Chapter4-Lesson1-Section7 ディレクトリサービス

■ディレクトリサービス
・ある除法を検索するための鍵（キー）を与え、そのキーに付随する情報を検索できるような形で情報を保管する場所をディレクトリ呼ぶ。
・この機能をコンピュータ上で提供するのがディレクトリサービス
・ネットワークを介して複数のコンピュータ間でディレクトリの情報を共有できるものをネットワークディレクトリと呼ぶ。
・DNS
・Novell社のNetWare Directory Service
・Microsoft社のActive Directory
・IETFではLDAPとして標準化（Lightweight Directory Access Protocol）されており、ActiveDirectoryの基礎としても利用されている。

■LDAP
・DAPをTCP/IPに限定したもの
・格納する情報をDIT（Directory Information Tree）に格納
　・dc：Domain Component
　・ou：Organization Unit
　・Common Name
　・user ID：ユーザID
　・ex)uid=alice、ou=sales、dc=example、dc=com

■Active Directory
・Microsoft社が提供している統合型ディレクトリサービス
・ユーザ、コンピュータ、ネットワークプリンタに関する情報をオブジェクトとして階層的に保存する
・ユーザのリソースに対するアクセス制御機能を持つ。
・基本プロトコルとしてはLDAP
・ディレクトリの複製にRPCやSMTP、名前解決にDNS、セキュリティ確保にKerberosやX.509証明書
・Back Office、Exchange Server、SQL Server、SMS、DHCPサービス

Chapter4-Lesson1-Section6 プロキシサーバ、キャッシュサーバ

■プロキシサーバ
・WebブラウザをWWWサーバから、WebブラウザからWWWサーバを隠蔽することができる。

■コンテンツのキャッシング

■フォワードプロキシキャッシュとリバースプロキシキャッシュ
・フォワードプロキシキャッシュ：Webブラウザに近いほうに設置される。
・リバースプロキシキャッシュ　：WWWサーバに近いほうに設置される。
・サーバーロードバランサ　　　：L4スイッチ（主としてTCPやUDP層）による負荷分散

■透過型と非透過型
・透過型はWebブラウザがその存在をまったく意識せずに利用するプロキシキャッシュ。
・非透過型はユーザが明示的にプロキシキャッシュのアドレスを指定して利用する。

■WCCP、iCAP
L4スイッチやルータとプロキシキャッシュが連携して動作する際には、これらの間で稼動状態や負荷などの情報を交換しながら動作することが望ましい。L4スイッチやルータとキャッシュサーバの間で情報交換を行うための専用プロトコルとしてCiscoSystems者が発案したWCCP（Web Cache Coorination Protocol）屋複数のベンダーから組織されるiCAP（Internet Content Adaption Protocolなどがある。
iCAPはL4スイッチやルータとプロキシキャッシュの単なる連携ではなく、Webブラウザに近い側でファイアウォールやウィルスチェックゲートウェイとの連携、コンテンツフィルタリングなどにも利用することができる。

Chapter4-Lesson1-Section5 WWWサーバ

■WWWサーバ
・IIS、Apacheなど
・動的に内容を変更する：CGI、SSI（Server Side Include）、JSP（Java Server Pages）

■バーチャルホスト
・単一のサーバ装置ながら、複数のドメインを管理

■IPバーチャルホスト
IPアドレスに基づくバーチャルホスト
単一のインターフェースに複数のIPアドレスを付与
振り分け方法
・単一のWWWサーバアプリケーションを起動して、接続が確立された後に振り分ける方法・
・それぞれのアドレスごとに振り分ける方法

■ネームバーチャルホスト
・http1.1で、サーバ側に送る情報にHostヘッダがついたことで、同一のIPアドレスに対する接続でも、どのドメインにコンテンツを要求しているのかを見分けることができるようになった。

