はてなブックマーク

ネットワーキングの世界においては今日、至る所に「ルータ」と呼ばれる機器が使用されています。ルータの役割は、論理的に分割された２つ以上のネットワークを接続するために用いられる機器です。つまり、ルータを使用するとひとつのグローバルIPアドレスで複数のコンピュータを同時にインターネットに接続させることが可能となります。また、その他にも複数経路の中から最適な経路を選択して、目的のネットワークにデータを中継（ルーティング）したり、パケットフィルタリングというセキュリティ確保のための機能も付属しており、不正なアクセスをゲートウェイ（入り口）で防ぐ役目を担っています。 上記で述べたように、複数のコンピュータを同時にインターネットに接続するためには、ルータの機能であるNAT/IPマスカレード（NAPT）の技術なくしては成り立ちません。NAT(Network Address Translation）とはIP

さて、いろいろとセキュリティ強化に関することを述べてきましたが、実際、自分のコンピュータのセキュリティ状況がどの程度のレベルにあるのかを知りたいとは思いませんか？そこで、「私のコンピュータはクラッキングされたことがありません」、と思っている方のために、いくつか、セキュリティの診断を行ってくれるサイトを紹介します。以下に紹介するセキュリティ診断では、ネットワーク脆弱性を調べるために主にポートスキャンを行ってくれます。なお、セキュリティ診断サービスを利用する際には、ファイアーウォール（ルータ、パーソナルファイアウォールソフトなど）を導入した状態で行ってください。また、ファイアーウォールを有効にした状態の場合と、ファイアーウォールを無効にした状態（つまり、セキュリティを施した状態とそうでない状態）でどの程度の効果があったのかを比較してみるのも良いでしょう。 まず、実際にセキュリティ診断に入る前に

当サイトでも、くどいように出てくる「IPアドレス」という言葉、ここではそのIPアドレスについて詳しく解説していきます。IPとは、その名の通り、Internet Protocolの略称のことで、インターネットワーキングには必要不可欠なプロトコルであり、その役割として「パケットを相手先に届ける」ことが挙げられます。しかし、パケットを相手先に届けるためには誰に届けるのかといった宛先情報が必要となってきます。宛先がわからないことには、いくら優秀なコンピュータと言えどもパケットを届けることは不可能です。そこで必要となるのが、リアルワールドでいう郵便番号、住所に相当するアドレスです。インターネットやイントラネットなどのIPネットワークに接続されたコンピュータには１台１台に必ずIPアドレスが割り振られているのです。 さて、みなさんもよく利用しているWebページなどのアドレスは、「http://www.X

■Pingコマンド それでは、ついにネットワークコマンドの実践について解説していきます。ここで紹介しているネットワークコマンドはいずれもごく基本的なものなのでしっかりと理解しておきましょう。まず、最初にICMPプロトコルを利用したコマンドである「Pingコマンド」について解説します。「Pingコマンド」とはコンピュータ同士の通信確認を行うための最も基本的なネットワークコマンドで、実装形態こそ違えど、ほとんど全てのOSに標準で実装されています。仮に、特定のコンピュータと通信をとりたい場合にこのコマンドを実行することで「ICMPエコー要求」を送出し、その宛先のコンピュータにICMPエコー要求が届いた場合に今度は反対に、「ICMPエコー応答」が返ってきます。その結果として双方間での通信確認が実現できる仕組みになっているのです（参考：「ICMPとは？」）。 ネットワークコマンドに共通することですが

■MACアドレスとは ARPとRARPを説明する前に、MACアドレスと呼ばれているものを解説しておく必要があります。MAC（Media Access Control=媒体アクセス制御）アドレスとはネットワークに参加するハードウェア固有のアドレスのことで、TCP/IPモデルでいうインターネット層（IP層）よりも下位の層であるネットワークインターフェイス層（データリンク層+物理層）に位置付けられています。MACアドレスは一般的には、LANボードに搭載されているチップ内部に最初から書き込まれており、別のネットワークにコンピュータを持っていけばアドレスが変わるIPアドレスを論理アドレスとするならば、MACアドレスは別のネットワークに持っていったとしても決して変わることのないアドレスという意味で物理アドレスということができます。LAN内では必ず、このMACアドレスを使ってそれぞれのコンピュータ同士を

