日別アーカイブ: 2022年5月17日

さて、

最近

個人的に、２つの出来事がありました。

１つ目は、某有名家電量販店で、３ヶ月無料の動画配信サービスに登録した事。

２つ目は、中古で入手したノートパソコンで、Linuxルータを作れた事。

まず、１つ目の出来事をもう少し詳しく書きとどめておきたいと思います。

某有名家電量販店で買い物をいたしましたら、とある映像配信サービス業者さんとのコラボ？タイアップキャンペーン？の期間中で、最初３ヶ月無料の特典が付いているとの事で、試しに加入してみました。

続いて、２つ目の出来事についても詳しく書きとどめておきたいと思います。

昨年、中古で入手したLet’sNOTE CF-AX3(Core i5 4300/MEM 4GB/SSD 128GB)にOLACLE VirtualBOXをインストールし、そこにubuntu18.04.6をインストールし、Networkインタフェースを二枚定義(一枚はブリッジ接続、もう一枚は内部ネットワークに接続）してルーター化しました。そしてついでに、VirtualBOXにもう一つのインスタンスを作り、Networkインタフェースを一枚定義し、内部ネットワークに接続して、これにLinuxMINT 20.3をインストールしました。

これまで、なかなかうまくできなかったのですが、今回はなんとか作ることができました。

※今回試しているネットワークの概要
　　　+-------------+
　　　| インタネット|
      +------+------+
             |
  +----------+-----------+
  |    WAN側:記載省略    |
  +----------+-----------+
  | 市販品の             |
  |ブロードバンドルーター|
  +----------+-----------+
  |LAN側: 192.168.1.1/24 |
  +----------+-----------+
             |
  +----------+-----------+
  | LAN 192.168.1.0/24   |
  +----------+-----------+
             |
  +----------+-----------+
  | LAN側 192.168.1.8/24 |
  +----------+-----------+
  |     Linuxルーター    |
  +----------+-----------+
  | 内部ネットワーク側   |
  |    10.0.0.1/24       |
  +----------+-----------+
             |
  +----------+-----------+
  |内部ネットワーク側    |
  |    10.0.0.2/24       |
  +----------+-----------+
  |     LinuxMINT        |
  +----------------------+
※試験環境の実際のIPアドレスは別の値です。

ルーターとして機能させるLinuxはubuntu18.04.6で、これのnetplanで、ネットワーク周りの定義を行い、ファイアウォールとルーティングをiptablesで行うと言うものでした。

このLinuxルーターに、搭載（定義）する２枚のネットワークカードの内一枚はブリッジでブロードバンドルーターにつながるLANに接続。もう一枚の方は、VirtualBOXの内部ネットワークに接続。こうする事で、VirtualBOXの内部ネットワークにつながるインスタンスからの通信パケットを外部に転送し、その応答パケット（帰ってきたパケット）を内部ネットワークに転送するように設定しました。

そしてこのLinuxルータからは、どこに向けても通信が可能になるように設定するのですが、このLinuxルータ以外からのssh,pingなど、その他のアクセスを拒否するように設定しました。こうすることで外部からも内部からもいじれないルータに成るようにしました。（そうは言っても、確実に外部や内部からのクラッキングに耐えられると言い切れるほどの自信はありません。）

それと、もう一つこのLinuxルーターに、転送ルールとしてブロードバンドルータのLAN(192.168.1.0/24)に繋がる設備へのアクセスを全て拒否させる設定を入れて、ブロードバンドルータや、ブロードバンドルータのLAN上に配置したプリンターやNASへのアクセスを拒否するように設定しました。

