ネットワーク

JANOG他を見ていると盛んに出てくる、IANAでのIPv4おかわりの枯渇が最短で来年、長くても数年という話。流石に考えないわけにはいかないだろうと、周囲を巻き込むことを画策しながら色々と調べてみる。

調べてみると、最近CISSPの勉強をしているので、BCPだのBIAだのという視点が脳裏にちらついて困る。まあ、戦略的なマスタープランを練るのは別の部署のお仕事で多分見えているところなんだろうけど。必要ならば、スカンクワークスできるのが今の部署の強みだし、せめて周囲もIPv6に慣れさせておかないとね。

今日は「暗号学」「通信とネットワークのセキュリティ」。まあ楽勝な部類のモジュールですな。

…IP関連の知識が一部10年以上前の気がするんだけれども気のせいだろうか。CIDRが入っているもののIPアドレスのAクラスとかBクラスって何デスカ。IPv6も要約としてはかなりずれているし、IGMPの説明も凄く適当。IPがマルキャスト未対応なんて初めてきいたよ。

技術的細部を抜いた、経営にコミットメントするための上位層の試験なので、仕方ないのかな。一応、講師につっこんではおく。

あと、「ゴムホース暗号解読」という方法があるらしい。方法は簡単で、暗号の鍵を知っている人をつかまえて、鍵を吐くまでゴムホースで叩くだけ。冗談かと思ったら、The comp.security.pgp FAQにもある由緒正しい方法らしい。

Amazon Product Advertising API を Ruby から使う – World Wide Walker

Amazon の「Amazon アソシエイト Web サービス」が、署名認証を含んだ「Amazon Product Advertising API」に変更されるという話。2009/8/15以降は署名認証の無いリクエストが拒否されてしまうらしい。

フムン、それで最近 WordPress から Amazon Reloaded for WordPress で Amazon のリンクを作ろうとするとたまに妙な感じになるのか。どうにかして対応版に移行しないとな。

認証関係だけいじればいいならなんとかなるかもしれないし、余裕ができたら見てみるか。

ブックオフに寄ったら、500円以下の棚で「インターネットの夜明け 壱」というDVDを発見(105円)。NHKとYahoo!Japanの共同制作。

裏を見てみると、出演者に石田晴久先生、村井純先生、中村修先生、篠田陽一先生………何この人選。とりあえず買おう、うん。横を見ると参、四もあったのでそれも。合計315円。「日本のインターネットを作った男たちのヒストリー」という文言に嘘偽りはなさそうです。

後で調べたら全24話、ウェブでストリーミングしているようです。
ウィンドウズな方は見られるみたいですね。

Yahoo! JAPAN – ニッポンの挑戦　インターネットの夜明け[前編]　〜ドキュメンタリームービー〜
Yahoo! JAPAN – ニッポンの挑戦　インターネットの夜明け[後編]　〜ドキュメンタリームービー〜

• (壱)
• 第1回「和製ネットワーク登場」
• 第2回「300mの実験」
• 第3回「繋げ！ JUNET」
• 第4回「海外接続」
• 第5回「幻のプロバイダー」
• 第6回「JUNETの幸運」
• (弐: 今回未入手)
• 第7回「日本版インターネット誕生」
• 第8回「パソコン通信登場！」
• 第9回「WWWとプロバイダーの誕生」
• 第10回「プロバイダー競争激化」
• 第11回「商用IX誕生物語・前編」
• 第12回「商用IX誕生物語・後編」
• (参)
• 第13回 「ブロードバンド夜明け前」
• 第14回「CATV先駆けの挑戦」
• 第15回「DSL登場・PART1」
• 第16回「DSL登場・PART2」
• 第17回「DSL登場・PART3」
• 第18回「モバイルコミュニケーション」
• (四)
• 第19回「ブロードバンド元年・PART1」
• 第20回「ブロードバンド元年・PART2」
• 第21回「ブロードバンド元年・PART3」
• 第22回「遍在するブロードバンド時代」
• 第23回「ブロードバンドの先にあるもの・前編」
• 第24回「ブロードバンドの先にあるもの・後編」