Tracertコマンドは自ホストから指定したホストまでの到達経路とその中継時間を表示してくれるコマンドでPingコマンド同様、ICMPプロトコルを利用したネットワークコマンドのひとつです。Tracertコマンドを使用すると、途中でどのようなゲートウェイを経由しているのかを調査することができ、その結果としてネットワーク障害が発生したときなどに、どこで回線障害が発生しているのかを特定しやすくなります。また、ポートスキャンなどの攻撃を受けた際にも、Tracertコマンドを利用することで、攻撃者が一体、どのような経路で自分のコンピュータまで到達したのかをある程度把握することもできるのです（尚、UNIXシステム上ではtracerouteコマンドとして実装されています）。因みに、「無通信状態での自動切断の防止策」でも、Tracertの有用性について説明しているのでこちらも参考にしてください。 ◎Tra

ARPとは「ARPとRARP/MACアドレス」で述べたように、IPアドレスからMACアドレスを導き出すために使われるプロトコルのことです。ARPは通信効率を高めるためにコンピュータが一度取得したMACアドレスはARPキャッシュテーブルと呼ばれるイーサネット通信のために用いられるIPアドレスとMACアドレスの対照表に特殊なメモリ領域として格納されるようになっています。通常、ARPキャッシュの格納時間は最大20分間と規定されており、Windows系OSにおいては実質2分程度で、システムの実装によって多少の差異があります。ARPキャッシュテーブルは多くの場合、OSが管理しているため、クライアントが実際に設定することはありませんが、OSの設定ミスやその他の理由で正常にイーサネット通信が行えないことがあります。その際には、arpコマンドを使うことによって、ARPテーブルの設定に問題がないかを確認する

■プリフィックス値とは CIDR方式で割り当てられたアドレスブロックには、そのネットワークの規模を判断する尺度として「プリフィックス値」というパラメータが用いられます。具体的な例を挙げてみましょう。例えばコロ株式会社という企業が「213.154.65.60～213.154.65.67」までの8個分のグローバル固定IPアドレスを取得したとします。8個分なのでビット単位になおすと3ビットになり、この3ビットという値がホスト部に相当します（ビットの計算方法については「必須：コンピュータの情報単位」を参照。ネットワーク部/ホスト部については「IPアドレスとその仕組み」を参照）。IPアドレスは32ビットの表記で表されるため、ホスト部が3ビットであるとすれば、ネットワーク部は必然的に29ビットと算出することができ、この29ビットという数値がコロ株式会社のプリフィックス値（ネットワーク部のサイズ）という

「ipconfigコマンド」はコマンドプロンプト上でTCP/IPに関する設定情報を表示するためのコマンドで、Windows98/Me/2000/XP上で標準実装されています。ipconfigを実行してわかる情報は、IPアドレス、サブネットマスク値、デフォルト・ゲートウェイ、MACアドレス、DNSサーバーなど実に多くの情報を得ることができるようになっています。その他にもDHCPクライアントとして設定されているコンピュータは、IPアドレスの解放や更新といった作業も行えます。「ipconfigコマンド」の簡易表示を行う際は「ipconfig」、より詳細な情報を得るには「ipconfig -all」コマンドを入力してください。コマンドを実行して表示された情報は各自のネットワーク設定に依るもので、設定は全て「ローカルエリア接続」→「インターネットプロトコル（TCP/IP)」で編集することができます。

■NetBIOS over TCP/IP(NBT)とは ＮｅｔBIOS（Network Basic Input Output System）とは、IBMとMicrosoft社が共同開発した小規模LAN用のネットワークインターフェイスのことで、現在においてはWindowsマシンが提供しているファイルやプリンタなどの共有サービス（SMBサービス）を、様々なプロトコルと結合するための、専用のプログラムインターフェイス（例：MS-Networks, LAN Manager）として利用されています。NetBIOSインターフェイスを通信プロトコルとして実装したものがNetBEUI（外部に接続しないＬＡＮでよく使用されています）ですが、NetBEUIプロトコル上でSMBサービスを使って、ファイルやプリンタ等の共有サービスを行うのが一般的な方法であるとされてきました。しかし、TCP/IPが業界標準のプロト

最近、どこの本屋さんへ行ってもセキュリティに関する本が置いていないということはまずあり得ない時勢になってきました。セキュリティに対する個々の意識は一時代前よりも高まってきているのは紛れもない事実ですが、実際にセキュリティ強化を実践している方はそれほど多くはないでしょう。よく例えられる例ですが、家を留守にする際に、鍵をかけないで出かけることはありますか？おそらくほとんどの方が鍵をかけて家を空けるはずです。特に近所でピッキング被害が増加しているのを知りつつ、敢えて鍵をかけないで出かけるような方は、鍵をかけ忘れた方を除けばまずいないでしょう。同じ事をコンピュータに例えると、ネットワーク犯罪が増加しているにも関わらず、自分のコンピュータに鍵をかけないで外に（インターネット）に出かける人はいますか？それが、驚くべきことにたくさんいるのです。普段の生活ではきちんとセキュリティ対策をしているはずなのに、