■暗号化
・SSL

■WWWサーバの脆弱性
・クロスサイトスクリプティング
・SQLインジェクション
・XPathインジェクション：XML
・HTTPレスポンススプリッティング

対策としては
・各WEBで利用される言語の特性を深く理解する
・入力文字列などの正当性チェック
・無害化
・アクセス権限の厳密化

Chapter4-Lesson1-Section4 メールサーバ

■電子メールのやり取り
・MUA：Mail User Agent
　ユーザが直接メールの読み書きをするためのもの。Outlookなど
・MTA：Mail Transfer Agent
　MUAからメールを受け取り、他のMTAサーバ上のメールスプールへ配信。sendmail.qmailなど

・プロトコル
　・SMT,ESMTP：MUA→MTA、MTA→MTA
　・POP3,IMAP：メールスプールからMUAがメールを取得

■メール配送
・メールサーバのMTAが受け取ったメールをメールスプールに配信する方法
　・MTAが直接行う
　・MDA：mail delivery Agent
　　mail.localやprocmailなど
　・転送時の宛先はDNSによって決定される。MTAは宛先メールアドレスのドメイン部分を見てSNSのMMXレコードやAレコードの問い合わせを行う。

■複数ドメイン
・複数度pメインで同じユーザを利用する場合にはsendmailの仮想ユーザテーブルやPostfixの仮想配信エージェントなどの機能を利用することもできる。

■セキュリティ
・不正な転送の踏み台にならないように注意
　・POP before SMTP
　・SMTP-AUTH
　・DSBL、ORDBの利用など

Chapter4-Lesson1-Section3 DNS

■DNSの役割
・ActiveDirectoryなどのシステムにおいても、サービスロケータ技術として裏側でDNSが動作している場合が多い。
・メジャーなものはBIND：Berkeley Internet Name Domain

■複数ゾーンの管理
・ひとつのDNSサーバで複数のゾーンを管理することができる。
・あるゾーンに関してはプライマリ、あるゾーンに関してはセカンダリ、といった運用も可能。

■外部向けDNS情報と内部向けDNS情報
1)完全分離型
　FWの内側に内部DNS、外部に外部DNSサーバを設置。インターネット上の名前解決が必要な場合には、内部DNSから外部DNSにフォワードを行う。
2)プロセス分離型
　NATやFW上にDNSサーバプロセスを複数起動。各インターフェースごとに名前解決を行う。
　BINDの場合、設定ファイルのoptionsのlisten-on機能を利用する。
3)クライアントのアドレスによる振り分け
　BIND9意向の場合にはviewを設定することで、問い合わせもとのIPアドレスにより、応答を変えることができる。

■セキュリティ
1)BINDバージョン情報の取得
　digコマンドでバージョンの確認が可能。
　dig @ip-address chaos txt version.bind
2)ゾーン転送
dig @ip-address ドメイン名 axfr
3)ダイナミックアップデート
　DNSのゾーン情報をクライアントコンピュータやDHCPサーバで動的に更新することをさす。
4)偽造DNSリプライの挿入とDNSキャッシュポイゾニング
　・偽造DNSリプライ：正規のDNSサーバに成りすまし、直接クライアントを攻撃。
　　通常、DNSサービスにおいてはクエリーIDを推測するのは困難であるが、バースデイアタックといった方法を利用することで不可能ではない。
　・DNSキャッシュポイゾニングは偽造DNSリプライの一種で、クライアントから攻撃者が管理するDNSサーバに問い合わせを行わせる。

Chapter4-Lesson1-Section2 デザインと選択

■ネットワークデザイン
1)ネットワークトポロジの決定
・利用するプロトコル
・接続する拠点
・ネットワークサービスに必要な機能や性能
・インターネットとの接続形態
・ユーザネットワーク内、ユーザネットワーク間、ユーザネットワークとインターネットの間のトラフィックフロー
・ネットワークノードに必要な機能や性能
・各ネットワークの接続形態の信頼性や冗長化

