ホスト - みる会図書館

1. UNIX MAGAZINE 1997年11月号

NETWORK TECHNOLOGY 2 播ロ陽ー ATM : UNI シグナリング ATM ネットワーク ( およびセルネットワーク全般 ) の基礎について「 lnternetworking 」 1997 年 7 月号で解説しました。こで、 ATM ネットワークを構成する機器についてもう一度簡単に触れておきます。その後、 UNI シグナリングについて解説します。 ATM ネットワークの構成機器 ATM ネットワークの例を図 1 に示します。 ATM ネットワークに接続されている機器は、大きく次の 2 つに分けられます。 ATM スイッチ ATM セルを転送する装置です。図 1 ATM ネットワークの例 ATM スイッチ R ATM ルータ Br ATM ブリッジプライベート ATM ネットワーク Ethernet UNIX MAGAZINE 1997.11 ホストホストホスト ATM スイッチがセルを転送する際には、 IP などの上位層をいっさい参照しません。 ATM セルに付けられた識別子 ( VP レ VCI ) をもとにセルを転送するだけです。 ATM スイッチの内部構造については回を改めて詳しく解説します。工ッシテ / ヾイス図 1 の ATM ルータ、 ATM プリッジ、 ATM インターフェイスをもつホストを工ッジデバイスといいます。工ッジデバイスを一言でいうと、 SAR (Segmentation and ReassembIy) 機能をもつ ATM デバイス、具体的には ATM ポートをもつルータやプリッジのことです。たとえば図 1 のなかで、工ッジデバイスの 1 つである ATM ルータ R は以下のような動作をします。プライベート ATM ネットワークバブリック ATM ネットワーク NNI I バブリック X バブリック UNI プライベート NNI バブリック UNI プライベート ATM ネットワーク I UNI X UNI ホスト 1 UNI ホスト 2 プライベート NNI ホスト UNI I X UNI Ethernet ホストホストホスト 25

2. UNIX MAGAZINE 1997年11月号

ルの 1 カ所で監視したり制御したりできます。つまり、内部ネットワーク本を監視するより、はるかに手間がかからす、しかも効率的な監視を可能にするイ督はみです。インターネットと社内ネットワークとのあいだにファイアウォールを設置すると、インターネットから社内ネットワークを守ることかできます。しかし、社内にはもっとレベルの高いセキュリティ対策を必要とする曙があるかもしれません。たとえは、人事に関する情報を扱う部署や経理関連の部門などです。このような場合は、ファイアウォールで守られた社内ネットワークのなかにさらにファイアウォールを設置すれば、社内からの不正アクセスにも対処できます。ファイアウォールの構築にはさまざまな去があり、すべてを紹介すると 1 冊の本になってしまいます。そこで、良書を 2 冊ばかり紹介しておきます。・ D. Brent Chapman 、 Elizabeth D. Zwicky 共著、歌イ日正監訳、鈴木克彦訳『ファイアウォール構築ーインターネット・セキュリテイ』、オライリー・ジャパン / オーム社、 1996 年・ William R ℃ heswick 、 Steven M. Bellovin 共著、川副博監訳、田和勝・杉久美子訳『ファイアウォールーインターネット接続でのセキュリティ管理技術』、ソフトノヾンク、 1995 年ファイアウォールを構築する際に、ぜひとも理解してお要寒ホスト (bastion host) いてほしいのが一ド記の用語です。 UNIX MAGAZINE 1997.11 のポートを開いているホストも同様です。これらのホストす。インターネットからメールを受け取るために SMTP ーや FTP サーバーを運用しているホストがそうです。たとえは、インターネットに公開している web サこのホストはインターネットからの攻撃に直接さらされまホスト (bastion host)" と呼びます。当然のことながら、インターネットから妾アクセスできるホストを、、要塞要塞ホスト以下、それぞれについて説明します。ー・システム (proxy system ・・フロ弌・シ - ・ノヾケット・フィルタリング (packet filtering) ・デュアルホーム・ホスト (dual-homed host) アアウォールの作り方・・・ 1 は、不正アクセスからとりわけ堅固に守らなければなりません。要塞ホストのアカウント発行は厳しく制限すべきです。テュアルホーム・ホスト 2 枚のネットワーク・カードを備え、それぞれを異なる 2 つのネットワークに接続したホストが、、デュアルホーム・ホスト (dual-homed host)" です。このような 2 つのネットワーク・テンヾイスをもつホストは、 IP フォワーディング機能を用いてルータとして使うことが多いのですが、この機能を停止し、ファイアウォールとして利用することもできます。要塞ホストの場合と同様、デュアルホーム・ホストのアカウント発行も厳しく制限すべきです。これは、次のような理由からです。・個々のアカウントか攻撃対象となるため、アカウントが増えれば増えるほどシステムの弱点も増える。・ユーザーがファイアウォール上でどんなプログラムを実行するか予測できない。・システムの安定性カ觝下する。・攻撃の検出が困難になる。バケット・フィルタリングルータに送られてきたバケットのうち、ある条件を満たさないバケットを破棄したり、逆にある牛を満たすパケットを通過させたりすることを、、バケット・フィルタリング (packet filtering)" といいます。ここでいう、条件 " には、次のようなものがあります。・始点 IP アドレス・始点ポート番号・終点 IP アドレス・終点ポート番号プロトコル (TCP 、 UDP 、 ICMP など ) ・ ICMP の不頁フィルタリングは、現実の世界でも使われています。たとえば、会員制フィットネス・クラブのフロント ( 会員か ? ) や、ある種央画館の入場ロ ( 年歯リ限をクリアしているか ? ) などです。バケット・フィルタリングは、専用ルータのフィルタリング機能を使えば簡単に実現できますが、 UNIX マシン上 127

