2-3. インタ−ネット技術概観 '96〜 (1) インタ−ネット技術 ================================================================================ 技術的にクリアしなければならないことをざっと説明する。 ================================================================================ * 経路制御について 静的経路制御コマンド route の使い方だけ知っておけば十分である。 インタ−ネットへ の経路制御は、プロバイダ側の経路情報をそのまま使えばよい。そのためには、自社側の ル−タからプロバイダ側のル−タへ、デフォルト経路を設定するだけでよい。そして自社 側の他のホストの経路制御は、自社のル−タにお任せすればよい。 自社側の内部ネット内の経路制御は、動的経路制御を使うと便利である。デ−モンとして は routed である。これは全てのホストで稼働させておけば、勝手に経路の情報交換して くれるので、何もせんでもいい。 しかしネットワ−クの構成は毎日のように変更するわけでもない。経路情報もそう変わる わけでない。routed はある時間毎に情報を交換し合うので、不用意な負荷を生むことに なる。このため、ゲ−トウェイホストでのみ routed を稼働させ、他のホストでは静的経 路制御するか、ゲ−トウェイへのデフォルト経路を設定することが望ましい。 * 電子メ−ルについて 電子メ−ルの送付テストは、先ず自分宛に送ってみる。ちゃんと設定できていない状態だ とどこに送るか分かったもんでない。 ちょうどモデムで通信のテストするのに ATDP 117 とやって天気予報を聞くようなものである。それに送付したメ−ルの発信者アドレスも確 認しておこう。DNS のテストをやっている時に、メ−ルを外に送ったところ、相手は返事 を Return アドレスで返したらしい。そしたらテスト時のドメインのアドレスに行ってし まったらしく、こっちにメ−ルが来なかったことがある。 電子メ−ルの設定はすごくやっかいである。 しかし本書では、万能 sendmail.cf を用意 した。これさえあれば怖いものはない。なんでこういうのが今までなかったのか。へたに sendmail.cf を作成する tool などを使って、その tool の使い方がまたよく分からんな んてことをするよりも、よっぽどスマ−トである。98年追記:SPAMメ−ルへの対策 には CF ツ−ルを使った方がいい。万能 sendmail.cf はそこまで対応してない。 sendmail.cf をクリアしたらマルチメディア対応の MIME に挑戦する。 MIME 対応なら断 然 INDY の Zmail がいい。Netscape も MIME 対応になってきたので、これもいいかも知 れない。一子相伝なんていうMHに、 MIME 機能を付け加えて使うやり方もあるが、お勧 めではない。ただ MIME は危険性がある。知らない所からの電子メ−ルには注意すること。 MIME に手を加えると、自社開発のアプリケ−ションのデ−タを電子メ−ルで送り、 向こ うで自動的にアプリケ−ションを起動し、表示するようにできるようになる。遠隔地など NFS や RPC 接続できない場合に、一つの解決手段になり得る。こりゃ使わない手はない。 * DNS について 電子メ−ルの sendmail よりは、だいぶ簡単である。DNS はインタ−ネットにつながって いる世界中のホストにアクセスするために、 /etc/hosts ファイルの代わりをするもので ある。自社側でたとえWWWサ−ビスをするだけで、ホスト1台をインタ−ネットに接続 する場合でも自社用の DNS を設定しなければならない。 ここで設定するのは、インタ− ネットにアクセスするホスト名とパブリックなIPアドレスの対応情報と管理者のメ−ル アドレスなどである。 世界中から自社のWWWサ−ビスにアクセスしに来る時は、 自社の DNS ネ−ムサ−バに 先ずサ−ビスしているホストのIPアドレスを調べに来ることになる。もしこのネ−ムサ −バがダウンした場合、IPアドレスを調べることができなくなる。このため予備のネ− ムサ−バ、正確には DNS の管理情報のコピ−を他のところで持ってもらうのが、 インタ −ネットでの約束になっている。現在では通常、接続先プロバイダでコピ−を持ってもら うようになっている。別に自社以外であればどこでもいいのだが。 DNS の実際の設定は named.hosts などの制御ファイルを作成し、 named デ−モンを稼働 させることである。本書では sendmail.cf 同様、制御ファイルの雛型を示した。 これを 元にホスト名を追加したり、ドメイン名の部分を書き換えたりすれば使えるはずである。 * ファイアウォ−ルについて ファイアウォ−ルには広義と狭義の意味がある。本書では単にファイアウォ−ルといった 場合には狭義の方の意味とし、バリアネットと内部ネットのゲ−トウェイでのアクセス制 限とする。これとパスワ−ド強化などを含めた全体としての防御を、セキュリティ対策と 呼ぶことにする。 ファイアウォ−ルには2つの方法しかない。ゲ−トウェイでIPパケットを通すタイプか 通さないタイプかである。IPパケットを通す方は、通過を許可するパケットを選別する ことにより、不正と思われるアクセスから守るやり方である。これはパケットフィルタリ ングと呼ばれている。 IPパケットを通さない方は、そのままでは、内部ネットとインタ−ネットの間で、全く 何もアクセスできない。そこでゲ−トウェイ上にプログラムを走らせ、そのプログラムで 特定なアクセスのみを中継してもらうようにする。この中継の仕方によって、アプリケ− ション・ゲ−トウェイとトランスペアレント・ゲ−トウェイの2種類に区分される。 このファイアウォ−ルの種類によって、内部ネットのIPアドレスをパブリックにするか プライベ−トにするか変わってくる。DNS や sendmail の設定も異なってくる。具体的に はパケットフィルタリング型の場合、内部のIPアドレスもパブリックなものを使うこと になる。IPパケットを通さない方は、パブリックなIPアドレスを使っても意味が無い ので、プライベ−トなアドレスを使うことになる。 最近のファイアウォ−ルの製品は、両者を組み合わせるか、IPパケットを通さない方が 多い。それにどうもIPアドレスの不足と言うこともあって、内部ネットはプライベ−ト アドレスを使えるような製品が増えている。 * 市販のメ−ルサ−バソフト これまでフリ−ソフトの sendmail と POP しかなかったが、 やっと電子メ−ルの市販の サ−バソフトがでてきた。SMTP サ−バソフトの Post.Office、 96年半ばから発売され ている。日本語版は 98,000 円である。Windows NT, Solaris 2.5.x, それに INDY でも 使える。雑誌にも最近よく載っている。 これで難解な sendmail.cf から解放されるか?。 URLは http://www.product.opentech.co.jp/ ここ。 それに Netscape SuiteSpot の中にある Netscape Mail Server も使えそうである。ただ しサ−バ・クライアント方式のソフトの常で、クライアントが多いと結構な出費になって しまう。しかし Netscape Mail Server を用いてメ−ルシステムにしたという話は、まだ 聞いたことがないな−。長年実績のある sendmail でさえ、未だにセキュリティホ−ルで 苦しんでいるのに、すぐさま新しいものに飛びつくのは、やはり躊躇するのが当然か。 * SPAMメ−ル対策 この対策は必須である。97年ぐらいから少しずつ問題になってきていた。98年秋ぐら いからは、だいぶガ−ガ−いわれるようになった。対策を実施せずに放置して、それが原 因で他社に迷惑をかけた場合は、訴訟されても仕方ないという論調にかわってきた。最初 は自サイトをまもるという観点からの対策だったが。先ずは踏台にされないようにするこ と。内部への大量メ−ルの拒否は、次の対策でも構わない。メ−ルのクライアント個々で も、メ−ル拒否の設定ができるので、とりあえずはそれで対策してもらう。 * BIND 4.x から 8.x ヘ DNS のデ−モンを適当な時にできれば変えたい。BIND 8.x 系は97年5月に出た。BIND 4.x はこれからはあまり手を加えず、BIND 8 の方をメインにしていこうという考えであ る。さらに BIND 9.x 系が99年の終わりには出てくる。こちらはデジタル署名にも対応 とのことだ。IPv6 時代の DNS という印象をもっている。とりあえずは BIND 8.x でいい。 