とりあえずどうしようかな…会社の新人におしつけて正しい歴史認識(違)を伝えておくか。

そろそろ iPod touch の使い勝手もわかってきたので、WIRELESS GATEに加入。これで旅行先でもマクドナルドがあればある程度の地図検索ができる程度の能力が手に入る。FLET’S SPOT のオプションは PPPoEの無い iPod touch からでは使えないので無し。

申しこみ自体はクレジットカードの登録位で割とあっさり完了。利用可能エリア把握のために事前に iPod touch にWGConnectをインストールしてあるので、駅前のマクドナルドにいって試してみる。無事認証完了し、ウェブが見れた。ただし、電波は相当厳しい位置なのか、店の外では全くアクセスポイントが見えなかった。当然か。

N700系新幹線でも無線がつかえる様子。今度関西に行く時に試せるようならば試してみよう。

mixi Developer Center (ミクシィ デベロッパーセンター)

mixi がmixiアプリという名前でOpenSocial対応したとのことなので、試そうとしてみる。どうやら、専用に http://platform001.mixi.jp/ というサイトがあるので、そこに登録&利用する形態らしい。アクセスには別途の登録が必要なので、通常利用の人に利用してもらえるわけではないわけだ。ついでに言えば、goo と比べて若干API側で制限があるらしい。

というわけで、一気に気力が減退しつつも、OpenSocial の API と mixi 提供のサンプルを見比べて色々考えてみる。

アイドレスがらみで色々できると面白そうだなとは考えたのだが、文殊から取れるデータが、検索まではできそうだが国名が無かったり性質上個人ページに誘導できそうにない、などで若干利用するには難しい。藩国個々のページは多彩すぎてフォローしきれない。

おまけに最大の問題として、現在はまだ敷居が高いので対象層に使われない。フィードバックを受けることがなければその場の一発屋で終わる。

まあ、そういうわけで今回はほとんど調べただけ。

New IPv6 deployment statistics

AS(インターネット上で自律しているネットワーク)単位での、ASのIPv6の対応状況^[1]が出ているのだが、バチカンの “Holy See (Vatican City State) (VA)” が 100% でどうどうの一位! 日本は 15% で 13 位。

まあ、種も仕掛けもあって、バチカンは IPv4 と IPv6 の数が 1/1 で100%、日本は 82/537 で 15%。純粋な数で言えば日本(82/537)、ニュージーランド(31/173)、チェコ(30/159)、オーストラリア(66/484)あたりが勝者となる。

ちなみに、日本はIPv4アドレス枯渇対応タスクフォースなどで、IPv6の推進を行っているし、一部の税制優遇措置なんかもあるらしい。とっとと並列したいんだけど、メリットを考えると卵が先が鶏が先か…。最低限の対応機器は普及しているけど、運用ノウハウは普及していない、というのが現状。

IPv4枯渇時計 (解説)

1. 末端まで対応しているかどうかではない [↩]

バグ・ハンター

IPAの脆弱性情報の届出とは違い、報告の対象がバグも可と広いかわりに、対象サイトが狭いようだ。そのかわりにお駄賃程度の報酬が出る。

バグ・ハンターがバグハントするサイトは上場企業とオンラインサービスを提供している一部の会社に限ります。 個人レベルのブログやサイトのバグ情報は報告がされても報奨金を支払われることはありません。

現状では対象は「リンク切れ」「誤字・脱字」「デザイン崩れ」「情報漏れの恐れあり」「機能が正常に作動しない」「その他」。最後のその他にセキュリティホールなどありますとの事なので、最後の二つはともかく、他はバグじゃないだろうという物がほとんど。

