02/07/15 20:13
> 79
種明かし。単に Nortel とか iSD という名前で載っていないだけ。
実は 310/FIPS には Rainbow Technologies Inc. という会社の
CryptoSwift HSM というのが載っている。
これが FIPS 140-1 Level 3 --Certificate #162
を取得している。それだけのこと。(当然マニュアルには明記されているよ。)
ちなみに 310/FIPS じゃないモデルには何が載っているかは
知りません。
81:名無しさん@XEmacs
02/07/16 15:13
>>80
> 種明かし。単に Nortel とか iSD という名前で載っていないだけ。
もちろん Alteon でも載ってなかったし。
> CryptoSwift HSM というのが載っている。
> これが FIPS 140-1 Level 3 --Certificate #162
> を取得している。それだけのこと。(当然マニュアルには明記されているよ。)
ガ━(゚Д゚;)━ン! んなのアリ?
よーし、お父さん、SSL アクセラレータに iButton 載っけて FIPS
PUB 140-1 Level 3 Certified と銘打って売っちゃうぞー。
はともかく、それなら筐体含めて tamper resistent な ANDES の方が
実質マシじゃないのか?
82:??
02/07/16 22:54
> 81
resistant ですよね?
それはさておき、Nortel も ANDES を... もごもご。
83:a
02/07/17 05:04
SSLアクセラレータといえば、普通箱型かPCIスロットに刺すタイプ
ですよね。Pentium4のSSE2やAthlonの3D!nowみたいに、最近は
マルチメディア演算用の命令積んだCPUも多いから、これをSSLの
高速化に使えないものかなぁ、なんて思うのですが。できる?
84:b
02/08/15 20:32 j8R2cIgn
作れば出来るんじゃない。
85:あぼーん
あぼーん
あぼーん
86:nobody
02/08/15 23:27 FwJ+Xgvm
>83
マルチメディア系の演算命令がどんなものかわかってないとおもわれ
87:メ?ツ?ツ?ツ?ツ?リT
02/08/18 16:15 MiT9MZAV
>81
Andesはまだバグ多いらしいよ・・・
>82
その先は・・・(笑)Nortelも最近節操無いですね
SSLの負荷かけたいならCAWとか使えばって感じ。
SSLのカードって言っても結局NICとかBUSのトラフィックはCPU処理だから専用箱の方がいいんでないの?そんで鍵の管理は専用オペレーターがいるでしょ。LDAPとかHTTPとかFTPとかでCRL管理できるintelとiSDに一票。
88:anonymous
02/08/18 23:03 ncvhMabQ
>>83 >>86
UNIXのpasswdファイル解読して弱いパスワードを見つける
John the ripper っていうプログラムがあるけど、
こいつの中で DES の計算の高速化に MMX 命令使ってた。
(MMX には長いワードを一気に XOR する命令なんかが用意されている。)
ただし、SSLの計算で大きな時間を占める公開鍵暗号系
(RSAとかDSA)の高速化に応用できるかどうかはわからん。
89:あぼーん
あぼーん
あぼーん
90:てて
02/08/29 23:11 HIyJpOCJ
>>89
アクセス権ネーってよ
91:俺の仕
02/12/19 23:11 T6SJ/17u
保存上げ
92:俺の仕
02/12/20 21:49 W9DfQwvf
保存上げ
93:山崎渉
03/01/15 22:27
(^^)
94:山崎渉
03/04/17 12:34
(^^)
95:あぼーん
あぼーん
あぼーん
96:あぼーん
あぼーん
あぼーん
97:あぼーん
あぼーん
あぼーん
98:age
03/09/03 02:31
age
99:anonymous@ p6ea3c6.tkyoac00.ap.so-net.ne.jp
05/09/23 10:06:30 gq7TxXBE
SSLアクセラレータ+SLB+Webサーバー2台の環境で
通信の流れが想像できないっす。
公開するFQDNはSLBのIPアドレスがDNSに登録されていているようです。
だから、ブラウザからアクセスしに行くと、SLBに行ってアクセラレータを
経由しないでWebサーバーにいってしまうような気がするのです。
今は、業者さんが書いた申請書を元に想像してるだけなんで
申請書が間違っている可能性もあるんですが、こんな感じになってます。
SSLアクセラレータ 192.168.0.2 実サーバー 192.168.0.10と192.168.0.11
SLB 192.168.0.3 実サーバー 192.168.0.10と192.168.0.11
Webサーバー1 192.168.0.10
Webサーバー2 192.168.0.11
申請書をお見せ出来ないので、何を言っているか分からないかもしれないですが、
私の想像ではSSLアクセラレータはSLBのアドレスだけ設定すればいい、
むしろそうでないといけないのでは?って思うのですがどうなんでしょうか。
100:hoge
05/09/26 09:28:35
>>99
> 私の想像ではSSLアクセラレータはSLBのアドレスだけ設定すればいい、
> むしろそうでないといけないのでは?って思うのですがどうなんでしょうか。
何を言っているかやっぱり分からないけど…
何となくそんな感じかな。
Client --> 負荷分散機 --> SSLアクセラレータ --> 負荷分散機 --> 実サーバ
(Redirect処理) (負荷分散処理)
って感じが一般的だと思うけど。
細かいところはSIerさんに聞いてください、お金払ってるんですよね!?
