vol73. IEEE802.1XをLinuxで動かしてみる(EAP-MD5)
前回は、IEEE802.1Xについて調べてみた。
今回は実際に動かしてみたので、メモ側代わりにブログに残しておく。
手順
以下の図のように、今回はRADIUS サーバー(認証サーバー)とauthenticatorは一つのLinux PC上で構成する。
2つのPCをEthernet ケーブルで接続しておく
(windows PC/ethernet switch は必要ない。今回はモニター用に接続しているだけ)authenticator 側設定
supplicant 側設定
wireshark でpacket確認
実際にどんな通信をやっているのか確認するため、wireshark でメッセージを確認する。
remoteのLinux マシンでのethernetの通信を、windows マシン上のwireshark でモニタするため、以下のように、plinkを利用して、wiresharkを立ち上げる。
# DOS promptから
$plink.exe -batch -ssh root@192.168.99.91 "stdbuf -i0 -o0 -e0 tcpdump -i eno0 -s 0 -w - " | "C:\Program Files\Wireshark\Wireshark.exe" -k -i -
まずは、supplicant(16:34:01:de:e8:b2) がStart を送信。
authenticator はIDをRequestする
supplicant がID=user で応答。
authenticator はチャレンジ(乱数)をクライアントに送付
supplicant は、パスワードと受信したチャンレジから、ダイジェスト(MD5)を生成。値を返す。
supplicantから受信したダイジェストと、authenticator が自身で計算したダイジェストが一致していれば、SUCCESSを返す。
まとめ
今回は最も簡単なEAP-MD5をLinuxを使って動かし、メッセージのやり取りをモニターしててみた。
なるほどねー。たしかに、メッセージのやり取りをみてても、サーバー側の認証は一切おこなわないことが確認できる。。
実際に動かしてみると理解が深まるなぁ。
vol72. IEEE802.1Xとは
MACSecで使用する鍵の配布は、IEEE802.1Xで規定されているMKA(MACsec Key Agreement) プロトコルを利用する
IEEE802.1Xとは、無線LANの認証や、企業内ネットワークにアクセスする際の認証に使われ ている認証プロトコルだ
IEEE802.1Xをよくわかっていなかったので、しらべてみた
IEEE802.1X とは
ユーザー認証の技術/規格
歴史
- 2001年にinitial versionが発行される
- 無線LAN環境で先に普及した
- 当初は有線LANでの使用を目的に策定された規格
システム
IEEE
- 802.1X-2001
- initial version
- 802.1X-2004
- ??
- minor changeっぽい
- IEEE 802.1X-2010
- Specifies the MACsec Key Agreement (MKA) protocol
- IEEE 802.1Xbx–2014 (ammendments)
- MKA Extension
- 802.1AEbw-2013 対応
- XPN追加
- MKA Extension
- IEEE 802.1Xck-2018 (ammendments)
- YANG Data Model
- IEEE Std 802.1X-2020
EAP 認証方式の種類
以下の認証方式がある
TLSやPEAPがデファクトスタンダード(*2)
EAP-LEAP
EAP-FAST
- LEAPの後継
EAP-TTLS
-
- TLS認証で認証の後,EAP自体をカプセル化して安全性を高めた上で認証
- デジタル証明書とSSL/TLSによる暗号化を使う
- Protected Extensible Authentication Protocol
- SSL/TLSでトランスポート層を暗号化して経路上の盗聴を防ぎ、ユーザ名や パスワードを安全に送受信
- 米Microsoft、Cisco Systems、RSA Securityの3社によって開発
- IDとパスワードで認証する方式
- デジタル証明書とSSL/TLSによる暗号化を用いる
- ユーザー名とパスワードによる認証
- EAP-TLSでは不可欠となるディジタル証明書をユーザに配布するわずらわしさがない
(補足) 上記以外にもEAPのバリエーションは増え続けている
まとめ
なるほどねー
無線LANのエンタープライズモードは、IEEE802.1Xを使うという意味だったのかー
それ以外にも、企業向けのネットワークの認証とかでIEEE802.1Xが使われるのね
そして、そのしくみをMACSecのキーの配布に使うというのがMKA
やっと理解できた
参考
vol71. MACSec XPNとは?
MACSecについて最近調べている
MACSec のencryption 方式は、GCM-AES-128, GCM-AES-256という理解でいたが、
さらに調べてみると、GCM-AES-XPN-128, GCM-AES-XPN-256, なるものがあるらしい。
XPN ??
なんだ、それは?
