読者です 読者をやめる 読者になる 読者になる

はじめてUNIXで仕事をする人が読む本 の備忘録 19 ネットワーク・セキュリティ

Linux Unix ネットワーク

お世話になった本

この連載ブログを書くにあたり、お世話になった本がこちら。LPICと被っているところもありますが、実務での使い方なんかも扱っており、良書だと思います。

第3部 ネットワーク技術

第19章 ネットワーク・セキュリティ

セキュリティについては、深すぎて個々人でここの仕組みを調べてもらうしか無いが、とりあえず見ていく。

ネットワーク上の攻撃

代表的な攻撃例

  • 脆弱性攻撃
    • ソフトウェアやシステムの脆弱性を狙い、想定外の入力を与えてシステムを破壊したり、DBから情報を抜き取ったりする
    • 本来は許可されていない権限を外部から取得したり、操作が可能なシステムの「穴」を狙う
  • コンピュータ・ウィルス / ネットワークワーム等
    • 広義では、悪意を持ってコンピュータやシステムに被害をもたらすことを目的としてさくせされたプログラムを、一般にコンピュータウィルスと呼ぶ
    • 狭義では、プログラムの一部を書き換えて自信を忍ばせ、そのプラグラムが実行された際に自信のコピーを作っていく動作をするプログラムを指すのが、コンピュータウィルスの本来の定義
    • 宿主を持たず、自信が1つのプログラムとして完結しており、主にネットワーク環境やUSBメモリ等の外部記憶装置を経由して拡散してくプログラムをネットワークワームとよぶ
    • 今では、厳密な区分はない
    • 両方の性質を兼ね備えたものもある。
  • DoS / DDoS 攻撃
    • DoS (Denial of Service) の略
    • サービス停止攻撃とも呼ぶ?
    • あるサービスに対して処理を意図的に処理を集中させることで、サービスを使用停止に追い込む攻撃
    • その攻撃を分散型にしたのが DDoS
    • DDoS (Distributed DoS) と呼ぶ
    • 詳しくは書籍やWebで
  • ブルートフォースアタック
    • 気からずく攻撃
    • 全パターン網羅攻撃とでも言うか。
    • 例えば、4桁のパスコード全パターンを試す場合、10,000 回試してみることを言う
  • ポートスキャン
    • TCP/UDP のポートは0-65535 ポートとと決まっている
    • 全てのポートに対してスキャンを行うことで開いているサービスを突き止める
    • 開いているサービスに脆弱性があれば、それをとっかかりとして、脆弱性攻撃などを行う
  • パスワードクラック
    • ブルートフォースアタックや辞書攻撃等を使ってパスワードをクラックすること
    • パスワードを何回か間違えたらロックする処理をすることも攻撃に対しての対策として有効
    • 辞書で推測可能な文字をパスワードに使わないことも有効
  • フィッシング (phishing)
    • Web サービスやSNSのメッセージを使って、一見正しそうだが全く異なったサイトのURL のリンクを踏ませることで、アカウントの情報を盗み出す手法
  • IPアドレス詐称
  • トロイの木馬
    • 普通の有用なソフトウェアと思い込ませておいて、実は中に悪意のあるソフトウェアが組み込まれたソフトウェアのこと
  • 通信内容の盗聴
    • スニッフィングともいう
    • LAN の中を流れている情報を盗聴できる。
    • 盗聴されても中身を解析されないように、暗号通信を推奨する

認証システム

認証 Authentication と 認可 Authorization がある。
認証は、各エンティティ自身が正しくそれら自身であることを確認する
認可は、各エンティティ自身がどのような権限が与えられているかを確認する
100% 安全な認証はない。

よく利用されている認証システムの例

  • パスワード認証
  • 二段階認証
    • 異なる経路による重複認証
    • ネットワーク経由と電話やFAXなど
  • 生体認証
    • 指紋・静脈・網膜パターン
  • 公開鍵認証
    • リモートログイン
    • デジタル証明書
  • 証明書認証
    • サービス
    • クライアント・端末
    • デジタル署名