これで DNS の逆引きの強化を行う。相手の確認をしっかりやることが今後は必要である。 WWWアクセス、メ−ルアクセスの水際で不正アクセスを防止するのである。 (2) やりたいことと関連用語 * やりたいこと ともかく必要 DNS の named デ−モン << Solaris に初め入っているのは in.named である。 経路設定のデフォルト経路 他のデ−モン類も in.xxx という名前である。 sendmail デ−モン、sendmail.cf WWWで情報発信をしたい。 CERN httpd, NCSA httpd << CERN は欧州素粒子物理研究所、すごい。 Apache << 最近では Apache の使用が多い。SSL もサポ−ト。 WWWを見たい Mosaic, Netscape << Mosaic は 1993 年 NCSA によって開発された。 Microsoft Internet Explorer << Netscape より表示がぼっちゃりしている。 内部ネット内の経路制御 動的経路制御の routed << routed は便利。Windows 95/98 には備わってない。 静的経路、デフォルト経路 << インタ−ネットに抜けるル−トはデフォルト経路。 電子メ−ルをEWSで使いたい sendmail, sendmail.cf << 昔も今も sendmail に sendmail.cf である。 MH, Zmail, ucb mail << ucb mail はメ−ルクライアントの基本。 電子メ−ルでマルチメディアも扱いたい Zmail, << この当時、本当まともにマルチメディア対応のメ MIME, metamail << −ルソフトは Zmail ぐらいしかなかった。 PDSなどのプログラムを探したい、取りたい archie, xarchie << xarchie は探して取れる。archie は探すだけ。 anonymous FTP << 匿名FTPサ−ビス。ロッグインは anonymous。 DNS の設定をしたい BIND, named, in.named << Solaris では in.named という。 whois << ドメイン情報を調べる。 nslookup << ネ−ムサ−バの動作を確認する。 Windows パソコンでもメ−ルを読みたい POP3, IMAP4 << popper や Qpopper のプロトコルが POP3。 popper, Qpopper << popper の後に Qpopper がでてきた。 プリンタを使いたい printcap, lpd デ−モン << lpd は BSD 系UNIXのデ−モン。lpr は BSD系、 lpr, lp lp はSysV 系。SysV にはプリンタデ−モンはない。 * インタ−ネットのコマンド % ftp ftp.iij.ad.jp << anonymous FTP からプログラム等を取ってくる。 | Windows パソコンでは DOS 窓から ftp できる。 login: anonymous passwd: katou@kigyou.co.jp << 自分のメ−ルアドレスを入れるのが一応決まり。 > cd /usr/katou 相手のディレクトリを変更する。 > lcd /usr/satou 自分のディレクトリを変更する。 > prompt mput でいちいち聞いてこないようにする。 > mput * /usr/satou にあるファイルを一挙に転送する。 % telnet archie.iij.ad.jp << プログラムなどを探す。telnet 利用の場合。 login: archie archie> prog プログラム名 % archie archie.wide.ad.jp << プログラムなどを探す。世界中対象。 % whois -h whois.nic.ad.jp kigyou << kigyou というドメイン情報を見る。 % ftp ring.aist.go.jp << このサイトは便利にもファイルを探すことができ ftp> site index filename る。filename のところに探したい名前を書く。 * WWWサ−バへのアクセス % netscape http://www.kigyou.co.jp/path http = スキ−マ名、他 gopher,news,telnet,file,wais www = ホスト名 kigyou.co.jp= ドメイン名 path = パス名 % netscape . << ディレクトリのファイルをみて見るだけ。 % httpd & << WWWサ−バを稼働する、root で実行すること。 % netscape http://hostX << hostX はホスト名。または http://localhost。 WWWサ−バの CGI プログラムにアクセスするには、% netscape http://localhost/ と いうようにWWWサ−バにアクセスしなければならない。ただの % netscape . では CGI プログラムは反応しない。 * ダイアルアップ接続 パソコンでもEWSでも、ダイアルアップ接続の基本は一緒である。PPP というプロトコ ルで、普通電話またはISDNでプロバイダと接続する。そしてインタ−ネットを使える ように、ネ−ムサ−バ、メ−ルサ−バ、ニュ−スサ−バのIPアドレスかドメイン名を指 定する。メ−ルサ−バは POP3 クライアントとして設定する。もしポ−ト番号も入れよと あれば 110 を記入する。Windows パソコンでモデムも内臓されていれば、 すでにモデム のドライバも入っているので、設定はなお簡単にできる。ウィザ−ドにより、Windows 98 で見ると [マイコンピュ−タ]->[ダイヤルアップネットワ−ク]->[新しい接続] で電話番 号にユ−ザ名とパスワ−ドぐらい入れるだけで済む。ネ−ムサ−バとデフォルトゲ−トウ ェイはプロバイダの PPP サ−バ経由 RADIUS サ−バから、 接続毎に自動的に割り当てら れる。メ−ルサ−バの指定はメ−ルのクライアント・ソフトの中で指定する。 もし以上の設定でも繋がらなければ、次のことを一応確認されたい。[コントロ−ル パネ ル]→[ネットワ−ク] で "Υ TCP/IP->ダイヤルアップ アダプタ" があるか?。もしなけ れば [追加]→[プロトコル]→[Microsoft]→[ΥTCP/IP] を選択する。 * その他のこと ・file.shar というようなファイルは Shell Archive されている。NetNews などで使わる るフォ−マットである。% unshar file.shar とやって中身を取り出す。 ・ftp_mail は、電子メ−ルを使ってソフトを入手する方法。uuencodeでバイナリデ−タを 7 bit ASCII コ−ドにする。uudecode で元に戻す。もうあまり使われない。 ・電子メ−ルや NetNews は 7 bit JIS コ−ドを使う。ISO-202-JP。 ・rlogin は logout で抜ける。ftp は bye で抜ける。telnet は "Ctrl + ]" とやりquit で抜ける。 ・telnet と ftp が合体した telnetx というフリ−ソフトもある。`22/05追記、本当にあ るのかな。今もって見たことないし、試したことない。 * 省略用語 PDS : Public Domain Software 今日で言えばフリ−ソフトのこと AUP : Accetable Use Policy ソフトがただか、制限つきか BIND : Berkeley Internet Name Domain バ−ク−レ大学で作られた DNS の実装 CERT : Computer Emergency Response Team クラッカ−対策チ−ム CIDR : Classless Inter Domain Routing IPアドレス枯渇対策の取り決め DES : Data Encryption Standard 有名な暗号化方式 DHCP : Dynamic Host Configuration Protocol 動的にIPアドレスを割り振る DNS : Domain Name System インタ−ネットの住所管理 FAQ : Freequently Asked Questions 文字どおりFAQ FQDN : Fully-Qualified Domain Name DNS の完全な住所 HTML : HyperText Markup Language WWWブラウザの表示言語 ICMP : Internet Control Message Protocol ホスト応答確認用 ping のプロトコル IPng : IP Next Generation 次世代のIPアドレス体系 ISDN : Integrated Services Digital Network NTTのISDN MIME : Multipurpose Internet Mail Extensions マルチメディア対応の電子メ−ル書式 NSP : Network Service Provider 文字どおりプロバイダ NOC : Network Operation Center ノックと呼ぶ NIS : Network Information Service 旧 YP(Yellow Page)。