それでは、Namazuをもっと便利に賢く使うためにカスタマイズしていきます。まずは、検索結果として表示されるページのデザインをカスタマイズします。デフォルトの状態では非常にシンプル且つ操作性に優れた検索画面ですが、ローカルコンピュータ内で自分専用としてNamazuを利用するならともかく、実際にWeb用に公開する場合にはもう少し見栄えの良いものにしたいものです。そこで、Namazuにはテンプレートとして検索画面のHTMLファイルを読み込むことで、そのデザインをカスタマイズすることができるようになっています。テンプレートファイルはヘッダーとメインとなる検索結果を表示する部分とフッターの３つのファイルから構成されており、「C:\namazu\share\namzu」に格納されています。基本的にカスタマイズしていくファイルは拡張子が「ja」の以下の６つのファイルとなります。 これらのファイルは文字

今回紹介するソフトは、Apache のアクセスログを解析するソフト「ApacheLogViewer」です。Windows 用のソフトウェアですが、LinuxでApacheを運用している場合でも、 ログの出力形式はNCSA形式で統一されているので、access_log さえ読み込ませれば、ログを解析・分析することができます。 アクセスログ解析には、Analog や Webalizer、awstats などのように、ブラウザで閲覧するタイプのアクセスログ解析ソフトがありますが、ApacheLogViewer では、GUI で視覚的に詳細なデータを閲覧する事ができるので非常に見やすく便利です。以下では、その他のアクセス解析ソフトと比べて、どこらへんが具体的に便利なのかを説明していきます。 ApacheLogViewer のダウンロード まず、個人的に特に重宝している点としては、特定のIPアドレス

DNS（Domain Name Service）とはIPアドレスをホスト（ドメイン）名に、ホスト名をIPアドレスに変換する名前解決メカニズムの総称のことです。つまり、DNSを利用するとIPアドレスをもとにホスト名を求めたり、ホスト名からIPアドレスを求めたりすることが可能になるのです。DNSが登場する前にはhostsと呼ばれるファイルによってコンピュータごとにアドレス管理が行われており、ローカルネットワークだけであればこれでも運用していくことができました。しかし、昨今のネットワークの肥大化に伴い、ユーザーのコンピュータそれぞれに膨大な名前解決情報を持たせ、接続する機器が増えるたびにそれを書き直していくことは気が遠くなるような作業となってしまいます。このため現在ではDNSという簡単に名前を解決できるシステムをサイトに設置してコンピュータの名前とIPアドレスの結びつきを一元的に管理する仕組みが

ICMP（Internet Control Message Protocol）とは、IPの機能を補完するためのプロトコルです。IPプロトコル自体の機能としては、IPアドレスの情報からネットワークを識別して、特定のコンピュータ（送信元）から特定のコンピュータ（宛先）まで、データパケットを届けることに終始一貫しているため、実際に自分自身で送受信が成功したのかどうかの確認を行いません。この確認を行うためには、上位の層であるトランスポート層（TCPプロトコルなど）の協力を得なくてはなりません。しかし、できれば同階層であるインターネット層でもある程度の信頼性を確保しておきたいところです。そこで登場するのがICMPプロトコルで、そのプロトコルを利用したコマンドがほとんど全てのコンピュータに実装されている「Pingコマンド」です（下図参照）。他にもデータグラムの配送中にエラーが発生したことを始点ホストへ

パケットフィルタリングとは、ルータやファイヤーウォールなどを経由して行われる通信（データ・パケット）に対して、IPアドレスやポート番号などの情報によって、送られてきたパケットを中継（許可）するべきか、それとも遮断（拒否）するべきかの判断を行う機能です。パケットフィルタリングを活用する目的はあくまで、セキュリティを確保するという点にあります。具体的な例を挙げると、掲示板荒らしなどに出くわした際に、ある特定のIPアドレスの相手とは一切通信を行わないようにしたり、または、条件のかなった特定の相手、またはアプリケーションとのみ通信をおこなうといった制限をかけることができるのです。インターネット側（WAN側）から送られてきたデータ・パケットをLAN側でどのように判断するかをネットワークの管理者が任意に設定することができるようになります。また、これとは反対にLAN側からWAN側への不正なデータの流出を

