Ontrack Now
================================================================================
■■ ■ ■ 豆知識 Vol.03-04
■ ■ ■ ■ ■インターネット接続基礎知識編
■ ■ ◆■■ ■■■ ■ ■ ■■◆ ■■ ■ ■ ■ ■
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■ ■■ ■ ■■ ■ ■ ■
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■■ ■ ■ ■■■■
■■ ■ ■ ■■ ■ ■■◆ ■■ ■ ■ ■ ■ ■■ ■ ■
=============================================================2005.04.19=========
今月はネットワーク環境を考える際に必要になる基本的な用語を取り上げてみようと思い
ます。
皆様の個人(自宅の)環境もADSL/FLET’Sの拡大で企業におけると変わらぬ
いや、場合によってはそれ以上の環境になってきています。 しかしながら、環境を
支えるシステムについての知識は全くない状態といってよいのではないでしょうか。
確かに機器の性能が上がり、その上で動作するソフトウェアの機能が使用者にそれほどの
知識を要求しない様になっている事も事実です。 しかし、PCは携帯電話の様に機能が
限定されたものではなく、使い方によっては、使用者以外の環境に対し妨害や侵害を行い
かねないものである事を理解しておく必要があります。 特に常時接続環境をお持ちの方
にはこころして頂かねばなりません。
--------------------------------------------------------------------------------
では、まず一般的なインターネットに接続するネットワークの構成と用語から
WAN │ LAN ┏━━┓
━┓ 通信回線 │ ┏━┫PC┃
イ┃ 提供業者 │ ┃ ┗━━┛
ン┃ ┏━┓FTTH┏━┓ ┏━━━┓ ┃ ┏━━┓
タ┃ ┃ ┣━━━━┫ ┣━━┫ルータ┣━━╋━┫PC┃
|┃ ┏━━━┓ ┃N┃ADSL┃モ┃ ┗━━━┛ ┃ ┗━━┛
ネ┣━━┫ISP┣━━┫T┣━━━━┫デ┃ ┃ ┏━━┓
ッ┃ ┗━━━┛ ┃T┃電話回線┃ム┃ ┏━━┓ ┗━┫PC┃
ト┃ インターネット ┃ ┣━━━━┫ ┣━━┫PC┃ ┗━━┛
の┃ 接続サービス ┗━┛ ┗━┛ ┗━━┛ LAN接続
世┃ 提供業者 ピアツーピア接続
界┃
━┛
【通信回線提供業者】
通信回線提供業者には旧日本電信電話公社(NTT)、国際電電、電力供給業者、鉄道・
電鉄系等元々電話回線の供給や自らのサービス提供の為に専用の通信回線網を持つ企業が
この役を果たしています。
【ISP】 (Internet Service Provider)
インターネットへの接続サービスを提供する業者。 メール・サーバー/Webサーバー
等を運営、メール・アドレス、HP用サーバースペース等の貸し出しを行う。
一般の環境では、ログオンするサーバーのIPアドレスとパスワードが発行され、これで
ログオンすると1つのグローバルアドレスが発行され、これでユーザーはISPを介して
インターネットに接続されます。 これは、ユーザーはISPのローカルネットワークに
所属し、そのDHCPサーバーからIPアドレスの発行を受けてそのネットワークに接続
するという事を意味します。
【FTTH】(Fiber To The Home の略)
光ファイバーケーブル接続による家庭向けの通信サービスを指す。
【xDSL】(Digital Subscriber Line)
1対の電話回線を使い、デジタル方式で通信する方式を指す。 非対称通信型であり
伝送速度は電話局−>利用者方向(下り=13〜52Mbps)、利用者−>電話局(上り=1.5
〜5Mbps)である。
・ VDSL Very high-bit-rate Digital Subscriber Line
・ ADSL Asymmetoric Digital Subscriber Line
VDSLはFTTHサービスの一つであり、マンション等戸建ではない住居にサービスを
提供する為に使われ、途中迄は光ファイバー接続で、最終端の接続にのみ電話回線を
使用するタイプ。 電話線を使用する関係上非対称型通信であり、下りは回線の特性上限
である50Mbps、上りは分岐装置からの距離が短い為10Mbpsとなっている。
【Mbps】(Mega bit per second)
1秒間に10の6乗ビットの転送を示す単位。 例えば、英数字を何文字送れるかと
いえば、マンション型VDSLサービスの下り線50Mbps/上り線10Mbpsで
