keyboard samurai ZERO COOL

 

  1. ホーム
  2. IT技術及びツール紹介
  3. セキュリティ(キーワード集)

セキュリティ(キーワード集)

プリアンブル

Ethernetフレームの冒頭に付加されている64ビットのフィールド。10BASE-TのEthernet規格で利用され、信号開始の遅延でデータが消失することを防ぐ役割を持つ。10BASE-T以外(100BASE-TXなど)では利用されないフィールドだが、10BASE-Tとの互換性のために残されている。

SFD (Start Frame Delimeter)

EthernetやIEEE802.3フレームのプリアンブル部に続く部分で,送信先アドレス部の開始を示す1オクテット(8ビット)長のフィールドである.パターンは“10101011”である. 多くのハードウェアでは,オクテット・パターンの検出ではなく,最後の連続した“1”の検出でその代用としているので,現実的には62ビットのプリアンブル部に2ビットのフレーム開始部(SFD部)という解釈もある.

NAT



IPX

IPX(International Protection Code)とはIPコードと呼ばれる国際規格で、固体・液体の侵入に対してどれだけの保護が施されているかの目安になる規格。IEC(国際電気標準会議)によって定められている、製品の防水、防塵における保護規格である。

以前はJIS保護等級(下記参照)と呼ばれていたが、現在はこのIPコードが採用されている。ただし、内容は基本的に変わっていないのでIPコード=JIS保護等級と考えてしまって、おおまかに差し支えはない。

なお、日本国内ではIPXが防水規格のように扱われているが、これは間違い……までいかないにしても、微妙に誤った使い方である。

IP##というのが正式な表記であり、Xはテストされていないものを便宜上Xで置き換えているだけである。一桁目が防水等級、二桁目が防塵等級を表している。

IPX4 であれば防水に関してはIPコード4級(JIS保護等級4級)、防塵に対してはテストされていないということになる。IP68と書かれていれば防塵機能は IPコード6級(JIS保護等級6級)、防水機能はIPコード8級(JIS保護等級8級)をクリアしているという意味。

ARP

Ethernet上で通信を行うためには、IPアドレスに対応したMACアドレスが必要になります。ARPとは、IPアドレスの情報からMACアドレスを知るためのアドレス解決プロトコルです。同一セグメント上にあるホストは、そのホストの宛先IPアドレスからMACアドレス情報を得て通信を行い、異なるセグメント上のホストとは、ホストのデフォルトゲートウェイに設定されているルータのMAC情報を得て通信を行います。下図ではホストAからホストBにパケットを送信しようとするのですが、ホストAはホストBのMACアドレスを知らないため、先ず最初にARP要求をブロードキャストします。そのブロードキャストはセグメント上の全てのホストが受信して内容を解析します。宛先のIPアドレスが自分のIPアドレスである場合、ホストBは自分のMACアドレスを埋め込み、ARP応答パケットを送信元であるホストAに返送することになります。

■送信元MACアドレス(6bytes)
 ARP要求もしくはARP要求への応答を送信する側のコンピュータが、自分自身のMACアドレスを格納する。イーサネットの場合、MACアドレスは6bytesなので、このフィールドに自分自身のMACアドレスを埋め込んでパケットを送信する。

■送信元IPアドレス(4bytes)
 ARP要求もしくはARP要求への応答を送信する側のコンピュータが、自分自身のIPアドレスを格納する。IPv4の場合はIPアドレスは4bytesなので、このフィールドに自分自身のIPアドレスを埋め込んでパケットを送信する。送信元のMACアドレスとIPアドレスは、必ず自明なので、このフィールドには必ず何らかの値がセットされていることになる。これに対して、以下の2つのフィールドは、ARPの要求送信時には不明なので、0のままとなっている。

■あて先MACアドレス(6bytes)
 ARPの応答パケットにおいて、ARPパケットを返送する先(つまりもともとのARP要求を最初に送信した側)のコンピュータのMACアドレスがセットされるフィールド。

■あて先IPアドレス(4bytes)
 ARPの応答パケットにおいて、ARPパケットを返送する先(つまりもともとのARP要求を最初に送信した側)のコンピュータのIPアドレスがセットされる。

 ARPパケットの構造は、以上のように利用するネットワーク媒体(MACアドレスの長さ)によって長さが変わる可能性がある。だがイーサネット(およびその互換技術)が広く普及した現在では、ほとんどの場合は上記のような構造のARPパケットを見る機会が多いだろう。