また、他にもシングルサインオン(SSO)という仕組みもある。
ユーザは例えば最初に一度どこかのサイトに対してパスワード認証や証明書認証などでサインオンすれば良い。その後は明示的にサインオフするまでは他のサイトに対しても自動的にサインオン状態が引き継がれる。
ユーザにとっては嬉しい。しかし、クラッカーにとっては1つ認証情報が分かればよいだけなので、一長一短。

シングルサインオンシステムの例

  • 一般向けサービス
  • 研究・学術サイト用サービス
    • GSI (Grid Security Infrastructure)
    • 学認 (学術認証フェデレーション)

通信フィルタとファイヤウォール

ファイヤーウォールは大事。異なる複数のセキュリティポリシーを持ったネットワーク同士を接続するときには特に大事。
UNIX 機でもファイヤーウォールを構築できる。

通信フィルタを設定する際には、特定のパケットのみを通してそれ以外を全部遮断する方法と、逆に特定のパケットのみを遮断してそれ以外を全部通す方法がある。
前者のほうが比較的安全。
通信は、往復のパケットが通って初めて成立することを忘れてはいけない。
例えば、外部からのパケットを全部遮断した場合、内部から始めた通信の戻りも塞いでしまうので、通信が成立しなくなる。

通信の暗号化

通信内容が第3者に漏れないように、通信を暗号化しよう。
IPネットワークで通信内容を暗号化するには、IPsecの様にネットワーク層で行う方法、SSL/TLSのようにトランスポート層で行う方法、SSHの様にアプリケーション層で行う方法などがある。

VPN

通信を暗号化する技術を利用して、インターネット上で仮想的な専用回線を運用する技術がVPNである。
専用線を使わずとも拠点間の接続を安全に出来る。
それはまるで、LANに直接接続しているのと同じように利用できる。

ただし、スループットや遅延と言ったパフォーマンス上の制約はあるし、接続方式によっては課金対象になることもある。

UNIX でよく使われるVPN技術は、以下のようなものがある。


お疲れ様でした。これで本冊子の紹介は終了しました。また別の良い本などに出会えたら、ちょろちょろとアップしていきたと思います。
以上です。

はじめてUNIXで仕事をする人が読む本 の備忘録 18 IP関連の技術

Linux Unix ネットワーク

はじめてUNIX で仕事をする人が読む本 の備忘録 18

お世話になった本

この連載ブログを書くにあたり、お世話になった本がこちら。LPICと被っているところもありますが、実務での使い方なんかも扱っており、良書だと思います。

第3部 ネットワーク技術編

第18章 IP関連の技術

IPを使用していく上での関連が深い、いくつかの技術を紹介してくれている。

名前解決

IPアドレスだけだと人間が覚えるのに限界があるため、技術が生まれた。
最初は、各端末の /etc/hosts ファイルにIPアドレスと名前の対応を作り保存することで名前解決を実施していた。
ネットワークが世界に広がっていく中で、管理しきれなくなり、DNS の概念が生まれた。

階層型の名前解決である。
www.example.co.jp で言うと
正式名称(FQDN) は、www.example.co.jp. である。
右から解説すると、
. はルートDNSサーバ。ここで各国のgTLD を名前解決している。なので、jp.を持っているDNSサーバの情報を問い合わせ元のDNSサーバに返す
jp.は日本のどこかで管理されている。そこで、co.jp.DNSサーバの情報を解決できる
co.jp.example.co.jp. を管理している。ここまで来ると結構企業の内部のDNSサーバだったりする。
example.co.jp.www.example.co.jp を知っている。なので、www.example.co.jp を名前解決し、IPアドレスを返す。
晴れて、クライアントはwww.example.co.jp. にアクセスできる。

IPアドレスの付与

これは省略

アドレス変換(NAT / NAPT / IPマスカレード)