Linuxルータのiptablesの設定は以下のような感じになりました。
（コピーペーストが使えず、転記するにあたり、
　タイプミスをした可能性が有りますのでご注意下さい。）
cat /etc/iptables/rules.v4
# Geneated by iptables-save v1.6.1 on Sun May 15 21:51:26 2022
*filter
:INPUT DROP [556:30858]
:FORWARD ACCEPT [20:1680]
:OUPUT ACCEPT [556:30858]
-A FORWARD -s 10.0.0.0/24 -d 192.168.1.0/24 -j DROP
COMMIT
# Comleted on Sun May 15 21:51:26 2022
# Generated by iptables-save v1.6.1 on Sun May 15 21:51:26 2022
*nat 
:PREROUTING ACCEPT [37:3994]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [278:19738]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -j MASQUERADE
COMMIT
# Comleted on Sun May 15 21:51:26 2022

LinuxMINTをインストールしたインスタンスからインターネットへの接続が出来るように設定(デフォルトゲートウェイは10.0.0.1と指定)をしたあと、①インターネット側のサーバーとの通信が出来る事を確認。②Linuxルータのインスタンスへのアクセスが拒否される事を確認。③ブロードバンドルータ及びブロードバンドルーターのLAN上に配置した設備へのアクセスが拒否されることを確認しました。

さて、中古のノートパソコンの内部に仮想コンピュータを定義して、ルータのインスタンスとクライアントのインスタンスを作ったのですが、他になにかやることはないだろうか？と考えたところ、ありました。

新たなお題「クライアントで動画視聴は出来るの？」が見つかりました。

ということで、LinuxMINTのインスタンスにchromeをインストールし、某動画配信サイトにつないで、映画視聴してみました。　

ここ数日で、見たタイトルはSF系で、次のとおりです。

• イーグルアイ
• レプリカズ
• イリジウム
• スノーデン
• チェルノブイリ
• イノセンス
• 原子力戦争
• エベレスト

SF系の人類の近未来のテクノロジーや、実際にあった事件、社会・エネルギー関連です。

思い返せば、単細胞生物から、現代に至るまでの壮大な生命の叙事詩があったんだなーとか、過去に見たSF映画や小説や歴史動画を思い出しながら、これから先の未来に向けて何が起きるのか？などを漠然思いながら見てみました。

そうそう、当初の目的、「動画視聴できるのか？」について、その結果ですが、動画視聴できたのですが、トイレ休憩で動画をポーズ状態で停止させておいて、トイレから戻って再生を継続しようとしても、音声がプツプツ切れるという現象が（私の場合）ありました。

対策としてLinuxMINTのインスタンスを一度シャットダウンして、再度立ち上げることで、動画の続きは問題なく見ることができました。

人類は滅びて、AIやロボットに成るのか？とかの疑問はあります。

けれども、

そもそも人類は哺乳類で、哺乳類が現れる前は、魚類や両生類や爬虫類で、そのずっと前は、単細胞生物だったとか、

人類の起源について、何十年も前に読んだSF小説を思い出しました。

そのSF小説では、原始地球に、たまたま宇宙人が飛来して、ゴミを捨てていったら、そのゴミの中にいた原始生物か、蛆虫みたいなものが、何万年もかけて魚類にまで進化して、そして、人類に至るとか、そういう内容のお話もありました。

我々は。どこから来たのか？、そしてどこに向かうのか？

とか

ルーツを探る

とか

私達（生命）は、なにをしているのか？

とか。

私達とは何なんでしょうね

自分のクローンがいたら、それは私なのか？私達なのか？

遺伝子的には同？じでも、精神的には別人？

日々生活に追われながら人生を終わる。

生活に追われないなら、人はどのような生き方をするのでしょうか？

とか

https://cbs.biol.tsukuba.ac.jp/update/843

https://ja.wikipedia.org/wiki/%E5%8E%9F%E6%A0%B8%E7%94%9F%E7%89%A9

https://www.google.com/search?q=%E9%80%B2%E5%8C%96+%E5%88%86%E5%B2%90+%E7%B5%90%E5%90%88&source=lnms&tbm=isch&sa=X&ved=2ahUKEwi3jJT4vub3AhWjmFYBHc_3CfUQ_AUoAXoECAEQAw&biw=1920&bih=968&dpr=1