")ネットワークインターフェースの決定
・必要な通信速度
・伝送距離
・伝送メディアの種類

3)アドレッシング
・アドレス利用形態（グローバルIPv4,プライベートIPv4,グローバルIPv6）
・アドレスを割り当てるネットワークの接続形態（ポイントツーポインントか、ポイントツーマルチポイントか）
・アグリゲーション（集約）ポイントの位置
・アドレッシングの拡張性
・インターねとへの接続形態

4)ルーティング
・ルーティングプロトコルの選択
・ルーティングドメインの決定

■ネットワークノードとネットワークサービスの選択
1)ネットワークサービスの選択
2)ルータとスイッチの選択
3)サーバの選択

■ファシリティデザイン
・実際のラックへの配置
・床荷重の計算
・電源の供給方法と電源容量の計算
・ケーブリング
・発熱容量、空調

■ファシリティの設置とインストール
1)搬入と設置
2)ハードウェアインストール
3)ソフトウェアインストール

Chapter4-Lesson1-Section1 IPネットワークにおける要求事項

■システム要件
設計前に検討すべき条件をシステム要件と呼ぶ

■トラフィック分析
システム要件のが決定していないと、具体的な設計仕様を決定することができない
具体的な設計仕様
・ネットワーク構成
・QoSポリシーの策定（回線の帯域幅、帯域制御、優先制御）
・セキュリティポリシーの策定

Chapter3-Lesson5-Section2 ファシリティ

■耐震
・耐震性：地盤の強度の強い土地に鋼鉄の杭を数十本打ち込むなど
・床耐荷重：1t/平米など床耐荷重を実現
・区浴びネットラックおよび二重床

■電源
1)受電設備
・電力会社の冗長化や、受電設備の冗長化など
2)UPS（Uninterruptible Power Supply＝無停電電源装置）
3)エンジン：発電設備

■空調
・Watch Dog（サーバが自身の内部状態を監視し、監視されている値が閾値を超えた場合に自らをシャットダウンする機能）
・モジュールの温度、シャースの温度などの上昇
・データセンタ内の室温が一定に保たれていることが重要

■防火防水
・防火：ガスでの消火が主流
・防水：防水水位よりも上に引き込みを行うなど

■二重床
・ケーブルの引き回しを安全に効率的に収納できる
・低い二重床は機能的ではない

Chapter3-Lesson5-Section1 ラック

■規格
・通常は19インチラックとよばれ、米国ANSI/EIA（American National Standerds Institute/Electronic Industries AlLiance：米国規格協会/米国電子工業会）により規格化
・最小単位を幅19インチ（19×25.4=482.6mm）、高さ1U（Unit、1U=1.75インチ=44.45mm）と規定。
・ラック取り付け穴にはユニバーサルピッチとワイドピッチがある。機器をラックにマウントする場合には、ピッチの狭い部分を基準にユニット数を合わせてマウントする必要がある。

■電源
・コネクタの形状、ラックの電源容量に注意する

Chapter3-Lesson4-Section2 セキュリティ監査サービス

■セキュリティ監査サービスとは
・セキュリティ監査サービスとは、システムやネットワークのセキュリティレベルを外部事業者が調査するサービスである。

■セキュリティ監査のレベル
1)簡易サービス
　セキュリティ診断ツールを利用してログの監査を行う
2)通常サービス
　簡易サービスに加え、手動での検出も行う
3)高度サービス
　通常サービスに加え、ソーシャルエンジニアリングを含めて実際に攻撃を行って侵入を試みるなど、高度かつ作業量の多い内容となる。

■レベルの差による得失
1)簡易サービス
・メリット　：低料金、短時間
・デメリット：脆弱性のリストアップのみ。専門家がいないと、監査結果を見ても対策を立てることができない
2)通常サービス
・メリット　：精度の高い監査結果を得られる。
・デメリット：料金がやや高価であり、監査機関が数週間とやや長めになる。
3)高度サービス
・メリット　：可能な限りの攻撃が実際におこなわれるため、弱点がほぼすべて検出される。
・デメリット：高額、長期間にわたる。