そんな encryption 方式はないぞ。
というわけで少し調べてみた
XPN(extended Packet Numberering)とは
なぜXPNが必要になったのか?
- MACSec frame は32bit のPN(Packet Numbering) field をもつ
- MACSec frame はSAK(Secure Association Key)を用いて、encryption/ICVの計算を行う
- SAKはPN が0から232 までは同じものを使う
- PNがwrap up すると、新しいものを使う
- データーセンター等では、Ethernet のスピードがとてもはやい
- 現行で400Gb/s
- 次世代は800Gb/s
- 400Gb/sでは、最悪、2秒でPNはwrap up してしまう(*1)
- SKAを発行はMKA(Macket Key Agrement) protocol (IEEE802.1X-2010) を用いておこなわれる
- SKAを2秒で更新するのは、ムズカシイ
- だからPNを64bitに拡張することとなった
- 64bitならば、一つのSKAで数年は持つ
ポイント
- IV 生成方法が変更
- Salt を使用する
- SSCI(Short Secure Channel Identifier)導入
- SecTAG formatは変更なし
- PN field の長さは32bitのまま変わらない
- PNのLSB 32 bitはSecTAGのPN fieldで転送
- PNのMSB 32bitは受信側でrecovery
- PN field の長さは32bitのまま変わらない
なぜMACSec のPN field を単純に64 bitに拡張しなかったのか?
"GCM Cipher Suites with Extended Packet Numbering" (*1)に以下の記載がある
Design choices were significantly informed by SP 800–38D’s requirement
for a 96-bit IV when more than 232 invocations are made with a single key.
This rules out ‘simply extending’ the PN field in the SecTAG.
まとめ
なるほどね。データセンターとかではものすごい数のフレームが、
ものすごいスピードで流れているから、PNが32bit しかないと、すぐにPNがwrap upしてしまうのね。
PNがwrap up すると、新しいSAK(Secure Association Key)を発行するまで、
新しいMACSec フレームが遅れなくなってしまう。
SAKの発行はそれなりに時間がかかるから(数秒?)、2秒程度でPNがwrap upしてしまっては問題。
この問題を解決するために、PNが64bitに拡張されたのか。
参考
1: https://www.ieee802.org/1/files/public/docs2011/new-seaman-macsec-xpn-0711-v1.pdf
2: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/16-9/configuration_guide/sec/b_169_sec_9300_cg/macsec_encryption.html
vol70. MACsec とは
これまでセキュリティ関連は敬遠しがちだったけど、仕事で必要になってきたので、
さらっとMACsecについて調べてみた。
MACsec とは
MACsec frame format
こちらは通常のEthernet Frameのformat
MACsecを使う場合、送信側はこのEthernet Frame をもとに、MACsec frame を生成する
ポイントは、
- SecTAGの付加
- payload の暗号化
- ICVの付加
- MACsec の frame format と各field の説明は、日本語では以下のサイトが参考になる
https://www.ipa.go.jp/security/fy22/reports/tech1-tg/a_02.html
手順
- あらかじめ暗号化用とIntegrity check のための鍵を、なんらかの方法で交換しておく
その鍵を使って
送信側は
- payload を暗号化
- ICV field を付加
受信側は
- payloadを復号化
- ICVを計算、計算したICV値と、受信したICV fieldの値を比較
- 改ざん、通信相手が正しいかどうかを確認
MACsec で使用する暗号アルゴリズム
- GCM-AES
鍵の長さは128bitか256bit
- GCM-AES-128
- GCM-AES-256
AESは、共通鍵暗号方式
- GCM(Galois/Counter Mode)
鍵の交換方法
IEEE standards
vol69. YAMAHA RX-V583 保護回路リセット方法
電源がはいらない
アメリカのわが家の地下室で、大活躍中のホームシアターシステム。 そのAV Receiverである、RX-V583が壊れたー。 (泣)
john-rama01.hatenablog.com jp.yamaha.com
この子が、最近、コイル鳴き(ジーって音)がひどくて、なんとか直せないものかと
筐体をあけて音の発生源をしらべてたら、
バチッっと基盤に手がふれてしまいショートしてしまった。
そしたら、電源がはいらなくなってしまったー😭 😭 😭
リモコンの電源ボタンを押してもスタンバイボタンが点滅するだけ。
本体の電源ボタンを押しても同じ。
コンセント抜き差ししてみてもNG。
いろいろためしてみたけど、全然だめたー。
結構気に入っていたのにー。
保証修理期間も2年間で、すでに過ぎているし、
気軽に買い換えれるものでもない。。。
泣きそう。。。
電源がはいらないのは、保護回路によるもの
鬼のようにググったら、説明書にこのような記載があった。
保護回路が働いているらしい。。
そして、直すには、YAMAHAの修理センターにおくって直してもらう必要があるらしい。
手違いでショートしてしまったために、保護回路が叩いて
電源がONできないようになっているだけなのに。。。
つーか、アメリカに、Yamaha修理センターなんてあるのか?