IPアドレスは世界中でユニークでなければならない。しかし、数は有限である。そこで出てきたのが、このNAT等の技術。
IPマスカレードは、NAT/NAPT の総称でもある(はず)

トラブルシューティング

よく使うコマンド

  • ping
  • ping6
  • traceroute
  • traceroute6
  • tracepath
  • ifconfig
  • arp
  • netstat
  • dig
  • tcpdump


以上で、第18章 IP関連の技術について終わります。
次回は最終章、第19章 ネットワーク・セキュリティをアップします。頑張りまっしょい。

はじめてUNIXで仕事をする人が読む本 の備忘録 17 アプリケーションプロトコル

Linux Unix ネットワーク アプリケーションプロトコル

はじめてUNIX で仕事をする人が読む本 の備忘録 17

お世話になった本

この連載ブログを書くにあたり、お世話になった本がこちら。LPICと被っているところもありますが、実務での使い方なんかも扱っており、良書だと思います。

第3部

第17章 アプリケーションプロトコル

ネットワークアプリケーションには様々なものがある。基本的には、ネットワークを使って情報通信を行うアプリケーションは全てネットワークアプリケーションと呼ばれる。

Webアクセス(HTTP/HTTPS)

HTTP/HTTPSは主にWebアクセスに使用されるプロトコル
おそらく現在最も広く利用されている。

複数の文書間の垣根を越えて、用語などの参照関係を相互にたどることが出来るハイパーテキストと呼ばれる仕組み/考え方を元に、ネットワーク上に分散した情報相互の間に気づかれた関係を参照することを実現するプロトコルとして策定されたのが、HTTPである。
全世界的に分散した情報全体が網の目のように参照し合っている状態をWorld Wide Web (WWW)と称し、WWWのリンクをたどることに特化したUIをWWWブラウザまたは単にブラウザと呼ぶ。

URL ネットワーク上に存在するリソースの所在を表す統一的な表記
URI URLをより一般的な識別子として拡張した概念

URI には以下のような情報を含めることが出来る

  • リソース自体の場所を表す情報
  • そのリソースにアクセスするためのスキーム
  • アクセス権限を行使するための認証情報
    • ユーザ名やパスワードなど
  • アクセスする際に情報提供側で参照されるパラメータ情報
  • など

HTTPSSSLあるいはそれを拡張したTLSと呼ばれる通信の安全を確保する仕組みを利用して、HTTP通信を第三者の攻撃から守るようにしたプロトコル
HTTPSでは、通信内容を暗号化したり、改ざんを検出したり、デジタル証明書の技術を利用して通信相手であるサーバやクライアント(ブラウザ)に対する一方向あるいは双方向の認証を行うことが出来る。
一般によく利用されるのは、正式に運用されていることを保証するサーバ証明書の導入と、それを利用した暗号化通信。
証明書は、信頼できるCAが発行したものである必要がある。
現在利用されているほとんどのブラウザでは知らないCAが発行した証明書を使用している場合には、警告を出すか、通信を行わないようになっている。プライベート証明書(オレオレ証明書)を利用するなら、ユーザ側でブラウザやOSにプライベートCAを信頼できるCAとして登録する必要がある。

電子メール(SMTP/POP/IMAP)

未だに無くならない、インターネット上で古くから使われているサービスの一つ。
MTA Mail Transfer Agent でメールを転送し、
MUA Mail User Agent でメールを送受信する

SMTPはメールを送信する際に利用されるプロトコル
最初は、シンプルに英文テキストしか遅れなかった。
MIMEの登場により、多言語対応や添付ファイルが出来るようになった。

POP や、IMAP はメールを受信するときに使用するプロトコル
POPは基本的に、サーバにあるメールボックスからメールを全てダウンロードする。
IMAPは、サーバ上のメールボックス上で管理して、手元のPCからはリモートメールボックスを操作する仕組み。
端末が一つの場合は、POPでいいだろうが、複数で一つのメールアドレスを確認する場合はIMAPが便利だろう。

リモートログイン(TELNET/SSH)

