書籍情報
- 書名:日経ネットワーク
- 巻数:2016年05月号
- サブタイトル:挑戦!AWSとAzureでシステム構築 ec.nikkeibp.co.jp
用語
わからなかった用語や表現などをまとめます。
一般的(と思われる)用語
LCP(Link Control Protocol):P13
PPPの一部を構成するプロトコルで、通信の開始時にLCPパケットを送信し接続の可否をネゴシエートします。
NCP(Network Control Protocol):P13
PPPの一部を構成するプロトコルで、ネットワーク層で使うプロトコルの種類をネゴシエートします。
NCPではネットワーク層で使うプロトコルにより個別のプロトコルが規定されており、IPの場合はIPCP(Internet Protocol Control Protocol)が利用されます。
IPCP(Internet Protocol Control Protocol):P13
PPPの一部を構成するプロトコルで、ネットワーク層で使うプロトコルの種類をネゴシエートするものうち、IPを選択する場合に使われるNCPです。 IPCPは端末にIPアドレスを割り当て、IPの通信を可能にします。
ディスカバリステージ:P13
PPPoE接続を行う際の段階の1つで、もう一つの段階「PPPセッションステージ」の前のステージです。
この段階ではPPPoEとPPPoEサーバのMACアドレスを特定し、PPPoEのセッションIDを割り当てます。
https://support.microsoft.com/ja-jp/kb/282079
PPPセッションステージ:P13
PPPoE接続を行う際の段階の1つで、「ディスカバリステージ」の後のステージです。
CHAPもしくはPAPにより認証を行った後、IPCPによりIPアドレスが割り当てられPPPによる通信が開始されます。
EC2(Elastic Compute Cloud):P23
AWSの機能の一つ。日経ネットワークでは「Amazon Elastic Compute Cloud」を略して「EC2」と記載していました。
このサービスはAWSのコンソール画面で操作することにより、仮想マシン(Windows/RedHat/CentOSなどを選択可能)を設定しそこにインストールした各種のアプリケーションを実行することができます。
Amazon EC2 (スケーラブルな仮想サーバー・クラウドホスティング) | AWS
VPC(Virtual Private Cloud):P23
AWSの機能の一つ。日経ネットワークでは「Amazon Virtual Prive Cloud」を略して「VPC」と記載していました。
このサービスはAWSのコンソール画面を操作することにより、AWS内の仮想ネットワークを設定することができます。
Amazon VPC (仮想プライベートクラウド Amazon Virtual Private Cloud) | AWS
ラージスケールNAT:P49
IPv4の運用方法の一つで、「キャリアグレードNAT」とも呼ばれています。ISPなどの事業者が自社と他社のネットワーク分界点付近でアドレスの変換を行うことにより自社ネットワーク内で使われるIPv4アドレスの量を節約します。
結果として、一つのグローバルIPアドレスを複数のユーザーで共有することになります。IPv4枯渇問題への延命策の一つとして行われています。
なお、これはあくまで暫定的な運用であるため実際に使うと各種問題が発生する模様。
インターネット10分講座:大規模NAT(Large Scale NAT:LSN) あるいはキャリアグレードNAT(CGN) - JPNIC
IPv6パススルー:P50
ルータ等に搭載されている機能の一つで、LAN内のIPv6パケットを通過させインターネットに送信することができます。
この機能の利用できるルータでは、IPv4への変換なしに直接IPv6でインターネットへの接続が可能になります。
(WindowsはVistaからIPv6通信に対応しています)
フルルート:P50
ISPの扱うインターネットの全経路情報のことです。BGPを用いて経路を制御する際に使われるようです。
(実はよくからないです)
インターネット10分講座:BGP - JPNIC
メッシュネットワーク:P51
端末同士が相互に通信する網の目(メッシュ)状のネットワークのことで、特にWi-Fiを使いP2P形式で形成するネットワークを言うようです。
6LoWPAN:P51
IPv6 over Low power Wireless Personal Area Networksの略で、この通信方式はBluetooth4.2から搭載された機能で、Bluettoth上からIPv6を利用することができます。
ネット上で見つけた説明イラストでは、Bluetoothで接続された家電製品(電球とか冷蔵庫とか)がメッシュ型ネットワークを組んでいました。