さて、「サーバー構築」、「セキュリティ」ときて、ついにTCP/IPの解説に入ります。ここでは、TCP/IPの基礎的な事に絞って解説を進めていきます。というのも、TCP/IPを解説しようとしたら、いくつでもサイトができてしまいそうなほど幅が広いので、サーバーを構築するにあたって知っておいた方が良いと管理人が判断した知識に絞って解説をしていきたいと思います。 ■TCP/IPとは TCP/IP（Transmission Control Protocol/Internet Protocol）は、現在、インターネットで最も広く利用されているプロトコルの1つです。プロトコルと聞くといかにも難しいように聞こえますが、決して難しいものではなく、多少なりともコンピュータを使用したことがある方なら誰でも、プロトコルであると意識することなく、様々なプロトコルに触れているのです。ブラウザを使用してネットサーフィン

■ブロードキャストアドレスとは ブロードキャスト（放送）とは１つのネットワーク内に属する全てのノード（端末）を対象にして、データを送り出すことで、そのブロードキャストのために特殊に割り当てられているアドレスのことをブロードキャストアドレスと言います。通常、ブロードキャストアドレスは取得したアドレスブロックの最後のIPアドレスを表し、例えば「218.154.54.150～218.154.54.157」の8個のIPアドレスを取得した場合は一番最後の「218.154.54.157」がブロードキャストアドレスとして割り当てられることになります。それとは逆に、取得したネットワークアドレスの最初のアドレスのことを「ネットワークアドレス」と言い、ここでは「218.154.54.150」のIPアドレスに相当します。つまり、ネットワークアドレスが、ネットワーク全体の表札的な役割を担っているのに対し、ブロード

「全部フリーソフトで作るシリーズ」のWindowsXP版。初心者でもわかりやすい解説で人気のある1冊です。これから初めてサーバー構築する方には特にオススメ！ Apache2の逆引きリファレンス。知りたいと思ったディレクティブが簡単に引けて大変重宝しています。内容も非常に濃いのでこんな機能があったのか～と思わず感動してしまう事も。お勧め。

第40回では、写メールでエントリーを投稿する Mail2MTEntry の設置について説明しました。今回は、久しぶりの更新になりましたが Lightbox JS v2.0 というJavaScriptを利用して、サムネイル画像を同一画面上にオーバーレイ表示させる方法について説明していきます。 Lightbox JSは、とても有名なJavaScriptなので敢えてここで説明するほどのことではないのですが、一応、備忘録の意味もこめて解説します。 まず、最終的にどのようにしたいかは以下の画像をクリックしていただければすぐにわかるかと思います。 ここで行う作業は以下の3つ。 （１） Lightbox JS v2.0 を設置する （２） クリックでオーバーレイ画像（拡大した画像）が閉じるようにする （３） 複数枚の画像を、「Next」「Prev」ボタンで前後に移動できるようにする ■（１） Light

■TFTP（Trivial File Transfer Protocol）とは TFTP（Trivial File Transfer Protocol）とは、FTPの機能を単純化したプロトコルのことで、FTPに比べて使用できる機能も非常に制限されています。TFTPには、ディレクトリ一覧を閲覧する機能はなく、できるのはファイルの送受信のみです。なので、TFTPは、転送したいファイルとそのファイルが存在する場所を正確に把握しているような場合に適したプロトコルといえます。また、コンパクトなプロトコルなため、やりとりするデータ量も少なくさせることができます。けれども、FTPよりも送信できるデータ量が少なく、また認証機能もないために、現在ではセキュリティ上の関係からTFTPをサポートしているサイトはほぼ存在しません。企業ルータのシェアの大半を誇リ、信頼性の高いCiscoルータでは、IOSをアップデー

次にセクション2の「'Main' Server Configuration」を説明していきます。ディレクティブが有効な場合は「赤の太字」、ディレクティブを無効にしている場合はハッシュマーク(#)を付け足して、「青の太字」で記述しています。 ### Section 2: 'Main' server configuration # # The directives in this section set up the values used by the 'main' # server, which responds to any requests that aren't handled by a # <VirtualHost> definition. These values also provide defaults for # any <VirtualHost> containers y

ファイアーウォールとは（FireWall）とは、外部ネットワーク（WAN側）と内部ネットワーク（LAN側）の間にゲートウェイを設けてパケットを監視し、外部からの不正なアクセスや侵入を防止することを目的としたセキュリティシステムの総称のことを指します。通常は、ファイアーウォール用のサーバーを設置するか、専用のネットワーク機器（ルータなど）を用います。なお、ファイアーウォールを語る上で一番わかりやすい例えは、スーパーマリオブラザーズに出てくるキャラクター、メットでしょう。メットに泣かされた方も多いと思いますが、あのメットにはファイアーボールは効かないのを覚えていますか？まさしくファイアーウォール（防火壁）なのです。なんとなく、発音も似ていませんか？ファイアーウォール→ファイアーヴォール→ファイアーボール・・・。というかそんなことどうでもいいですね・・・（笑）。ファイアーウォールには、プロトコル