2000-10-22 改定
Network基礎用語
インターネットを利用する為のネットワーク設計を行っていると、グローバルアドレス(グローバルIP)やプライベートアドレス(プライベートIP):(ローカルアドレスという場合もある)という言葉を聞くことがあると思います。
これは、次のような意味をもっています。
インターネットのネットワーク空間で、全世界のマシンからアクセス可能なアドレス。通常はプロパイダと契約すると限定された数(普通は16個または8個程度)のIPアドレスを入手する事ができる。
これらの値はユーザが勝手に指定する事はできない。
グローバルアドレスはインターネット上の機器と通信するのに使われるアドレスだが、与えられる数だけで組織内のネットワークを構築することは困難であろう。
通常、組織内はファイヤーウォールやIPマスカレードの機能をつかったアドレス変換機能で自由なIPアドレスを使えるように設計する。
この時、使うアドレスはインターネット上においては存在しないアドレスとして一定の範囲のアドレスが予約されている。
この予約されたIPアドレスをプライベートアドレス空間といい、ユーザはこの範囲のアドレスを自由に使って組織内のネットワークを設計できる。
この予約されているアドレス空間は次のようになっている。
これらのアドレスはインターネット上には存在しないので、このアドレスを使ったネットワークをインターネットに接続する場合には必ずアドレス変換機能を使ってアドレスをグローバルアドレスに変換する必要がある。(アドレス変換はファイヤーウォールやIPマスカレードによって自動的に行われる)
- 192.168.0.0 〜 182.168.255.255 (192.168.0.0/16の範囲)
- 172.16.0.0 〜 172.31.255.255 (172.16.0.0/12の範囲)
- 10.0.0.0 〜 10.255.255.255 (10.0.0.0/8の範囲)
一般的なHUB(ダムHUBという)は、ある端末からのLANパケットをそれが接続されたHUBのポートで受け取ると、うけ取ったパケットを残りのすべてのポートに流し込みます。 このため、本来の通信相手以外のマシンへパケットが流れることになります。 しかしSW-HUBでは、関連するポート以外にはパケットを流さないため、他のポートに繋がったマシンはLANの帯域をそのまま利用できるので結果として高速な通信が可能になります。
このSW-HUBを使ってLANを構築するとネットワーク盗聴(sniffer)されないというような解説を行っている書籍がありますが、実際には盗聴され難いだけで不可能という訳ではありません。どのような方法なら盗聴できるかについてはここでは詳しく説明しませんが、興味がある方は「dsniff」をキーに探すと良いでしょう。
ネットワークインターフェイスはOSのドライバによって、通常LANケーブル上に流れているパケットの中から自分に向けられたものでないパケットを無視するようになっています。しかしプロミスモードで設定されたLANカードは、自分宛てでないパケットも取り敢えず受け取って上位のレイヤー(プログラム)にそのパケットを渡すことができるようになります。ネットワーク盗聴を行うプログラムはこのプロミスモードのLANインターフェイスが必要です。逆にネットワーク盗聴を避けるには、このモードで動作しているLANカードが無いようにOSを設定するなり見つけることができれば良いということになります。
盗聴を避けるためにプロミスモードのLANカードが無いかを探すなら
http://www.l0pht.com/antisniff/download.html
を参考にしてみては如何でしょう?
ネットワークの設定では実際にLANカードにドライバが組み込まれた、IPアドレスが設定できているかなどを調査する必要がある場合があります。 UNIXではこの調査のためのコマンドして良く使うものとして、「ifconfig」というコマンドを使います。因みにWindowsNTでは同等のコマンドして「ipconfig」があります。
ifconfigはスーパーユーザ(root)で、
# ifconfig -a
とするとすべてのインターフェース情報が表示されます。
こちらを参照
IDS(Intrusion Detection Syetem)は一般に「侵入検知システム」といわれる技術で、ネットワーク上からの侵入の痕跡をチェックして管理者へ警報を与える事を目的に構築されます。
IDSを実現する方法として一般的な方法は、「ログ」を解析して侵入の痕跡を見つける方法と、今流れているネットワークパケットそのものを盗聴して侵入用のパケットでないか判断する方法があります.