換金のために口座情報を渡す必要があることも考えると、有効な利用法はWeb標準普及プロジェクトのために「バグ」報告する位なのかな。下手に報酬が発生する分、額からしてもなかなか利用は難しいのではないだろうか。

• yebo blog: インターネットでルーティング障害発生
• Long BGP AS paths causing commotion | BGPmon.net Blog

IPv4アドレス枯渇対策タスクフォース 「IPv4在庫枯渇問題とIDC事業者としての課題と展望」報告書

IPv4 のアドレスの最近の状況についてのまとめた報告書。インターネットデータセンター(iDC)向けなので、直接的な個人の影響について触れているわけではないが、ISP も基本的に似たような方針にならざるをえないし、十分参考になる。

我々が普段使っている IP アドレス(IPv4)は、ネットワーク越しに他の IP アドレスのマシンにアクセスするのに必須な住所とも言える番号だが、これは限られた資源である。分配すればそれだけなくなるし、回収すればそれだけ戻る。もっとも、後者はやってはいるが焼け石に水程度なので、結局は徐々に減っていくしかない。

どの程度 IPv4 のアドレスが大本に残っているかは、IANA の IPv4 Global Unicast Address Assignments で見ることができる。「UNALLOCATED」(未割当)とある数はもはや残り少ない。中国景気で利用が進んだり、リーマン問題の景気後退で鈍化したりしているが、それでも後5年もすれば根本的な所で割り振るアドレスが無くなるだろうと言われている。

対策としては、ISP 等における キャリアグレード NAT/NAPT の導入や、IPv6 の導入、それと配布済みのアドレスをなんとかしてやりくりしようという方法が考えられている。だが、それぞれ今迄のサービスが動かない可能性が高い^[1]、IPv6 も実験運用こそ豊富だが、IPv4 べったりな今のインターネットから移行できるかどうかはかなりの困難が予想される。

どの対策を取るにせよ、IPv6 への徐々の移行以外は全て延命作である。だが、「一般ユーザに何不自由なく」移行できるわけではないし、それぞれの機関や個人が尽力しているものの、対策による不自由を囲う可能性も高い。

5年後のインターネットが、今の延長であることはほぼ間違いがない。世界規模での膨大な資源と情報があるからだ。だが、必ずしも今のまま伸びていくわけではない事位は、把握しておいた方が良いだろう。

1. Google Map や Apple iTunes は一度に膨大な数のリクエストを出す。NAT/NAPT がIPアドレスの代わりとして使うポート資源は有限なので、制限を行うと歯脱けのようにアクセスが失敗した画面となってしまう。 [↩]

RIPE-399 RIPE Routing Working Groupによる経路アグリゲーションの推奨 (PDF)

インターネットのルーティングにおける経路制御の歴史と、経路集約(アグリゲーション)の必要性、各種用語の紹介と、現時点での解決策の紹介をまとめた、RIPE-399 の日本語訳。

普段何げなく利用しているインターネットだが、あくまで自律したネットワークの集合であり、それらが相互接続している結果地球の裏側まで見えるわけである。そのために、オペレータ達が苦労して日々運用・維持しているものの一つが、経路制御、つまり「このアドレスに行くためにはどこのネットワークを通って行けば良いか」という時々刻々と変化する最新道案内情報の保守である。

現在、インターネットに参加するネットワークの増大によりどのような問題が起きていて、どのような解決が行われようとしているのか。興味がある人は一読をお薦めしたい。なお、ネットワーク関連の基礎、例えば CIDR や BGP 程度の概略知識は必要となるので注意。

Ciscoルーター・シミュレータ「Dynamips」を使う−−How to use Dynamips

米スタンフォード大学の研究者がトラフィック処理能力を高める「OpenFlow」技術を発表 : ネットワーキング – Computerworld.jp

とりあえずメモメモ。

昨日Microsoftが臨時パッチリリースへというニュースを見て、どうせこんな時に急いで出すのだからロクなものであるはずがない。というわけで、業界的に朝も早くから対応。