いい機会だから、新しく買い換えることも考えてみた。
$300ドルくらい払うとRX-V385というやつが購入できるが、
Wifi機能(air play)もないし、チャンネル数もRX-V583 が7.1chに対し、
RX-V385は5.1ch。。。購入するのもアホらしい。。。
うーん。。。。
保護回路リセット!!
半分泣いて、半分あきらめながらも、英語でググりまくってたら、
こんなサイトをみつけた!!!
https://www.fixya.com/support/t25383194-reset_protection_circuitry_yamaha_rx
!!!!!
Press and hold the 'tone control' and 'info' buttons and press power. This will release the protect.
おおお??
なんだこれ?
これはRX-A820向けの投稿だけど、RX-583にも同じボタンがある。
そして、そーとためしてみると。。。
パチッ!! ⭐
おおー。電源がはいったー。
直ったー。 😍😍😍
リモコンも効くし、コンセントを抜いても、ちゃんと電源が入るようになったー!!
もとに戻ったー!!
なんということでしょう!!
ほぼほぼ諦めていたのに、こんなカンタンに保護回路機能が解除できるとは。。。
インターネットの時代はすごいなー。
ネットがなかったら絶対にわからんわー。
感謝感謝。
まとめ
というワケで、
保護回路をリセットするには、"tone control" と "info" ボタンと電源ボタンの同時押し
日本語でこういう記事がなかったので、blogに書いておきます。
誰かがこの記事で救われるといいな。
あくまで自己責任でね。
vol68. ライダー(Lidar)とは
画像出典: https://velodynelidar.com/wp-content/uploads/2020/07/A-Guide-to-Lidar-Wavelengths-Velodyne-Lidar-AlphaPrime-1.jpg
ここ数年、Automotive の分野でライダー(Lidar)という言葉をよく聞く。
センサーの一種で、自動運転に必要だとか。。
レーダーという言葉ととても似ているが、どちらも同じような技術で、対象物の検出、
距離や速度の測定をするための技術らしい。
でもなんでレーダーじゃだめなの?
そもそも、ライダーって何?
そんなギモンを持ったので調べてみた。
詳しいことはたくさん記事がネットにあるから、この記事ではライダーとレーダーの
違いに注目して、得意不得意といった観点から、カンタンにまとめてみたい。
ライダーとは
レーダーは、電波をつかって物体を検出する装置。
ライダーは、その光バージョンだ。光をつかって、物体を検出する。
検出できるもの
電波よりも、より波長の高い光(赤外線領域)を使うことにより、より細かい物体を検出できる。
レーダーの分解能は、100メートルの距離で数メートル。
ライダーは、数センチ。ライダーは分解能が高いから、対象物の位置、サイズや形状を正確に判断することができる。
高速に光を走査し、スキャンすること(1秒あたり何百回もの周囲検知を行う)で、
自分の周囲の先行車・歩行者・建物などの距離や形状、位置関係を3Dで把握することが可能。レーダーは、対象物が、電波が効率よく反射する物体(金属等)でないと、うまく認識できない。
つまり、ダンボールや岩、人間といった非金属の検出は難しい。
でも、ライダーはダンボールや岩も人もOK。どちらも、あくまで何かがそこにあるという情報だけで、実際にそれがどんな材質かは
(ダンボールか岩かといった情報)判定するのが難しい。
天候
- レーダーは雨は通り抜けるけど、ライダーは雨だと精度がおち、雪や霧はもっと苦手。
距離は?