リモートログインは、物理的に離れた場所からネットワーク経由でコンソール操作を行うネットワークアプリケーション。
TELNETは古いので、認証情報などを暗号化しておらず、全て平文で送られる為、現在あまり使わないことが推奨されている。しかし、地味にHTTPの接続テストとかで使えたりするので、侮れない。
どうしても、TELNETを使いたいときは、先にIPsec などで通信そのものを暗号化した上で使うとよい。

SSHは暗号化を前提としたリモートログイン用のアプリケーションプロトコルである。
パスワード認証や公開鍵認証も利用できるため、より安全に利用できる。
ポートフォワード機能もあり、特定のTCPポートの接続をリモートログイン先との間で双方向に転送することが出来る。
これを利用することで、SSHトンネルと呼ばれる簡易的なVPNが実現できる。

類似の技術に、RCP / VNC がある。

ファイル転送(FTP/rsync)

ファイル転送のプロトコル。特に、FTPTELNET と並ぶ最古のアプリケーションプロトコルの一つ。
FTP は暗号化に対応していない。IPsecなども併用しないと全て平文でネットワークを流れてしまう。
さらに、FTPでは、コントロールセッションとデータセッションの2つのセッションを利用する特殊なプロトコル

rsync は、UNIX上のファイルシステムのコピーをリモート環境に作成し、両者を同期するネットワークアプリケーションである。リモート環境への接続は、SSH などの他のプロトコルを利用するため、通信内容は暗号化される。

NFS / SMB

講義にはファイル転送の一種と言えるが、通常のファイルシステムの一部としてリモートのディスクをマウントすることを前提としたアプリケーションプロトコルである。
ユーザとしては、ネットワーク越しにファイルを転送したという意識はない。ローカル環境のファイルと同じように扱える。

NFS は古くからUNIX環境で広く使われている。SMB / CIFS は主にWindows 環境で広く利用されている。 いずれも、LAN環境で利用することが前提。

VoIP(SIP/RTP)

VoIP (Voice over IP)は、IPを使った音声通信アプリケーションプロトコル
使用しているプロトコルは、SIP / UDP / RTP が主だったところだろう。
SIPで発呼着呼を管理し、さらに、SIPサーバでDNSの仕組みを利用して電話番号から通信相手のサーバを検索できるようになっている。音声データの転送はUDPパケットにカプセル化されたRTP(Real time Transport Protocol)を使い、音声通話を実現している。

システム運用管理(DNS/DHCP/NTP/SNMP)

他にも様々なプロトコルが活躍している。
NTP は時刻を正確に合わせるために使われている。階層的にサーバ構成を構築できる。最上位のサーバは、原子時計GPS衛星からの情報を元に正確な時刻を設定している。
SNMP はネットワーク管理用のアプリケーションプロトコル。監視対象機器にSNMPエージェントを設定し、SNMP マネージャが定期的若しくはイベント発生毎にエージェントに対して状態を取得するのが基本的な仕組み。

DNS / DHCP は割愛。

Xプロトコル

X Window System は、UNIX 上で広く利用されているウインドウシステムである。ほとんどのデスクトップ環境は、X Window System 上に構築されている。
ディスプレイ、キーボード、マウスなどのポインティングデバイスを管理するのが、X Server
ここのウィンドウアプリケーションが X Client

画面上の更新はX Client から、X Server に対する描画指示として送られる。この際のX Client と X Server 間のアプリケーションプロトコルがXプロトコルである。

X Protocol はネットワーク上を流れる普通のIPプロトコルなので、X Server と X Client が同一のホスト上で動いている必要はない。

両者が別のホストで稼働している場合、
ユーザの手元のPC上でディスプレイやデバイスを管理しているのが X Serve で、
リモートホスト上で動くアプリケーションが X Client となる。

一般的な認識と立場が逆になる点は留意しておこう。


以上で、第17章 アプリケーションプロトコル を終わります。 次回は、第18章 IP関連の技術です。
全19章なので、ゴールは後もう少し。がんばっていきまっしょい