■セキュリティ監査サービスの意義
・セキュリティホールは日々発見されるため、定期的に行われることが望ましい。

■セキュリティサイクル
・セキュリティを確保し、継続して維持していくためには、「監査」「対策」「運用」という3つのフェーズを繰り返していくことが重要。

・監査：Status Check & Security Holes Inspection
　・セキュリティホールの調査
　・通信ポートの動作状況調査
　・ルーティング/アクセスの設定調査
・対策：Consulting & Integrations
　・ファイアウォールによるアクセス制御
　・セキュリティホール対策
　・適切なID設定
・運用：Operation & Watching
　・不正アクセスの監視
　・アクセス状況の監視
　・ポリシーの変更・運用

Chapter3-Lesson4-Section1 マネージドセキュリティサービス

■マネージドセキュリティサービスとは
・SeSP(Security Service Provider)と呼ばれるマネージドセキュリティサービスを提供する事業者。
・セキュリティ管理のアウトソーシングなど

■代表的なマネージドセキュリティサービス
・ファイアウォールノリモートメンテナンス
・不正アクセス監視
　IDSやファイアウォールからのトラップを利用する
・ウィルス監視
・メール監査

■導入に関する留意点
1)コストと効果のバランス
2)責任分解点および業務内容の明確化

Chapter3-Lesson3-Section2 Voice over IP サービス

■IP電話サービス
・広い意味でのIP電話：VoIP技術を利用して音声を伝送するアプリケーション全体
・狭い意味でのIP電話：IP電話のうち、専用のIP網を利用して音声伝送を行うインターネット電話

■商用IP電話サービス
・メリット
　・提携ISP同士のIP電話は無料
　・ほぼ日本一律の料金
　・海外にかける再にも割安
・デメリット
　・IP電話同士ではなく、ISP同士が提携していないと無料にはならない
　・110,119などの緊急通報や着信課金、フリーダイヤルに制限

■企業におけるVoIP利用形態
1)VoIPゲートウェイの利用
・VoIPゲートウェイを設置し、今まで使っていたPBXを配下につなげる形態。
　・メリット　：導入しやすい
　・デメリット：PBXなどの設備コストが削減できない

2)IP-PBXの利用
・PBXの代わりにIP-PBXを導入するという形態。最近では、企業内SIPサーバを導入する企業も見られる。電話機はIP電話機に更改可能。
　・メリット　：PBXを一箇所に集中設置して管理が可能。Voice/Date統合アプリケーションも利用可能に。
　・デメリット：独自プロトコルでの動作が多く、拡張性が縛られる。

3)IP-Centrix
・プロバイダがPBX機能を網側で提供し、PBXを複数の企業で共同利用するイメージのサービス。
・PBXで提供していた内線転送や短縮ダイヤル、三者会議などの機能を加入者IPソフトスイッチ（クラス5ソフトスイッチ）によって提供する。
・PSTNや他のVoIP網への接続を行う中継形IPソフトスイッチ（クラス4ソフトスイッチ）機能をあわせて提供している場合がほとんどである。
　・メリット　：PBX設備と保守運用のコスト削減
　・デメリット：PBX機能が少ない、ネットワーク側にPBXを設置するので、障害時の冗長化が必要

■企業におけるVoIP導入形態の選択基準
1)コスト上のメリット
・VoIPの導入により、既存ネットワークの大幅な構成の変更がある場合には、割高になることも
・PBXの高額な設備や保守運用など

