Category Technical

Network Layer(OSI Model)

by nobby Technical

ここではOSIモデルを基準に記していきます。

  1. L1 – Physical Layer
    • 物理レイヤー、ネットワークアダプター等のハードウェアを示します
  2. L2 – Datalink Layer
    • LinuxなどのOSではデバイスドライバーでありネットワークチップの入出力を行うファームウェアです。
    • デバイスドライバーはC言語、アセンブラーで記述され、最低単位のパケットの送受信を行います。アセンブラー、C言語以外ではハードウェアをアクセスすることに問題があります。
    • これらはデバイスやそのファミリー単位に異なります。
  3. L3 – Network Layer
    • 相互接続されたネットワーク、つまりインターネットを可能にするプロトコルとテクノロジーで構成されています。この層は、ネットワーク全体のルーティングが行われる場所です。ネットワークを通過するデータはパケットに分割され、これらのパケットは第3層で宛先を与えられ、目的地へ送信されます。このプロセスで最も重要なプロトコルはインターネットプロトコル(IP)です。
  4. L4 – Transport Layer
    • データの送信元と送信先の間での制御や通知、交渉などを担う。相手方まで確実に効率よくデータを届けるためのコネクション(仮想的な専用伝送路)の確立や切断、データ圧縮、誤り検出・訂正、再送制御などの仕様が含まます。
    • この層でTCP、UDPに分類されます。TCPは送受信間のデータの保証がとられます。
    • L2からここまでのレイヤーはOSレベルでC言語で記述され、他の言語ではハードウェアにアクセスすることが考慮されていないしRaw Socket の処理もできません。
  5. L5 – Session Layer より上層
    • この層以上のレイヤーでは「アプリケーション層」(application layer)となります。HTTP(ウェブ)やDNS、FTP、SMTP(メール送信)、POP3(メール受信)、IMAP4(メール受信)、SSL/TLSなど具体的な機能を定義したプロトコル群がなり、これらを利用するアプリケーションソフトが含まれます。

当社 QS Filterの考え方

by nobby Technical
Access from '216.73.216.2'
It is 17:43 JST now.

 

これまでのIPフィルターは読んで字のごとくインターネットプロトコル IP 層のフィルターです。(OSIモデルネットワーク層解説 参照)

当社のフィルターはデバイスドライバーの出口、上図のSOCK_RAWで処理するのでどのようなネットワークパケットでもフィルタリングが可能です。
これは例えるなら、東京という都市の出入りである乗り物(Device Driver)の出入り口を裸の状態でフィルタリングするので荷物に隠れて逃げた、どこかの自動車メーカーの元社長のようなことはできません!
このレイヤーのプログラムはC言語だけが可能です。

暗号化を行っているのはL4処理出力の後でおこないます。

Black List White List ではダメ!?

単純にBlack List White List では対応できない例をメールサービスで示します。

メールを受信するポートは平文でTCP/25、暗号化ではTCP/465で行います。

  1. MTAに入り込む為の攻撃は?
  2. 「あなたのアカウントで不正なアクセスがありアカウントが制限されてます。」なんて楽天カードを騙った詐欺メールはどこから来るのでしょうか?
  3. 腐るほど来るジャンクメールは?

1.は、上図「PCメール送信」から定番(?)のアカウント・パスワードを中心にやってきますが、殆どウイルスや乗っ取られた世界中のWindows PCから来るのでBlack Listは何の役にも立ちません。

2. 3. は 単純なIP Address Black List や 利用DNS Black List SPFレコードなどのフィルターが可能ですが更新が必要です。

通常のPCやスマホなどのクライアントは外から(インターネット側から)のアクセスは制限されています。
しかし、内側からの制限は無いので自分で個人情報を中国などに送信してしまったら、セキュリティー面では最悪です。
このようなことはあるのでしょうか?

トランプ氏が大統領になる前のUSAでは公務員に対してファーウェイやZTEの製品の使用を禁止しました。なぜでしょう???
これらの製品のOSやアプリはファーウェイやZTEが搭載したものでたとえ暗号化されたデータでもクライアントでは復号化して表示されます。この時点でバックグランドで走っているアプリ、表示そのもののサービスをしているOSが中国に送っていたら!?

このような問題があるから最近ではファーウェイ製品などだけでなくWeChatやTiktokなどのアプリもUSAでは排除しようとしているのです。

当社製品では 上記のようなメールサービスだけでなく各種インターネットサービスにおいて情報漏れやクラッキングを起こさせないようにネットワーク接続の入口において外部との通信フィルターを実現しています!

Professional Version Design Diagram