見たところ、IoTで使う技術のようです。
IPv6 radvd:P51
IPv6のルーター上で動作するデーモンプログラムで、広告機能(RA)を持ちます。
(RA=IPv6ルータが定期的に自身のネットワーク情報を送信する機能)
近接探索(ND:Neghbor Discovery):P54
IPv6の同一ネットワーク上にある通信対象端末のMACアドレスを特定し、通信する機能です。
IPv4のARPに相当します。
DHCPv6:P54
IPv6のネットワーク上でIPアドレスを端末に自動的に割り当てる、コマンドでIPアドレスを設定するなどを行うことができるプロトコルです。
IPv4のDHCPに相当します。
EUI-64:P54
デバイスを一意に識別する64ビット長のIDのこと。IPv6アドレスのインターフェイスIDを自動生成する時にはフォーマットとしてEUI-64が使用される。
48ビットのMACアドレスの中央に16ビットの「FFFE」を追加して64ビットに拡張することで生成される。
ステートレスな配布:P54
ルータを使ってIPアドレスを配布する事を言います。
ステートフルな配布:P54
DHCPv6アドレスを使ってIPアドレスを配布する事を言います。
RS(Router Solicitation):P54
ルータを使ってIPアドレスを配布するときに、プレフィクス情報を送信するよう要請するメッセージです。
「ルータ要請メッセージ」とも呼ばれます。
IPv6フォールバック:P55
IPv6とIPv4のデュアルスタック環境で発生する特有の問題です。IPv6で通信ができない場合にIPv4による再送が行われる動作を言います。
よくわかりません。下記URLの説明を詳しく確認したほうがいいです。
http:// http://www.jpne.co.jp/wp/fallback_at_closed_network/
DNS64/NAT64:P56
DNSサーバ/NATサーバの仕様の一つです。
IPv6とIPv4のアドレス変換を行うことにより、IPv6ネットワークからIPv4ネットワークへの接続性を担保します。
偽装RA:P57
IPv6アドレスの自動構成機能を利用した攻撃方法の一つです。
不正なルータが正規のルータになりすましてニセのRA広告を配信します。これを受け取った端末のゲートウェイを不正ルータに向けさせ、パケット盗聴などの攻撃を実施します。
ニセの無線LAN APを設置する「エビルツイン」の変形のようなものと考えればいいんでしょうか?
偽装RA対策機能:P57
RA GuardやSEND(SEcure Neighbor Discovery)といった機能が偽装RA対策としてスイッチなどに搭載されている・・・・らしいです。
匿名IPv6アドレス:P57
ハッシュ関数MD5を用いて計算したハッシュ値を元に生成された一時的なIPv6アドレスを言います。生成す一時IPアドレスとも呼ばれます。
このアドレスを利用することでMACアドレスなど、端末の固有情報が特定されることを防ぐことができます。
HTTPリクエスト:P61
HTTPを構成する主要なメッセージの一つです。
WEBブラウザがWEBサーバに対して情報の送信を要求する時に送信されます。リクエスト=要求の意味です。
HTTPレスポンス:P61
HTTPを構成する主要なメッセージの一つです。
WEBサーバがWEBブラウザからの要求(HTTPリクエスト)に対して返信します。レスポンス=応答の意味です。
スキーム:P64
FQDN情報の先頭部分で、プロトコルが表示されている部分です。ブラウザでホームページを閲覧する場合は「http:」が入ります。
(この場合はFQDN情報=URLと読み替えて差し支えありません)
ホスト名:P64
FQDN情報の中間部分でWebサーバのアドレスが表示されている部分です。一例として「www.example.co.jp」などが入ります。
パス名:P64
FQDN情報の最後尾でwebサーバ内のデータの保存先ディレクトリが表示されている部分です。一例として「/index.html」などが入ります。
(この場合はFQDN情報=URLと読み替えて差し支えありません)
WDS(Wireless Distribution System):P93
無線LANリピータの接続方式の一つです。
フレームフォーマットについてはIEEE809.11で規定されていますが、実装方法がメーカーによって異なります。
そのため、WDSを使う場合は同一メーカー製品でない場合は親機や子機と接続できない可能性があります。
ユニバーサルリピーター:P93
無線LANリピータの接続方式の一つです。
実装方法がWi-Fi Alliandeにより標準化されており、Wi-Fi Certifiedのロゴマークの付いている機器同士であればメーカーが異なっていても接続できます。