101:99
05/09/27 00:51:45
>>100
レスありがとう。
SIerさんはSSLアクセラレータを入れるのにWebサーバに
証明書入れて443で受けようとしてた事もあり、まかせっきり
にするのもなと思い、勉強しているしだいです。
SLB --- SSLアクセラレータ --- SLB という図を見て
納得しました。DNSにはSLBのFQDNが登録されるようなので
SSLアクセラレータにどう繋がるかが想像出来なかったんですが
L4スイッチというのでしょうか、SLBがその機能も持っている
ためアクセラレータからSLBに戻れるのですね。
当初の想像は
ブラウザ --- SSLアクセラレータ --- SLB --- Webサーバ
と考えてしまったため、通信の流れが???でした。
勉強になったっす!
102:hoge
05/09/27 02:30:44
>>101
> SIerさんはSSLアクセラレータを入れるのにWebサーバに
> 証明書入れて443で受けようとしてた事もあり、
SIerを庇ってる訳じゃないけど補足させて。
一般的にはSSLアクセラレータが気が狂ってお亡くなりになった時のために、
実サーバにも証明書入れて443を待ち受けてたりするかも。
負荷分散機でもSSLアクセラレータがお亡くなりになった時の設定が入ってるかも。
103:99
05/09/27 08:02:16
>>102
なるほど、気が利いているというか
専門外の私には思いも付かなかったです。
でも、そんな話してくれなかったな。。。シャイな人でも
無いんだが。
ちょっと聞いてみよ。
104:揚げ奉行
06/12/14 00:38:59
8
105:anonymous@softbank220031144017.bbtec.net
07/02/27 22:01:16 ZX5upSE1
暗号化や復号はwebサーバーにやらせて、証明書はロードバランサに入れるなんて事は
できますか?証明書は高いので少しでも安くしたい。でもSSLロードバランサは高いし
すべての処理を任せるのは心もとないと考えてるんで。
106:anonymous@4.152.210.220.dy.bbexcite.jp
07/02/28 00:43:07
>>105
ほとんどの証明書は、バックエンドのwebサーバの台数分必要ですよ。
Verign
URLリンク(www.verisign.co.jp)
【認証局】SSLに関するスレ1枚目【ぼろ儲け】
スレリンク(mysv板)l50
107:anonymous@softbank220031144017.bbtec.net
07/02/28 00:58:23 cb2+emmN
ロードバランサ使えば一枚でオーケーだった所があったはず。
基本的に盗聴されていようがいまいがあんまり気にはしないんだが費用にうるさい
会社なもんで、安く出来る方法ないかななどと思った次第。
バックエンドに入れる証明書をすべてのサーバーにコピーして入れちゃえばいいような
気もするんだがそれでは規約違反だろうし、後で怒られそうというわけです。
ばれなきゃいいという噂もあるが。。。
108:anonymous@softbank220031144017.bbtec.net
07/02/28 01:12:13 cb2+emmN
一つの方法として考えているのは、BIG IP のHDにNFSでパーティションを作って
各ウェブサーバーからBIG IP内の証明書を取ってくるという形を考えてるんだが
それでうまくいくのかどうかは疑問かつ余計なトラフィックがロードバランサとウェブサーバー間で
発生するし、さすがに規約上無理がある気がしてる。
109:anonymous@4.152.210.220.dy.bbexcite.jp
07/02/28 01:52:53
>>107
BLADEとかLivedoorSSLが1枚でOKだったけどもう売ってない、、、
ほかに1枚でOKな証明書があればぜひ教えてほしい。
110:anonymous@softbank221089248024.bbtec.net
07/03/08 14:45:58 I1NSe9OC
SSLの関係者はここ見てる?
SSL今落ちてない?
SSL使う認証のところGooもほかのとこもだめなんだけど?