3. UNIX MAGAZINE 1997年11月号

ファイアウォールの作り方白崎博生ことでしよう。昔の人が言ったとおり、後胼先に立たす、 - インターネットとセキュリティ泥棒を捕まえてから縄をなっていては遅いのです。インターネット側からみると、サイトの莫の大小などあえて繰り返すまでもありませんが、やはりインターネは孑則できません。もちろん、有名なサイトはそれだけ攻ットは便利な道具です。撃を受ける危険か高いのは事実です。しかし、簡単なプとくに情報を収集するときには、手軽に探し始められるログラムを書くだけでインターネットに接続されたホストことと結果が早く得られるのか嬉しいですね。あちこちにに対する、、しらみつぶし攻撃 " ができるため、不正アクセある Web ページや FTP サーバーからは、多種多様な情スの害に遭う可能性という点では、サイトの有名、無名幸肋碍られます。はあまり関係がありません。つまり、どんな小さなホスト一方、いろいろなホストからのアクセスを許すイはみをでも、そしてホストのなかに重要なファイルがなくても、利用して、自分のもつ情報をインターネットに公開するこインターネットに接続するホストにはすべてセキュリティともできます。その反面、悪意をもって、あるいはいたす対策を施さなけ川まならないのです。ら目的でアクセスされる場合があります。「ホンマけ ? 」、いたすら " といえば電話が思い浮かびます。家庭にあるいぐらかおおげさには書きましたが、けしてウソではあ電話機は、電話のネットワーク ( 電話細に接続されていりません。このような事態に対処するには、悪意をもつアます。そして、その電話機からは、日本はもちろん世界中クセスから自分のホストやネットワークを防御すん欟冓がに電話をかけることかできます。しかし、逆に世界中の黽必要です。子どものころは、話機からいたすら電話をかけられる可能匪もあります。それでは、電話網とインターネットを用いた不正アクセ「透明バリアー、は一つた ! 」スの違いはどこにあるのでしようか。それは、と宣言す川ま、すべての攻撃から自分を守れたにとにな「インターネットを使ったいたすらアクセスは簡単」った ) ものです。しかし、インターネットの世界では透明ということです。電話の場合、料金を支払ったり、ダイヤバリアーは無力です。ルを回したりと、いたすらをする側にもいくらかの負担がそこで、なんらかのセキュリティ対策を施して、ネットかかります。ところが、インターネットでは、いたすらのワークのセキュリティ・レベルを上げる必要があります。対象が日本のホストであろうが外国のホストであろうが、具ー勺にはアクセス ( の不鶤頁 ) を制限したり、バケットをあるいは 1 つのホストであろうが 100 のホストであろうフィルタリングしたりします。が、かかる手間や負担はほとんど同しです。「セキュリティ・レベルを上げたら、そのぶん使いにくくもし、「自分のサイトは小莫だから、不正アクセスななるんちゃうの ? 」んか関係ない」と考えてセキュリティ対策を怠っていると、いすそオ功ゞ大きな間違いだったと思い知らされるーヨ殳に、セキュリティ対策を強化すると使いやすさカ 123 UNIX MAGAZINE 1997.11

