Comments
Description
Transcript
Lotus Notes/Domino
ネットワークレイヤーからみる ネットワークレイヤーからみる Lotus Notes/Domino 株式会社ロジック 富永泰助 目次 はじめに ネットワーク圧縮 暗号化について NRPC通信について はじめに 今回は、主に(趣味)でLotus Notes/Dominoのネットワーク キャプチャをしてその中身をみてみました。 もともとは外部のZABBIXというツールでNotesAPIを使うの が面倒だったのでコマンドやスクリプトでシュミレートできない か・・がはじまりでした。 とはいえ、調べてみるとこれがなかなか興味深い。ということ で今回のお話です。 環境 以下のような環境でやってみました。 DELL Power Connect 2324 100Base Switch Lotus Domino Server 8.5.2 Windows Server 2003 IP 192.168.1.2 R8.5 Discussion Template LZ1圧縮有効 ・同一ネットワーク内で極力他のPCを利用しないようにする。 ThinkpadT60 WindowsXP SP3 + WireShark Lotus Notes 8.5.2 IP 192.168.1.107 ・1回の測定後毎にキャッシュを削除 (サーバ、クライアント再起動及び設計キャッシュ削除) ・ユーザーアカウントはすべて共通 ・不要なサービスは落とす やってみたこと ネットワーク圧縮でどの程度実データが小さくなるのか? 暗号化の実通信へのオーバーヘッドは? そして何よりもNRPC通信とはなにものか? ベースライン操作 ベースライン ベースライン操作 操作 ベースライン操作 変化値 変化値 1.クライアントセッション確立 2.DataBaseOpen→ViewOpen 3.文書オープンしたとき 4.添付ファイルダウンロード(1MZIPファイル) × 1.ネイティブ通信 2.ネットワーク圧縮On 3.暗号化On 4.ネットワーク圧縮、暗号化On みてみたこと みてみたこと ・パケット数 (ほぼ同一操作でのパケットサイズ及びフレーム数) ・パケット内容 目次 はじめに ネットワーク圧縮 暗号化について NRPC通信について ネットワーク圧縮と暗号化 ネットワーク圧縮は効果があるようです。 順調にサイズが減っているようです。半分とはいいませんが、6割から7 割ぐらいになっているようです。 測定項目 クライアント DataBaseOpen 文書オープン セッション確立 →ViewOpen したとき 1.ネイティブ通信 パケットフレーム数 キャプチャサイズ 2.ネットワーク圧縮On パケットフレーム数 キャプチャサイズ 3.暗号化On パケットフレーム数 キャプチャサイズ 4.ネットワーク圧縮、暗号化Onパケットフレーム数 キャプチャサイズ 0 11K 0 7K 0 15K 0 5K 236 138K 205 89K 240 130K 214 88K 119 85K 69 50K 116 83K 80 59K 添付ファイル ダウンロード 638 584K 632 579K 635 580K 657 579K なんと!暗号化すると、サイズは少し小さく なっています。圧縮というかなにか最適化 されたんでしょうか? 暗号化しても多少のオーバーヘッドでいけ るようです。5%ぐらい微増のときもある? ん~・・・ふにおちません。あとでしらべ てみましょう 圧縮中の通信について(1) セッション確立段階の通信をみてみましょう 圧縮Off 圧縮On セッション確立 実データ送受信 圧縮中の通信について(2) セッション確立後の通信をみていきましょう。 このパケットはビューを開いた後文書を開く操作をしたパケットです。 圧縮On 圧縮 非圧縮通信 先頭部分はイーサーフレーム なので共通で存在します。 圧縮中の通信について(3) 添付ファイルの状況をみてみましょう。 約500KのファイルをZIPファイルに圧縮しています。 圧縮On 圧縮 非圧縮通信 圧縮形式を自動判別して、 ZIP等のレベルの高い圧縮で あれば、見分けておくりわけて いるようです。またこのDBは LZ1圧縮されるはずですが圧 縮されないようです。 