第4章 Armadilloの内蔵機能

4.1. Bonjour

Armadilloは、Bonjourに対応しています。このため、同じネットワーク上のBonjourに対応するPCから、Armadilloを容易に見つけ出すことができます [5]

(Apple社Webサイトより引用)

[ティップ]「Bonjour」について

「Bonjour」は、ゼロコンフィギュレーション・ネットワークとも呼ばれていますが、IPネットワーク上のコンピュータ、デバイス、およびサービスを自動的に検出するサービスです。「Bonjour」では、業界標準のIPプロトコルが使用されているので、IPアドレスを入力したりDNS サーバを設定しなくても、デバイスが相互に自動的に検出されます。

4.1.1. Bonjourのインストール

4.1.1.1. Windows

WindowsでBonjourを利用するには、Bonjour for Windowsをインストールする必要があります。このソフトウェアは二次配布が許可されていないため、開発セットに付属していません。アップル社のWEBサイトからダウンロードしてください。

アップル - サポート - ダウンロード - Bonjour for Windows

ダウンロードした「BonjourSetup.exe」を実行し、表示される画面に従って適切にインストールしてください。

4.1.1.2. Mac OS X

Mac OS XではBonjourは標準搭載されています。

4.1.1.3. Linux

Linuxでは、Avahi及びnss-mdnsライブラリを利用して、Bonjourを扱うことができます。詳しくは、お使いのディストリビューションのドキュメントなどを参照してください。

4.1.2. 動作確認

Bonjourを使ってArmadilloの検出を行います。ここでは例としてWindows環境を使います。他のOSで作業する場合はそれぞれの環境のマニュアルを参照してください。

Windows PCでInternet Explorerを起動します。

Bonjourがインストールされると、Internet Explorer(以下、IE)のエクスプローラ バーにBonjourの表示をすることが可能になります。メニューバーの「表示(V)」→「エクスプローラ バー(E)」→「Bonjour」にチェックを入れてください。

Internet Explorerのエクスプローラ バー設定

図4.1 Internet Explorerのエクスプローラ バー設定


IE左側のエクスプローラーバー「Bonjour」を見てください。

エクスプローラ バー "Bonjour"

図4.2 エクスプローラ バー "Bonjour"


1行目は、Bonjourについて書かれたApple社WEBサイトへのリンクになっています。

その下に「AT Admin on a220-0 [6] [00:11:0C:XX:XX:XX]」と表示されています。これが、Armadilloへのリンクです。「AT Admin on a220-0 [00:11:0C:XX:XX:XX]」をダブルクリックすると、ブラウザにArmadillo管理画面「AT Admin」が表示されます。

エクスプローラ バーに「AT Admin on a220-0」が表示されない場合は、 「BonjourからArmadilloを発見できない」 を参照してください。「AT Admin」が表示されない場合、 6章ネットワーク設定 を参照してPCのネットワーク設定を適切に行ってください。

4.2. ネットワークブリッジ機能

ネットワークブリッジは2つまたはそれ以上のネットワークをつなぐ機能やデバイスを表します。Armadillo-230は2つのEthernetのネットワークを接続することが可能です。Armadillo-230のネットワークブリッジ機能を使うことで、簡単に既存のネットワークをつなぐことができます。また、Armadillo-230を使ってつないだネットワーク間を流れるパケットの監視をすることも簡単に行うことが出来ます。

4.2.1. 接続方法

Armadillo-230でネットワークブリッジを行うには、既存のネットワークをArmadillo-230のLANコネクタに接続します。既存のネットワーク内にあるハブとArmadillo-230をつなぐ場合はストレートケーブルで、逆にネットワークではなく機器と直接つなぐ場合にはクロスケーブルが必要になります。接続する機器がAuto-MDIXに対応している機器であれば、ストレートケーブルでも問題ありません。Armadillo-230はAuto-MDIXに対応していません。

4.2.2. Armadillo-230へのアクセス方法

接続したネットワークのどちら側からでもArmadillo-230にはアクセスできます。Armadillo-230の初期設定ではネットワークブリッジ機能が有効になっています。このため、IPアドレスはブリッジのインターフェースに1つだけ割り当てられることになります。

4.3. パケット監視機能

Armadillo-230では、簡単な設定で2種類のパケット監視を行うことができます。

  • Port scan検出

  • パケット内ASCII文字列の検出

また、上記監視の結果を電子メールで報告することが可能です。

[ティップ]

パケット監視機能を有効化するには、報告先電子メールなど主要な設定を入力する必要があります。

パケット監視機能はSnortと呼ばれるNIDS [7] ソフトウェアを使って実現しています。上記の機能は全てこのSnortで行っています。

4.3.1. Port scan検出

Port scan検出機能ではArmadillo-230が監視しているネットワーク内のポートスキャンを検出します。検出対象は、

  • 監視しているネットワーク内にあるシステム

  • Armadillo-230自身

です。

なお、ポートスキャンはたくさんのポートに対して連続してアクセスする行為であるため、悪意のないアクセスを誤検出してしまうことが稀にあります。

4.3.2. パケット内ASCII文字列の検出

Armadillo-230パケット内ASCII文字列の検査では、通信されているパケット内に特定の文字列が含まれているか調べます。

文字列検査機能では可能な限りすべてのパケットを走査しようとしますが、著しく高いネットワークトラフィックが発生した場合、すべてのパケットを検査できないことがあります。

4.3.3. 検出結果の報告

検出された結果は電子メールで報告されます。

検出された結果は一時的にログとしてArmadillo-230の内部に保存されます。保存領域は以下の通りです。

ログ保存領域サイズ
256KB

保存領域サイズを超える大きさのログを保持することはできません。保存領域サイズを超えて検出した情報は、ログに書き出されることなく消去されます。

保存領域に書き出されたログは、電子メールを使って指定アドレスに定期的に報告することができます。定期報告は報告時にログ保存領域に蓄えられているすべてのログを電子メールの本文として配送されます。このため、電子メールの最大サイズは256KB+ヘッダー領域となります。

定期報告時間になったにもかかわらず、ログ保存領域に何もログがない場合は、電子メールの配送は行われません。



[5] PC側のネットワーク設定は、通常はOSが持っている自動IPアドレス取得機能を使用します。

詳しくは 6章ネットワーク設定 を参照してください。

[6] Armadillo-220の場合。Armadillo-230の場合は「a230-0」、Armadillo-240の場合は「a240-0」となります。

[7] Network Intrusion Detection Systemの略。ネットワーク不正侵入検知システムと訳されることが多い。