前回は、IEEE802.1Xについて調べてみた。

john-rama01.hatenablog.com

今回は実際に動かしてみたので、メモ側代わりにブログに残しておく。

EAPの認証方式は、一番簡単なEAP-MD5を使う。

手順

以下の図のように、今回はRADIUS サーバー(認証サーバー)とauthenticatorは一つのLinux PC上で構成する。

1. ２つのPCをEthernet ケーブルで接続しておく
   　(windows PC/ethernet switch は必要ない。今回はモニター用に接続しているだけ)

2. authenticator 側設定

   • hostapd を起動する

     $hostapd /etc/hostapd_md5.conf

   • 設定ファイル

     • /etc/hostapd_md5.conf

       interface=eno0
       driver=wired
       ieee8021x=1
       eapol_version=2
       eap_server=1
       eap_user_file=/etc/hostapd_md5.eap_user

     • /etc/hostapd_md5.eap_user

       "user" MD5 "password"

3. supplicant 側設定

   • wpasupplicant を起動する

     $wpa_supplicant -Dwired -ieno0 -c/etc/wpa_supplicant_md5.conf

   • 設定ファイル
     • /etc/wpa_supplicant_md5.conf

       ctrl_interface=/var/run/wpa_supplicant
       network={
       key_mgmt=IEEE8021X
       eap=MD5
       identity="user"
       password="password"
       }

wireshark でpacket確認

実際にどんな通信をやっているのか確認するため、wireshark でメッセージを確認する。

remoteのLinux マシンでのethernetの通信を、windows マシン上のwireshark でモニタするため、以下のように、plinkを利用して、wiresharkを立ち上げる。
　

# DOS promptから

$plink.exe -batch -ssh root@192.168.99.91 "stdbuf -i0 -o0 -e0 tcpdump -i eno0 -s 0 -w - " | "C:\Program Files\Wireshark\Wireshark.exe" -k -i -

　
まずは、supplicant(16:34:01:de:e8:b2) がStart を送信。

authenticator はIDをRequestする

supplicant がID=user で応答。

authenticator はチャレンジ(乱数）をクライアントに送付

supplicant は、パスワードと受信したチャンレジから、ダイジェスト(MD5)を生成。値を返す。

supplicantから受信したダイジェストと、authenticator が自身で計算したダイジェストが一致していれば、SUCCESSを返す。

まとめ

今回は最も簡単なEAP-MD5をLinuxを使って動かし、メッセージのやり取りをモニターしててみた。
　
なるほどねー。たしかに、メッセージのやり取りをみてても、サーバー側の認証は一切おこなわないことが確認できる。。 　
実際に動かしてみると理解が深まるなぁ。

MACSecについて最近調べている

john-rama01.hatenablog.com 　
　

MACSec のencryption 方式は、GCM-AES-128, GCM-AES-256という理解でいたが、
さらに調べてみると、GCM-AES-XPN-128, GCM-AES-XPN-256, なるものがあるらしい。

XPN ??

なんだ、それは？
そんな encryption 方式はないぞ。
というわけで少し調べてみた

XPN(extended Packet Numberering)とは

• IEEE802.1AEbw-2013
  • IEEE802.1AEのamendment
• SecTAGのPN fieldを拡張
  • Packet Number を32bitから64bitに拡張

なぜXPNが必要になったのか？

• MACSec frame は32bit のPN(Packet Numbering) field をもつ
• MACSec frame はSAK(Secure Association Key)を用いて、encryption/ICVの計算を行う
• SAKはPN が0から2³² までは同じものを使う
  • PNがwrap up すると、新しいものを使う
• データーセンター等では、Ethernet のスピードがとてもはやい
  • 現行で400Gb/s
  • 次世代は800Gb/s
• 400Gb/sでは、最悪、2秒でPNはwrap up してしまう(*1)
• SKAを発行はMKA(Macket Key Agrement) protocol (IEEE802.1X-2010) を用いておこなわれる
  • SKAを2秒で更新するのは、ムズカシイ
• だからPNを64bitに拡張することとなった
  • 64bitならば、一つのSKAで数年は持つ