考えると、1文字は8ビットですので、
50,000,000 / 8 = 6,250,000 バイト(文字) 6.25MByteを毎秒ダウンロード出来、
10,000,000 / 8 = 1,250,000 バイト(文字) 1.25MByteを毎秒アップロード出来る事に
なります。
実際の転送に際しては、パケットに分割されますし、コントロールやアドレス等の情報が
付加されますので、1文字=10ビットとして計算すればよいでしょう。
【WAN】(Wide Area Network)
広域通信網の略。 電話回線や専用回線を使って、本社−支店間など地理的に離れた
地点にあるコンピュータ同士を接続し、データ通信を行う事を指す言葉。 LANの
反対語。 一般的にはインターネット側を指すと理解しても良い。
【LAN】(Local Area Network)
ある閉鎖空間の中にあるコンピュータ同士を接続し、データ通信を行う環境を指す。
撚り線/同軸ケーブル/光ファイバー等のケーブルを使用する。
接続形態によりスター型LAN、リング型LAN、バス型LAN等があり、
通信制御方式により、Ethernet、FDDI、Token Ringなどがある。
現在一般に使われるのは10BASE-T/100BASE-T/1000BASE-Tと
呼ばれる撚り線ケーブルを使用するもの。 1000BASEについてはFiber
ケーブルを使用するものもある。
1000BASE−T カテゴリー5以上の撚り線ケープルを使用する。 伝送距離は
伝送距離は100m
1000BASE−CX GIGA Ethernetの中で唯一同軸平衡2芯シールド
線を使用する。
1000BASE−LX シングル/マルチモードのファイバーケーブルを用いる。
シングルモードで5km/マルチモードで550mの伝送距離
を持つ。 使用波長は1300m
1000BASE−SX 波長850mを使い、マルチモードファイバーケーブルで
接続する。 伝送距離は550m
光ファイバーケーブルにはマルチ/シングルの他、終端コネクタ形状にも種類があるので
注意を要する。
種類については愛三電機のサイトを参照してみてください。
URL : http://www.aisan.co.jp/products/optical_setcode.html
【ピアツーピア接続】
接続されたコンピュータ若しくはネットワーク機器の間に上下関係のない接続の総称。
ADSL等の常時接続環境でモデムとPCを直結した場合、そのPCはインターネットに
直接曝される事になる。 ブロードバンドルータを入れる場合に備えられる、ファイア
ウォール等の機能は接続するPC自体の中に備えなければならない。
Windows環境で使用される場合、ネットワーク接続に関しての充分な知識をお持ち
でない限り、この接続はしないで頂きたいと思います。 必ず、ブロードバンドルータを
使用してください。
【モデム】(MOdulator-DEModulator)
変復調装置の略。 コンピュータから送られてくるデジタル信号を音声信号に変換(変調)
し電話回線に流したり、電話回線を通して流れてくる音声信号化されたデータを
デジタルデータに変換(復調)したりという働きを持つ。 従来型の上下対称型では
33.6Kbps、上下非対称型では56Kbpsが最高である。 一般のADSL
モデムでは上り1Mbps、下りは8〜47Mbps迄のサービスがある。
【ルーター】(Router)
ネットワークを流れるデータを他のネットワークに中継する機器をいう。
ネットワーク層(第3層)やトランスポート層(第4層)の一部のプロトコルを解析して
転送を行う。 通常、ネットワーク層のアドレスを解析、どの経路に転送すべきかを判断
する経路選択機能を持つ。 又、自分の対応しているプロトコル以外のデータは全て破棄
する。
ブロードバンドルーターはインターネット側に向かってEthernetポートを持ち、
LAN側には4ポート程度の100BASE-T Ethernetポートを持つものが
多い。 ブロードバンドルータの多くが備える機能は
− DHCPサーバー機能(Dynamic Host Configuration Protocol)
インターネットに一時的に接続するコンピュータにIPアドレス等必要な情報を
自動的に割り当てるプロトコル。
DHCPサーバーにはゲートウェイサーバーやDSNサーバーのIPアドレスや
サブ・ネットマスク、クライアントに割り当て得るIPアドレスの範囲等が登録
設定されており、アクセスしてきたネットワーク上のコンピュータにこれらの
情報を提供する。 クライアントが通信を終えると自動的にアドレスを回収し
他のクライアントに割り当てる。 この機能により、ISPから割り当てられる
1つのIPアドレスでも複数のPCからインターネットアクセスを可能と出来る。
− DNSサーバー機能