メールチェックもできない
さっさとなおしやがれ
111:anonymous@p5178-ipbffx02funabasi.chiba.ocn.ne.jp
07/03/09 23:09:33
じゃーいまごろ SSL(株) も大変だね。
112:名無しさん@負荷分散
07/05/30 20:45:34 4s9jM0qA
1のレス見て他のレスはまったく読んでないので回答でてたら申し訳ないけど
SSL通信を分散且つセッション維持の要件があるのなら、
SSLアクセラレータ付き負荷分散機orSSLアクセラレータ(単体)+負荷分散機(単体)を
買いなされ。
そして任意のセッションIDCookieに入れるか携帯端末含むならURLに埋め込んで
複合化通信を負荷分散機に読み込める形にして通信すればおk
SSLアクセラレータ付き負荷分散機なら高いけど、SSL通信を分散機で暗号化を複合化するから
setCookieだろうがhttpヘッダーだろうが装置内で消化できる
113:?
07/05/31 19:42:49
>>111
具体的な製品をあげてみてよ
114:anon
07/08/07 21:03:46
>>112は6年前の>>1のレスに回答してるな
ここまで間の開いたレスは初めて見た
115:anonymous@FNAfb-08p4-226.ppp11.odn.ad.jp
07/08/17 00:50:46 4WQvxILd
BIG-IPか旧Alteonだろうな。
単体のSSLアクセラレータってあんま使わないきが。
116:aaa
07/09/17 00:54:16 Z3gAw+wT
>>115
ArrayTMXってのはどう?
ご存知な方、利用実績のある方いる?
117:名無しだよもん@カラアゲうまうま
07/12/23 15:12:41
>>112の後者の構成でArrayTMX使ってるけど
ファームウェアの不具合が酷かった。
一度構成固めてあと触らないなら構わないかも。
118:anonymous@softbank219200036086.bbtec.net
08/03/25 21:36:55
たった2台のxSeriesの負荷分散用に
ServerIron4G売りつけるのはやめようよ。
lvs+heartbeatで仮想IP構成で十分だよ。
URLリンク(www.linuxvirtualserver.org)
119:anonymous@softbank219200039066.bbtec.net
08/07/22 11:10:50
FoundryはBrocadeに買収されることに同意しました。
120:anonymous@118x240x100x162.ap118.gyao.ne.jp
08/07/31 04:30:13 HHCQrCDx
array、foundry、alteon、radware、f5などで一番高いヤツにSSL付のがありんす。
セッション維持はSSLアクセラレーター付ロードバランサでやるか、アクセラレーターをロードバランサ
の前に付ける方法が一般的なんでしょうか?
L4ロードバランサでセッション維持機能の無いもの(バカバランサ)を使い、
サーバー間でセッションを複製するという方法を取ったほうが安くできるのではないかと思うのです。
121:anonymous@softbank219019220034.bbtec.net
08/08/03 10:30:22 xSp5Csh/
>>417
ホンダのミニバン
ていゆかていじゅうしん
122:anonymous@eatkyo073134.adsl.ppp.infoweb.ne.jp
08/09/16 00:56:32 mK2/4lG1
>>120
他は知らんが
f5は普通にセッション維持できるけど
SSL複合しなくても・・・
123:_
08/09/17 02:34:18
>>120
LBをSSL対応品にするか、LBの前段にSSLアクセラレータをいれるかしないと、負荷分散装置を通るときに
SSL暗号化を解除できない。そうすっと、パーシステンス/スティッキーの方式として事実上、SSL session ID
とソースIPくらいしか選べなくなるんじゃね。
SSL session ID方式は「一部ブラウザがSSL session IDを頻繁に再ネゴシエートする」って問題があったので、
個人的には避けたい。
現行バージョンのメジャーブラウザは問題ないはずだけど、未来を含めて絶対の保証はされないだろうし。
システム仕様で完全固定IPのみを相手にするという絶対的な保証があるなら、ソースID対応でなんとかなる。
ていうかそのほうが楽だ。
んで、サーバシステム側で「いつ別の物理サーバに振り分けられても問題ないような」構造にするのも手だ‥
ただし、アプリが状態の遷移を完全に把握して設計されていて、実装も問題なく、性能上の影響も一切生じず、
セキュリティ的な懸念もあり得ない、というのなら、だが。
個人的経験で言えば、その手の方法は動作試験以降が大変だ。
まれにアプリ的な動作が妙になったりで、「LBが悪いんだろう!てか頼むからそういって下さい!」と詰め寄ら
れたりとか。んでどこに問題があるのか切り分けが面倒だとか。(苦笑
