« 情報セキュリティ国際評価基準 | Main | 警告やエラーのポップアップの裏を覗いてみる »
我が家でも Time Capsule を本格的に利用し始めました。
ちょっと前に Time Capsule が我が家に届いたので、自分が普段使用している MbaBook Pro の OS を Mac OS X 10.5 (Leopard) にバージョンアップしました。これで Time Machine が使えるようになったので、だいたい環境設定が整ったところで Time Capsule を開封し設置しました。
Time Capsule を設置予定場所の廊下でコンセントに繋いで部屋に戻ってくると Leopard が Time Capsule を見つけ出しています。まずは LAN とは独立した IP アドレスを持たせて Time Capsule とこの Leopard マシンだけの Wi-Fi LAN を組んでバックアップさせてみました。バックアップ対象は 30GB にも満たないですがそれでもさすがに 30GB は時間がかかります。待っている間に AirMac ユーティリティを使って Time Capsule でできることとできないことを調べていました。
そうしたら Time Capsule の Wi-Fi 機能が充実していることに気付きました。それなら既存の Wi-Fi アクセスポイントと入れ替えようということになりました。それに Time Capsule からインターネットに接続できないとちょっとまずいというのもありましたし。
我が家にも NTP サーバがあるのですが、MacBook Pro とだけの無線 LAN を使用していたらそれにもアクセスできません。もちろんインターネット上の NTP サーバにもアクセスできません。
ファイル共有をするマシンには特に時間合わせは重要です。そうでないとファイルやフォルダの更新日時が変なことになってしまいますからね。
ファームウェアのアップデートがあると Time Capsule の LED ランプがオレンジ色に点滅するという機能があります。MacBook Pro とだけの無線 LAN だとファームウェアのアップデートがあるかどうか確認できません。
その他 Bonjour 機能を使ってインターネット越しに繋ぐ機能もあるみたいですがこれはちょっと怖いし、そもそも我が家のネット環境ではダイナミック DNS などを設置していないので使えません。あと、PPPoE もできるので ADSL モデムに繋いで Time Capsule を 有線 + 無線 のルータとして使うなんてこともできそうですね。
この無線 LAN の存在を隠すことができます。接続試行すらさせません。
MAC アドレスでマシンを識別し、許可されたマシンだけ接続を許します。普通の Wi-Fi アクセスポイントは許す/許さないの設定ですが、Time Capsule は時間帯や曜日を指定して、このときにだけ許すという設定ができます。例えばカフェがお客さんに無線 LAN を提供するときに、営業時間帯だけ接続を許すなんていうことができます。
これと併用はできないようですが RADIUS サーバによる認証もサポートしています。
Wi-Fi アクセスポイントのセキュリティとしてこの三点セットがちゃんとあったのです。ということは既存の Wi-Fi アクセスポイントを撤去して Time Capsule に置き換えてもヘッチャラです。既存の Wi-Fi アクセスポイントには攻撃を受けたら管理用のソフトを動かしているパソコンに通報する機能がありました。しかし、そのソフトは Windows 用のソフトでどうせ使っていませんでした。
DHCP 機能で無線接続してきたクライアントの IP アドレスを自動で選択して払い出すわけですが、同じマシンは同じ IP アドレスを払い出したいものです。そうでないと、ssh や sftp でアクセスしたときに、同じ IP アドレスだけどマシンの指紋が違うから変だよと言われて接続できないことがあります。更に LAN 内で何かネットワーク的な不具合が発生したり、セキュリティインシデントが発生したときにサーバのログを見てもよくわからなくなったりします。
DHCP は便利だけどこういう理由で固定 IP アドレスを使いたいとき、普通は Wi-Fi クライアント側で固定 IP アドレスを設定しますよね。そうすると自宅用の LAN の設定と他の設定が分離してしまうことになります。DHCP で払い出される IP アドレスがマシン毎に一定なら問題は解決するわけです。これはそういう機能なのです。
しかしこの機能は惜しいところで既存の Wi-Fi アクセスポイントに及びませんでした。というのは Time Capsule が DHCP サーバになってくれるのは無線 LAN に限定されているからです。どっちにしろ僕は有線 LAN のネットワーク機器(パソコンだけじゃなくて DVD HDD レコーダとか多機能プリンタとか)に固定で IP アドレスを割り当てるので困りませんが。
それで今、撤去された既存の Wi-Fi アクセスポイントをどうしようか思案中です。実は既存の Wi-Fi アクセスポイントと入れ替えるにあたって、Time Capsule を廊下から居間に移動しました。我が家は各部屋に LAN ソケットを設置してあるのです。だから既存の方を二階にある寝室に持ってきて WDS 機能で二階の無線 LAN も強力にするという手もあります。しかし既存の方は IEEE 802.11n には対応していません。IEEE 802.11n の機器同士でないと駄目なんだそうです。
というのは居間と僕の仕事部屋は家の対角線上にあって最も離れた部屋なのです。壁に埋め込んである断熱材か何かわかりませんが、居間からの電波が微弱です。もっとも Time Capsule に入れ替えたら今まで電波強度のインジケータが 3 目盛り中 1 目盛りだったのが 2 から 3 目盛りになりました。iPod touch ではいつも 1 目盛りで、向きや場所によって切れていたのが 2 目盛りになりました。だから WDS 機能は特に要らなくなりました。
撤去した方でもう一つ無線 LAN を組むと我が家は無線 LAN だらけになってしまいます。でも娘ちゃんのニンテンドー DS を繋げる無線 LAN がありません。ニンテンドー DS は WEP までしか暗号化された無線 LAN をサポートしていないからです。WEP は既に破られているのでそういう無線 LAN が常時開設されっ放しは嫌なんですよねえ。
なんか無線 LAN の話ばかりになってしまいました。バックアップ機能のこともちょこっと付け足しておきましょう。
僕は Parallels Desktop for Mac を使って Windows や Linux、それに FreeBSD も使っています。これらのゲスト OS 達は全部で 40GB くらいで、これを MacBook Pro のハードディスクに載せると窮屈です。実際、Tiger のときはそれでディスクがいっぱいになってしまいました。それで今は外付けハードディスクにゲスト OS 達を入れています。これもバックアップ対象にしたいのです。
t0mori さんから Time Machine は外付けハードディスクもバックアップ対象だと教わっていましたが、まだ整備途中の Leopard には Tiger を丸ごとバックアップしたハードディスクを手放せません。そのハードディスクはゲスト OS と同じハードディスク(でもパーティションは別)にあるのです。
さて困りました。外付けのハードディスクも自動的にバックアップされてしまうのだとしたら、Tiger のバックアップのバックアップがとられてしまい無駄が発生します。Time Machine は Time Capsule の空きがなくなるまで古いバックアップも残していくのですが、これだと現在の Leopard で遡れる範囲が狭くなってしまいます。しかし同じハードディスクのゲスト OS 達はバックアップしたいのです。
Time Machine が次回のバックアップを待っている間、おそるおそるその外付けハードディスクを繋いでみました。そして速攻で Tiger のバックアップがあるパーティションをバックアップ対象から外す設定をしました。これで安心と思ってしばらくしてから、ふとバックアップの除外対象の設定をもう一度見るとゲスト OS のパーティションも入っています。
どうやら /Volumes にマウントされた外付けハードディスクのボリュームやネットワークボリュームはデフォルトではバックアップ対象にはならないようです。そういうのでバックアップしたいものは明示的に除外対象から外すといいみたいです。実際ゲスト OS のパーティションを除外対象から外すとすぐにバックアップが始まりました。なんか心配して損した気分です。