ヤマハルーター設定セミナーサイトオープン

Posted by on August 5, 2011

ヤマハルータ設定セミナーサイトがオープンしました。

http://www.yamaharouterseminar.com/

自力で構築
ヤマハルーター VPN初級トレーニングセミナー
ヤマハルーター ポイントセミナー

を定期的に開催中です。
ぜひご参加ください。

詳細はこちら

VPNとフィルタ型ルーティング

Posted by on March 7, 2010

yamaha-filter-routing-concept

ヤマハルーターが備えるフィルター型ルーティングは、同一方向経路でありながら途中の経路を条件指定で複数経路に割り振ることができ、経路選択の条件指定をフィルタで行うので「フィルタ型ルーティング」と呼びます。以下の疑似設定で考えてみます。

ip lan1 address 192.168.1.1/24
ip filter 1 pass 192.168.1.0 * * * *
ip filter 2 pass 192.168.2.0 * * * *
ip route default gateway pp 1 filter 1 gateway pp 2 filter 2
pp selsect 1
# プロバイダ 1の設定
ip pp nat descriptor 101
pp enable 1
pp selsect 2
# プロバイダ 2の設定
ip pp nat descriptor 102
pp enable 2

以上の設定では、ローカル側192.168.1.0/24のセグメントはプロバイダ1で通信、192.168.2.0/24のセグメントはプロバイダ2で通信します。もちろんLAN側の別のルーターへの経路に振ってもかまいません。

ip route default gateway pp 1 filter 1 gateway 192.168.1.254 filter 2

このように「default」は本来一つの経路しか持ち得ないのですが、defaultの向け先をフィルタの条件に従って振り替えているのです。VPNの宛先等、特定の経路は直接インターネットに出し、その他の経路はVPN越えして本社から出す。等がこの例の応用です。もちろん、defaultのみだけでなく、その他のセグメント行きも同様に条件により切り替えることができます。

ヤマハルーターのDoS攻撃への脆弱性の告知の解説

Posted by on September 28, 2009

ヤマハルーターのDoS攻撃への脆弱性の告知の解説

こんにちは。匠技術研究所の谷山 亮治です。
ヤマハからヤマハルーターのサービス運用妨害(DoS)攻撃への脆弱性の告知が出ました。ヤマハルーターご利用者の方はご一読をおすすめします。

ヤマハ:TCPの実装におけるサービス運用妨害(DoS)の脆弱性について


以下の内容は匠技術研究所の谷山 亮治が作成したもので、ヤマハ様とは無関係です。ヤマハ様の技術的なアナウンスを実際の利用形態に合わせて解説を行うものです。内容は正確性を期してはい ますが、情報セキュリティの性格上完全性をお約束するものではなく無保証です。お気づきの点はご遠慮無くヤマハルーターに関するお問い合わせにてお知らせください。たいへん助かります。[1]サービス運用妨害(DoS)の脆弱性のあらまし

この脆弱性はヤマハルーターそのものがTCP/IP通信の「サーバー側」の機能を提供する部分にあります。

1.telnet(23)
2.pptp(1723)
3.ssh(22)
4.http(80)
5.bgp(179)
6.UPnP(2869)

このポートがインターネット外向けに開いている場合、ポートスキャン等で検出され、DoS攻撃を受ける可能性が高まります。static nat等で接続ポート番号の変更をしている場合でも脆弱性に変わりはありません。もちろん、内部からの攻撃対象にもなり得ます。

[2]サービス運用妨害(DoS)の脆弱性の影響
サービス運用妨害(DoS)攻撃を受けた場合、ルーターが再起動するなど一時的な通信障害が発生する可能性があります。攻撃者は脆弱性のある相手を繰り返 し攻撃する可能性もあります。安定して動いていたにもかかわらず、予期しないルーターの再起動がおこる、あるいはルーターの再起動がくりかえされるという 現象になります。

今は大丈夫でも、対策をしないままでいると、サービス運用妨害(DoS)攻撃を受ける可能性があります。ただ、この脆弱性をもって不正侵入はできません。被害の範囲はルーターの停止です。

[3]主な利用形態での脆弱性攻撃の可能性を考える
ヤマハルーターの利用形態で考えられるインターネット側からの脆弱性攻撃の可能性は、主として、以下の場合があります。

1.インターネットでPPTP VPNを利用している
離れた事務所をインターネットVPNでPPTP VPNを使って接続している場合はPPTPポート(1723)が開いています。対策は必須です。
全機種、工場出荷状態でPPTP VPNは稼働しません。

