IT / ネットワーク

InfiniBand? †

InfiniBand?は、インターネットインフラストラクチャでのI/O接続をサポートするために設計された新技術で、サーバ向けI/O相互接続の次世代標準として設計されました。 InfiniBand?は、従来のコンピュータ内部でのバス接続の拡張を目的としており、コンピュータの内部と外部のどちらの相互接続にも利用できます。サーバ同士の通信やサーバとストレージ間の通信だけでなく、プロセッサとメモリ間の通信も、同一のI/Oアーキテクチャによって処理できます。 InfiniBand?のリンク速度は、標準データ レートである2.5 Gbpsの倍数として表現されます。最も一般的なInfiniBand?は4xですが、このほかに1xや12xなどがあります。

• ネットワークの基本の学び方
  • OSI基本参照モデル
    • 第7層 アプリケーション層
    • 第6層 プレゼンテーション層
    • 第5層 セッション層
    • 第4層 トランスポート層
    • 第3層 ネットワーク層
    • 第2層 データリンク層
    • 第1層 物理（フィジカル）層
  • TCP/IPプロトコルスタック

• IPルーティング
  • IPルーティング
  • IPルーティングを有効にする方法（レジストリ設定編）
• 5分で絶対に分かるファイアウォール
• 5分で絶対に分かるPKI

ポート番号早引き †

VPN †

• 5分で絶対に分かるVPN
• なぜSSL-VPNなのか

• Port1723
• Virtual Private Network
  • インターネットを経由するにもかかわらず、拠点間を専用線のように相互に接続し、安全な通信を可能にするセキュリティ技術。「仮想専用線」「仮想私設網」などと呼ばれる。コストのかかる専用線の代替になる新しいインフラとして、企業を中心に着実に浸透している。VPNを利用した通信を行なうには、接続点にVPN機能を備えた専用装置（以下、VPN装置）が必要だが、最近ではルータやファイアウォールにその機能が含まれるものも多い。

• VPNの機能は大きく分けて2つある。1つは、VPNの通信用にパケットのヘッダを変換する機能。これはVPN装置によって処理されるが、それにより本来はIPパケットのみしか通らないインターネットに、たとえばプライベートアドレスや、TCP/IPでないプロトコルを利用した通信も可能になる。この機能は、インターネット通信の中に別の通信を通すという意味合いから「トンネリング」と呼ばれる。もう1つは、通信パケットを暗号化する機能である。これにより、トンネリングされたパケットの盗聴を防止し、かつ通信相手先（通信経路）を隠蔽することができる。

• VPN機能の実装はVPN装置に依存するため、基本的には同じ（ベンダーの）装置でなければ通信はできない。だが、インターネット技術の標準化を進めるIETFにより、IPSec（Internet Protocol Security）というパケットの暗号化と認証技術が標準化されている。そのため、IPSecをサポートしたVPN装置であれば、互いに通信が可能とされている。アプライアンスやルータといったVPN装置はシスコやルーセントのものが、またファイアウォールソフトウェアとしてはチェック・ポイントの「VPN-1/FireWall?-1」製品群が有名だ。

• また、VPNはLANを相互接続する形態のほかに、ダイヤルアップ接続で利用するリモートアクセス型もある。最近では、VPNサービスを開始するISPも増えており、たとえばWindows NT 4.0／2000 ServerでサポートされているPPTP（Point to Point Tunneling Protocol）を使って接続することができる。

• Virtual Private Network
  • Internetは広く普及しているネットワークであるため、これを使って各地に点在している組織や企業の各部署を接続するためのネットワーク網を構築すれば、普及度や経費、運営などの点で、自分で専用のネットワーク網を構築するよりもメリットが大きい。しかし、Internetで使われているTCP/IPプロトコルでは、通常はデータの暗号化やユーザー認証などは行なわれていないため、Internet経由でデータ通信を行なうと、その内容は第三者に盗聴されたり改ざんされたりする恐れがある。

• そこで、Internetにデータを送出する前にデータを暗号化して送り、また受信した側のノードでそのデータを復号化して、目的のホストに届けるようにすれば、セキュリティを確保することができる。この暗号化をユーザーから透過的に行ない、かつユーザー認証によってある特定のユーザーだけしかアクセスできないようにしておけば、公衆回線網を使っても、専用線接続と同じようなセキュリティを保つことができる。これをVPN（私設仮想回線）という。Internetをバックボーンに使ったユーザーのネットワーク環境といえる。

• VPNを実現するには、ルータメーカーから出荷されている専用ルータを使う必要があるが、各メーカー間での相互運用性はほとんどない。しかし最近になってPPTPという標準プロトコルが策定されようとしており、これからの動向が注目される。

PPTP 　 †

• Point to Point Tunneling Protocol
  • Internetを使ってVPNを実現するためのプロトコルの1つ。従来のPPPプロトコルの拡張形式として現在RFC化が進められている。

• PPTPではPPPをベースに、データの暗号化や認証、リンクの確立などの機能を持たせている。現在はWindows NT 4.0でのみ実装されているが、ダイヤルアップルータの各メーカーがPPTPのサポートを表明している。

SSH †

• Port22
• Secure Shell

• 通信路を暗号化することで安全性を高めたリモートシェル。UNIX系OSでは、TELNETやrshなど、シェルの機能をリモートから使うためのコマンドツールが用意されているが、これらは通常ログイン時のパスワード認証以外に特別なセキュリティ機能は持たない。通信内容はそのままIPパケットに格納されて送られるため、パケットを盗聴すれば通信内容を容易に知ることができる。SSHはこれを防ぐために通信経路をすべて暗号化する。セキュリティ面では、VPNを使った経路上でリモートログインするのと同じような状態になる。