4. UNIX MAGAZINE 1997年11月号

牲になるといわれます。に出されるのが、これを説明するときによく引合いセキュリティ x 使いやすさ = 一定という式です。セキュリティ・レベルを上げると使いにくくなり、使いやすさを優先させるとセキュリティ・レベルが下がる。つまり、セキュリティと使いやすさは反比例するという有名な式です。もっとも、これには異論もあり、「使いやすさを保ちながら、セキュリティ・レベルを上げることもできる」と言う人もいます。ただし、それにはネットワーク管理者がセキュリティについて勉強したり、ネットワーク環境をこまめにメンテナンスしたり、アクセスを諡見したりする体力、気力が必要です。この場合は、次の式がなりたっでしよう。セキュリティ x 使いやすさ = 体力十気力しかし、時間の釜茴とともに体力や気力は徐々に低下していきます。そこで、右辺か次のように変化します。セキュリティ x 使いやすさ = お金悪意をもつアクセスから自分のネットワークやホストを守るために、現点でお勧めできるガ去はファイアウォールの導入です。ファイアウォールを導入すると何がどうなるのかを説明する前に、不正アクセスについて触れておきましよう。 - 不正アクセスあるユーサーが、自分に与えられた権限によって許される範囲外の行為をおこなったとき、これを不正アクセスと呼びます。たとえば、他人のアカウントでログインしたり、ログインしてはいけないホストにログインしたり、見てはいけないファイルを見たり、ホストカ甘是供するサービスを妨害したりといったことです。も丘は、ほかのサイトの知らないホストに対して telnet コマンドを実行すると、それだけで不正アクセスとみなされることが多いようです。実際にログインできなくても、他人のアカウントでログインを試みたり、アカウントをもっているホスト内で許可の与えられていないファイルを見 124 ようと試みたりするのは不正アクセスです。あるいは、アカウントをもっていないホストのファイルをあの手この手で見ようとするのも不正アクセスであり、現在はこの種の不正アクセスか激増しています。もちろん、侵入の足掛りとなる情報を得るためです。不正アクセスによる直孑却勺な書には、次のようなものがあります。・ホストに侵入される。情幸ヾ届洩する。・システムの設定ファイルなどか書き換えられる。・ホストカ吏用不能になる。大量のゴミ (junk) メールか送られる。これらにともなう副次的な被害もあります。次のようなものです。・はかのサイトに迷惑をかける。言判肋觝下する。・システムの復旧に人件費がかかる。たとえは、・サービスの停止により、締剤勺な損失をこうむる。どれか 1 つだけをとってみても、大きな景グを受けるものはかりです。多くの侵入者は、ホストに侵入したあと、そこを足場に別サイトのホストへ侵入しようとします。場合によっては侵入を試みるための ( クラッキンクつプログラムを実行し、多数のサイトのホストに対して攻撃をしかけます。多くの場合、攻撃に気づいたホストのシステム管理者は、 4 義のメールを送ってきます。これらの大量のわ義メールに対して、誠意をもって詳しい事を説明した返事を書き送るのは大変な仕事です。さらに、いったん、「あのサイトはセキュリテイかⅢい」という ( ありがたくない ) 評判がたってしまうと、なかなか打ち消せません。山も広 Web サーバーに侵入してページの内容を書き換える行為が世界中で流行しているようです 1 。書き換えられたことが世間に知れると、ページの持ち主は恥をかきま 1 : のセキュリティ関匝イ戔業である CSI (Computer Security ln- stitute) は FBI などと共同で実施したセキュリティー受こ関する調査結果を実例とともに Web ページ (http://www.csci.ca/) で公表しています。 UNIX MAGAZINE 1997.11