MIB(Management Information Base):P99
SNMPマネージャが管理する情報を保存するデータベースです。
RFCで定義されている「標準MIB」と機器メーカーやSNMPソフトが独自に定義する「拡張MIB」の二種類があります。
sysLocation:P100
SNMPの管理情報の一つで、監視対象となるネットワーク機器の設置場所が記録されます。
sysContact:P100
SNMPの管理情報の一つで、ネットワーク機器の管理者などの連絡先が記録されます。
EAP-SIM:P108
無線LANで使われる端末の認証方法の一つです。
認証の手続きに「EAP」を使用し、端末の識別にはSIMカードを使用します。喫茶チェーンなどに設置されているキャリア無線LAN(docomo Wi-FiやSoftbank Wi-Fiなど)で使われています。
docomo Wi-Fiの場合、SSID:0001docomoがEAP-SIMを使っていると思われます。
(説明書に「認証情報入力不要」と書いてあったので多分そうだと思います)
EAP-AKA:P108
認証の手続きに「EAP」を使用し、端末の識別にUSIMカードを使用します。auが採用しており、喫茶チェーンなどに設置されている無線LAN au Wi-Fiで使われています。
認証の手順などはEAP-SIMとほぼ同じようです。
PowerSHell部分
リモーティング:P58
Windows PowerShellを使ってコマンドラインでパソコンやサーバーを操作することを言います。
Microsoft用語で「遠隔操作」の意味のようです。
WinRM:P59
Windows PowerShellによる遠隔操作を受け入れるために実行するサービスです。
検索したところ、Microsoft社サポートページにWindows Server2012の説明として下記の記事を見つけました。
遠隔操作を可能にするWindows用の独自規格のようですが、正直よくわかりません。
Windows リモート管理 (WinRM) の概要
Webサービス・マネジメント(WS-MAN):P59
システムの遠隔操作を行うための規格です。WinRMもこの規格により規定されているようです。
Webサービスからシステムの管理情報にアクセスできるようになるとのことです。
調べてはみましたが、あまり詳しい説明が載っているページはなく、Wikipediaで見つけた記事が一番詳しく書いてありました。
http:// https://en.wikipedia.org/wiki/WS-Management
Trusted Hosts:P59
Windows PowerShellの設定の一つです。Windows PowerShellでは遠隔操作をする前に接続先の機器を「信頼できる機器」として登録する必要があります。
(同じActiveDirectoryドメインに参加している機器の場合はこの設定は不要です)
コマンド
netstart:P39
Cent OSやRedHatなどのコマンドでネットワーク接続やルーティングの状況、NICの状態をなどを調べることができます。
初期状態ではコマンドの実行に必要なプログラムがインストールされていないため、「net-tools」をインストールする必要があります。
資料
高度サイバー攻撃(APT)への備えと対応ガイド:P17
JPCERT/CCの公開している資料で、同組織がアメリカのデルタリスク社に依頼したレポートを日本語に訳したものです。
標的型攻撃の実態と対処について、ロッキード・マーティン社の事例などを元に説明しています。
A4サイズでかなり細かく書かれているため、印刷して読むことをおすすめします。
高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて
IPv6によるインターネットの高度利用化に関する研究会 第四次報告書:P49
日本国内でのIPv6対応状況について商務省がまとめた資料です。
電話会社、ISP、ハードウェア、各種OS、WEBサービスなどについて述べられています。
総務省|「IPv6によるインターネットの利用高度化に関する研究会」第四次報告書の公表
製品/サービス名
AnswerParaSOL:P19
NTTデータの提供するインターネットバンキングのサービスです。紹介ページには「どこでもバンク」と記載されていました。
インターネットバンキングをブラウザもしくはアプリ上から利用できるようです。
AnserParaSOL | HOME
PsPing:P35
Microsofts社が無料で公開しているツールで、個別にポートを指定してPINGを送信することができます。
ICMPでは疎通確認のできないAzureで使用するツールとして紹介されていました。