インターネット上での名前であるドメイン名を固有のアドレス情報であるIP
アドレスに変換する機能をいう。 個々のネーム・サーバーは配下に接続される
PCのドメイン名とIPアドレスの対応表を持っており、外部からの問合わせに
そのアドレスを答える。
− サブネットマスク
ネットワークは複数の小さなネットワーク(サブネット)に分割されて管理されるが
ネットワーク内の住所に当たるIPアドレスの内、何ビットをネットワーク識別の
為のネットワークアドレスに使用するかを定義する32ビットの数値列。
111.18.10.2というIPアドレスに対し、255.255.240.0という
サブネットマスクを設定した場合、182.18.0というネットワーク上のホスト
アドレス10.2という端末だという事を示す。
− PPPoE(Point to Point Protocol power Ethernet)
PPPはもともと電話回線等発呼を要する通信回線を介してネットワークに接続する
為に開発されたが、これをLANなどの常時接続環境でも利用可能としたもの。
通常のPPPとは異なり、ネットワークカードが持つMacアドレスによって双方の
コンピュータを識別し、その間に仮想回線を展開するもの。
これを利用すれば、LAN上からもユーザー認証やIPアドレスの割り当て等が可能
となる為、ADSL/CATV/光ファイバー等の常時接続サービスでは接続する
プロバイダーを切り換えたり、複数に同時に接続し、アプリケーションやポート番号
で接続先を変える等が可能となる。
− NAT機能(Network Adress Translation)
インターネットに接続された1つのグローバルIPアドレスを複数のPCで共有する
技術。 インターネット上のアドレスとローカルネットワーク上のアドレスを透過的
に変換する事で目的を果たす。
− スイッチング・ハブ(Switching HUB)
ネットワークの中継器であるハブは中継器としての働きなので、受け取った信号は
そのハブの配下の端末の全てに配信される。 スインチング・ハブはブリッジとして
働き、パケット中にあるIPアドレスを解析し、配信すべきIPアドレスだけに
パケットを配信する。
データは余分な経路には流れない為、セキュリティが向上するだけでなく、回線負荷
の軽減になる。 殆どのスイッチング・ハブは10/100BASEの自動判別を
行う機能をもっている。
--------------------------------------------------------------------------------
【ネットワークポート番号】
計算機の内部は全て2進の世界ですので、全ての資源はハード若しくはソフトの設計時点
で利用出来る資源の範囲が決まってしまいます。
ネットワーク・ポートに対して割り当てられている値は2バイト最大65536個しか
ありません。
ポート#0〜1023迄はウェルノンポートと呼ばれ、その用途が固定されており、世界
で共通の使い方をしています。 これらのポート番号をその目的以外で使う事はルール
違反になりますので、これらは個人レベルで設定するポートとして使わないでください。
ポート#1024〜49151迄はレジスタードポートと呼ばれ、アプリケーションや
特定で使用されていますので、これも使用を避ける方が良いでしょう。
ポート#49152〜65535迄はプライベートポート(ダイナミック/プライベート
ホート)と呼ばれ、自由に使用する事が許可されています。
只、これらの規制はあくまでマナー/ルールのレベルであり、強制力はありませんが、
これに反した使用を行うと環境によっては思いもよらぬトラブルの元になりますので、
#1023迄は所定の目的以外には絶対に使わない事です。
皆さんが利用されているサービスで使用されているポートは次の様なものがあります。
#20 FTPサービス データ転送
#21 FTPサービス 制御用
#22 SSH SSH Remote Login Protocol
#23 telnet Telnet
#25 smtp Simple Mail Transfer
#41 name UPD Host Name Server
#42 nameserver Host Name Server
#43 nicname Who Is
#53 domain Domain Name Server
#70 gopher Gopher
#79 finger Finger
#80 http/Web World Wide Web HTTP
#110 pop3 Post Office Protocol V3
#137 netbios-ns NETBIOS Name Service
#138 netbios-dgm NETBIOS Datagram Service
#139 netbios-ssn NETBIOS Session Service