はじめてUNIXで仕事をする人が読む本 の備忘録 16 TCPとUDP

Linux Unix ネットワーク

はじめてUNIX で仕事をする人が読む本 の備忘録 16

お世話になった本

この連載ブログを書くにあたり、お世話になった本がこちら。LPICと被っているところもありますが、実務での使い方なんかも扱っており、良書だと思います。

ネットワーク

第16章 TCPUDP

TCPUDPトランスポート層プロトコル

ポート番号

HTTP 80
HTTPS 443 とか有名ですよね。

UDP

UDPは単一のデータグラムを送受信する際に使用されるプロトコルである。
データの到達性などは保証しない。

TCP

TCPは連続するデータストリームの送受信をする際に使用されるプロトコル
連続性と到達性を保証する仕組みが組み込まれている。
信頼性が必要なアプリケーションにおいて使用される。

TCP のコネクション

TCPでは、まずはじめにコネクションの確率を行う。開始と終了の合図。
いわゆる、「3ウェイハンドシェイク」
終了するときは、FIN > ACK > FIN > ACK とやりとりして終わる。片方だけFINを送った状態をハーフクローズという。

TCP の通信

TCPでは切れ目のない連続したデータを扱えるが、実際のデータの送受信はIPレイヤにおいてパケット単位に分割される。これをTCPレイヤで結合し、連続するデータであるかのようにアプリケーションに提供していく。
キーワードは、シーケンス番号。これが付与されるので、パケットの順序性を保証できる。

TCP の通信の制御

基本は、データを送信して、ACKが帰ってきたら次のデータを送信する。という動き。
しかし、これでは高速にデータのやりとりが出来ない。そこで出てきた概念がウィンドサイズだ。
ある程度まとまって送信しても良いデータ量を決めておく。ACKが帰ってくる前に一気に送ってしまうのだ。
ACKの帰ってくるまでデータを送信側で保持しておくことで、再送要求に対応する。

この機能を利用して、一度に送信する量を変更させることで、輻輳制御も可能になる。

他にも一度にACKを返すほうが効率的ということで、遅延ACK等の制御もある

TCPUDP の使い分け

TCPだけで十分じゃないかという人もいるかもしれないが、リアルタイム性の要求されるパケットに再送されても意味があまりないので、その場合はUDPを使うことが多い。
例えば、音声・動画のストリーミング通信等である。
データ再送が不要で、むしろ通信の遅延のほうが問題になるようなアプリケーションの時にUDPが使われる。


以上で、第16章 TCPUDP を終わります。
次回は、第17章 アプリケーションプロトコル です。

はじめてUNIXで仕事をする人が読む本 の備忘録 15 IPと関連プロトコル

Linux Unix ネットワーク

はじめてUNIX で仕事をする人が読む本 の備忘録 15

お世話になった本

この連載ブログを書くにあたり、お世話になった本がこちら。LPICと被っているところもありますが、実務での使い方なんかも扱っており、良書だと思います。

第15章 IP と関連プロトコル

IP (Internet Protocol) はコンピュータ同時の通信を行う際に、通信の単位であるパケットの配送を制御するプロトコルである。

IP の基本

IPを理解する上で非常に重要になるのが「IPアドレス」と「ルーティング(経路制御)」である。
ちなみに、IPはルーテッド(Routed)プロトコル、パケットの経路を制御するプロトコルを、ルーティング(Routing)・プロトコルと呼んだりする。

IP アドレスによって「どこに」、ルーティングによって「どのような経路で」パケットを決定し、通信が可能になる。

IPv4IPv6

IPv4IPv6 がある。残念ながら、互換性はない。
しかも、移行のことを考えていると、IPv4IPv6に埋め込めなったりするので、IPv10 が考えられていたりする。
※完全に余談だが、IPv5, IPv7, IPv8, IPv9 は既に定義されている。IPv10はアサインされておらず、現在議論中のようだ。

IPv10 RFC.