ポイント

• IV 生成方法が変更
  • Salt を使用する
  • SSCI(Short Secure Channel Identifier)導入
• SecTAG formatは変更なし
  • PN field の長さは32bitのまま変わらない
    • PNのLSB 32 bitはSecTAGのPN fieldで転送
    • PNのMSB 32bitは受信側でrecovery
      • アルゴリズム
        https://www.ieee802.org/1/files/public/docs2012/aebw-seaman-xpn-recovery-0612-v02.pdf

なぜMACSec のPN field を単純に64 bitに拡張しなかったのか？

"GCM Cipher Suites with Extended Packet Numbering" (*1)に以下の記載がある

Design choices were significantly informed by SP 800–38D’s requirement
for a 96-bit IV when more than 2³² invocations are made with a single key.
This rules out ‘simply extending’ the PN field in the SecTAG.

まとめ

なるほどね。データセンターとかではものすごい数のフレームが、
ものすごいスピードで流れているから、PNが32bit しかないと、すぐにPNがwrap upしてしまうのね。
　
PNがwrap up すると、新しいSAK(Secure Association Key)を発行するまで、
新しいMACSec フレームが遅れなくなってしまう。
SAKの発行はそれなりに時間がかかるから（数秒？）、2秒程度でPNがwrap upしてしまっては問題。
　
この問題を解決するために、PNが64bitに拡張されたのか。

参考

1: https://www.ieee802.org/1/files/public/docs2011/new-seaman-macsec-xpn-0711-v1.pdf
2: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/16-9/configuration_guide/sec/b_169_sec_9300_cg/macsec_encryption.html

電源がはいらない

アメリカのわが家の地下室で、大活躍中のホームシアターシステム。 そのAV Receiverである、RX-V583が壊れたー。 （泣）

john-rama01.hatenablog.com jp.yamaha.com

この子が、最近、コイル鳴き（ジーって音）がひどくて、なんとか直せないものかと
筐体をあけて音の発生源をしらべてたら、
バチッっと基盤に手がふれてしまいショートしてしまった。

そしたら、電源がはいらなくなってしまったー😭 😭 😭
リモコンの電源ボタンを押してもスタンバイボタンが点滅するだけ。

本体の電源ボタンを押しても同じ。
コンセント抜き差ししてみてもNG。

いろいろためしてみたけど、全然だめたー。
結構気に入っていたのにー。

保証修理期間も２年間で、すでに過ぎているし、
気軽に買い換えれるものでもない。。。
泣きそう。。。
　 　

電源がはいらないのは、保護回路によるもの

鬼のようにググったら、説明書にこのような記載があった。

保護回路が働いているらしい。。
そして、直すには、YAMAHAの修理センターにおくって直してもらう必要があるらしい。

手違いでショートしてしまったために、保護回路が叩いて
電源がONできないようになっているだけなのに。。。

つーか、アメリカに、Yamaha修理センターなんてあるのか？

いい機会だから、新しく買い換えることも考えてみた。
$300ドルくらい払うとRX-V385というやつが購入できるが、
Wifi機能(air play)もないし、チャンネル数もRX-V583 が7.1chに対し、
RX-V385は5.1ch。。。購入するのもアホらしい。。。

うーん。。。。

保護回路リセット！！

　
半分泣いて、半分あきらめながらも、英語でググりまくってたら、
こんなサイトをみつけた！！！
https://www.fixya.com/support/t25383194-reset_protection_circuitry_yamaha_rx

!!!!!

Press and hold the 'tone control' and 'info' buttons and press power. This will release the protect.