#201−8 Apple Talk APPLE Talk Used
#570 demon demon
#621 escp-ip ESCP
#5190-3 AOL America Online
#8008 http-alt HTTP Alternate
#8080 http-alt HTTP Alternate
【IPアドレス】
インターネットではデータ通信にTCP/IP(Transmission Control Protocol/
Internet Protocol)を使っています。 TCP/IPは世界中のPC等ネットワーク機器
をインターネット上で接続する為の方式であり、このなかでは接続する全ての機器に
ユニークな16ビット4桁のアドレスを割り当てる事でそれぞれの個体を識別する仕組み
になっています。 逆に言えば 4,294,967,296台の範囲しか識別出来ません。
(IPアドレスの表現方法) 0.0.0.0〜255.255.255.255
例えば皆様が弊社のサイトを閲覧する際には www.ontrack-japan.co.jp という名前を
ブラウザに入力しますが、この文字で表された名称をドメイン名と呼びます。 この名前
がインターネット上のDNS(Domain Name Server)で解釈され、IPアドレスに置換え
られて目的のWebサーバーにアクセス出来る事になります。
実際のデータはパケットという単位に分割されてネットワーク上を流れますが、これは
要求と応答という対を以って行われます。 それぞれのパケットにはIPアドレス、
ポート番号、バケット通し番号等がパケットヘッダとして付加されており、これでその
送出元/送出先を識別し、正しい相手との間でデータ交換が行える様にしています。
【ポートフォワード】
IPアドレスにはインターネット上のアドレスである“グローバルIPアドレス”と
ローカルネットワーク上での"プライベートIPアドレス"の2つがあります。 これは
先に示した通り、IPアドレスは僅か16ビット4桁で表すものですから、有限の台数
しか、示す事が出来ません。 インターネット上ではそのIPアドレスはユニークな
ものでなければなりませんので、ローカルネットワーク上の機器はプライベートIP
アドレスで扱う事で取り扱い可能な台数が拡張されています。 この範囲は
10.0.0.0〜10.255.255.255
172.16.0.0〜172.31.255.255
192.168.0.0〜192.168.255.255 となっています。
このローカルIPアドレスはあくまでローカルネットワーク上のものですから、そのまま
ではインターネット上にアクセスする事は出来ません。 ネットワーク間のIPアドレス
制御を行うものとしてルーターと呼ばれる機器を使用し、その制御をおこないます。
この時クライアント側が出す要求が全ての起動になる場合は、ルータはパケットの情報
だけでデータの分配が出来ますので、WebやFTPの様にポートが固定されているもの
ではすぐにインターネットに接続出来ます。 しかし、接続先からの要求がある場合は
ルータに複数の機器が接続されていると、どの機器に要求を送れば良いか判断がつき
ません。 この問題を解決する手法がポートフォワードです。 ここでは、あるポートに
対するアクセスはこの機器に転送せよという指示をルーターに登録します。
┏━━━━━━━┓ LAN ┏━━━━━━━━┓ WAN ┏━━━━━━━━┓
┃PC1 ┃ ┃ルーター ┃200.160.15.8┃サーバー ┃
┃192.168.1.11 ┃ ┃設定 ┃ ┃200.160.15.8の ┃
┃ Port#6689 ┃<━━━━┃200.160.15.8の ┃<━━━━━┃ Port#6689 に ┃
┃をアプリで使用┃━━━━>┃ Port#6689に届く┃━━━━━>┃ データを送る ┃
┗━━━━━━━┛ ┃パケットは ┃ ┗━━━━━━━━┛
┏━━━━━━━┓ ┃192.168.1.11の ┃ ┏━━━━━━━━┓
┃PC2 ┃ ┃ Port#6689に転送┃ ┃悪意のあるPC ┃
┃192.168.1.12 ┃ ┃ ┃<━━━━━┃200.160.15.8の ┃
┃ Port#6690 ┃ ┃Port#21への転送 ┃ブロック ┃ FTP(Port#21) ┃
┃をアプリで使用┃ ┃ 設定なし ┃ ┃をアクセスする ┃
┗━━━━━━━┛ ┗━━━━━━━━┛ ┗━━━━━━━━┛
上図の様にルーターにポートフォワード設定を行うと、外部からの要求を該当するPCの
指定ポートに流す事が可能になります。 これは、逆に期待せざるアクセスについては
その転送先設定がありませんので、ルーターでブロックされます。 ポートスキャンと
それに続くオーバーフロー攻撃等を有効にブロックする事が可能な訳です。