- レーダーは遠距離は強いが、近距離は苦手。(30メートル以下とかは難しい)
ライダーは中距離から近距離が得意分野。でも、遠距離用とかもあるらしい。
夜は
- レーダー、ライダーはどちらも夜でもOK
その他
- ライダーはガラスを感知できない
- ライダーは色情報(信号機の赤と青といったもの)を見分けられない
- ライダーは値段が高かったことが課題だった。
最近はだいぶ小型化し、メカニカルな部分もなくして、
安いやつもでてきているみたい。- スタートアップのルミナー(Luminar)が、わずか500ドルという低価格の
LiDARを発表 (2019/7)
- スタートアップのルミナー(Luminar)が、わずか500ドルという低価格の
- カメラやレーダーだけで、ライダーなしで自動運転を目指していいる企業もいる
- TESRA が代表的
- でも、一般的には、ドライバーが関与しないレベル4やレベル5の自動運転を目指すのならば、
冗長化の観点からも、ライダーは必須な技術と考えている企業が多い模様。
- ライダーは高級車にすでに採用されはじめている
- レベル2
- レクサス
- MIRAI
- skyline
- アイサイト
- レベル2
まとめ
なるほどー、カンタンにまとめると、
ライダーは
- レーダーよりも解像度が高い
だから3Dマップのようなものがリアルタイムにつくれる - レーダーで苦手な中近距離の物体の検出が得意
- 夜は赤外線をつかっているから問題なし
- 悪天候時は精度がおちる
っといった特徴がある。
今回は、レーダーとライダーの比較をしたけど、他にもカメラや超音波を利用した
ソニックセンサーなど色々なセンサーがある。
それらを組み合わせて、どんな天候や状況に直面しても問題のないよう
お互いに補完しながら、自動運転を実現しようとしているんだね。
vol67. アッパーミシガン旅行
兼ねてから行きたかったアッパーミシガンに旅行してきた。 旅行中に訪れて良かった、いくつかの見所を紹介したい。
Petosky State Park
一泊目はここに止まる。
木が高い林の中でのキャンプ。
Petoskey State ParkMaps & Area Guide - Shoreline Visitors Guide
そして翌朝、Petoskey state park のビーチに向かった ここがとってもきれいな海岸 😄
風が凄い強かったけれども、海はすごいきれいな透き通ったブルー。
空は真っ青な空が広がり、その中に白い雲がちらほら。
そんな中、かなり高い波がビーチの砂浜に寄ってきて、子供はとても楽しそうだった
奥さんは有名なペトスキーストーン探し。
ペトスキーストーンは、石に亀の甲羅のような模様がついている珊瑚の化石。
売り物にもなっていて、集中力や判断力が向上し、
ヒーリングや瞑想にも使われるパワーストーンだとか。
実際に一個見つかったと喜んでた。
http://karapaia.com/archives/52174061.html
みんな楽しそうでよかったな
Tahquamenon falls state park
2泊目はTahquamenon falls state park でキャンプ。
夕食後に、lower fall の滝まで食後の散歩
往復1時間位の散歩だったけれども結構いい時間となった。
夜、上を見上げると沢山の星がとても綺麗。
翌朝、Upper Fall へ。滝の色が茶色。
ナイアガラ川から東の場所では、水量が春先では、全米で3番目(1位はNiagara Falls , 2位はCohoes Falls)にもなる大きな滝だとか。。
The upper falls are more than 200 feet (60 m) across and with a drop of approximately 48 feet (14 m) During the late spring runoff, the river drains as much as 50,000 US gallons (190,000 L) of water per second, making the upper falls the third most voluminous vertical waterfall east of the Mississippi River, after Niagara Falls and Cohoes Falls.
ちなみにこの水の色の秘密はUpper Peninsulaの森にあるそう。
北国に形成される針葉樹林の木の皮や樹液が溶けて、この色を作っているんだとか。
Pictured Rocks
三日目はPictured Rocksに。ここは見所いっぱい。
まずはvisiter center でmapをもらう。
地図はここからダウンロードできるよ。
www.nps.gov
そして向かったのはLog Slide
Log Slideは凄かった。
写真では伝わりにくいけど、めちゃめちゃ傾斜のある砂浜。 ほぼ崖。
下まで降りるのは2,3分だけど、戻るのは1時間かもしくはそれ以上かかるとか。。
子供が喜んでた。
ここから見渡す景色がとてもキレイだった。
その後、地図に乗っている見所をちょこちょこ寄ったりして、
嫁さん待望のフェリー乗り場に。これがPictured Rockの一番の見所とのこと。
https://picturedrocks.com/fares-schedule/picturedrocks.com
それが、、残念ながら、フェリーでの観光は空席がなくてできなかったー。
翌日の夕方にならないと空いてないとか。。
インターネットとかで前もって予約しておかないとダメだね。
嫁さんゴメン!!