おおお？？
なんだこれ？

これはRX-A820向けの投稿だけど、RX-583にも同じボタンがある。

そして、そーとためしてみると。。。

パチッ！！ ⭐

おおー。電源がはいったー。
直ったー。 😍😍😍 リモコンも効くし、コンセントを抜いても、ちゃんと電源が入るようになったー！！
もとに戻ったー！！

なんということでしょう！！
ほぼほぼ諦めていたのに、こんなカンタンに保護回路機能が解除できるとは。。。
インターネットの時代はすごいなー。
ネットがなかったら絶対にわからんわー。
感謝感謝。

まとめ

というワケで、

保護回路をリセットするには、"tone control" と "info" ボタンと電源ボタンの同時押し

日本語でこういう記事がなかったので、blogに書いておきます。
誰かがこの記事で救われるといいな。

あくまで自己責任でね。

兼ねてから行きたかったアッパーミシガンに旅行してきた。 旅行中に訪れて良かった、いくつかの見所を紹介したい。

Petosky State Park

一泊目はここに止まる。
木が高い林の中でのキャンプ。

Petoskey State ParkMaps & Area Guide - Shoreline Visitors Guide

そして翌朝、Petoskey state park のビーチに向かった ここがとってもきれいな海岸 😄

風が凄い強かったけれども、海はすごいきれいな透き通ったブルー。
空は真っ青な空が広がり、その中に白い雲がちらほら。
そんな中、かなり高い波がビーチの砂浜に寄ってきて、子供はとても楽しそうだった

奥さんは有名なペトスキーストーン探し。
ペトスキーストーンは、石に亀の甲羅のような模様がついている珊瑚の化石。
売り物にもなっていて、集中力や判断力が向上し、
ヒーリングや瞑想にも使われるパワーストーンだとか。
実際に一個見つかったと喜んでた。

http://karapaia.com/archives/52174061.html

みんな楽しそうでよかったな

Tahquamenon falls state park

２泊目はTahquamenon falls state park でキャンプ。

夕食後に、lower fall の滝まで食後の散歩
往復1時間位の散歩だったけれども結構いい時間となった。
夜、上を見上げると沢山の星がとても綺麗。

翌朝、Upper Fall へ。滝の色が茶色。

ナイアガラ川から東の場所では、水量が春先では、全米で3番目(１位はNiagara Falls , ２位はCohoes Falls)にもなる大きな滝だとか。。

wikipediaより

The upper falls are more than 200 feet (60 m) across and with a drop of approximately 48 feet (14 m) During the late spring runoff, the river drains as much as 50,000 US gallons (190,000 L) of water per second, making the upper falls the third most voluminous vertical waterfall east of the Mississippi River, after Niagara Falls and Cohoes Falls.

ちなみにこの水の色の秘密はUpper Peninsulaの森にあるそう。
北国に形成される針葉樹林の木の皮や樹液が溶けて、この色を作っているんだとか。

Pictured Rocks

三日目はPictured Rocksに。ここは見所いっぱい。
まずはvisiter center でmapをもらう。
地図はここからダウンロードできるよ。
www.nps.gov

そして向かったのはLog Slide

Log Slideは凄かった。

写真では伝わりにくいけど、めちゃめちゃ傾斜のある砂浜。 ほぼ崖。

下まで降りるのは2,3分だけど、戻るのは1時間かもしくはそれ以上かかるとか。。

子供が喜んでた。
ここから見渡す景色がとてもキレイだった。
　
　
その後、地図に乗っている見所をちょこちょこ寄ったりして、 嫁さん待望のフェリー乗り場に。これがPictured Rockの一番の見所とのこと。

https://picturedrocks.com/fares-schedule/picturedrocks.com

それが、、残念ながら、フェリーでの観光は空席がなくてできなかったー。
翌日の夕方にならないと空いてないとか。。
インターネットとかで前もって予約しておかないとダメだね。

嫁さんゴメン！！
　

最後に、有名なMiners Castle をみる

この日も楽しかった！！

kitch iti kipi

4日目はKitch iti kip へ。

"Mirror of Heaven"(天国の鏡)との異名をとる泉。　

en.wikipedia.org

ありえないくらい、すごい綺麗。

水深10m以上あるんだけど、あまりにも透明なため、水面から底が見える。
大きな魚も泳いでいた。

こんなの見たことない〜。

Straits State Park camp

4泊目はここに泊まる。 Mackinac bridge すぐそばのstate park。

www.youtube.com

小さいけれどビーチも隣接されていて、子供は楽しそうだった。
橋が綺麗にみれる。
シャワーやトイレも新しくて綺麗だった。
ここのキャンプサイトもいいなぁ

Mackinac island

5日目は、大本命のMackinac island。
この日は島だけを一日楽しむ。

まずは、10:00のフェリーの便に滑りこみセーフ！！
予めネットでチケットだけを買っておくと、少し割安で乗れる。 待ち時間もなくすぐに搭乗できてラッキー。

フェリーの航路は２種類あって、普通にそのままMackinac islandに直行する便と 特別にMackinac bridgeの下を経由して、Mackinac島まで行ってくれる便がある。