プロキシARP

プロキシARPはサブネットワーク環境において、サブネットマスクを設定できない旧式のホストが通信する時に一般的に利用されます。プロキシARPは他のホスト宛へのARP要求に対して代わりにARP応答する機能です。下図では、ホストAからホストBにパケットを送信しようとした場合、ホストAはネットワークアドレスを比較してホストBが同じネットワークに属していると判断して、デフォルトゲートウェイのアドレスに対してARP要求を行うのではなくて、ホストBのアドレスにARP要求を行います。プロキシARPが有効なI/Fを持つルータが、このARP要求を受信した場合、ホストBの代わりにプロキシARP応答パケットを送信します。その結果、下図においても、ホストAとホストBは同じセグメントにいるような通信を行えます。プロキシARP機能はI/F上でデフォルトで有効。このプロキシARP機能は、ルーティングテーブル( デフォルトゲートウェイ含む )を持っていないホストが異なるセグメント上にある機器のMACアドレスを調べる手助けの機能とも言えます。例えば、ARP要求を行うホストと異なるセグメント上にあるホストに対するARP要求をルータが受信して、そのルータがホストに至る経路を保持する場合、ルータはARP要求元のホストと同じセグメントのI/FのMACを知らせるプロキシARP応答パケットを生成します。そのARP応答パケットを受信したホストは、そのルータにパケットを送信してルータはパケットを目的のホストに転送する事ができます。従って、下図のネットワークにてスイッチAとホストB間は通信できます。スイッチAを、例えばPCに置き換えると通信はできません。PCの場合、デフォルトゲートウェイが設定されていない状態において異なるセグメントに対してPINGを実行しようとした場合 [ Destination host unreachable ] とコマンドプロンプト上で表示されて、異なるセグメントにパケットを送出できません。Catalystスイッチの場合は、デフォルトゲートウェイ ( ip default-gateway ) の設定がない状態でも、異なるセグメントへPINGを実行するとポート上からパケットが送出されるので、上図の構成で通信ができます。あるホスト宛のARP要求に対し、ルーターがそのホストに代わってルーターのMACアドレスを返答すること。代理ARP、ARPハックともいう。特にサブネットを理解できないホストが存在するネットワークでは有効である。
例えば、192.0.2.0/28というネットワーク上にあるホストA(192.0.2.1)と、192.0.2.16/28にあるホストB(192.0.2.17)を考える。ホストAがもしネットマスクを理解できないなら、192.0.2.xはクラスCのネットワークであり、24ビットのナチュラルサブネットマスクと解釈する。このため192.0.2.17は同じネットワークに属していると考え、まずMACアドレスを知るためにARP要求を出す。しかし、実際にはホストBは別ネットワークのホストなので当然ARPが返らず、結果として通信ができない。そこで、もしネットワークAのルーターがProxy ARPを行なうよう設定すると、192.0.2.17へのARP要求に対してそのルーター自身のMACアドレスを返すので、ホストAはルーターへパケットを投げ、結局このルーター越しにホストAとホストBとは通信することができるようになる。このようにサブネットを設定できないホストが存在するネットワークにサブネットを適用するのにProxy ARPは便利だが、しばしば解決困難なネットワークトラブルの原因ともなるため、できれば利用しないのが望ましい。

NAT



IPマスカレード



静的IPマスカレード

アドレス変換機能であるNATまたはIPマスカレード(NAPT)を拡張し,アプリケーションが使うポート番号と,LAN側の特定のプライベート・アドレスを固定的に対応付けておく機能。多くのルーターが搭載する。
アドレス変換を利用している環境で、インターネットにサーバーを公開するためのブロードバンドルーターの機能。静的IPマスカレードを利用すると、特定のポート番号に送られてきたパケットを、指定されたLAN内のマシンに転送できる。
 NATやIPマスカレードを利用すると,グローバル・アドレスとプライベート・アドレスとを相互変換することで,LAN上にある複数のパソコンがインターネットに接続できる。ただし,インターネット側から各パソコンのIPアドレスが隠されるため,ビデオ会議システムや対戦型ゲームなどのインターネット側からLAN上の各パソコンにアクセスするアプリケーションが利用できないという問題がある。同じ理由から,公開サーバーも設置できない。これを回避する仕組みが静的IPマスカレードである。
 例えばWebサーバーを公開する場合,HTTPのポート番号80番とLAN側のWebサーバーのIPアドレスを対応付ける。これにより,インターネット側からWebページを閲覧したいという要求を受けると,ルーターは必ずWebサーバーに接続する。LAN内で「192.168.1.100」というプライベートアドレスを割り当てたマシンをWebサーバーとして公開する場合、静的IPマスカレードで「80番ポート宛のパケットは192.168.1.100に転送する」というように設定する。これで、ルーターのグローバルアドレスの80番ポート宛のパケットは、すべてWebサーバーに転送される。
静的IPマスカレードは、LAN内のサーバーをインターネットに公開する目的のほか、複数のコネクションを利用するオンラインゲームなどを利用するときにも使われる。また、ベンダーによっては同機能を「バーチャルサーバー」や「ポートフォワーディング」といった名称で呼ぶ場合もある
静的 IP マスカレードテーブルを設定する
 外部から 80 ポートでアクセスしてきた場合、ローカルエリアの WEB サーバーとされるパソコンに接続する設定方法。
ホームページの作り方 ホームページを配信する環境を構築する