圧縮中の通信について(4) そこで急遽圧縮が効く形式にして添付ファイル(約500Kのテキスト)をつくってみました。 ついでにLZ1圧縮も無効にしたパターンもやってみました。 測定項目 テキストファイルでの圧縮Off LZ1有効 テキストファイルでの圧縮On LZ1有効 テキストファイルでの圧縮Off LZ1無効 テキストファイルでの圧縮On LZ1無効 パケットフレーム数 キャプチャサイズ パケットフレーム数 キャプチャサイズ パケットフレーム数 キャプチャサイズ パケットフレーム数 キャプチャサイズ 添付ファイル ダウンロード 131 105KB 131 103KB 331 294KB 203 167KB LZ1圧縮がかかるとネットワー ク圧縮より効率がいいため、添 付ファイルにネットワーク圧縮 は有効ではない LZ1を無効にした場合ネット ワーク圧縮のほうが勝る。 目次 はじめに ネットワーク圧縮 暗号化について NRPC通信について 暗号化について(1) 暗号化のセッションをみていきます。 暗号化Off 暗号化 暗号化On 暗号化 セッション確立 最初のセッションを確立する 時点では暗号化がされてお らず何らかのネゴシエーショ ンをして暗号化を指定するよ うです。 実データ送受信 暗号化について(2) 次に添付ファイルのパケットをみていきます。 暗号化Off 暗号化 暗号化On 暗号化 セッションが暗号化されてし まうと、もう中の内容はよみ とることはできません。これ はどうように設計のデータ及 び文書のデータも暗号化さ れています。 目次 はじめに ネットワーク圧縮 暗号化について NRPC通信について NRPC通信について(1) 最後にノーツ通信パケットについてみていきたいとおもいます。 まず、ネットワーク圧縮及び暗号化されているデータでは中身を一切よみとる ことはできませんので、生通信のデータを利用します。パスワードを入力して 通信セッションを確立するまでは一切の通信は必要ないようです。 クライアントを開き、パスワードを入力するまでをキャプチャしました。ARP以外 の通信はおこなわれていないようです。 NRPC通信について(2) セッションが確立されてDBアクセスは、次の順序でうごくようです。 設計要素情報をもってくる ビューの並びをもってくる これはNotesのローカル キャッシュの設計情報を ためた上で、文書ファイ ルをもってくるといった公 式の説明と動作が一致し ます。おどろいたところが、 設計要素を最初にかなり の部分(ビューから見え ているフォームの情報と 非表示化されている フィールドももっていきて います。 ノーツの通信について(3) 文書は次のようにひらかれるようです。 いきなり文書が受信されてい るため、ビューで開く段階で フォームの設計要素はダウン ロードされている状況が理解 できます。ここでも同様に非 常時フィールドも実はもってき て、クライアント側で整形して 見せているといった動きをし ているようです。また添付ファ イルは一切通信されず開か れた際に通信が行われます。 ただし添付ファイルのリンク情 報はおくってきているようです。 総評 暗号化していない、できない通信、古いクライアントが混在するのは危険 暗号化、圧縮していないパケットをいかに流さないかをかんがえるのも有効 クライアントソフトをアップグレードして、ネットワーク圧縮等をポリシーで強制 Onにしたほうがよりセキュアと考えられる。 有線LANならばワンボックスLinuxでMACアドレス偽装キャプチャ、WPA2固定 パスフレーズならGPGPUでキー解析して無線LANに侵入できるので暗号化し ていない通信は見えてしまう。 セッション最初 ただ解析側としては、同じポートでまったく異なるプロトコ ル通信がながれているようなものなので、読みにくいとの ことです。 暗号化 暗号化 No暗号化 暗号化 No暗号化 暗号化 ネットワーク ネットワーク 圧縮 圧縮 NRPC通信 (セッションの最初の内容によって異なる) 本日はありがとうございました。 今回は趣味に 趣味に走った話になってしまいまし たがご静聴ありがとうございました。何かおも うところ質問等ありましたらどうぞお気軽に! 質問は 」まで! 質問は富永宛まで 富永宛まで「 まで「[email protected]」 まで!