最後に、有名なMiners Castle をみる
この日も楽しかった!!
kitch iti kipi
4日目はKitch iti kip へ。
"Mirror of Heaven"(天国の鏡)との異名をとる泉。
ありえないくらい、すごい綺麗。
水深10m以上あるんだけど、あまりにも透明なため、水面から底が見える。
大きな魚も泳いでいた。
こんなの見たことない〜。
Straits State Park camp
4泊目はここに泊まる。 Mackinac bridge すぐそばのstate park。
小さいけれどビーチも隣接されていて、子供は楽しそうだった。
橋が綺麗にみれる。
シャワーやトイレも新しくて綺麗だった。
ここのキャンプサイトもいいなぁ
Mackinac island
5日目は、大本命のMackinac island。
この日は島だけを一日楽しむ。
まずは、10:00のフェリーの便に滑りこみセーフ!!
予めネットでチケットだけを買っておくと、少し割安で乗れる。
待ち時間もなくすぐに搭乗できてラッキー。
フェリーの航路は2種類あって、普通にそのままMackinac islandに直行する便と 特別にMackinac bridgeの下を経由して、Mackinac島まで行ってくれる便がある。
嫁さんの用意周到な計画のおかげで、Mackinac bridge 経由の便にとれた。 間近で橋を見れて、最高!!
Mackinac島は車が禁止されていて移動手段は馬車か自転車(それと足)。 子供と嫁さんは自転車をレンタルして、僕は動ける姿に着替えて趣味のジョギングで島を回る。 一周は8mile(12km)。
マキナック島はとても素敵なところだった。 素敵な街並みと馬車、超キレイな海。 真っ青な空の元で、すれ違う観光客と人と笑顔で挨拶したり、馬車が通ったり、すげー気 持ちよかったー。
3時間くらいかけてゆっくりと回った。
ランチは、ビールに、バーガー、Buffalo wing。 嫁さんは、wrapを注文。fishもうまかったー。
食後に、子供がもう一周するというので、嫁さんは買い物。僕と子供たちは自転車で、レ ース大会に。2周目は40-50分で走る。
イチゴ、チョコアイスがうまかった
Sleeping Bear
6日目はSleeping Bearへ。
まずはVisitor center で地図をもらう。
地図をくださいと言うとnational park への入園料が$25必要と言われるので払った。
入園料を払ったかのチェックのために、途中ゲートがあるのかと思ったけど一切なし。。
これ、お金払わなくても入れるのでは??
まぁいいか。実際にこのnational park 公園を楽しみにきたので、
感謝の気持ちを込めて、気持ちよく払おう。。
地図をもらって見所を教えてもらう。
でも、Pierce Stocking Scenic Driveは工事中でcloseだって。残念。
いつ開通するかも未定だとか。
まずはDune Climb。
30分くらい歩くと遠くに海が見える。
海まで行くのに後どれくらいかかるのか。。。。
家族で相談して、ここで折り返すことにした。。
(後で調べると、実際に海まで片道2時間くらいかかるみたい。。途中で引き返して正解だった。☺️)
次にGlen Hevenの海まで。
ここの海もめちゃ綺麗だった。
そして最後に、Piramid Pointへ。
木の中を歩くこと20分くらいかな。。そしたら絶景が!!
うおー。なんだここは!! Log Slide をさらに強烈にしたような、オニような崖。
あまりの斜面の急さにへっぴり腰で歩きながら、恐る恐る景色が見やすい場所を探して見ると、
ん?よーく見ると至る所にカップルがひっそりと座っていて
サンセットを楽しみながら、イチャイチャしてる。
ここはそう言う場所なのね。。。
やがて夕焼けが近づく。。 おお、確かにロマンチックな場所だ。
Traverse city
最終日はtraverse city
まずlight house を訪問。
その後、ワイナリーでワインをtesting !!
どれも美味しかった。当初はそんなに買うつもりはなかったが、 あっさりと手口乗ってしまいワインを5本も購入。
traverse city を少し散策。
アイスクリーム屋さん。
まとめ
今回は、COVID19の心配もあったので、キャンプを中心に据えてプランをたてた。
初めてのキャンプ旅行だったけど、とてもいい思い出になった。
一泊$30程度。夕食も自炊だからだいぶ安上がり。
自然の中で、子供も楽しそう。
星もとても綺麗。皆が寝静まった後に、一人で自分を振り返るのにも、いい時間だった。
さすがに1週間ぶっとおしでキャンプにすると疲れるので、
適度にホテルを織り交ぜたこともよかった。
来年も行きたいなぁ。
アッパーミシガン旅行計画している人の参考になったらいいな。