自宅サーバーで配信する方法

ルータのプライベート IP アドレスが 192.168.1.1 の場合、LAN 側ポートに接続されたパソコンに 192.168.1.2 ~ 192.168.1.224 までのアドレスを設定する事が出来ます。ルータのプライベート IP アドレスが 192.168.0.1 の場合、LAN 側ポートに接続されたパソコンに 192.168.0.2 ~ 192.168.0.224 までのアドレスを設定する事が出来ます。つまり、サブネットマスクにより接続台数は異なりますが、サブネットマスク 255.255.255.0 の場合は接続台数は同じになります。

ルータのプライベート IP アドレスは購入した時にすでに決められています。例えば プライベート IP アドレスが 192.168.1.1 のルータを購入したとします。右図では、WEB サーバーに 192.168.1.2 を設定して、普段使用するパソコンには 192.168.1.3 を設定しています。 2 台のパソコンが重複しない様に 192.168.1.2 ~ 192.168.1.224 の プライベート IP アドレスを割り当てて下さい。

例1 WEB サーバーを 192.168.1.2、普段使用するパソコンを 192.168.1.3
例2 WEB サーバーを 192.168.1.2、普段使用するパソコンを 192.168.1.100
注 ルータのプライベート IP アドレス 192.168.1.1 の 192.168.1 までを統一します。

プライベート IP アドレスの設定方法

1.「スタート」→「設定」で「コントロールパネル」を開き、「ネットワークの接続」をダブルクリックします。

2.「ローカルエリアの接続」をダブルクリックします。

3.「プロパティ」を左クリックします。

4.「インターネットプロトコル ( TCP/IP ) 」を左クリックして反転させ、「プロパティ」を左クリックします。「次の IP アドレスを使う」にチェックを入れ、アドレスを入力します。「次の DNS サーバーのアドレスを使う」にチェックを入れ、プロバイダーから指定された DNS サーバーアドレスかルータの IP アドレスを指定します。

WEB サーバー 常用 パソコン

DNS サーバーはルータの WAN 側で自動取得を有効にしているので、ルータのプライベート IP アドレスを指定します。ルータには WAN と LAN を結ぶ機能があります。モデムが接続されている方が WAN になり、インターネットから特定できるエリアとなります。

WANでは、固定 IP の契約をしていない場合、全てのアドレスを自動取得に設定します。これは、プロバイダからグローバル IP アドレスを借り入れるためです。 LAN では、プライベート IP アドレスを利用します。IP を自動設定する DHCP を無効にして、手動に設定したのが右上の図です。

この作業はネットワークを構築する作業で、サーバーに関係なく、インターネットに接続するために必要な作業です。 LAN でも DHCP を有効にしても接続する事は可能です。しかし、自分のアドレスが分からない状態では、トラブルが発生した時に原因を特定するのが面倒です(もちろん、ipconfig で現在取得しているプライベート IP アドレスを調べる事は可能 )。

ルータ のLAN側 DHCP を無効にする

プライベート IP アドレスを手動で割り振ったので、LAN 側の DHCP ( 自動取得機能 ) を無効にします。設定方法はルータにより異なるので、ルータの説明書をご覧下さい。ルータの DHCP 機能は、WAN 側ポート ( グローバル IP アドレス ) と、LAN 側ポート ( プライベート IP アドレス ) の設定があります。 WAN 側ポートの DHCP 機能は有効にしたままで、LAN 側ポートの DHCP 機能を無効にします。

静的 IP マスカレードテーブルの設定

この作業は、インターネットから WEB サーバーにアクセスする設定です。ユーザーがグローバル IP アドレスを指定してアクセスしてきたら、WEB サーバーに設定された プライベート IP アドレスの 192.168.1.2 へアクセスを可能にします。

設定方法はルータにより異なります。また設定の名称も異なります。ルータの説明書をご覧下さい。ルータ購入時に静的 IP マスカレード機能が搭載されていなくても、ファームのアップデートで利用可能になるものがあります ( 2007 年 2 月 現在では、ほぼ搭載されています ) 。ルータメーカーのホームページで確認します。

以上で、インターネットからローカルに構築したWEBサーバーにアクセスする事ができます。ホームページにアクセスする仕組みは右図を参照します。

閲覧者がブラウザにドメインアドレス ( MB-Support の場合は mbsupport.dip.jp ) を入力して「Enter」キーを押すと、DNS サーバーへグローバル IP アドレスを探しに行きます。 DNS サーバーが mbsupport.dip.jp のグローバル IP アドレスを見つけます。これは、Dynamic DNS を利用して登録作業をしているからです。

閲覧者はグローバル IP アドレスを利用して、MB-Support のルータに到達します。静的 IP マスカレードテーブルの設定により、80ポートへのアクセスはWEBサーバーへ通します。 WEB サーバーは、ホームページを形成するファイル群をアップロードすると同時に、閲覧者はファイルをダウンロードします。最後にブラウザがダウンロードしたファイルを形成して、ホームページが表示される流れとなります。

    スポンサーリンク