IP アドレス

とりあえず、ここは割愛

特殊なIPアドレス

特殊な用途に使用されるIPアドレス
特定用途のアドレス

  • ループバックアドレス
  • ネットワークアドレス
    • IPアドレスのうち、サブネットマスクで指定されているビットのみをネットワークパート、残りのビットをホストパートと呼ぶ
    • ネットワーク空間を表現するときに使われる
  • 未定アドレス
    • まだIPアドレスが決まっていないネットワークインターフェースから送出されるパケットの送信元アドレスは、IPv4 で0.0.0.0、IPv6なら::。
  • ユニキャストアドレス
  • マルチキャストアドレス
    • 0台以上のホストからなるグループを指すIPアドレス
    • 1:n 通信の時に使用される
  • エニーキャストアドレス
    • 0台以上のホストからなるグループを指すIPアドレス
    • パケット送出時に宛先IPアドレスに指定することで、グループに属するホストのうちどれか1台に届くことを期待できる
    • 1:1 通信用に使用される
    • エニーキャストアドレスを使用する場合には、例外的にネットワーク上に同じIPアドレスを持つホストが複数台存在することを許可する
    • どれにパケットが届くかを特定することは出来ない
    • DNS サーバや DHCP サーバなどで使われることが想定される
  • ブロードキャストアドレス

アドレスのスコープ(範囲)

  • グローバルアドレス
  • プライベートアドレス
    • インターネット上で使用されないことが保証されているIPアドレス
    • 組織内や、家庭内、個人環境で使える
    • インターネット上に出してはいけない
  • リンクローカルアドレス
    • 同じネットワークアドレスを割り当てる範囲に相当するネットワークリンク上でのみ一意性が保証されているIPアドレス
    • 単一のデータリンクか、若しくはL2ブリッジなどで接続されている複数のデータリンクからなるネットワークが対象
    • ルータを越えてルーティングしてはいけない
    • IPv4 では、169.254.0.0/16、IPv6 ではfe80::/10。
  • ISP シェアドアドレス
    • いわゆるキャリアグレードNATで提供されるIPアドレスの事
    • IPv4 のみ
    • 100.64.0.0/10

ルーティング

IPパケットを最終的な目的ホストに正しく転送する制御がルーティング
ネットワークに接続するホストが増えてきたり役割が増えてきたことにより、ルーティングが必要になってきた。
スタティックルーティングだけでは限界が見えたこともある。
ダイナミックルーティングもある。
詳しくは、書籍やWebで。