Sun のホスト名管理 NNTP : Network News Transfer Protocol ネット・ニュ−スのプロトコル PPP : Point-to-Point Protocol 2点間接続の代表的プロトコル POP3 : Post Office Protocol Version 3 電子メ−ルの私書箱プロトコル SMTP : Simple Mail Transfer Protocol 電子メ−ルの配送プロトコル SNMP : Simple Network Managing Protocol ネットワ−ク管理プロトコル URL : Universal Resource Locator インタ−ネットのサ−ビスと住所 VLSM : Variable Length Subnet Mask 可変長サブネットマスク VPN : Virtual Private Network インタ−ネット越しの仮想私設網 WAIS : Wide Area Information Server デ−タの全文検索を提供する PPTP : Point to Point Tunneling Protocol IPパケット暗号化プロトコル RSVP : Resource Reservation Protocol 帯域保証するプロトコル LDAP : Light weight Directory Access Protocol ディレクトリサ−ビス BACP : Baundwidth Allcation Control Protocol ISDNのバルク転送の高機能版 MAU : Media Access Unit イ−サネットの AUI ポ−トから UTP などに変換する機器 DoS : Denial of Service サ−ビス妨害攻撃。だいぶ後に出てきた用語 DDoS : Distributed DoS DoS を使った多くの拠点からの一斉攻撃 NCSA : National Center for Supper-computing Applications Mosaic を開発した所 MTA : Message Transfer Agent sendmail や Postfix などのメ−ルサ−バ MUA : Message User Agent パソコンなどメ−ルクライアントのソフト MRA : Mail Retrieval Agent POP3 や IMAP サ−バ用のソフト MDA : Mail Delivery Agent ユ−ザのメ−ルボックスにメ−ルを配送する IETF : The Internet Engineering Task Force インタ−ネットの規格RFCを制定する組織 RFC : Request for Comments UNIX等の仕様。例えば POP は RFC 1460 IRDP : ICMP Router Discovery Protocol RFC1256。賢い経路制御をする? ICP : Internet Cache Protocol Squid 等キャッシュサ−バ同士のプロトコル MAN : Metropolitan Area Network 大都市圏の高速な広域LAN、2001年位から NAPT : Network Address Port Translation IPマスカレ−ド、RFC2663。 IMAP4: Internet Mail Access Protocol メ−ルサ−バでメ−ルを一括管理しておく (3) 外からアクセスする技術 `96〜 * ユ−ザ認証方法など ・PPP 接続時の PAP/CHAP、ワンタイム・パスワ−ド認証。 ・PPP 接続時の RADIUS サ−バ利用の PAP/CHAP、ワンタイム・パスワ−ド認証。 ・WWWサ−バのIPアドレスとホスト名による認証。 ・WWWサ−バのベ−シック・ユ−ザ認証。 ・SSL 暗号化WWWサ−バ。デジタルID。 ・アクセス元IPアドレスによるアクセス制限。 ・発信者電話番号によるアクセス制限。 ・発信者電話番号によるコ−ルバック。PHS や携帯電話も概ね可能。 ・FireWall-1 ユ−ザ認証/VPN 機能/SecuRemote リモ−トアクセス機能。 ・FireWall-1 HTTP 認証。( HTTP Authentication Proxy ) ・POP3 の APOP と RPOP 認証。SMTP の AUTH 認証。 ・IPアドレスの DNS 逆引き認証。IDENT による認証。 * PHS や携帯電話の性質 クラッカ−が一番おいしいと思っているのが、これらの移動体電話である。実話の「テイ クダウン」でも犯人は携帯電話からインタ−ネットにアクセスしていた。そのインタ−ネ ットの利用に関しては、PHS の方が一日の長があるようである。PHS の業界団体は PIAFS (ピアフ)というデ−タ通信プロトコルの標準を定め、97年4月からサ−ビスを始めて いる。PIAFS は 32 Kbps、実効速度 29.8 Kbps の通信ができる。 問題はつながる範囲が 狭いということ。一方、携帯電話の方はまだ 9,600 bps にとどまっている。 PHS や携帯 電話からのアクセスは、基本的には繋がってしまえば公衆電話と同じ。ただ繋がらないと か安定していないとか、携帯電話なら通信速度が遅いといったことはあるが。 ・電話番号は固定で PHS や携帯電話とも、概ねコ−ルバック可能である。 ・携帯電話のアナログは盗聴されやすい。盗聴は日常茶飯時である。 ・PHS はデジタルでスクランブルをかけることができるので、盗聴されにくい。 ・PHS は現時点は守備範囲が狭い。携帯電話は全国どこからでもほぼ使える。 ・PHS の方が一度つながったら安定している。 ・携帯電話、PHS は逆探知しにくい。 ・携帯電話会社のインタ−ネット接続サ−ビス i-mode, EZ-Web, J-Sky。 ・NTTドコモの DoPPA パケット通信?。 * NAT と IP Masquerade NAT( Network Address Translator ) はIPアドレス枯渇に対するIPアドレス変換機能 であり、ISDNなどのル−タに搭載されてきている。基本的には1個のプライベ−ト・ アドレスしかパブリック・アドレスに変換しない。つまりネットワ−ク接続していても同 時には、1台しかインタ−ネットにアクセスできない。それじゃいかんということで、複 数のホストからアクセスできるようにしましょうというのが、IP Masquarade である。ル −タによっては AutoNAT, NAT+ というところもある。 HTTP, SMTP, POP はどのメ−カの 物でも IP Masquerade で扱えるが、他のプロトコルへの対応は要チェックである。 その 後 NAT では 1:1には違いないが、4個のパブリック・アドレスがあれば、4個のプラ イベ−ト・アドレスに対応する NAT も出てきた。 IP Masquerade は1:多のIPアドレス変換とポ−ト番号の管理をするようになっている。 機能的には FireWall-1 のIPアドレス変換と似ているが少し異なっている。Masquerade の入っているル−タなりからの代表アクセスということになるが、ル−タでの発信ポ−ト 番号で空いているのを使う仕組みになっている。例えばマシンAがあって、外に HTTP ア クセスする。マシンAの発信ポ−ト番号は 2000 だったとしよう。ル−タでは 2000 番ポ −トはすでに使われていて 3000 番。IP Masquerade はこのポ−ト番号の割り当てとマッ ピングをする訳である。ここで困ったことがある。FTP のように発信ポ−ト番号が決まっ ているプロトコルである。IP Masquerade 対応の FTP が必要になってくる。 * RADIUS( Remote Authentication Dial-In User Service ) 米 Ascend Communications、Livingstone が開発したユ−ザ認証プロトコルである。プロ バイダはアクセス・サ−バと RADIUS 認証サ−バにより、これでダイアルアップIP接続 のユ−ザ管理をしている。アクセス・サ−バはISDNや電話回線をたくさんもったモデ ムと思ってよい。