2)利用する機能
・PBXの機能（転送・保留）は100種類以上あるが、IP-PBXやIP-Centrexですべての機能の提供は難しい。
3)外線発信の方法
・VoIPゲートウェイからの発信
・IP電話サービスへの接続
4)品質
・遅延：自分が話し始めてから相手に聞こえ始めるまでの時間の遅れ
・ゆらぎ：音声データの入ったIPパケットの到着時間のばらつき。音声の途切れ。
・パケットロス：音声パケットの消失により、再生できない。
・R値：ITU-T勧告G.107に準拠した総合的な音声品質指標
・PESQ値：Perceptual Evaluation of Speech Quality
　　　　　ITU-T勧告P862に準拠した客観的音質評価
・QoSの実装により、CoS（Class of Service）やToS（Type of Service）ビットが立てられる製品が多い。
5）Voice/Date統合アプリケーションの導入の可否
・メール、FAX、電話、ボイスメールといったコミュニケーション手段をひとつに統合するユニファイドメッセージング
・相手の状態確認を行うプレゼンスサービス

Chapter3-Lesson3-Section1 Voice over IP

■VoIP技術とは
・デジタル化された音声データなどをIPパケットによって運ぶアプリケーション全体を指し、多くの内容を含む
・テレビ会議システムや監視装置など
・実現するためには符号化と呼制御の方法について規定する必要がある

■VoIPの構成要素
・端末
　・TA+アナログ電話機
　・IP電話機
　・ソフトウェア
　・IAD（Integrated Access Device）：TA機能をADSLモデムに組み込んだもの
・ゲートキーパー：CA（Call Agent）ととも呼ばれる。
・VoIPゲートウェイ：既存の公衆電話交換網PSTN（Public Switched Telephone Network）の接続
・MCU（Mulitipoint Vontrol Unit）：多拠点通話などの制御

■符号化
・CODEC（COder/DECoder）：符号化/復号方式
・G.711が採用するPCM(Pulse Code Modulation)
・G.729が採用するCS-ACELPなど

■呼制御
・音声通話相手の発見、呼び出し、状態調査や音声符号化方式の決定など
　・ITU-T H.323とRFC3261のSIP（Session Initiation Protocol）
　　・H.323
　　　・呼制御：H.225
　　　・端末間制御信号：H.245
　　　・音声CODEC：G.711,G.729
　　　・映像CODEC：H.261,H.263
　・RFC 2705のMGCP（Media Gateway Control Protocol）

■データの流れ

Chapter3-Lesson2-Section4 インターネットVPNサービス

■インターネットVPNの構築条件
・WAN側グローバルIPアドレスが必要
・各拠点は重複しないプライベートネットワークアドレスで構成されることが必要
・VPN装置の上位に機器がある場合、IPsec通信に必要な通信を許可する必要がある。

■インターネットVPNのネットワーク設計
・スター型
・メッシュ型
・リモート接続型

■インターネットVPNサービスと他のVPNサービスの相互接続

■インターネットVPN設計における経路のサマライズ

■アクセス制御

■リモート接続型の場合の設計

■マルチホーム環境での設計

■レンタルCE（Custmer Edge）サービス

Using Microsoft® Office 内容評価基準範囲

Microsoft Certified Application Specialistとは｜Microsoft Business Certification
http://msbc.odyssey-com.co.jp/msbc/mcas/word2007.html

Microsoft Certified Application Specialistとは｜Microsoft Business Certification
http://msbc.odyssey-com.co.jp/msbc/mcas/excel2007.html

メモ書き！

Chapter3-Lesson2-Section2 広域イーサネットサービス

■広域イーサネットサービスとは
・通信事業者が提供売るイーサネットのVPNサービス。

■広域イーサネットサービスの特徴
1.レイヤー2サービス
　IP-VPNと異なり、ルーティングプロトコルを含む任意のプロトコルを利用可能。
2.セキュリティ：VLAN（Virtial LAN利用）
3.フルメッシュ通信
4.多様なアクセス回線の選択
5.品質と信頼性：SLAが適用される場合が多い
6.柔軟性
7.ネットワーク移行が容易
8.経済性