5. UNIX MAGAZINE 1997年11月号

ーヨ勺に、 IPv4 と IPv6 の 2 つの IP 層の双方てま習各制御をおこなう機構を考えると、それぞれの経路は IPv4 アドレスおよび IPv6 アドレスごとに別個に言算しなければならない。そのため、それぞれの経路制御機構は各 IP 層ごとに独立している必要がある。ホスト間およびホストとルータ間に張られる、トンネル " という概念もきわめて重要である。こでは、・手動設定による青知勺なトンネル・自動トンネリングの 2 不鶤頁について説日月している。移行の衫測」段階で、 IPv4 のインフラストラクチャを介して IPv6 ドメインを接続するために用いられたりもしたようにトンネル (IPv4 over IPv6 および IPv6 over IPv4) は手動で設定されることがある。したがって、手動設疋による前的なトンネルも通常のデータリンクであるかのように扱わなければならない。、自動トンネリング " についてはいくつかのパターンがある。自動トンネリングは、それぞれのノードに謝妾しているルータで IPv6 を利用できない場合に大きな威力を囎軍する。自動トンネリングをおこなえるのは、・送り元ホストから宛先ホストのあいだ送り元ホストからルータ・ルータから宛先ホストのあいだであり、ルータールータ間の自動トンネリングは現在のところは定義されていない。通信の両端のホストがそれぞれ IPv4 互換のアドレスをもっており、送り元ホストが IPv4 を利用できる謝妾ルータを 1 つ以 E 知っている場合、通信督路本で自動トンネリングを利用することができる。この場合は、 IPv6'NO ケットは送り先で IPv4 バケットにカフ。セル化され、宛先の IPv4 互換アドレスを利用することで、経路全体を IPv4 の経路缶リ御を利用して医される。これは IPv6 開発初期のルータか整備されていない時期に利用された去と同しものである。送り先ホストが IPv4 アドレスを利用するように設定されており、かっ IPv6 を利用可能なド妾したルータか存在しない場合や、宛先ホストに IPv4 互換アドレスカ咐いていない場合に、 IPv6 . バケットを IPv6 ノヾックポーンに送 92 る際には、、コンフィグされたデフォルトのトンネル " か利用される。この場合は、送り先ホストからは通常の IPv4 バケットとして IPv4 経路制御機ぐ冓を利用してトンネルの先にある IPv6/IPv4 の双方か利用可能なルータまで送られる。そこでカプセル化を解か IPv6 バケットとして宛先ホストまて酒占される。送り先ホストは、 IPv6 を利用できるルータに接続されている。宛先ホストは、接続されていない場合には経路の途中にある IPv6 と IPv4 の両方が利用可能なルータから、 IPv4 による自動トンネリングを利用する。この場合大きな問題点となるのが、送り先からトンネルの始点となるルータへの糸翻川御である。始点となるルータは IPv4 カ酸アドレスへの到達陸を IPv6 の流儀によってアドバタイズしなけれはならす、すべての IPv4 互換アドレスを内包する IPv6 バケットは IPv6 の流儀で糸習各鮹夬をおこなう必要がある。したがって、宛先に IPv4 互換アドレスを利用して指定される IPv4 および IPv6 の経路制御ドメイン間の整合を糸しなければならない。 IPv6 over IPv4 トンネルにおけ引司様のオ冓は、さきほど紹介した RFC1933 で定義されている。 RFC2188 AT&T/Neda's Efficient Short Remote Op- erations (ESRO) ProtocoI Specification Version 1.2 AT&T/Neda による ESRO プロトコ ) 士様第 1.2 版 fo. 、 M. Banan 他 ESRO (Efficient Short Remote Operations : 短くて効率のよい遘巣惘プロトコル第 1.2 版の信を定義している。、、広報 " として公開されている。 1997 年 9 月 9 日に公開された。 ESRO サービスは他の適隔手続き呼出しサービスと似ているが、無泉ネットワークなどでの利用を考えてさらに効率生を重視して設計されている。 ESRO プロトコルは UDP ( もしくは他の信頼匪のないコネクションレス・トランスポートサービス ) を利用して、低いオーバーヘッドで信頼匪のある適巣作を寒見する。複数のサーピスのセグメント化やー嚇冓成、分割およひ統合が可能である。さらに、効率と信頼のトレードオフを考えて、 2 ウェイ・ンドシェークと 3 ウェイ・ハンドシェークの両方を利用するように言されている。 ESRO プロトコルを利用できるアプリケーションは多数あり、信頼性の必要なメッセージ伝送やクレジットカー UNIX MAGAZINE 1997.11