http://m-ac.jp/science/homo/origin/tree/index_j.phtml

https://www.google.com/search?q=%E4%BA%BA%E9%A1%9E+%E7%A5%96%E5%85%88&oq=%E4%BA%BA%E9%A1%9E%E3%80%80%E7%A5%96%E5%85%88&aqs=chrome..69i57j0i512l9.3343j0j15&sourceid=chrome&ie=UTF-8

https://www.google.com/search?q=%E3%83%92%E3%83%88%E3%83%A9%E3%83%BC%E3%83%A6%E3%83%80%E3%83%A4%E4%BA%BA%E8%AA%AC&ei=V4qDYonPHM-B2roP0uugsA8&start=10&sa=N&ved=2ahUKEwjJ1rStuub3AhXPgFYBHdI1CPYQ8tMDegQIARA9&biw=1920&bih=968&dpr=1

https://www.google.com/search?q=%E4%BA%BA%E9%A1%9E%E5%8F%B2%E3%80%80%E6%B7%B7%E8%A1%80&bih=968&biw=1920&hl=ja&ei=cpWDYtd48c3aug_c9qewDw&ved=0ahUKEwjX-ev4xOb3AhXxplYBHVz7CfYQ4dUDCA4&uact=5&oq=%E4%BA%BA%E9%A1%9E%E5%8F%B2%E3%80%80%E6%B7%B7%E8%A1%80&gs_lcp=Cgdnd3Mtd2l6EAM6BAgAEEM6BQgAEIAEOgYIABAEEB46CAgAEA8QBBAeOgYIABAIEB46BQghEKABOgkIIRAKEKABECpKBAhBGABKBAhGGABQAFiUKmDHLWgAcAB4AIAB0QGIAbIOkgEGMTYuMi4xmAEAoAEBwAEB&sclient=gws-wiz

あとがき

今回の投稿について、なぜこんな投稿をしたのか？

とか

この投稿にどの様な意図があるのか？

とか

思わないでください。

書いた私にもわかりませんので。

先に列挙した動画をすべて見ればよいのかと言いましても、私自身見落としたシーンもありますし、聞き逃したセリフもあります。

まぁでも、

ご覧にならないよりは、ご覧になった方が、似たような心境に成る可能性は有ると思います。

後半に貼り付けたリンクに付きましても、あまり上手にリンク先を見つけることができなかったので、とりあえず貼り付けた。という程度です。

ですので、ご覧くださった方は、この投稿について、あまり気になさらないでください。

私が二十歳代の頃、これを書いている日から遡ること３０年以上前、J・P・ホーガン著「星を継ぐもの」と言うSF小説に没頭した時期がありました。

そのSF小説の設定は、月面で５万年前に存在した人類が発見されるが、現代よりはるかに進んだテクノロジーを持っており、世界が驚愕するなか、月で発見された太古の人類が腕にはめていたデバイスの機能を解き明かしていくという展開にワクワクしました。私は読みながら、その技術レベルに到達するには数百年を要するだろうと、当時は思っていました。

でも、現在のスマートフォンはそのレベルに到達していると言えそうです。

２０歳代の私が生活していた時代から思えば、あり得ないぐらいの技術的進歩が現在にはもたらされました。

世の中が、どんどん進歩していく中で、６０歳にしてようやく、Linuxでルータを組めたと言う、落ちこぼれ的内容に成ってしまいましたが、私的には、やっとルータの設定がでました。

これまでの投稿でも書いていることですが。

「設定をすること」はできたのですが、そこに私が安全性を保証できるものは何もない。という点については、過去から変わりません。

そんな力量はありません。

数多くのプログラム群の挙動について分析をしたり、想定外の動作がないことを確認したり、プログラムにバグが含まれないことを検証環境で検証するなどという事は、一切できておりません。