関連プロトコル

IP自体にはパケットを転送する能力しか無いため、実際の通信には強調して使用されるプロトコルがいくつかある

  • ARP
  • RARP
  • ICMP
    • IPv4を補助するプロトコル
    • IPはデータの送受信を目的としているが、ICMPはデータではないコントロールメッセージの送受信を目的としている。
    • ネットワークの疎通確認でよく使われる
    • ただ、攻撃にも使えるので、グローバルアドレスの中には、ICMP パケットを落とす設定をしているものもある。
  • ICMPv6
    • IPv6 において使用されるARP及びICMPの機能を持つ
    • IPv6 はこのICMPv6 と`Neighbour Discovery (ND) を使用してサブネット内の機器のMACアドレスの探索を行う。
    • ARP と異なり、データリンク層のブロードキャストではなくIPv6マルチキャストにより探索を行う
    • ICMPv6 のRouter Solicitation 及び、Router Advertisement により、自身が属するサブネットを問い合わせて、自身でIPv6 アドレスを決定できる仕組みがある。
      • これにより、DHCP が必須ではなくなっている
  • DHCP
    • ホストの設定情報を提供するプロトコル
    • IPアドレスDNSサーバなどホストをネットワークに接続して通信可能な状態になるまでの設定情報を取得する
    • IPv4 用の機能
  • DHCPv6
    • DHCPIPv6
    • IPv4 用のDHCPが単一のIPアドレス割り当てとネットワーク設定情報の提供をまとめて行うのに対し、DHCPv6は単一のIPアドレス割り当て、ネットワークアドレスの移譲、ネットワーク設定情報の提供を行う機能が独自に用意されている
    • アドレス自動設定機能について
      • アドレス辞退の設定を行う機能しか無い
      • その他のネットワーク設定情報は提供されない
      • Route Advertisement と、DHCPv6 の機能のうちネットワーク設定情報提供機能のみを併用することが出来る
  • IPsec
    • IP パケットに付加情報を追加して安全にIP通信を行えるよう拡張したプロトコル
    • AH、ESP、IKE の3種類が利用可能
    • AH
      • Authentication Header
      • パケット全体のハッシュ値をヘッダ情報に付加
      • 受信側でIPパケットの内容が壊れていないことを確認するための機能
      • 改ざん防止用に使われる
      • 経路の途中でアドレス変換を適用された場合には、改ざんとみなされてしまう為、最近はあまり利用されていない
    • ESP
      • Encupsulated security Payload
      • IPパケットを暗号化する機能
      • AH があまり使われなくなったことでIPsec といえばほぼESP機能の事を指す
      • 暗号化と復号化は、送信側と受信側で暗号アルゴリズムや暗号鍵、IV(Initialization Vector) 等のパラメータを共有する必要がある
      • これらのパラメータは手動で設定する方法と自動で設定する方法がある
    • IKE
      • Internet Key Exchange
      • AHやESPと併用し、送信側と受信側とでパラメータの交換や一定期間ごとの自動的な鍵更新を行う機能
      • 長期にわたって同じ暗号鍵を使い続けるのは安全性の観点から推奨されない
      • ある程度以上の期間IPsec を運用する際はIKEで自動設定するのが望ましい


以上で、第15章 IP と関連プロトコル を終わります。
次回は、第16章 TCPUDP です。

はじめてUNIXで仕事をする人が読む本 の備忘録 14 データリンク層

Linux Unix ネットワーク

はじめてUNIX で仕事をする人が読む本 の備忘録 14

お世話になった本

この連載ブログを書くにあたり、お世話になった本がこちら。LPICと被っているところもありますが、実務での使い方なんかも扱っており、良書だと思います。

第14章 データリンク層

データリンク層の役割は、通信相手との間に施設された物理的なネットワーク接続(物理層)を使用して、直接に情報の送受信を行うこと。

データリンクとは

データリンクが備えるべき機能は下記のようなものがある。ただし、全てが必ず必要というわけではない。

  • データ転送
    • データを転送する
    • 最も重要な機能
    • 送信側が送出したデータを受信側がきちんと受け取れるようになっている必要がある
  • 衝突回避
    • データリンクが使用する物理層によっては、多数の機器が同一の物理メディアを共用して通信を行う場合がある。
    • その時に衝突が起こる可能性がある
    • その衝突をなくしたり、減らしたりする機能
  • 誤り検出/訂正
    • 信号の劣化などでデータの一部や全部が破損や紛失の可能性がある
    • 受信側が受け取ったデータが正しいか確認する機能
    • 壊れたデータをわざと破棄する機能
    • ある程度の破損なら誤りを訂正する機能
  • フロー制御
    • 送信データが受信側機器の能力を超えて送られた場合に、受信側で取りこぼしをできるだけ少なくする機能

データリンクの基本

1:1 のPoint-to-Point と、1:n のMultiple Access がある。
Multiple Access にも、複数タイプがある。バス型、リング型、スイッチ型である。
また、一度に片方向の通信しか出来ないデータリンクを半二重リンク、同時に双方向の通信を行えるデータリンクを全二重リンクと呼ぶ。
Multiple Access の場合、ノード間を区別する必要がある。その仕組みをメディアアクセス制御(Media Access Control)という。その識別子のことをMAC アドレスと呼ぶ。
Ethernet で使われるEUI-48 形式のMACアドレスがよく知られている。