6. UNIX MAGAZINE 1997年11月号

図 3 Telnet プロキシー Tel n et クライアントに接続されていなけれはなりません。ですから、要寒ホストやデュアルホーム・ホスト上て漣用します。 TeInet プロキシーの夫行例を示しましよう。 % telnet proxy Trying 192.168.0.1. Connected to 192. 168.0. 1 . Escape character iS proxy. f00. co. jp telnet proxy (Version V2. Obeta) ready : tn-gw-> c dokoka. asoko. co ・ JP Trying 163.221.100.10 port 23. Connected t0 dokoka. asoko . CO ・」 p ・ Tel n et Telnet プロキシーで動く screend や ipfirewall などのツールを利用する方法もあります。これらを導入し、たとえは「インターネットからの 23 番ホートへのバケットの受信は拒否する」といったルールを書けは、とりあえすファイアウォールが完成です。ただし、これだけではまだまた不十分なので、もっといろいろなルールを追加しなけれはなりません。プロキシー・システム特定の通信だけを中継するプログラムを、、アプリケーション・ゲートウェイ (AppIication Gateway)" 、あるいはたんに、、プロキシー (proxy)" と呼びます。通常は、要塞ホストやデュアルホーム・ホスト上て漣用します。 login : Telnet のプロキシーを例に説明しましよう。ご覧のように、プロキシーとのやりとりがなくなってしまいました。よく見ると、クライアントはプロキシーに接 1. Telnet クライアントは Telnet プロキシーに接続しま続迂すにいきなり外部のホストに TeInet しています。しす ( 図 3 ー 1 ) 。かし、クライアントとサーバーのあいだにはちゃんとプロ 2. プロキシーは、接続する Telnet サ→ヾーのホスト名をキシーか動いているのです。言ルュます ( 図 3-- ー 2 ) 。この仕掛けは簡単なので、この連載のなかでも実装する 3. ューサーは接続したいホスト名を入力します ( 図 3 ー 3 ) 。予定です。 4. プロキシーが TeInet サーバーに接続します ( 図 3---4 ) 。 5. 接続後は、クライアントとサーバーのあいだの通信をそだから " のまま中継します ( 図 3 ー 5 ) 。さきはど、不正アクセスやそれに対応する糸目織などを紹介しました。けっきよく、自分のところは安じ、と思ってクライアントに代わってサーバーに接続するので、プロいるサイトも害に遭う可能生があり、降りかかる火の粉キシー ( 代明と呼びます。もちろん、プロキシーはクラは自分で払わなけれはならないのです。イアントからもサーバーからも直接アクセスできるところイねえ 2 時間の流れよっしや ! 00 。 = 0 な , 0 。 0 、つなし、な BSDI BSD/OS 3 . 0 (dokoka) login: なんだか、とっても面倒ですれしかし、山も匠のファイアウォール製品の多くは、このような煩わしいやりとりをしなくても、自重加勺に接続したいホストに接続されるような特別な信トけを実装しているようです。 % telnet dokoka. asoko ・ CO ・」 p Trying 163.221.100.10. Connected to 163.221. 100 . 10 . Escape character iS Trying 163.221.100.10 port 23. Connected to 163.221. 100. 10 . BSDI BSD/OS 3 . 0 (dokoka) 128 UNIX MAGAZINE 1997.11