嫁さんの用意周到な計画のおかげで、Mackinac bridge 経由の便にとれた。 間近で橋を見れて、最高！！

Mackinac島は車が禁止されていて移動手段は馬車か自転車（それと足）。 子供と嫁さんは自転車をレンタルして、僕は動ける姿に着替えて趣味のジョギングで島を回る。 一周は8mile(12km)。

マキナック島はとても素敵なところだった。 素敵な街並みと馬車、超キレイな海。 真っ青な空の元で、すれ違う観光客と人と笑顔で挨拶したり、馬車が通ったり、すげー気 持ちよかったー。

3時間くらいかけてゆっくりと回った。

ランチは、ビールに、バーガー、Buffalo wing。 嫁さんは、wrapを注文。fishもうまかったー。

食後に、子供がもう一周するというので、嫁さんは買い物。僕と子供たちは自転車で、レ ース大会に。2周目は40-50分で走る。

イチゴ、チョコアイスがうまかった

Sleeping Bear

6日目はSleeping Bearへ。
まずはVisitor center で地図をもらう。

地図をくださいと言うとnational park への入園料が$25必要と言われるので払った。

www.nps.gov

入園料を払ったかのチェックのために、途中ゲートがあるのかと思ったけど一切なし。。
これ、お金払わなくても入れるのでは？？
まぁいいか。実際にこのnational park 公園を楽しみにきたので、
感謝の気持ちを込めて、気持ちよく払おう。。

地図をもらって見所を教えてもらう。
でも、Pierce Stocking Scenic Driveは工事中でcloseだって。残念。
いつ開通するかも未定だとか。

まずはDune Climb。

30分くらい歩くと遠くに海が見える。
海まで行くのに後どれくらいかかるのか。。。。 家族で相談して、ここで折り返すことにした。。 (後で調べると、実際に海まで片道2時間くらいかかるみたい。。途中で引き返して正解だった。☺️)

次にGlen Hevenの海まで。
ここの海もめちゃ綺麗だった。

そして最後に、Piramid Pointへ。

木の中を歩くこと20分くらいかな。。そしたら絶景が！！

うおー。なんだここは！！ Log Slide をさらに強烈にしたような、オニような崖。

あまりの斜面の急さにへっぴり腰で歩きながら、恐る恐る景色が見やすい場所を探して見ると、
ん？よーく見ると至る所にカップルがひっそりと座っていて
サンセットを楽しみながら、イチャイチャしてる。

ここはそう言う場所なのね。。。

やがて夕焼けが近づく。。 おお、確かにロマンチックな場所だ。

Traverse city

最終日はtraverse city

まずlight house を訪問。

その後、ワイナリーでワインをtesting !!

www.chateauchantal.com

どれも美味しかった。当初はそんなに買うつもりはなかったが、 あっさりと手口乗ってしまいワインを５本も購入。

traverse city を少し散策。

アイスクリーム屋さん。

まとめ

今回は、COVID19の心配もあったので、キャンプを中心に据えてプランをたてた。
初めてのキャンプ旅行だったけど、とてもいい思い出になった。

一泊$30程度。夕食も自炊だからだいぶ安上がり。
自然の中で、子供も楽しそう。
星もとても綺麗。皆が寝静まった後に、一人で自分を振り返るのにも、いい時間だった。

さすがに１週間ぶっとおしでキャンプにすると疲れるので、
適度にホテルを織り交ぜたこともよかった。

来年も行きたいなぁ。

アッパーミシガン旅行計画している人の参考になったらいいな。