--------------------------------------------------------------------------------
【ソフトウェア・ファイア・ウォールの機能】
┏PC━━ソフトウェア・ファイアウォール━━━━┓ ┏━━━━━━━━┓
┃ ┏━━━━━━━━┓┃ ┏━>┃Webサーバー ┃
┃メジャーなアプリ情報 ┃送信先:受信先の┃┃ ┃ ┗━━━━━━━━┛
┃ユーザ指定の許可情報 <>┃プログラム/Port#┃┃ ┃ ┏━━━━━━━━┓
┃ 等のデータベース ┃でデータチェック┃┃ ┣━>┃メールサーバー ┃
┃ ┣━━━━━━━━┫┃ ┃ ┗━━━━━━━━┛
┃メール/ブラウザ/ <━╋━┳━━━━┳━╋╋━━┫ ┏━━━━━━━━┓
┃ FTP等の受容 ┃ ┃ ┃ ┃┃ ┣━>┃FTPサーバー ┃
┃ ┃ ┃ ┃ ┃┃ ┃ ┗━━━━━━━━┛
┃ユーザ許容APL送信 <━╋━┫ ┃ ┃┃ ┃ ┏━━━━━━━━┓
┃ユーザ許容APL送受信<━╋━┫ X ┃┃ ┗━>┃その他のPC他 ┃
┃ユーザ許容APL受信 <━╋━┛ ブロック ┃┃ ┗━━━━━━━━┛
┃未登録APL受信 <━╋━━━━━━┛ ┃┃
┃未登録APL送信 ━━╋━X━> ┃┃
┃ウイルス等の送信 ━━╋━X━> ┃┃ ┏━━━━━━━━┓
┃乗っ取られたAPL ━━╋━X━> X<━╋╋━━━━━┫悪意あるPC等 ┃
┃ からの大量送信等 ┃固有パターン等で┃┃ ┗━━━━━━━━┛
┃ ┗━━━━━━━━┛┃
┗━━━━━━━━━━━━━━━━━━━━━━━┛
--------------------------------------------------------------------------------
【付録 Windowsファイアウォールの機能】
┏PC━━ソフトウェア・ファイアウォール━━━━┓ ┏━━━━━━━━┓
┃ ┏━━━━━━━━┓┃ ┏━━┃Webサーバー ┃
┃ユーザ指定の許可情報 ┃受信データの ┃┃ ┃ ┗━━━━━━━━┛
┃受信についての <>┃チェック ┃┃ ┃ ┏━━━━━━━━┓
┃ データベース ┃ ┃┃ ┣━━┃メールサーバー ┃
┃ ┣━━━━━━━━┫┃ ┃ ┗━━━━━━━━┛
┃メール/ブラウザ/ <━╋━┳━━━━┳━╋╋━━┫ ┏━━━━━━━━┓
┃ FTP等の受容 ┃ ┃ ┃ ┃┃ ┣━━┃FTPサーバー ┃
┃ ┃ ┃ブロックX ┃┃ ┃ ┗━━━━━━━━┛
┃ユーザ許容APL受信 <━╋━┛ ┃ ┃┃ ┃ ┏━━━━━━━━┓
┃未登録APL受信 <━╋━━━━━━┛ ┃┃ ┗━━┃その他のPC他 ┃
┃ブラウザ等からの送信 ━━╋━━━━━━━━╋╋━> ┗━━━━━━━━┛
┃未登録APL送信 ━━╋━━━━━━━━╋╋━>
┃ウイルス等からの ━━╋━━━━━━━━╋╋━>
┃ 大量送信等 ┃ ┃┃ ┏━━━━━━━━┓
┃ ┃ X<━╋╋━━━━━┫悪意あるPC等 ┃
┃ ┃固有パターン等で┃┃ ┗━━━━━━━━┛
┃ ┗━━━━━━━━┛┃
┗━━━━━━━━━━━━━━━━━━━━━━━┛
Windowsのファイアウォールは上記の様に受信側のチェックしかしていません
ので、PCがウイルスやトロイの木馬等に感染したとなると、個人情報の漏出から
大量メールの発信迄、そのまま通してしまう事になってしまいます。
一般の環境で行うリスクヘッジの方法は、
1. 個人環境といえど ブロードバンドルータを必ず入れる。
2. ウイルス対策ソフトはかならずインストールする。
多くはオート・プロテクト機能(PCのファイルシステムをアクセスする際、
自動的にウイルス検疫を行う機能)が備えられています。 必ずこれをONに
しておく。
3. 以下できれば
− ファイア・ウォール・ソフトを導入する。
只、これは結構多くのリソースとCPUパワーを消耗します。 また、思いも
よらぬソフトが使えなくなったり、LAN環境では相互アクセスに齟齬をきたす
場合もありますので、安全性と利便性のトレードオフになります。
制限条件の設定も可能ですが、過去使ったものでは一般使用者を考える余り
却って使い方が難しくなっているものが多い様です。
ブロックした接続のポート、発信元、接続先、アプリケーションを示してくれ、
これでフィルタ設定が出来るものの方が分かりやすい様な・・・
− 定期的にスパイウェア検索を掛けてみる。
といったところでしょうか。
以上
================================================================================
Ontrack Data Recovery Service--
======================================================豆知識===Vol.03-04=END====