7. UNIX MAGAZINE 1997年11月号

アな 40 尾 N e x t 0 「 a g e 4 Ⅲ川川Ⅲ川ⅢⅢⅢ川川川Ⅱ刪 Fibre Chann ティスクアレイ・システム Nextorage は ANSI 規格に準拠した Fibre Chann ティスクアレイシステムです。既存の SCS 庁イスクアレイ・システムを凌駕する転送速度 ( 最大 1 OOMB / 秒 ) * と大容量 ( 36GB ~ 1 . ITB ) をローコストで実現します。画像テータ・ CAD データのストレージシステムとして、圧倒的なパフォーマンスを発揮します。 36GB シングル・ループ・ディスクアレイユニット : 定価 2 。 580 。 000 円 36GB デュアル・ループ・ディスクアレイユニット : 定価 2 。 690 。 000 円 72GB シングル・ループ・ディスクアレイユニット : 定価 3 。 220 。 000 円 72GB テュアル・ループ・ティスクアレイユニット : 定価 3 。 330 。 000 円ロ 0 ホットスワップ FC - AL 対応ディスクドライブ・テュアル・ループ 1 .062Gbps 規格サポート・ Copper / 光ファイバケーブル選択可ロ・最大容量 1.1 TB ・強力空冷システム * 理論値です WS WS ディスクレユニットシステム構成例 ( デュアルループ時 ) ■システムコンボーネント : ホストアダブタカード ( PC レ SBUS ) / 9 ポート HUB / Coppe 「または光ファイバケープレ・ディスクアレイユニット寸法 : H507mmxW284mmxD534mm ( タワー型 ) H222mmxW482mmxD534mm ( ラック型 ) 営業部ヒシュアルウェア課抹式会社計測技術研究所 TEL. 045-474-0701 FAX. 045-474-0691 http://www.iijnet.or.jp/Keisoku-Giken/ E-mail vwsales@hq.keisoku.co.jp 資料請求 No. 065

8. UNIX MAGAZINE 1997年11月号

連載 UNIX Communication Notes 図 5 IPv6 のフラグメント・ヘッタ Next Header Reserved ldentification Frag ment Offset 破棄し、 ICMP Parameter Problem (Code 0 ) メッセージを生成する。 3. 残りセグメント刎直を 1 つ減らす。 4. 次に、乞 = れ一 Segments-Left を計算し、次に到達すべきアドレスを得る。 A では、 = 1 となる。 5. ルーティング・ヘッダの Address 国と、 IPv6 ヘッダの終点アドレスとを入れ替える。 A では、 Address[1] と終点アドレスを入れ替える。 6. 次に、 IPv6 ヘッダのホップリミット・フィールドの値が 1 以下であれば、ホップリミットの定義に従って IP データグラムを石皮棄し、 ICMP Time Exceeded (Hop Limit Exceeded) メッセージを生成して始点ホスト S に返送する。 7. ビットマスクの乞ピット目をチェックする。この値か 1 であれば、新たな終点アドレスへのソース・ルーティングを厳密に処理し、 0 であれは非厳密な処理をおこなう。 A では 1 ピット目をチェックすれはよい。この処理をルーティング・ヘッダで指定された途中ノードで頂次実行していけば、ソース・ルーティングが矩見できる。フラクメント・ヘッタ拡リに、ツダであるフラグメント・ヘッダは、始点ホストで IP データグラムの分割が発生した場合に使われる。次ヘッダ・フィールドでフラグメント・ヘッダを指定する場合は、 44 を設疋する。このヘッダは、図 5 に示すような構造になっている。注意 3 イ可隻も繰り返すが、 IPv6 では、始点ホストでしか IP データグラムのう一処理はしない。つまり、 IPv4 とは異なり、配全中のゲートウェイではいっさいう墻処理はおこなわない。各フィールドは次の意味をもつ。・次へッダ・フィールド 22 Res M このフィールドには、表 2 に示した、このルーティング・ヘッダの直後にくるに、ツ久または上位層プロトコルのヘッダの番号かオ内される。・予約フィールド次の 8 ビットは予約フィールドで、すべてのビットを 0 に衫期化する。受信ホストではこのフィールドを無見する。・フラグメント・オフセット 13 ピットのフィールドで、このヘッダに続く部分がもとの IP データグラムの分割可育齡頁域 (Fragmentable Part) の先頭から数えて何オクテット目で始まっているかというオフセット情報を、 8 オクテットを単位として表す。分割可育頁域については彳幻する。予約フィールドフラグメント・オフセットに続く次の 2 ピットは予約フィールドである。こも 0 に初期化され、受信ホストにおける処理では単純に無視される。・ M ビット次の 1 ビットは M ビット、または MoreFragment ビットと呼ばれる。このピットが 1 に設疋されていれは後続のフラグメントがあることを、 0 に設疋されていれは最後のフラグメントであることを表す。識別子 (ldentification) IP データグラムからうリされた複数のフラグメントか : 同じ IP データグラムを構成するフラグメントかどうかを判断するためのフィーノレドである。 IPv6 ヘッダの始点アドレス、終点アドレス、およびフラグメント・ヘッダの識別子の 3 つのフィールドによって、同し IP データグラムを構成するかどうかを識別する。この識別子は、一殳に 32 ビットの巡回カウンタ (wrap-around counter) を用いて、始点ホストで生成される。分害麪里始点ホストにおける分割処理では、終点ホストに到達するまでの糸齧各での最小 MTU である糸習各 MTU (Path MTU) カ喇明しているとする。 UNIX MAGAZINE 1997 ユ 1