名の通ったアクセス・サ−バは Livingstone の PortMaster や Ascend の MAX シリ−ズといったのがある。RADIUS サ−バのソフトは ftp.ascend.co.jp にある。 TACACS+ という RADIUS 同様のソフトもある。普及の度合では RADIUS である。 RADIUS を使うには RADIUS サ−バ・ソフトを稼働させる必要がある。 アクセス・サ−バ に内臓されている製品もあるが、通常は多くのユ−ザを管理するため、EWSかパソコン でサ−バ・ソフトを稼働させる。RADIUS サ−バをEWS等で稼働させた場合、RADIUS の クライアントはアクセス・サ−バということになる。アクセス・サ−バ以外にもヤマハの RT100i 等のル−タにも最近は、RADIUS のクライアント機能、RAS というのが入っている。 PPP 接続時 PAP、CHAP またはワンタイム・パスワ−ドがアクセス・サ−バに入ってくる。 この時のユ−ザ名とパスワ−ドを RADIUS サ−バに流し、そこで認証作業がなされる。 EWS等で RADIUS サ−バを稼働させるメリットは、幾つものアクセス・ポイントがある 場合どこからアクセスがあっても、認証に関しては1台の RADIUS サ−バで済むというこ とである。アクセス・ポイント毎のアクセス・サ−バで、ただのパスワ−ド管理をすると、 そのアクセス・ポイントしかユ−ザは接続できないことになる。 RT100i には RADIUS を 使わずに30人分のユ−ザ名とパスワ−ドを管理できるようになっている。とりあえず何 らかのアクセス管理をしたい場合にはいい。RADIUS のもう1つのメリットは、 誰がどれ だけ、何時間使ったか記録する課金管理がある。 RADIUS は元々フリ−・ソフトなのだが、最近は市販品もでてきた。 どうもIPアドレス やISDN発信番号も管理できるのもあるらしい。一般的には RADIUS は人数が多い場合 に、パスワ−ド管理するのに便利なソフトでしかないと言える。インタ−ネットを流れる パスワ−ドは PAP か CHAP かワンタイム・パスワ−ドのいずれかになる。CHAP は暗号化 されているが、過信は禁物である。CHAP は MD5 を使っているため、実際的には暗号では ない。つまり再現性のある文字列に変換しているに過ぎない。流れているデ−タをそのま ま送り込めば、CHAP 認証は破られることになる。 | | | 電話回線 or ISDN << セキュリティ強度 >> --------- | | アクセスサ−バ PAP --> CHAP --> One Time Password --------- | ------------ RADIUS 認証アクセスのパケットを通すよう | RADIUS サ−バ にファイアウォ−ルを設定する。UDP パケッ □ FireWall □ トの 1645, 1646 番を通すようにする。 | | ------------------------- RADIUS サ−バのソフト DTI が Windows NT4.0 向けにβ版をだしている。 > Lucent Technologies、フリ−ソフトの RADIUS 2.1。Linux, Solaris 用。 http://www.ins.lucent.co.jp/。Soliton RADDBY 2.5。NT4.0, Solaris 50 万円から。 パソコン用のフリ−ソフト WinRadius > http://www.itconsult2000.com/、ユ−ザ認証用 1812番、アカウンティング 1813番。 「NETWORK MAGAZINE」`23/03, P112, RADIUS サ−バの WinRadius 20ユ−ザまで無償。 (4) インタ−ネットひと口メモ -------------------------------------------------------------------------------- これは著者が実際にいろいろ調べたり、試してたりしてみて、時折り口についた言葉です。 インタ−ネット接続のための技術のほか、内部ネットワ−クの技術的なことも入れました。 -------------------------------------------------------------------------------- * DNS がなくてもル−ティングさえあれば、IPアドレスでアクセスできる。 * IPパケットにはサブネットマスクは入っていない。これまでの IPv4 でのこと。 * Proxy サ−バは、ゲ−トウェイにおく必要は必ずしもない。 * Proxy サ−バに、ファイアウォ−ル機能をさせる時にはゲ−トウェイにおく。 * sendmail.cf ファイルはEWSで共通な部分があるはずである。 * 雑誌などの DNS、sendmail の記述はミスプリントが多い。鵜呑みにしてはいけない。 * domainname は NIS のドメイン名である。DNS のドメイン名ではない。 * WWWサ−バは、ウェブサ−バ、W3サ−バなどとも呼ばれる。 * 全文検索の freeWAIS はインデックスの削除はできない。INDY でコンパイルできない。 * 1オクテットが8ビットでないEWSやパソコンにはお目にかかったことがない。 * VLSM の技術が出てきたので、CIDR という取り決めがなされてきた。 * SunOS 4.1.x の DNS は要注意である。NIS がデフォルト使用になっている。 * CERN httpd にはマウント機能はない。 * X.400 は電子メ−ルの国際標準プロトコルである。e-mail ではない。 * DNS の逆引きチェックは認証ではない。ただホスト名を調べているだけ。 * ル−タのパケットフィルタリングのル−ルには順番がある。間違えそう。 * ネットワ−クの実験をするには arp コマンドを使えた方が便利。 * 暗号化とか認証という話は流動的である。認証機関はいつまであてになるか。 * インタ−ネットは最新のコンピュ−タ技術ではない。10年以上前からある。 * Java −と騒いでいるが、C++はなくならない。全てがオブジェクトの世界観はない。 * Netscape は重い。テストするには軽い Mosaic がよい。いやよかったとしよう。 * ファイアウォ−ルの設定をチェックするフリ−ソフトの SATAN、ISS、COPS、RSCAN。 * SunOS 4.1.4 は SunOS 4.1.3 のバグ・フィックス版である。 * RIP は routed などが使う動的経路制御プロトコルである。 * route, routed の経路制御は、外への出口は1ヶ所。default route で指定する。 * DNS のクライアントは、EWSでは /etc/resolv.conf ユ−ザである。 * ネットワ−クを基本的に理解したければ、tcpdump を試してみること。これはいい。 * Solaris 2.5.1 の snoop コマンドを使えば、telnet のパスワ−ドが丸見え。 * ル−タの BRI ポ−トはイ−サネットのポ−トと間違えやすい。 * HTTP のサ−バ側アクセスログ管理は Netscape Commerce Server にも入っている。 * エクストラネットはイントラネットの相互接続のことらしい。用語ばかり創るな!。 * sendmail のセキュリティ・ホ−ルは、メ−ルを外から受ける時に問題がある。 * named はまだいいとしても sendmail は最新バ−ジョンを使おう。 * ハブのタ−ミネ−タの設定には注意せよ。ping でパケットのロスをチェック。 * SunOS 4.1.x の設定がおかしいと思ったら先ず reboot せよ。 * sendmail.cf のブランクはタブもある。このタブは意味がある、注意。 * sendmail 8.8.5 からは、どのEWSも sendmail.cf は /etc におくこと。 * sendmail が信用できないなら fwtk の smap でメ−ルをいったん落とせ。 * DNS のキャッシュ機能はあぶないぞ。キャッシュ時間を短くせよ。 * EWSが瞬停した場合、自動リブ−トすると、手動で停止したデ−モンは稼働するぞ。 * DNS を使う場合でも、/etc/hosts にホスト自身のホスト名を入れること。 * インタ−ネットのメ−ルアドレスは、大文字、小文字は区別しない。 * もしWWWアクセスがすごく増えたら。ラウンドロビン DNS や LocalDirector を使え。 * ファイル配布プログラムの rdist には、よく知られたセキュリティ・ホ−ルがあった。 * イントラネットは内部ネットでの運用の設計である。 * INDY はOSだけで 32 Mbyte とってしまう。64 Mbyte は欲しいね。 * Windows ネットワ−クの NetBEUI のパケットはル−タは越えられない。 * Windows パソコンをネットワ−クに接続すると、ブロ−ドキャストを年中流す。 * パソコン・ネットワ−クの主流は NetWare から TCP/IP へと変化している。 * X端末にすれば NFS はいらない。端末としてファイル・アクセスができる。 * これからの NFS はバ−ジョン3を使え。ディレクトリと属性アクセスが速い。 * X端末のクライアントは1台あたり、サ−バ側で16メガは食う。 * バ−チャルLANは思った程評判はよろしくない。めんどうなのだ。97年初めぐらい。 * RAID はバックアップ装置付きディスクと思え。アクセス速度は期待しないこと。 * Sun RPC なんとかして。TCP/IP ネットワ−クのできものみたいでかなわん。 * ネットワ−ク対応プリンタは、プリンタ・デ−モン用にホストはいらない。 * Windows 95 は1セグメント、最大でも20台とする?。30台でも問題ないみたい。 * HTTP 1.1 には Keep-Alive オプションが追加された。コネクションが切れない。 * CHAP のユ−ザID認証は、双方向の認証ができる。 * Netscape Enterprise Server はスポット保守です。つまりその都度買い取り。 * FireWall-1 はライセンス数をオ−バすると、ログでマシン!クラッシュ−。ひでえ〜。 * fwtk はある時から商用利用禁止になり、ダウンロ−ドも自由にできなくなった。 * qmail、sendmail より安全で高速。使う人が増えているとのこと。ふう〜ん、そ−か。 * SATAN は名前は怖いが、ごく基本的なセキュリティ・チェックをするだけである。 * SPAMとは何ぞや。スパム、スパム、スパム .... 。だそうだ。対策しておこう。 * メモリが足りているかは、先ずは SWAP にはみ出ているかをチェックせよ。 * SGI マシンの二千年対応は IRIX 6.5。5.3 以降はバイナリ互換。個別パッチでも対応可。 * Windows パソコンのル−ティング処理はおかしい。変な時はゲ−トウェイを変えてみる。 * Windows パソコンのネットワ−クプロトコルは NetBEUI はやめ、TCP/IP だけでよい。 * セキュリティ・ポリシ−は不要なプロトコルを先ずカット。いるのだけ通すようにする。 * Sambaは Windows 側の挙動がおかしい。'99/03。Sambaの代りに市販品を買うまでもない。 * Windows PCにはOSの CD-ROM を C:\windows\options\cabs に入れておいた方が便利。 * SSH Secure Shell、パケットは暗号化される。rsh, rcp と似たようなコマンド。 (5) 続ひと口メモ&雑感 概ね `02/01〜 * 2000年問題、騒いだ割には何も起きんかった。本当に大丈夫かと言われれば、 そう でないと答えるしかないわな。そんなこと言ったら貴方、飛行機に乗れる?。 * マルチキャストの本質はパケットの同報通信である。 それがビデオ配信等に向いている。 これからはいるだろうな−。VoIP とか QoS も調べないかんな−。 * Sendmail Pro、sendmail の商用版。GUIで設定可。米 Sendmail 社。99年初め発売。 多分お世話になることはないだろうな−。本当簡単に設定できるのかな−。 * まとまりのない情報の集合体がWWW「bit悪魔の辞典」Vol.32 No.3 2000,P.66。こ のよい子みたいなサイトがもっとできるかと思ったが、あまりできんかったね。 * ビジネスモデル特許だと。 本当どうすんの、子供でも思いつくようなことが特許になる んだと。ここ詳しい、弁理士のサイト http://www.asahi-net.or.jp/~gv8h-mtkr/。しか しベンチャ−が特許とって倒産したら、その特許はどうなるかな。 * おばさんから、今度のお稽古は休みますがとうとうメ−ルになった。`02/04。 IT大ブ −ム到来。選挙運動でもIT、ITの大連呼。ちゃんと解っているの?。 * 無線LANが 2000 年に入ってぐっと安い製品が出てきた、しかも 11 Mbps でも 500m 以上飛ぶぞ。アンテナもパラボラとかいわんでも、小さな室内用でもOKだ−。 * 日経BP社の雑誌は多過ぎるぞ。 コミュニケ−ション、バイト、オ−プンシステム、イ ンタ−ネット テクノロジ−、さらにNETWORKが `02/04/22 に創刊と来る。 * named 8.x も自分でやらないかんかな。ダイナミック DNS とやらもあるぞ。昔と違って 設定の仕方なんか、いろいろ一杯雑誌に出ているので助かるけど。 * 友達が `02/04 頃独自ドメインとりました。ニウエ王国のだそうです。 2年間で45ド ル、http://www.hihongo.nu/。to だと2年間で100ドルだそうです。 * 経費削減のためOCNエコノミ−にせ−と言われたこともあったが、 せんでよかった−。 当たり外れが今もってあるみたい。日中スル−プットが 20 Kbps も出んとこもあるとか。 * RAID がえらく身近になった。 DOS/V の IDE ディスクを使ったのなんか20万円ぐらい からあるぞ。NT もソフトウェア RAID/0,1,5 できるし。一杯記事も出てきたし、結構!。 * XML も今やパソコン雑誌に載るまでになった。CADデ−タも XML 対応というのがちら ほら。本当インタ−ネットのおかげで広まるのが早いバイ。`02/07 * 新世代検索エンジン Google、http://www.google.com/ `02/09 ベ−タ版稼働開始。すご く速い、ちゃんと的確に検索してくれる。goo よりいい?。98年米設立のベンチャ−。 * tripwire、有償版は初め5万円、翌年から2万円とどこかに書いてあった。 フリ−ソフ ト版もまだある。 デ−タベ−スの MySQL、一応フリ−ソフトだが実質ただでは使えない。 いや MySQL は、その後フリ−ソフト扱いに変更している。 * Napster というフリ−ソフト、 音楽デ−タをただでもらうことができる仕組みでアメリ カで大問題になった。 ダイアルアップ接続しているマシンのディレクトリをインタ−ネ ットに解放できるという。 この仕組みは普通のファイルにも適用可能で注目されている。 * SOAP( Simple Object Access Protocol ) なる用語登場。`02/10 初め気付いた。B-to-B でのWebシステム間連携プロトコル。XML がやはり鍵になっている。 Microsoft 社の 提唱する .NET 戦略、BizTalk Server でも使われる。いよいよ B-to-B だ。 * 従来のシンプルな HTTP サ−バはWWWサ−バ。 Servlet, JSP, EJB などを使った進ん だのはWebサ−バとかWebアプリケ−ション・サ−バと呼ぶことにしよう。 作って みたは遅くて使い物にならないという話はよく耳に入ってくる。 * XML ファイルは意味のあるデ−タの集まり、 デ−タオブジェクトまたは準オブジェクト と言おう。 一方オブジェクトは意味のあるデ−タの集まりと外部からアクセスできるイ ンタ−フェ−スを備える。機能オブジェクトまたは完全オブジェクトと言おう。 * `02/10、NTTドコモの i-mode とやらがケ−タイでぶっち切りだとか。 子供相手の半 年しかもたないビジネスはいかがなものか。こんなのはとてもやITとは言えない。 リ ストラに怯えながらお父さんが、または子供がバイトで稼いだお金を吸い上げるとは。 * `02/11、もう RAID はミラ−リングで十分だ。 ディスク単体の容量が格段に大きくなっ ている。RAID 5 で容量をかせぐ必要もない。DOS/V, Linux用にはニュ−テックの製品は どうかな。http://www.newtech.co.jp/。カタログも一度見られたし、勉強になる。 * `02/12、Cache Flow という専用のキャッシュ・サ−バの箱。よい子では90万円ぐらい の製品でいい。インタ−ネットの回線 1.5 Mbps に上げなくても、 これで外へのWWW アクセスを見かけ速くできるのでないか。もし夜間にアップデ−トするとかいうなら。 * `02/12、IP-VPN の検討で、フレ−ムリレ−も少し調べた方がいいみたい。フレ−ムリレ −は95年ぐらいからNTTが始めたサ−ビスなのだが。拠点数が多い場合、 フレ−ム リレ−網を使うと結構安く接続できるようだ。 * `21/02、 ブロ−ドバンドに IPv6 もうこれまでのイントラネット構築の手法は通用しな いだろう。大容量ネットワ−クが当り前という前提、 全機器にパブリックな固有IPア ドレスが付くという世界。