個人的経験では、その手の案は「目先の小銭を節約する代わりに、実装と運用を無駄に複雑にする選択」と
言わざるを得ない。
「必要なのはサービスの可用性であり、トラフィック総量は少ないから負荷分散は不要」という要件でなら、
負荷分散を行わず、トラフィックの振り分け先は常に1台。主系サーバが落ちたら、トラフィックを副系サーバ
に振り分ける、みたいな設計もありだな。これならL4パーシステンスしかできないLBでもあまり問題ない。
124:anonymous
08/09/19 23:49:13
ウチはこれで、SSLアクセラレータとL7負荷分散を入れてます。
URLリンク(fenics.fujitsu.com)
125:anonymous
08/11/22 18:54:43
もうBIG-IPなんて見たくもさわりたくもない
126:anonymous
08/11/22 18:59:42
じゃあ何ならいいんだよ
127:anonymous
08/11/23 12:44:42
Д10
128:hoge
08/11/23 19:18:00
>>125
何があったんですか…
129:anonymous
08/11/24 18:14:19
>>125
NEらしくL2SWとRでいいや
>>128
何があったというわけでもないけど
結構すぐ壊れるし
それにもう飽きたし
BIG一筋2年間・・・秋田
130:128
08/11/30 01:36:59
>>129
結構、壊れるんですね…F5
お付き合いのある代理店さんがやたらと勧めてくるので、
評価機でも借りようかと思っていたんですが…
131:129
08/12/02 00:08:03
>>130
まあ壊れてもまるごと交換だから
そんなに面倒ではないかもだけど
値段も高いし・・・
ただ、やれることは他機器に比べて多いらしい
iruleとか使いこなしたら柔軟性も抜群だし
あ、何オレあんな機械のこと庇ってんだろ・・・
こ、これが・・・愛?
132:anonymous
08/12/02 01:59:01
>>131
ただのストックホルム症候群です。
133:129
08/12/03 01:04:42
>>132
被害者なのに犯人に同情しちゃう気持ち?
普段は好きじゃないんだけど、
ケナサレルとなんかムカムカする的な?
ま、F5も悪いやつじゃないんで
考慮してやってね
134:ぽんたろう
08/12/09 16:28:17 ppR78r3I
URL REWRITE(再書込み)のセッション制御って、
バランサのセッション維持で対応できるのでしょうかぁ?
135:anonymous@118x241x102x41.ap118.gyao.ne.jp
09/04/17 10:40:58 fdh3PYbW
結論として、SSLロードバランスにはSSLロードバランサを購入する以外になさそうですね。
136:A10
09/06/05 23:07:57
>>129
俺も疲れた。。。
トクに電源壊れ過ぎ。
137:anonymous@05001014093382_mc
09/07/02 22:13:32 U6uIwWk4
UltraMonkey-L7+SSL Proxyって実サービスに投入してる人いる?
経験談をぜひ聞きたい。
138:あのにます
09/07/31 11:55:41 gf+SyfBp
>>137
あれはそのパッケージだけでなく、周辺の連動パッケージもそれなりに理解してないと動かせないね。
でも幾つか解説本片手に構築すれば、1週間で投入可能なレベルに持っていけるよ。
139:anonymous@z219.211-19-70.ppp.wakwak.ne.jp
10/02/27 15:58:06 M1F3O0FC
>>136
ゴネたら電源タダで交換してくれたよ!
140:anonymous@ZJ020197.ppp.dion.ne.jp
10/03/21 19:04:29 NffwCBa0
光回線よりも速い通信プログラムができた。木下、瀬谷貴史、リナックス君が使って、知っている
141:anonymous@ZJ020197.ppp.dion.ne.jp
10/03/21 19:06:11 NffwCBa0
光回線よりも速い通信プログラムができた。木下、瀬谷貴史、リナックス君が使って、知っている。
142:anonymous@ZJ020197.ppp.dion.ne.jp
10/03/21 19:06:53
光回線よりも速い通信プログラムができた。木下、瀬谷貴史、リナックス君が使って、知っている。
143:anonymous@softbank126102040102.bbtec.net
10/09/25 14:35:38
ロードバランサとかL4-7スイッチ、ADCのスレはどこかにありますか?
144:anonymous
10/09/25 17:56:32
とりあえずここでいいんじゃね?
145:anonymous@i118-19-80-116.s05.a014.ap.plala.or.jp
10/09/26 17:09:13
>>144
やはりそうですか。ありがとうございました。