http:// https://technet.microsoft.com/en-us/sysinternals/psping.aspx
AzurePower Shell:P37
PowerShellでAzureを操作するためのモジュールです。
Azureの操作時にWindowsパソコン側で使用するツールとして紹介されていました。モジュールのインストール後にAzureの操作が可能になるようです。
http:// https://azure.microsoft.com/ja-jp/documentation/articles/powershell-install-configure/
New-AzureRmVisualNetworkGateway:P37
Azure内に仮想ネットワークゲートウェイを作成するためのコマンドです。
PowerShell上で入力して実行するようです。
KAME Project:P50
端末がインターネットにIPv6で接続しているか、IPv4で接続しているかを調べるサービスです。
IPv4の場合はモザイク処理された亀の動画が、IPv6の場合はモザイク処理されていない亀の動画が再生されます。
(ドトールのdocomo Wi-Fiで試したところモザイク付きの亀でした)
The KAME project
Arduino:P87
イタリアで開発されたオープンソースのマイコンボードの名前です。
今月号の記事「ネットワークなんでも実験室」では、このマイコンボードをつかってシリアルインターフェイスの追加をしていました。
Amazonで5000円くらいで買えるようです。
Arduino - Home
その他メモ
企業ネットワーク担当者がIPv6への対応を進めるメリットとデメリット:P49
| 項目 | 説明 |
|---|---|
| メリット | グローバルなIPアドレスを大量に利用できる |
| シンプルなIPヘッダーとアドレスの階層構造により、ルータの負荷を軽減できる | |
| IPアドレスの自動設定(EUI-64)で自動的にIPv6アドレスを利用できる | |
| 現時点では帯域がとてもあいている | |
| 点IPsecを標準で利用できる | |
| デメリット | ・IPv4との併用により管理が倍になり手間がかかる |
| OSやアプリ、機器のIPv6対応の検証が必要になる | |
| 偽装RA対策やIPアドレスのプライバシーといったセキュリティ対策が必要になる | |
| 普及が進んでいないため、対応しても利用シーンが少ない | |
| DNSの逆引き問題のような未知の問題が発生する可能性がある |
HTTP関連
P67に掲載されていたHTTPの通信手続きの中で、復習しておく必要のある情報をまとめます。
メソッド種類:P67
HTTP通信で使われる主なメソッドの表です。
| メソッド | 意味 |
|---|---|
| CONNECT | プロキシを利用したSSL通信を要求する |
| DELETE | データファイルの削除を要求する |
| GET | データの送信を要求する |
| HEAD | データに関する情報を送信するよう要求する |
| OPTIONS | オプション機能を問い合わせる |
| POST | データを送信する |
| PUT | データファイルをアップロードする |
| TRACE | 経由するマシンが応答を返すように要求する |
注:SC試験の頻出です。私はメソッドを知らないために何度も不合格になりました。
ステータスコード種類:P67
HTTP通信で使われる主なステータスコードの表です。
| ステータスコード | 意味 |
|---|---|
| 100 continue | データに続きがある |
| 101 Switching Protocols | 指定したプロトコルで再接続を要求する |
| 200 OK | リクエストの処理に成功した |
| 201 Created | ファイルの作成に成功した |
| 301 Moved Parmanently | データは別の場所に移動した |
| 302 Moved Temporary | データは別の場所に一時的に移動した |
| 401 Unautorized | データにアクセスするには認証が必要 |
| 403 Forbidden | データにアクセスできない |
| 404 Not Found | 要求されたデータが無い |
| 500 Internal Server Error | サーバーの内部エラー |
| 503 Service Unavailable | リクエストを処理できない |
注:これもSC試験で頻出です。ステータスコードを知らなくとも問題を解けますが、その場合は難易度が極端に上がります。
あとがき
今月号も読むので一杯一杯でした。
一日も早く内容を理解できるよう、中世ヨーロッパ写字生のように黙って静かに頑張ろうと思います。