デメリットとしては次の二点
1.冗長時構成の複雑さ：STPを利用することになるが、設定が複雑になる。
2.ブロードキャスト：帯域幅が狭い拠点がある場合には、ブロードキャストパケットによる影響が大きくなる。また、ブロードキャストストームが発生すると、拠点間の通信がとまる。

Chapter3-Lesson2-Section1 IP-VPNサービス

■IP-VPNサービスとは
・IP（Internet Protocol）を用いてVPN（仮想閉域網）を構築することができるネットワークサービスである。

■IP-VPNサービスの特徴
1.レイヤー3サービス
2.セキュリティ
3.フルメッシュ通信
4.多様なアクセス回線の選択
5.品質と信頼性：バックボーンは二重化されている場合が多い。SLAが提供されているものもある。
6.多様なオプションサービス
7.ネットワーク構築の容易さ：MLPSを用いている場合には、BGP4も利用可能。
8.経済性：専用線より安い
9.拡張性

デメリットとしては、IP以外のプロトコルを回線に載せる場合には、IPによるカプセリングが必要になる。

CISAとCISSP

今のお仕事で、韓国の方（日本語が非常に堪能で助かってます）とのやり取りもあるのですが、韓国のネットワーク業界では下の資格がはやっているとのことです。

ISACA東京支部 の活動　～　CISA　～情報システム監査の国際的資格http://www.isaca.gr.jp/cisa/

(ISC)2 Japan
https://www.isc2.org/japan/


ちょっと気になったので書いてみました。
日本ではあんまりメジャーじゃないような。

Chapter3-Lesson1-Section2 SLA

■SLA：Service Level Agreement
・サービスの品質を保証する制度
・可用性
・網内遅延時間
・障害通知時間

■可用性の保障
・安定して使えること
・通信事業者によっては「故障回復時間の保障」を指す

■網内遅延時間の保証
・「網内」の定義に注意する（バックボーンのみ保障など）

■SLAでの注意点
・SLAや返金の対象はISPのPOI（Point Of Interface＝責任分解点）間でとなる

Chapter3-Lesson1-Section1 従量制課金と定額制課金

■課金について

■定額制課金
・時間による定額制
・帯域による定額制

トラフィックパターンが安定している場合には、定額制が好ましい

■従量制課金
・時間による従量制
・帯域による従量制

1.ピーク課金：ピーク時のトラフィックを目安に課金する
2.平均値課金

■95%タイル法について
・上位5%のトラフィックは課金しない

■トラフィックパターン
1.特定の時期にのみトラフィックが増える
　95%タイル法を利用することで、コストを抑えられる可能性がある
2.昼夜でトラフィックの増減がある
　従量制課金の平均値課金が適用されることで、コストを抑えられる可能性がある

■課金方法の変更に関する注意点
1.10Mbpsから20Mbpsへの変更
　イーサネットカードの規格が10BASE-Tの場合には、イーサネットカードがボトルネックとなる
2.10Mbpsの定額制課金から100Mbpsへの従量制課金への変更
　ISP側で高速なルータへの接続に切り替える必要を生じる

いずれの場合にはも、一時的な通信の切断、ISPに接続するためのIPアドレスの変更、変更に伴うリードタイム（ISP側や社内での準備、社外ユーザへの変更通知など）が発生する。したがって、日常的にトラフィックを管理し、帯域を増やす場合には計画的に行うことが望ましい。
（.com Master★★★2007公式テキスト 145p）

Chapter2-Lesson6-Section1 P2Pの基礎知識

■クライアント/サーバ方式とP2P方式
P2P（Peer to Peer）は一般的に、定まったクライアント、サーバを持たず、ネットワーク上のほかのコンピュータに対してクライアントとしてもサーバとしても働くような、ノードの集合によって形成されるシステムのことである。
・利点：耐負荷性、耐障害性
・欠点：データの一元管理が困難、各ノードの同期
P2Pと対照的な通信方法がサーバ/クライアント方式