9. UNIX MAGAZINE 1997年11月号

連載 / 倉敷芸術科学大学のネットワーク構築ーの図 2 コマンド行からのログイン PacketShaper ( 163.221.73.2 ) Password : PacketShaper v2.10g17 1997 ー 09 ー 10 M010 Copyright (c) 1996 , 1997 Packeteer, 工れ c. 0 ^ 「 TE に日当アッん第ゞ朝なをーふ ) 朝” 0 / 月 2 132 / れ m 1 Web による言諚 PacketShaper# A11 rights reserved. ー 0 ー PACKETSHAPEÜ、 4 , ん、 60 ( ゆノ月 2221132 / ~ い m ! 「 0 PACKETSHAPER any P ・一 0 取 t ー第第 0 : TCP TP SSL SNHP Traffic CI 議 3 G Ⅱ第【おれ t ed 武 0001 : ーマ i00 : を 0 ( 3 ) : IP dd 【 03 を : SN 1 FTP F 0 FTPDAIA FTYCYD P3 ・ SNTP LotusNotes いル可広、 C No れ 0 「 121 it 釦れ ( : Se ーー 00 : Outside TELNET て、ホスト間のトラフィックを書き換えられたウインドウサイズの範囲内に抑えるため、結果的に帯域制御カ呵能になります。もう 1 つは、ホスト間のトラフィックをリアルタイムに検出し、受信ホストから送信ホストに ACK カ唳るのを遅らせる方法です。この方法では、ホスト間の RTT (Round Trip Time) を計算し、 TCP の再送タイムアウト (RTO) にならない範囲で ACK バケット &f 尉寺します。或制御の設定例 PacketShaper では、 Telnet ( もちろん、シリアルポート経由でコンソールからもできます ) によるコマンド行からの入力 ( 図 2 ) 、あるいは Web べースの GUI ( 画面 1 ) によって、各種の帯域制御の設定をおこないます。ここでは、コマンド行からの設定を中心に説明します。 PacketShaper の設定帯域制御の設定の則に、 PacketShaper 自身を設定します。ここでは、 IP アドレスやパスワードの設定をはじめ、ワイドエリア・リンクて利用可能な帯域を設定します 66 1 05 : 09 : 次は、個々のアプリケーション ( プロトコル ) や IP ア或の制御 ( 図 3 ) 。 Sep 28 ー 991 - 新 b 。載れ畆 Rate ー鳶市 5 面ーーーーーーー・ Outbmmd 立 rv ” ( の : ー 63. 22L80. ー 3 ー 63. 22L13 コ S ト叩 i 第第 : ? 3 を 0 ー亟 1 れ弋。ー f 00 : 4 “を , : ー花工ァラ了 7 ーー・一一一 0 を i UNIX MAGAZINE 1997.11 トラフィックを http-class として新たに定義しています。図 4 の伊」では、 URL に、、 *. htrn*" を含む outbound 定は下位の階層に継承されます。定義された CIass は階層的に管理され、上位の階層での設します。 CIass の設定には、 class コマンドを利用します。帯域制御をおこなうトラフィックを Class として分類 Class の定義ストを "outside" と呼びます。トを、、 inside" 、ワイドエリア・リンクを経山した先のホ指定する場合、内部のネットワークに接続されているホスを "outbound" と呼びます。帯域の制御でホストなどをィックを、、 inbound" 、逆に外部に出ていくトラフィック etShaper 経山で内部のネットワークに入ってくるトラフ PacketShaper では、ワイドエリア・リンクから Pack- 用する、、 PoIicy" を指定します。して、帯域を制御するために、ここで定義した Class に適ます、トラフィックを、、 CIass " として定義します。そドレス、 URL ごとの或制御の設定です。