• 遠隔地に設置したWebサーバのメンテナンスなど、インターネット経由でシステムにログインする必要がある場合、通常のTELNETやrshではパケットを盗聴するだけでログイン時のパスワードや、システムにログインした後で入出力するデータすべてを知ることができるため、危険が伴う。SSHを利用することで、こうした遠隔ログイン時の安全性が大幅に高まる。

• 多くのLinuxディストリビューションにフリーの実装が含まれており、また商用バージョンも各社から提供されているため、入手は容易だろう。使い勝手はrshと同様なので、ユーザーは利用時には特に意識しなくてもよい。

• SSH
  • 2.1 ssh って何ですか? ssh (Secure Shell) はネットワークを介してコンピュータにログインするプログラム

• 2.5 どのように作動するのですか すべての通信はIDEAやその他の暗号法(トリプルDES, DES, Blowfish)で暗号化されます。

SSL †

• Secure Sockets Layer
• port443
• （＝HTTPS？）
  • Netscape社が提唱するセキュリティ機能の付加されたHTTPプロトコル。Internet上でプライバシーや金銭などに関する情報を、安全にやり取りするために考案された。

• SSLプロトコルは２階層からなり、下位層はデータの配送、圧縮などを担当し、上位層では認証やデジタル署名、暗号化などのネゴシエーションを行なう（将来的にはSMTPやNNTPもサポートされる予定）。

• 通常のHTTPセッションでは、WWWサーバに接続後HTMLをGETコマンドで読み出し、その後セッションをクローズするという手順で通信が進んでいく。しかしSSLの場合は、最初に、相手の認証や使用する暗号、デジタル署名のアルゴリズムなどに関するネゴシエーションを行ない、次に相互に認証してから、最後にHTMLデータの読み出しを行なう。

• このように、単純なデータの受け渡しだけでなく、最初にネゴシエーションフェーズが入るので、そのための時間（とCPUパワー）が余分に必要になる。そのため、一度確立したサーバ・クライアント間のセッション情報は、このネゴシエーションを簡略化して、再接続時のオーバーヘッドを下げるようになっている。

• SSL
  • WebブラウザとWebサーバ間で安全な通信を行なうためにNetscape Communicationsが開発したセキュリティ機能。IETFによる標準化も行なわれており、TLS(Transport Layer Security)としてRFC2246になっている。認証局の署名の入った証明書を使ったサーバの認証とWebブラウザとWebサーバ間での通信内容の暗号化という2つの機能を持つ。

• SSLはTCP層とアプリケーション層間に位置するプロトコル層として位置しており、HTTPに限らずTelnetやFTP、SMTPなどのさまざまなアプリケーションプロトコルを暗号化できる点が特徴。ただし、UDPパケットの暗号化には対応していない。Netscape NavigatorやInternet ExplorerといったWebブラウザがすでにSSLへの対応を行なっているため、ユーザーが特に意識せずに使うことができる点もメリット。現在では、Apache、Netscape Web Server、IISなど主要なWebサーバで利用することができ、Eコマースやオンラインバンキングなどのサイトで一般的に用いられている。

• また、最近ではSSLでのデータ暗号化処理を、ハードウェアで高速に行なうアプライアンスやPCIカードなども登場している。

MACアドレスとIPアドレス †

• arpはネットワークで何を「叫ぶ」？

チーミング †

• チーミングを行なう際、IP アドレスはどのように振られるのですか?
  • 物理的なネットワーク・カード (NIC) ごとではなく、チームごとに1つの IP アドレスが振られます。

認証 †

• Kerberos認証

　マサチューセッツ工科大学（MIT）のアテナ・プロジェクト（Athena project）の中で開発されたユーザー認証システム。データの盗聴やなりすましが容易に行えるインターネット環境において、ユーザーを安全かつ効率的に認証することを目的として開発された。

　Kerberos認証システムでは、ネットワーク内にKDC（Key Distribution Center）と呼ばれる信頼できるサイトを配置し、このサイトでユーザーのログオンと各種ネットワーク・リソース利用という2段階のフェーズで認証を行う。

　まずKerberosクライアントは、正しいユーザー名とパスワードをKDCに与え、自身が正規のユーザーであることを認証してもらう。この際KDCからクライアントへは、クレデンシャル（credential：信用証明書）と呼ばれるデータが与えられる。このクレデンシャルを取得することで、クライアントは、正しいネットワーク・ユーザーであることが認証されたことになる。

　次にクライアントは、利用したいネットワーク・リソースの情報（共有ディレクトリや共有プリンタなど）と取得したクレデンシャルをセットにして、再度KDCに問い合わせを行う。そしてユーザーが、要求されたリソースへのアクセス権限を持つ場合には、そのリソースへのアクセス・チケットが与えられる。こうして入手したアクセス・チケットを利用したいネットワーク・リソース側に送り、自身が正規のネットワーク・ユーザーで、そのリソースへのアクセス権限を持つことを通知し、リソースの使用許可を求め、利用を開始する。このアクセス・チケットのやり取りは、共有鍵暗号方式によって暗号化されており、安全性が保証されている。

　Windows 2000 Serverには、Kerberos認証機能が標準で実装されており、ドメイン・コントローラがKDCとして機能し、ネットワーク内での認証処理をKerberosベースで行えるようにしている。