■P2Pファイル共有ソフト
・ハイブリッド型P2P（ファイルの検索にのみサーバ/クライアント方式を使う）
　・Napstar
　・WinMX
・ピュアP2P
　・Gnutella
　・Winny

■ファイル共有ソフト以外のP2Pソフト：Skype
・スーパーノードというノードの情報を集約する端末を選定することで、接続台数が多くなっても高速な検索が可能。
・スーパーノードは固定ではない。

Chapter2-Lesson5-Section1 暗号技術基礎

■暗号技術の重要性

■一方構成ハッシュ関数とMAC
・一方構成ハッシュ関数とは、メッセージに対してできる限り異なる固定長の値を出力する関数である。
　代表的なものにMD5とSHA-1がある。
・一方構成ハッシュ関数を利用してメッセージの認証を行う符号化技術をMAC（Message Authentication Code）と呼ぶ。

■ブロック暗号アルゴリズムとCBC（Cipher Block Chaining）
・メッセージの暗号化には、主にブロック暗号アルゴリズムという技術が用いられる。
・（ブロック単位で暗号化した）一つ前のブロックとこれから暗号化するブロックの排他的論理輪を暗号化するブロック暗号アルゴリズム。

■鍵交換技術
・安全でない通信路を使用して動的に秘密対象鍵を生成、共有する技術が鍵交換技術である。代表的なアルゴリズムはDiffie-Hellman交換。
　IKEでも利用されている。

■公開鍵暗号アルゴリズム
・暗号化に用いる鍵と複合化に用いる鍵が異なる暗号アルゴリズム。
・暗号化鍵と複合鍵はペアで生成する。
・ある暗号化鍵で暗号化したメッセージは、その暗号化鍵とペアの複合鍵でしか複合できない。
・体表的な公開鍵暗号化アルゴリズムは、RSA暗号アルゴリズム。

■デジタル署名
公開鍵暗号を利用してメッセージに署名をする技術

■計算量
かつては計算に必要なメモリー量が重視されたが、現在は時間計算量のほうが重要視されている。

■統計

Chapter2-Lesson4-Section3 IPsec対応のハードウェアとソフトウェア

■対応ハードウェアのタイプ

IPsecでVPNを構築する場合、LANとインターネットのゲートウェイ部分にIPsec装置を導入し、LAN全体をIPsecで保護するのが普通である。各ホストがIPsecスタックを持ち、すべての通信がエンドツーエンドでIPsecにより保護されるという形態はまだ一般的には使用されていない。
（.com Master★★★2007公式テキスト 145p）

■ゲートウェイ部分で動作するハードウェア型IPsec装置
1.Juniper Networks社（旧Netscreen Technologies社）
　Netscreen 5（SOHOなどローエンド）～ Netscreen 5000（通信事業者のコンセントレータ）まで。
　処理能力の高さに定評がある。
2.CiscoSystems社製品
　VPN3000シリーズやPix Firewallなど。すでに使用中のCiscoルータをそのままIPsec装置として利用できる場合が多いことなどから、人気の高い製品群である。
3.Check Point Software Techonologies社製品
　Firewall-1など。Nokia社製品に組み込まれている。

■対応ソフトウェアのタイプ

■OS内蔵型
1.Linux FreeS/WAN
　linuxでもっとも普及しているIPsecスタック
2.FreeBSD KAME
　古くから定評のあるIPsecスタック
3.Windows2000/WindowsXP
　基本機能の実装にとどまり、適用範囲は狭い。

■独立ソフトウェア型
1.Check Point Software社のVPN-1
2.Safe Net社のSoftRemoteLT(旧称Soft-PK)
　多くのハードウェアIPsecゲートウェイにOEMとして提供されているソフトウェア
3.SSH社の各種ツールキット
　きわめて定評がある。エンドユーザが直接購入するものではない。