で、出たのがこれ。

マイクロソフト セキュリティ情報 MS08-067 – 緊急 : Server サービスの脆弱性により、リモートでコードが実行される (958644)

ああ、これは確かに臨時で出したくもなりますね。Windows Vista/2003 は比較的安全とは言え、Windows 2000/XP は条件次第ではかなり危険。有無を言わさず「いいからパッチ当てろ」というレベル。結局一日情報収集したり周囲と調整したりで一日が過ぎてしまいました。

ポイントは「悪用されている事例が発端」「ネットワーク越しに好きに攻撃できて、好きにウイルス/ボットを送りこめてしまう」「ファイル共有とかに使うので、みんな密かにサービスを利用中」というあたり。

まともな組織や、まともなブロードバンドルータを入れた家庭なら、ネットワーク越しにやられることはほぼ無いとはいえ、Blaster ワームを反射的に思い浮かべる人は多い^[1]。そして、同様の手法を今の技術で利用されると、社内ネットワーク感染時のインパクトが強烈なものになる。というわけで、「いいからパッチ当てろ」になるわけですな。わずか半日で悪用される下準備も整ったし。

やれやれ。これで Stack Overflow だというのがまた泣ける。

なお、正確な情報は上記のマイクロソフトのページや、ニュースからどうぞ。

1. 実際国内でも海外でも Blaster や Sasser への言及は多かった。 [↩]

(2008/08/04 無事復旧しました)

Mac mini を先日購入した Leopard に更新する。

まずは、DVDを入れて普通にインストール。長時間まったがそれだけ。XCode も同様にインストール。

再起動してみて、サーバ関係にトラブルを確認。

まず、最初に pkgsrc 環境は大文字小文字の関係でファイルシステムを分ける必要があり、dmg ファイルの中にシステムを作っているのだが、このチェックがいつまでたっても終わらない。どうやら hdiutils の mount の際に検証が入ってしまっている様子。launched から起動させているので最初は何かわからなかったが、最終的には放置でなんとか解決。

次に、apache と MYSQL (共に /usr/local) が起動しない。まあこれは手動でできるし後でもいいや。設定だけ別な所においている bind も同様。

厄介なのはメールまわり。何故か saslauthd と cyrus-imapd で、ローカルマシンからだと認証が通るのに、MBP からアクセスすると認証で跳ねられるという事態になっている。ややこしい構成だし、いっそいれなおした方が良いのか?

そして何より Postfix まわり。[MACOSX] Leopard: user postfix has same user ID as _postfix にあるように、どうやら Leopard ではデーモンのユーザ名が色々変化しているらしく、postfix ではなく _postfix と修正しなければいけなかった…らしい。

とにかく、メールまわりが至極不安定なので、データ消失はないと思うのだけれども、ソフトウェア自体は構築しなおす必要がありそうな感じ。おそらくしばらくの間、メールは通じなくなりますので、緊急の場合は携帯の方にお願いします。

(本当は Apache/PHP まわりを真っ先に…あれ消えてる。PHPいじりなおさなきゃ

一通り設定していて安心していたら、何故か外にはアクセスできるのに、localnet にアクセスできなくなっていて焦る。Time Capsule の設定かと色々いじってみるも効果無し。

気をおちつけて、基本にかえってトラブルシューティングをしてみたら、あっさりと判明。netstat してみると、localnet 行きのルートだけ何故か link#6 と別リンクを向いている。

Network Utility で他の状態も調べてみると、en0 が localnet 用の IP アドレスを付加したままになっていた。そういえば、WAN 側からの設定用に ifconfig で割り当ててみていたんだった。IEEE802.11n で接続している間は有線は外してしまうので、気がつかないわけだ。

再度 ifconfig して、適当なネットワークのアドレスを割り当ててやって、ルーティングテーブルから抹消して無事解決。ふう、地味に焦った。