「よい子のイントラネット」が役目を終える時である。 * `21/03/03、telnet/ftp/passwd などのコマンドを自動化するフリ−ソフト expect 発見 ftp は .netrc という制御ファイルで自動化できるが、telnet や passwd はそういうの がない。http://expect.nist.gov/。google で "ftp expect 自動化" を検索のこと。 * `21/03、部門ファイルサ−バに 2001/01/26 発売になった Cobalt Qube3J はいかが。こ れはいい。 最上位機種、約46万円のモデルは Qube2J には無かったディスクのミラ− リング(ソフトウェアによる)がサポ−トされた。これで必要な機能はほとんど入った。 * `21/03、SAN( Storage Area Network )と NSA( Network Storage Attache )は違う。SAN はハ−ドディスクなどデバイス用のネットワ−ク、 NAS はネットワ−ク直結型プリンタ と同じく、ネットワ−ク直結型のハ−ドディスクである。 * `21/04、P2P のソフト。Napster に Gnutella に AOL の何か。Gnutellaはちょっとした 本がでていた、サ−バ的なものは必要なく、 個人のパソコンのディレクトリを直接公開 する。Napster は中央にサ−バが必要で、ここに個人の公開情報のリストを入れておく。 * 暗号化の公開鍵方式の公開鍵と秘密鍵は1つの錠前に2個の違う鍵があり、 どちらでも 開けることができるというもの。あるいは同じ鍵と考えることもできる、FireWall-1 の Diffie-Hellman 方式 の基本セッション鍵の発生の仕方を見て、改めてそう思った。 * Networld+Interop 2001 Tokyo,6/6-8 にて。IPv6 ShowCase すごい。商用 Sendmail日本 語版発表、値段はこれから。ASTEC Eyes 基本 19.8 万円、Sniffer Basic より使い易い かも、お試しダウンロ−ドhttp://www.asteceyes.com/。Check Point VPN-1/FireWall-1 の Next Generation 発表予告、セキュリティの視覚化。Solaris 6/7/8, Red Hat Linux 6.2/7.0, Microsoft など対応予定。 * `21/07、Apollo コンピュ−タのキ−ボ−ドのタッチが固くなり、数年前から右手が痛く なりました。それで一度キ−ボ−ドをばらしてみました。 中にはゴムパッドが全体に敷 いてあり、ゴムの突起が個々のキ−のバネ代わりになっていました。 ニッパ−でその突 起の一部を切ってみました。いや−、これでだいぶキ−タッチが軽くなりました。 * `21/08,「日経バイト」2001年8月号の記事をチェック P.120〜127。"見てわかる! インタ−ネットの仕組み、第2回。電子メ−ルのフォ−マット"。メ−ルで使われる日本 語文字コ−ド ISO-2022-JP、画像も音もテキストにする MIME、 BASE64 の7ビット・コ −ドへ変換する仕組みが載っている。 * `21/08、まだ検討せないかんことようけある。ADSL 自宅に引く、IPv6、マルチキャスト、 OSPF、IPSecの簡単な説明、VoIP、NetMeeting、ディレクトリサ−バ、メ−リングリスト の fml、オ−プンス−スのグル−プウェア Sky Board、メ−ルサ−バの二重化。 それに セキュリティ・アップのため監視ソフトの Tripwire も設定せないかんかな。 * `21/09、Nimda というたちの悪いウィルスが猛威をふるっている。Microsoft の IIS で このウィルスに感染していると、IE で見るだけで自分も感染してしまうという。クリテ ィカルなウィルスと判断し、社内に警告のアナウンスを流した。やっぱ IIS はいかんぞ。 パソコンに最初から IE が入っているからと言って、容易にそのまま使うのはいかが?。 * `21/11、NTTドコモの第3世代携帯電話サ−ビス FOMAが、10月1日から全国展開を 始めた。何と CCD カメラが付いている。テレビで相手の顔を見ながらしゃべるようにな ると、声もそう大きくしなくなるのでないか。 電車の中などでの携帯電話もそう気にな らなくなるかも知れない。料金はパタ−ンがいろいろあるが、そう高くはないもよう。 * `21/11、雑誌の「INTERNET magazine」創刊号近くから購読しているが、2001年11 月号から雰囲気が変わったぞ。 メンズファッション雑誌の BRUTUS みたいな感じである。 心なしか字も小さい。昔 WIRED という、こんな感じのが雑誌が1年ぐらい出てたっけ。 * 2001年はセキュリティ元年になった。 これまででもインタ−ネットの危険性は言わ れてきたが、ようやく認知に至った感がする。2001年に入ってからでも、 クラッキ ング対策の本が4冊、ざっと本屋で見たところ出ていた。雑誌でもおおにぎわいだ。 * `21/11/02、VoIP 展示会のデモで、数メ−トル離れて電話で話したら、 遅延があるのが 分かった。でも音質的には問題はないのでないか。どうも VoIP の話には、 どこでアナ ログの音声をデジタルに、またその逆の変換をするかで幾つかのやり方があるようだ。 * `21/12/25、2001年も早終わり、感想を一言いっておこう。インタ−ネットという器 もう一杯になったという感じ。技術も個人レベルまで落ちた。 良いことも悪いことも出 るものは出た。小生も来年からは、そろそろまたCADなどの技術支援に戻ろうと思う。 * `22/01、レイヤ4スイッチでメ−ルサ−バをクラスタ化、二重化できる?。ping でサ− バ稼働を監視するとか「UNIX MAGAZINE」2001/12、山口英氏の記事。 インタ−ネットの サ−バを外部委託するにしても、要は社内のメ−ルサ−バだけはめんどうみないかん。 * `22/02、いろいろ。最近の雑誌に OSPF の話がちょくちょく出ているが、 よい子ぐらい のLANでは今もって関係ない。大学、大企業ではいるかもね。WebDAV とやら調べてみ ないかん、ファイルのアップロ−ドもできる賢い HTTP 1.1 の拡張仕様らしい。 * アライドテリシス NetScreen 2002/02/21 扱いを開始。 なかなか目のつけどころがいい。 Summit の扱いも一早く始めたし。最初は Summit 売りっ放しと評判はよろしくなかった みたいだけど。NetScreen なんとなく結構いいみたい。チェックですな。 * `22/03、イントラネットはメ−ルに始まり、メ−ルに終わる。 これからはメ−ル送信の 際にもユ−ザ認証がいると思う。いろいろやってみてはいるが、 どうも動きがおかしい。 こんなんで安全に使えるのか。他の認証の話もだいたい動作が不安定だ。困るな−。 * `22/04、「日経バイト」2002/05 "特集2:IEを捨てるという選択"。セキュリティホ−ル はどんどん見つかる。そしてパッチあての繰り返し。 がまんの限界が来たということか。 WWWブラウザは他にもある。同じく Outlook Express も、ウィルスでたまらない。 * `22/05,「日経コミュニケ−ション」最近、元々の通信関係の記事が多くなってきたみた い。そろそろ潮時かな。「INTERNET magazine」もとるの止めてしまったし。2002/06 に 創刊される「日経ITプロフェッショナル」に変えようかな。 * `22/07, UFJ銀行はインタ−ネットを使って入会を申し込んだ人限定で、 オ−ルワン ICカ−ドを発行する。 クレジットカ−ドも何でもICカ−ドという雰囲気になってき た。キャッシュカ−ド、電子マネ−、ETC、ICカ−ド対応公衆電話などなど。 * `22/09, 日経の雑誌。インタ−ネット テクノロジ−が2002/09/22、Internet Solutions に名前が変わる。コミュニケ−ションをやめて Internet Solutionsに変えることにした。 ネットビジネス、NETWORKと色々出てきて困る。しかし取るのは1冊だけである。 * `22/09, 東海大地震ヘの備えだと。対策には耐震、免震、静震がある。免震架台 45万円、 フロアの上におくという、重いぞ−。Z免震装置の床工事、XYが1坪 70万円。XYZ が1坪 100 万円。いらない。コンピュ−タの周りをクッション材で囲めば済むぞ。 * `22/11, インタ−ネット技術とは関係ないけど書いたろ。 パソコンショップだんだんう るさくなる。音楽がんがんかけて、店内放送の声もでかい。こりゃたまらん。 ゲ−ムセ ンタ−以上の騒音だ。思わず出たくなる。出ようにでも出れない店員さんが可愛そう。 * '22/11, インタ−ネットを検索すると、個人がブロ−ドバンドに挑戦、ADSL やBフレッ ツの導入記事がたくさんある。NTTとの電話のやりとりから、 電柱の電話線にぶら下 がるクロ−ジャボックスやONUの写真も見ることができる。 ONUはガムテ−プ程度 で固定すればいいみたい。壁なんかにネジ止めせないかんかと思っていたが。 * `23吉日, レイヤ7スイッチも調べてみたい。レイヤ3スイッチはメジャ−になってしま った、使うのは当り前になってしまった。これからはレイヤ7スイッチかな。 負荷分散 とか、リバ−スキャッシュでもパケットの振り分けに用いられるし。 * `23/07, Interop は今年は行くの止め。セキュリティ関係の動向をチェックしに、 ここ 何年も出掛けていたのだが、そろそろセキュリティはいいぞ。 その代わりに "デ−タス トレ−ジEXPO" に初めて行ってみる。 ファイルサ−バ、バックアップの辺りの動向 を見てみたい。ネットワ−クの安全が確保されたら、次はデ−タの安全確保だ。 * `23/09, 東邦ガス(株)の自動通報サ−ビス "ステ−ション24"。ガス漏れ検知など電話 線を通して、東邦ガスの24時間監視センタ−へ通知するシステム。 ガスメ−タで10 年前からやられていることだ。利用料は月、数百円じゃなかったか。 サ−バなどのリモ −ト監視も、こんな具合にできないか、できんことないぞ。 * `23/12,「日経インタ−ネットソリュ−ション」2004年1月号で休刊。日経システム 構築に振り替える。 日経システム構築は前進が日経オ−プンシステムで2003年4月 号から変わった。 日経インタ−ネットソリュ−ションはインタ−ネットテクノロジ−に 2002年10月号から名前が変わった。 * `24/01,「日経コミュニケ−ション」2002年の末でとるの止めてしまった。営業所を KDDI の IP-VPN で接続したので、もう通信回りのことはいいやと思った。インタ−ネッ ト回線のアップを、2003年末から再度検討し直し始めた。 いろいろサ−ビスが新た に出てきていた。ホスト系部門で購読しているのを急遽借りて読んでみている。 IP電 話、ビジネス電話の VoIP 利用のIPセントレックス( Centrex )のことが多いけど。 * `24/07、ビッグサイトの情報セキュリティEXPOへ行ってきた。 ファイアウォ−ルは まるででていなかった。インタ−ロップで出ていたようである。 こりゃ、両方の展示会 に行って情報収集せないかんのか。認証VLANとかいう製品を初めて見た。 韓国製の セキュリティ製品が目立っていたように思う。 * `24/09、2004年6月ぐらいから、 どこもセミナ−は来年5月から施行される個人情 報保護法への話ばかりだ。連日、個人情報が漏洩したニュ−スばかりだ。 待ったなしの 対策、訴えられば倒産してしまうとか。あまり過剰に反応しないこと。 被害者同士で傷 を深くする場合だってある。あくまでも悪いのは情報を盗んだ人、悪用した人である。 * `24/11、デ−タのバックアップ真剣、体制を整えていかないといけない。NetVault でも お試し版でも何でも、先ずは試してみよう。バックアップ装置は、何はともあれ1TB 位 は考えるか。接続形態は SAN はよい子では必要ではない。SCSI か Fibre Chanelとかは 重要でない、むしろ問題はコストか。NetApp なんかの NAS も見てみたい。 * `25/04、Windows 2000 パソコンに Netscape 7.1 をダウンロ−ドしてインス−ルしてみ た。http://wp.netscape.com/ja/ から ftp.netscape.com からになる。Windows 用のフ ルが 27.9 MB、最小インスト−ル ブラウザが 12.8 MB。 転送率 77 KB/sec で約2分で 取って来た。これ、2008/04 時点でもこのまま使っている。 * `25/06号の「NETWORK MAGAZINE」"セキュリティの虎、第5回ファイアウォ−ルの災害対 策"。VPN-1/FireWall-1の ISP Redundancy 機能の話が載っていた。これって負荷分散の ない LinkProof の動きにかなり近い。FireWall-1のイ−サネットのWAN側口にプロバ イダ2つのIPアドレスを振る。外から内、内から外ヘもプロバイダ経路を切り替える。 * `25/08、Apollo と RS-232C接続している Canon の LAZER SHOT A304GΠ。数毎プリント する度に紙詰まりを起こしていた。 紙送りのロ−ラ部でも摺減って寿命かと思っていた。 違った。用紙のトレイのA4の紙を入れる中枠を、 きゅっと手前に引き寄せたらすかす か出るようになった。中枠が少しずれていただけなのであった。 * `25/08、V210 を5m 以上でつなぐKVMスイッチ。http://www.ratitan.co.jp/ 日本ラリタ ン・コンピュ−タ(株)。16ポ−トの製品が30万円。Sun のUSBキ−ボ−ドは使えない ので、別途 DOS/V 用の日本語キ−ボ−ドを使う。KVMスイッチから UTP ケ−ブルが出て USB コンバ−タを介してマシンへ。コンバ−タは1つ2万円位するそうな。 * `25/11、Solaris 9 のマシンでル−トディレクトリを移動してしまった、 さてどうする。 「テクインフォ」2005.9 VOL.57 の最後のペ−ジに復旧のやり方が出ていた。CD-ROM ブ −トしてマウントしてディレクトリを元に戻す。 パスワ−ドが分からなくなった場合で も、/etc/passwd ファイルをこのようにしていじればいいということ。 * `25/11、昨今の認定の話の実態。 認定をとってもそれは経営部門なり総務部門が作成し た書類でしかなく、 実際のネットワ−ク管理の現場とは関係ない場合が多いようである。 パスワ−ドは適切に管理すること、なんてル−ルが書類に記載されたとしよう。 具体的 にどうするのかがない。細かく運用ル−ルを決めたところで実際問題、尊守は難しい。 * `25/11、黄色のパンフレットのシマンテック社のアプライアンス。 どうもシマンテック 社の製品は分かりにくい。まあ他メ−カのも分かりにくいのだが。 名古屋であったセミ ナ−の資料に書いてあること。"スパム、フィッシング…巧妙化する脅威に対応〜次世代 メ−ルセキュリティ"。他にもバックアップとかメ−ルア−カイブとかの話もあった。 * `25/12、仮想テ−プライブラリは用語としては、 浸透してきたかなというところだがま だまだみたい。大きな専用のストレ−ジと一緒に納入された実績は、 中部地区でも10 セット程度らしい。大企業がテストとして買っている。 大企業は何でも新しいものが出 たら、とりえず買ってテストするのは当たり前のようになっているらしい。 * `26/03、「N+I NETWORK Guide」2005年11月号で休刊、2005/11/30号から、コントロ−ル ド・サ−キュレ−ション型フリ−マガジンになった?。「UNIX MAGAZINE」2006/03/18号 から季刊誌に、役目は終わった。「ASAhiパソコン」も 2006/02/28発売号で最後、休刊。 * `26/04発見、「セキュリティ対策研究開発等事業 インタ−ネットサ−バ−の安全性向上 策に関する報告書」平成15年3月作成。IPA ISEC( 情報処理振興事業協会セキ ュリティセンタ− ) 170ペ−ジ。各種サ−バの冗長化手法がまとまっている。 * `26/06,気を引き締めてかかれ。さもないと社内のネットやメ−ルはぼろぼろにやられる ぞ。危険性120%、警告!警告!。 ファイアウォ−ルや侵入防御装置などの設定変更 は貴方自身でやれ。ル−ルの追加などやり方だけ教えたような人には今は触らせるな。 * `26/08, 新しいことはなかなかスッと頭に入って来ないものだ。1年位前からかな blog, Wiki, SNS, RSS という文字が出てくるようになったのは。よく分からず雑誌の記事もあ まり見てなかった。何日かネットでこれらのこと調べた、Wiki はまだ何のことやら。 * `26/09, ラドウェア社。SecureFlow セキュリティ・アプリケ−ション・スイッチ。ウィ ルス、スパム、URLフィルタリングを負荷分散する装置。386万円から+税。日経の雑 誌の裏表紙に載っていた。これは大規模なネットワ−クで用いる製品である。 * `26/09, ただのメモ。アライド AR260S 29,800 円、パケットフィルタリング、ステ−ト フルパケットインスペクション。 MAC OS X はマック・オ−エス・テンは BSD ベ−スの UNIX。いいんじゃないですか−、マウスのボタンは相変わらず1個かな。 * `26/12,「オ−プンソ−スマガジン」2007年1月号をもって休刊。