防止の観点から強固な暗号化及び認証が重要であり、この何れにも対応するにはRADIUSが必要となります。
まず暗号化については、無線LANは誰でも電波を受信できるため、データ盗聴を防ぐために必要となります。より強固な暗号化を行うためには、ユーザ毎に個別の暗号化が可能となるRADIUSの利用が推奨されます。
次いで認証については、無線LANへの不正侵入を防ぐため、接続する無線LANにおいてユーザを識別(認証)することが必須となり、この認証を確実に行うためにRADIUS認証の利用が推奨されます。
また、アクセスポイント毎ではなく、RADIUSで一元して全ての認証を行うことにより、クライアントや無線LANアクセスポイントの台数が多い場合や、クライアントがアクセスポイント間を移動した場合にも個別設定を行わずに通信を維持することが出来ます。
認証方式
| 認証方式 |
クライアント
認証 |
認証局
(CA) |
無線LAN
動的暗号化 |
セキュリティ |
特徴 / 注意点 |
| PAP |
ID
パスワード |
不要 |
不可 |
× |
パスワードを暗号化せず
平文のまま送信 |
| CHAP |
ユーザID
パスワード |
不要 |
不可 |
× |
チャレンジレスポンス認証 |
| PEAP |
ユーザID
パスワード |
必要 |
可能 |
○ |
WindowsでSyslogを導入するメリット |
| EAP-TTLS |
ユーザID
パスワード |
必要 |
可能 |
○ |
Windows8から搭載 |
| EAP-TLS |
電子証明書 |
必要 |
可能 |
○ |
Windowsで標準搭載
端末に証明書のストアが必要
証明書の管理が必要 |
RADIUS基本シーケンス
~無線LANによる802.1x認証シーケンス~
SYSLOG/監視 とは?
ログとは?
ログ 【 log 】
航海日誌(logbook)を起源とする用語で、機器やシステムが稼働中に発生した出来事を時系列に記録/蓄積したデータです。
例えば、起動、停止やエラーや障害が発生した際にログを記録し、稼働状況や不具合内容の確認のために参照されます。
ログを記録したファイルをログファイルといいます。
◆参考◆
http://e-words.jp/w/%E3%83%AD%E3%82%B0.html
https://ja.wikipedia.org/wiki/%E3%83%87%E3%83%BC%E3%82%BF%E3%83%AD%E3%82%B0
Syslogとは?
SYSLOG
サーバ上のサービスやルータなどのネットワーク機器や、システムが出力したメッセージやアプリケーションの動作状況などのログを出力するための通信手順です。
RFC3164で標準化されているプロトコルで、各種ログのファイルへの記録や特定サーバへの送信により、機器やシステムの状態の一元的な保存(把握)を可能にします。
情報セキュリティの強化や、マイナンバー制度導入に伴う不正アクセス防止の観点から、各種ログ(特にアクセス履歴)の保存が必要となっており、SYSLOGの重要性は高まっています。
◆参考◆
http://e-words.jp/w/syslog.html
https://www.atmarkit.co.jp/ait/articles/0401/21/news084.html
Syslogについて
1. ファシリティ
ファシリティ(facility)はログの種類に当たるもので、NetRegio GAZER(インフィニコSYSLOG機器名称)ではファシリティをログの抽出条件として利用します。
2. プライオリティ
プライオリティ(priority)は、出力されるSYSLOGメッセージの重要度を示します。 NetRegio GAZERではプライオリティもログの抽出条件として利用します。
Syslogを導入するメリット
システム運用に必要不可欠、かつ最も重要なセキュリティ管理には、ログを正しく運用することが非常に大切です。
機器が出力するSyslogをリアルタイムに閲覧することで、ICMP(ping)による死活監視やポート・サービス監視と合わせ機器のステータスを把握することができます。
�SYSLOGによるログ管理には、以下のメリットがあります。
◆複数機器からのログの一元管理や、フィルタリングにより必要なログのみの保管を可能にします。
◆ログをNAS等のサーバに1日1回FTP/SMB転送することができ、機器毎に異なる保存容量に影響されずログを長期保存することができます。
ICMP(ping)監視について
システム運用には、サーバおよび機器の死活監視が必要不可欠です。
「死活監視」 とは、サーバや機器が正常に稼動しているかどうかを外部から継続的にモニタリングすることです。
GAZERでは「死活監視」の一つの方法としてICMP(ping) による応答監視を使用しています。
サーバもしくは機器にICMPパケットを送り、ICMP応答がある場合は『正常』となりますが、一定時間応答が無い場合に異常と判断し、メール等で管理者に通知します。