Chapter2-Lesson4-Section2 自動鍵交換プロトコル

■IKE：Internet Key Exchange
・IPsec SA（Security Association）を自動生成するための標準鍵交換プロトコル

■IKEの概要
・フェーズ１：制御信号のやり取りとをするISAKMP（Internet Security Association and Key Management Protocol）の作成。
・フェーズ２：実際にデータをやり取りするためのIPsec SAを生成する

■IKEの役割

■暗号化アルゴリズムなどのネゴシエーション
・暗号化方法のほかに、IPsecを適用するパケットの種類なども決定する。

■秘密対象鍵の自動生成
・Diffie-Hellman交換という公開鍵暗号技術を使用する。

■通信相手の認証
・現在通信している相手が本物なのかどうかを確認することが、IKEにおける通信相手の認証である。暗号化アルゴリズムをネゴシエーションにより決定し、秘密対象鍵を自動生成しても、通信相手が偽者では意味がない。この認証方式には大きくわけでPSK（Pre Shared Key＝事前共有鍵）認証、公開鍵暗号認証、デジタル署名認証の3種類が存在する。

1.PSK認証：管理者が事前に設定した秘密のパスワードを知っているかどうかで相手が本物かどうかを確認。
2.公開鍵暗号認証：通信相手の公開鍵を設定しておき、公開鍵暗号を使用して相手を認証する方式。
3.デジタル署名認証：鍵交換メッセージにデジアタル署名を付加することで相手を認証する方式。拡張性は高いが、原則的にPKIが必要になる。

■メインモード、アグレッシブモード、クイックモード

Chapter2-Lesson4-Section1 IPSecプロトコル

■インターネットで考えられる攻撃とセキュリティ技術
1.受動的な攻撃
・盗聴：伝送されたメッセージの内容の取得
・トラフィック解析：メッセージの長さややり取りの頻度の解析
2.能動的な攻撃
・なりすまし：他者に成りすまして行う攻撃。送信元IPパケットの詐称
・リプレイ攻撃：盗聴したメッセージ（パケットなど）を保存しておき、跡で単純に同じメッセージをコピーして送信
・メッセージの改ざん：メッセージの内容を不正に変更すること
・DoS攻撃：正常な処理を行うことが不可能なほど、大量のパケットを送信するなど

■必要なセキュリティ機能

・秘密性：受動的な盗聴からの通信の保護
・認証（本人制確認）：そのメッセージが本当に表示された送信元からのものであることを保障する機能
・認証（完全性保障）：メッセージが改ざんされていないことを保障する機能
・否認不能性：送信者がメッセージを送信したことや受信者がメッセージを受信したことを証明する機能
・アクセス制御：通信を通貨または遮断を制御する機能
・可用性：システムが常に使用できること

IPsecはこれらのセキュリティ機能をIPパケット単位で実現する技術

■IPsecの動作例

■セキュリティプロトコル - ESPとAH
・IPsecの具体的プロトコル
　・ESP（Encapsulating Security Payload）
　　IPパケットを具体的にIPsecにカプセル化するときのフォーマットなどを定義する。
　・AH(Authentication Header)
　　パケットのほぼ全体を対象としてESPよりも広い範囲でパケットの完全性を保障するが、暗号化は行わない。

■カプセル化モード
・トランスポートモード：IPパケットのペイロード部が暗号化される
・トンネルモード：元のパケット全体を暗号化する

■暗号化アルゴリズム
・3DESがメジャーであるが、今後はAES（Advanced Encryption Standard）が普及していくと予測されている。

■セキュリティポリシーとセレクタ
・セキュリティポリシー

また、IPSecトンネル（これをSA：Security Associationと呼ぶ）には、「どのような種類のパケットを流してもよいか」を示すパラメータとして次のような種類のセレクタがある。
・宛先IPアドレス
・送信元IPアドレス
・トランスポート層プロトコル（TCP、UDP）
・送信元ポートと宛先ポート（TCPやUDPのポート）
・ユーザやホスト名
（.com Master★★★2007公式テキスト 145p）