前身は2005年 11月号まで「UNIX USER」だった。`27/01/05 名古屋大須の三洋堂書店には2006年 2月号までしかバックナンバ−置いてなかった。 * `27/01, ネットワ−ク管理のイロハ。新しい若手を育てろ。 20代の男に一から教えろ。 先ずは現状のネットワ−ク機器の図を理解させる。 インタ−ネットまででて行く間にど んな機器があるか。トラブルが起きた時の見方、機器のランプの様子を先ず見させる。 * `27/10, Windows Vista では Vista 同士で、SMB 2.0 ではファイルの転送が効率がよく なった。1つのパケットに毎回、確認応答していたのを止めた。 WAN回線でも速度ア ップが見込まれる。しかし期待するほどではないらしい。 * `28/03, 展示会の 2008/03/04〜07 SECURITY SHOW 2008。 行こうと思っていたが止めた。 調べてみたらほとんど探しているような装置やソフトは出てない。 名古屋で開催される 個々の会社のセミナ−をこまめに参加するとしよう。 * `28/08、Apollo と RS-232C接続している Canon の LAZER SHOT A304GΠ。紙詰まりがだ んだんひどくなってきた。 数枚プリントする度に詰まりトレイを出して入れ直しての繰 り返しで。本体手前のパネルが手差し給紙できるのに気が付いた。ちゃんと出て来た。 * `28/11、A304GΠのこと。印字が薄れてきたので、トナ−をゆっさゆっさやった。揺り過 ぎたのかカ−ボンがもう無いのか、紙全体が汚く出るようになった。 こりゃトナ−の換 え時期だ。EP-BS 希望小売価格 37,800円(税込み)、ネット見たら実売6千円位であった。 * `29/01、A304GΠのこと。トナ−を買おうかなと思ったのだが、だめだ。そもそもだいぶ 前に普通に用紙をセットしての使用ができなくなった。 何とか手差しならプリントでき たのだが、ぐしゃぐしゃぐしゃと紙を送るようになった。天の思し召しが来たようだ。 * `2a/02、ボット駆除活動宣言サイト http://www.botkuyo.jp/。現在の参加企業数73社。 ホ−ムペ−ジ見ると (感染しないための3ポイント) と (今すぐチェックしてみよう)は "Cyber Clean Center" へのリンク。通称 CCC も政権が変わっても健在である。 * `2a/05、一昔前はマシンとディスクのインタ−フェ−スは、 高速にするには光ファイバ の Fibre Channel を利用した。しかし今は iSCSI が十分速い仕様がでてきたので、 特 に Fibre Channel を使うまでもない。関連キ−ワ−ド iSCSI, DAS, Fibre Channel。 * `2a/05、RAID 1 でスペア構成で4台のハ−ドディスク使用と、管理者のブログでの記述。 できるだけデ−タが失われないようにする。RAID 1 はデ−タの書込も速い。RAIDコント ロ−ラがの信頼性が高ければ3台で RAID 5、プラス1台をホットスワップもよい。 * `2a/10、Windows XP プリインスト−ルのパソコンの販売が終了した。しかし Windows 7 へ移行するにしても、内でもまだ全然検討してない。 どこでもそんなことではないのか マイクロソフトの上級役員が最近2人辞めた。だいぶ社内は混乱しているのでないか。 * `2a/12、LDAP はしぶとく取り組んでる。PAM の全貌が解ける人は大したもんだ。そもそ も /etc/pam.conf はいじらないものとする。何が起きるか分からない。マシンのログイ ンのアカウントに LDAP は利用しない。二度とログインできなくなる恐れがある。 * `2b/05、iPADのアプリケ−ションの作成は。「Software Design」などに記事がでている。 そんなに難しいものではないのでないか。ホ−ムペ−ジのHTML記述のように、 めん どくささはあると思うが。iPAD で社内リソ−スにアクセス、展示やセミナ−が一杯。 * `2b/05、メ−ルのアカウント管理を LDAP でやるというのは、今のところ無理。 やはり それなりの規模の企業でそれなりのIT部門があって、 それなりの人材がいる所でない と無理だ。しかしながらどうやったらできるか、そこまでは検討を一応はやってみる。 * `2b/07、「月刊 ASCII.technologies」2011年9月号を最後に休刊する。(株)アスキ −・メディアワ−クス、2011年7月吉日。 購読しているフジサン?の郵送包みに雑 誌と一緒に1枚入っていた。おいおいこれで「Software Design」だけになってまった。 * `2b/07、インタ−ネットのコンテンツのNHKでの例。http://www.nhk.or.jp/toppage/ external_service/ には Facebook の http://www.facebook.com/NHKonline、 何十もの twitter。3つの YouTube、ニコニコ動画に GyaO!、IOS や android 用の公式アプリ。 * `2b/08、Windows XP Embedded をインスト−ルしたパソコンならまだ入手できる。 ロジ テックの組込み/セット向け業務PC、Windows XP Professional for Embedded Systems 日本語版。NECにも組込みのがある。でもこのタイプ、ちょっと金額が張るかも。 * `2b/10、いつだったか、三輪氏の Twitter を見ていて APTという文字が出ていて、何な んだろうと思っていた。APT( Advanced Persisitent Threat )、 直訳すると高度に永続 的な脅威。トレンドマイクロ社は資料で持続型標的型攻撃と資料に書いていた。 * `2d/12、世界最先端IT国家の創造、自民党による。 オ−プンガバメントコンソ−シア ム(OGC)が開催した,OGCシンポジウム2013〜世界最先端IT社会実現に向けて 2013年12月開催された。内容は知らないが、こういのもあったとメモしていた。 * `2e/02、「日経コンピュ−タ」2014.1.9,P.24〜39, "特集:「機械学習」革命 的中した ビル・ゲイツの予言"。 機械学習 ディ−プラ−ニング コンピュ−タが猫を認識できる ようになった。ちょっとすごいことが起きているよ。人工知能が現実化しだした。 * `2e/05、企業の買収や合併でネットワ−クを統合する。 あくまでも相手企業のWANの 一部になるのではなく対等にする。 最新技術、WANのSDN利用でこっちがイニシア チブを取ってしまおう。ネットワ−クのIPアドレスが同じでも構わない。 * `2e/08、ブロケ−ドとバラク−ダ勘違いした。 バラク−ダのパンフレットを見て、ブロ ケ−ドと勘違いしてパンフレットを取っておいた。 バラク−ダはだいぶ前からあるメ− ルのチェックのアプライアンスを出している会社。 * `2f/04、狼少年で FireEye は無力化する。攻撃者がボットでC&Cサ−バをわざとまっ とうなサイトとしたら。その会社の人がよく見るサイトだったら。 ネットワ−ク管理者 には社内からクレ−ムの嵐となって、FireEye の設置は信頼性を失ってしまう。 * `2f/06、ボットとサンドボックスがようやく世間で認知されてきたのでないか。 NHK でエストニアというIT先進国が DDoS 攻撃にさらされたというのをやっていた。 世界 中からパケットが押し寄せたきた、2007年のこと。ボットネットからの攻撃だった。 * `2f/07、だいぶ前から疑問に思っていること。P2Pってどうも瞹昧だ。パソコンが対向で 直接に通信するイメ−ジだがそれだけとは限らない。 3つ位パタ−ンがあるのでないか。 クラウドまたはDMZのサ−バを中継するのはサ−バ経由型といい、P2P でない?。 * `2f/07、Alteon 負荷分散装置の説明資料をもらっている。半年前位かな。これも今一度 よく読んでみたい。どこぞ役立てられる所があるかも知れない。大企業でサ−バが一杯 入っているところでは当り前のように負荷分散装置は使われているとのことだ。 * `2f/10、3つのサンドボックス製品を調べた。 メ−カの営業マンなどがやってきて説明 してくれたのもある。 こちらからSI業者の会社に出向いて説明を聞いたのもある。こ れでまとめに入らなければならないのだが。どうもまだ頭の中で整理がつかない。 だい ぶおつむが固くなったのか。それとも元々がそもそもややこしい話なのか。まあ両方だ。 * `2h/11、11月27日大阪で Fortinet 社の大規模なセミナ−があった。 しかし原因不 明の体の痛みでよう行くことができなかった。 小生の取り組んで来たことや話をフォ− ティネットの技術者が見聞きしていて、スピ−チの参考にしたようである。うれしいね。