つまり、クライアントに何らかの悪意を持つプログラムをインストールしてしまった場合に、自分のLAN環境に設置した他の設備へのクラッキングや侵入をされないように、クライアントからは外部インターネットへの通信だけが可能に成るようにしたつもりですが、本当にこれで、自分のLAN上に配置した設備は危険にさらされないのか？という点について、私の力量では保証できないのです。

それと、何十年も前の初期のIPV4環境のプライベートＩＰアドレスは、外部インターネットからLANに向けてのアクセスが事実上できなかったと言う時代があったかと思います。

外部公開サーバーをLAN内部に設置しても外部からのアクセスがやりづらく、強引に内部サーバーを外部公開すると、クラッキングされた場合に内部のLAN上の設備にアクセスされてしまう危険性があり、そのためにわざわざWAN側に非武装地帯を設けて外部公開サーバーを配置するようにすれば、外部公開サーバーがクラッキングされても、LAN内部は安全だと言う時代が有ったと思いますが、IPV6で外部とつなげるとか、UDPポートホールパンチングによる内部への誘導とか、内部LANに気軽に出入りできる事を可能にするテクノロジーが現れるにつけ、LAN内部は鉄壁の守りだという考えが通用しなくなってきている様です。

そうなりますと、今回私がやろうとした、自分のLANに配置した設備を守るために、インターネット側との通信だけが許可された閉鎖されたセグメントを作ると言う考え方自体が方向性として正しいのか少し疑問が湧いてきたりします。

LANに対する考え方を、例えばマンションで例えるなら、

玄関ドアの内側は鉄壁の守りが有るという考え方で、中に入っている人は基本的には家族や親戚友人知人なので、信頼できるメンバーである。

だから、各自の部屋に鍵は不要、炊飯器にも、冷蔵庫にも鍵は不要、トイレも、水道も、電話もアクセス自由。と言う言い方が出来ると思うのですが。

昨今の自宅LANの状況は、徐々に変化してきていて、

LANに対する考え方を、例えばマンションで例えるなら、

玄関のドアに鍵は有るけれども、わりと誰でも開けることが出来るので、

玄関ドアの内側は鉄壁の守り考え方を捨てて、中に入っている人は基本的には家族や親戚友人知人以外の人である可能性が高く信頼できるメンバーだけだと言えない。

つまり色んな人が入ってくることを考えると、各自の部屋に鍵は必須、炊飯器にも、冷蔵庫にも鍵は必要、トイレも、水道も、電話もアクセス制限を設けておく。と言う考えが必要になる。

と言う様な感じに言い換える事が出来るのかもしれない。

と思ったりしています。

家の中の全ての設備に鍵を掛けると言っても、炊飯器も冷蔵庫もドア類も全部買い換えるのか？と言う問題が生じます。

パソコンに入っているアプリケーションをゼロトラストを前提に全部作りなおすなんて大変です。

過去の玄関の鍵の強度と、これから各自の部屋に設ける鍵の強度とどちらも、その安全性を保証できる程の力量が私には無い事だけは理解しています。

昨今、良く言われる「ゼロトラストセキュリティー」とはなんぞや？という点について、正しく理解できているかというのも自分自身疑問が有ります。

問題を正しく捉えられなければ、その対処方法も正しくなくなるかも知れません。

何が原因で、どういう問題が生じたので、ゼロトラストだと言われはじめたのかについて、学んでいく必要が有ると思っています。

ネットワークとコンピュータの事について、少しでも理解をしたいと思いますが、努力と精進、アプローチ、考え方・・・

「継続は力なり」を信じて、少しずつでも・・・

と言うことで、「ゼロトラストセキュリティ」も今後は学んでいきたいと思います。

※タイプミスなど有るかも判りません。ご注意・ご容赦の程、お願いいたします。

また、理解不足や誤解などによる記述を発見されましたら、お手数ですが、ご指摘戴けますとさいわいです。