2.インターネット経由でtelnetによるヤマハルーターの遠隔保守を行っている
インターネットに向けてtelnetポート(23)が開いています。対策が必須です。
全機種、工場出荷状態でtelnet(23)が動作しています。一般にファイヤーウオール機能でインターネット側からの接続は遮断します。

3.インターネット経由でブラウザでの遠隔保守を行っている
インターネットに向けてhttpポート(80)が開いています。対策が必須です。
ブラウザ設定ができる機種では工場出荷状態でhttp(80)がLAN(内)側からアクセスできます。

4.インターネット経由でブラウザでの遠隔保守を行っている
インターネットに向けてsshポート(22)が開いています。対策が必須です。
全機種、工場出荷状態でSSH(22)は稼働しません。

5.インターネットに向けてBGPによる経路制御を行っている
ヤマハルーターの利用形態の場合、一般企業のインターネット接続では、BGPをインターネットに向けて通信することはありえないネットワーク構成です。 ヤマハルーターでのBGPは、一般企業ではIP-VPNで知られる通信事業者による閉域網を冗長構成で使う場合が考えられます。この場合は閉域網なのでイ ンターネット(外)側からの攻撃はありません。プロバイダ事業者がインターネット上でBGPを使う場合は、対策が必要です。
全機種、工場出荷状態でBGP(179)は稼働しません。

6.インターネットに向けてUPnPポートを開いている
ヤマハルーターの利用形態ではありえないネットワーク構成です。UPnP機能はLAN(内)側のプライベートIPセグメントに対して使うものです。一般にファイヤーウオール機能でインターネット側からの接続は遮断します。
一部機種、バージョンで、工場出荷状態でUPnP(2869)は稼働しています。

[4]当面の対策
ヤマハルーターのバージョンアップを待つことは当然ですが、バージョンアップができない場合もあります。今回該当するDoS攻撃の可能性を減らすには、いくつかの方法があります。

1.外向けに該当ポートを開かない
上記ポート全てがインターネット側に開いていなければ攻撃の対象になりません。

2.インターネット側からヤマハルーターに接続する通信相手を限定する
ヤマハルーターのフィルタ機能で、特定の通信相手のみ接続可能にします。こうすることで攻撃のできる相手を限定します。不特定の攻撃者からの接続を排除することで、攻撃の可能性を大幅に減らすことができます。

[5]対策で困ること
おそらくもっとも困るのは、インターネット経由のPPTP VPN接続です。PPTP VPNは以下の場合に使われます。

■モバイルパソコンから事務所のヤマハルーターにPPTP VPN接続する
■NetvolanteDNS等のダイナミックIPでのPPTP VPN接続する

これらの場合、IPアドレスを確定することができないので通信相手を限定できません。脆弱性の解消には、固定IPに変更することが必要です。またはIPsecなど異なるVPNに変更する必要があります。

また、インターネット経由の遠隔保守も困ります。もともとtelnet、httpは暗号通信ではないので遠隔保守には向きません。今後は固定IPからのSSH接続に切り替える必要があります。

[6]実務的に相談するには
匠技術研究所では、本脆弱性に関し、個人利用の方を除く、エンドユーザ様、ヤマハルーターの販売会社様のご相談をメールで承ります。ご利用の形態に応じ た対策が必要なので、ご利用形態によっては対策の提示は有償となりますので予めご了承ください。なお、個人利用の方は販売店様にご相談ください。


ヤマハルーターに関するお問い合わせ

RTX1200/RTX1100間でIP-VPN

Posted by on May 19, 2009

RTX1200/RTX1100はIP-VPN回線を使うことができます。先般IP-VPN回線でのイントラネット開通を行いました。通信事業者はKDDIです。

RTX1200-IP-VPN

利用したKDDIのIP-VPN網の場合は、ヤマハのホームページの事例の設定とは異なります。IP-VPNの良さは単一の通信事業者に閉じたネットワークなので、障害の少ないネットワークを構成することができます。

また「通信事業者の網」なので、応答時間の予測がつきます。今回の設定は東京都内ルーター間対向で5msec台で安定して推移し、回線越しとしては極めて安定した通信です。

IP-VPNで組むネットワークは、ルーター側で暗号処理をする必要がないことも特徴です。そのためルーターの負荷も低く抑えられます。

今回のIP-VPNの開通は現地設定以前に作成した設定のままで、問題なく接続ができました。実は開通済みの対向ルーターの接続設定を見ること以外は、回線事業者様が提供する接続要件をエンドユーザー様から一切提示していただけないという変則的状況でした。そういう中で無事開通でき、別途紹介しますがIP-VPNの障害時にはインターネットVPNへの自動迂回も予定通り実装しています。