10. UNIX MAGAZINE 1997年11月号

連載 NET WORTH—O PCI SCSI カード、 2GB SCSI ハードディスク ( 前回の NFS のテストてイ吏ったものと同し ) の付いた 133MHz Pentium マシンである。ハードディスクのプライマリ・パーティション (C ドライフ ) に 7 つのディレクトリを作り、各ディレクトリに Windows NT Workstation 4.0 をインストールした。すべての NFS サーノヾー製品は、 Microsoft が Windows NT に用意した TCP/IP スタックを使っている。各ディレクトリで、 IP アドレスを設定し、 HOSTS ファイルを編集して TCP/IP の設定を同しにした。次に、各べンダーの NFS サーバー製品を NT のディレクトリにインストールした。複数の NT のインストールと運用を簡単にするため、 V Communications から出ている System Commander- を使った。ネットワーク・ソフトウェアと各べンダーの NFS サーバーは、 D ドライプ ( 同レ、一ドディスクの 2 番目のパーティション ) の別々のディレクトリにインストールした。このような設定方式をとると、あるソフトウェア製品が別のソフトウェア製品に景 ! を与・えないようにすることかできる。 NT NFS サーバーの問題点 NFS を使ってほかのマシンで NT の資源を共有するには、 UNIX システムで必要な export や share ファイルを真似て、公開するファイルシステムやプリンタを指定しなければならない。このようにして読出し専用で公開したり、アクセスを特定のホストに制限したりできる。 NT 用の NFS クライアント・ソフトウェア製品のほとんどは NIS と統合されているが、 NT 用の NFS サーバーで NIS と統合された製品は、現在のところ存在しない。これらの NT 製品では、ファイルシステムを公開するために NT の管理者グループに属するユーサーが、 NT のグルーフ名と UNIX の GID の対 ) 芯表のほかに NT のューザー名と UNIX の UID と GID の対施俵を入力する必要がある。 Hummingbird の製品には、 UNIX のパスワード・ファイルとグルーフファイルを NT のテキストファイル形式のデータベースに変換する Win32 コマンド行ユーティリティが入っている。もちろんこれが使えるのは、 UNIX と NT のユーサー名か 1 司し場合だけである。 lntergraph の Disk Share は、 UNIX のパスワー 146 ド・ファイルを用いて、ユーザー名 /UID の対応ファイルの芻豐を作ることができる。ほかの製品では、このような対応情報を手イ信業で入力する必要がある。これは退屈な竹業であり、サイトの UNIX システムユーサーが多いと、入力の間違いを起こしやすい。 UNIX の NFS システムをマウントする場合、ルート権限をもつューザーのマウントを禁止することか重要である。リモートユーザーがサーバー上の UNIX ファイルシステムをルートでマウントできるならば、ファイルのイ矍は意味をなさなくなり、どんなファイルも変更できてしまうのは明らかだろう。そのため、大部分の UNIX サーバーでは、ルート権限でのアクセスを拒否するように設定されている。これと同しことを、ルートの UID や GID を NT の管理者ューザーやグループに対応づける際にも適用すべきである。残念なことにいくつかの NT NFS サーノヾーでは、ルート (UID=O) が NT の管理者にマッピングされていなけれはマウントに失敗する。これはセキュリティ的な問題をはらんでいる。程度に違いこそあるか : NT NFS サーバーでは、アクセス権やパーミッションに関して、ある程度 Windows NT モデルに統合されている。しかし、 UNIX の ACL と Windows NT の ACL を統合しようとしている製品はない。私カ験したのか別の間題だとす川ま、これは見当違いのようである。これらすべての NT NFS サーバーでは、 PCNFS クライアントのユーサー認証は PCNFSD サーバーに統合されている。実際、これらの製品の多くは UNIX システムの NFS サーバーとして動作するというより、 PCNFS クライアントにサービスを提供するという色合いが強い。驚いたことに、テストした 7 つの製品のうち、期待したように重川し、 Solaris 2.5 システムから NFS マウントすることができたのは lntergraph の Disk Share たけであった。そオび ) 製品は、マウントに間題があったり、ほかの欠点があったりで、性能テストからトラブル・シューティングへと注意が逸れてしまった。 Solaris か動いている Sun からのマウントに失敗するという結果を、前向きに捉えることはできない。これらの NFS サーバーは、 UNIX クライアントに封して適切にテストしていなかったためだと実験を解釈することにした。 NT NFS のマウントに失敗したため、 NFS のトラブ UNIX MAGAZINE 1997.11