衝突を回避するための仕組み

  • CSMA/CD
    • Carrier Sense Multiple Access / Collision Detection
    • 衝突を検知したら、送信を中断し、ランダム時間まって再送する
    • Ethernet などで広く使われている
  • CSMA/CA
    • 送信する前に待ち時間を挿入することで衝突を避ける。
    • 無線LAN などで多く使われる
  • トークンパッシング
    • ノード間で送信権を順番に渡していき、送信ケインを得たノードののみが送信することで衝突を回避する

Ethernet

有線LAN としては、現在最も広く使用されているデータリンクである。

ベースバンドの違いで、10BASE/100BASE/1000BASE/10GBASE などがある。

現在一番良く使われているツイストペアケーブルのEthernet は、衝突の発生しないスイッチ型のデータリンクがあることが多い。

無線LAN

主に、Wi-Fi認証を受けた無線機器同士で2.4GHz 帯や5GHz 帯の電波を使って通信を行うことでEthernet と同程度の通信機能を無線で実現したデータリンクである。

空間を使うので、基本的に衝突を起こす。

第三者が通信内容を容易に通信内容を傍受できる。

できるだけ新しい暗号化方式の物を使って通信を行うことを推奨する。  

Point-to-Point 接続

1:1 通信
1:1 になれば、結構色々な媒体が使われる。
シリアルケーブル・公衆回線・光ファイバ・赤外線・Bluetooth・更には、Multiple Access の中で仮想的に1:1接続を作るトンネル接続まである。
代表的な仮想接続は、PPPoE (Point-to-Point Protocol over Ethernet)

一番身近だと勝手に思っているのは、みなさんの自宅の固定回線です。必ずどこかとPPPoE でキャリアの網内のどこかと終端しています。(多分)


以上で、第14章 データリンク層を終わります。
次回は、第15章 IPと関連プロトコルを書きます。

はじめてUNIXで仕事をする人が読む本 の備忘録 13 OSI 参照モデル

Linux Unix ネットワーク

はじめてUNIX で仕事をする人が読む本 の備忘録 13

お世話になった本

この連載ブログを書くにあたり、お世話になった本がこちら。LPICと被っているところもありますが、実務での使い方なんかも扱っており、良書だと思います。

第13章 OSI 参照モデル

OSI 参照モデルは一種のエコシステム。

OSI 参照モデル

OSI 参照モデルの特徴は システム間の相互接続の為に用いられる通信機能を7つの階層構造にしている。

  • 第7層 アプリケーション層
    • システム間のプロセスに取って、システム間の通信機能のエントリポイントになる
  • 第6層 プレゼンテーション層
    • アプリケーション層に対して、対抗するアプリケーション層とのデータ交換についてのデータ表現形式を提供
  • 第5層 セッション層
    • データの編成、到着順序の保証、データ送受タイミングの同期などの機能を提供
  • 第4層 トランスポート層
    • データ交換を透過的に見せる
  • 第3章 ネットワーク層
    • コネクション指向データ転送とコネクションレスデータ転送を提供
    • システム間の通信の開始・維持・終了の管理を行う
    • 直接通信が不可能なシステム間の通信の中継も行う
  • 第2章 データリンク層
    • 下位の物理層と強調しながらネットワーク層に対して、データ転送そのものや、データ転送を起因とするデータ誤りの訂正等の機能を提供
  • 第1章 物理層
    • ハードウェアそのもの、およびその物理的・電気的特性を表す層

TCP/IPOSI 参照モデル

TCP/IPOSI 参照モデルは対応している

TCP/IP OSI 参照モデル
7 アプリケーション層 アプリケーション層
6 プレゼンテーション層
5 セッション層
4 トランスポート層 トランスポート層
3 ネットワーク層 ネットワーク層
2 データリンク + 物理層 データリンク層
1 物理層

テーブルが上手く言っていないのは、ご愛嬌

markdown でrowspan ってどうやるんだろう…


以上で、第13章 OSI 参照モデルを終わります。
次回は、第14章 データリンク層 を書いてきます。