自動迂回を実現するために対向ルーターの設定も調整しました。

RTX1200とEMobile D02HWでネット接続

Posted by on March 28, 2009

RTX1200にEMobileのD02HWを接続してインターネットにつなぐことができました。docomo FOMAハイスピードL-02Aと同様に問題なくつながりました。
RTX1200-EMobile
概ね docomo FOMAハイスピードL-02Aと同じ振る舞いですが、EMobileの方がFOMAハイスピードより、回線接続に要する時間が短いようです。このような携帯系高速通信が普及により、何処でも安定したルーターを使うことができます。詳細は追って公開します。

RTX1200のFOMA L-02A接続ログ

Posted by on March 19, 2009

ヤマハルーターRTX1200とdocomo FOMA L-02Aの接続の様子です。

ヤマハRT1200とdocomo FOMA L-02A

実際に接続したときのログは以下の通り(一部伏せ字)です。

■接続時

2009/03/18 07:33:00: PP[01] IP Commencing:
2009/03/18 07:33:00: PP[01] IP Commencing: ICMP 192.168.100.1 > 202.xxx.yy.zz :
echo request
2009/03/18 07:33:00: PP[01] Calling mopera.flat.foma.ne.jp with usb1
2009/03/18 07:33:00: [MOBILE] Signal Strength (0-3): 3 (usb1)
2009/03/18 07:33:00: USB[1] SEND [ATD*99***4#]
2009/03/18 07:33:03: USB[1] RECV [CONNECT 7200000]
2009/03/18 07:33:03: USB[1] Connected 7200000 bps
2009/03/18 07:33:06: PP[01] PPP/IPCP up  (Local: 220.xx.yy.zz, Remote: 219.zz.yy.xx)
2009/03/18 07:33:06: PP[01] Local  PP IP address 220.xx.yy.zz
2009/03/18 07:33:06: PP[01] Remote PP IP address 219.zz.yy.xx

■ 切断時

2009/03/18 07:35:40: USB[1] SEND SIGNAL [DTR=OFF]
2009/03/18 07:35:42: USB[1] RECV [NO CARRIER]
2009/03/18 07:35:42: USB[1] SEND [ATH]
2009/03/18 07:35:42: PP[01] Disconnected, cause [Data transaction timer (SEND) expired]
2009/03/18 07:35:42: [MOBILE] Signal Strength (0-3): 3 (usb1)


				

RTX1200+FOMAハイスピードの通信速度

Posted by on March 12, 2009

ヤマハRTX1200+FOMAハイスピードでのインターネット速度です。

初期の条件の良いADSL並みの速さが、今は携帯で実現します。

この記事は、上記速度を測定した

  • Eee PC S101
    • RTX1200に有線LAN100Mbps接続

で投稿しました。

RTX1200の工場出荷設定でのシステム状態

Posted by on March 12, 2009

RTX1200工場出荷設定で起動した直後のシステムの状態です。

> show environment
RTX1200 BootROM Ver.1.00
RTX1200 Rev.10.01.08 (Thu Dec 18 15:40:26 2008)
main: RTX1200 ver=b0 serial=D26001023
MAC Address=00:a0:de:36:d1:28
MAC Address=00:a0:de:36:d1:29
MAC Address=00:a0:de:36:d1:2a
CPU: 0%(5sec) 0%(1min) 0%(5min) メモリ: 16% used
実行中ファームウェア: exec0 実行中設定ファイル: config0
デフォルトファームウェア: exec0 デフォルト設定ファイル: config0
起動時刻: 2009/03/12 15:33:45 +09:00
現在の時刻: 2009/03/12 15:37:08 +09:00
起動からの経過時間: 0日 00:03:23
セキュリティクラス レベル: 1, タイプ: ON, TELNET: OFF
筐体内温度(℃): 21
>

出先も事務所

Posted by on March 10, 2009

匠技術研究所では「出先も事務所」を実現します。

  • 業務効率を改善したい
    • 移動中の電車で会社のメールを確認、返信。
    • 訪問待ち合わせ時間に会社のメールを確認、返信。
    • 最新の在庫状況を確認したい。
    • 細切れの時間を有効活用したい。
  • 在宅勤務を有効活用したい
    • 在宅勤務者専用の業務パソコンを会社に接続したい
    • 在宅勤務者が会社と同じように勤務できるようにしたい

匠技術研究所では、この両方を実現し、実際に使っています。会社の経費節減の切り札は「出先を事務所化=細切れの時間を最新情報で有効活用」すること、「在宅勤務社宅を事務所化=在宅勤務を積極・有効活用」することです。

小規模事業者だからこそ「出先も事務所」で最新の情報を活用し、業務の効率を上げて競争力を高めましょう!

「出先も事務所」のお問い合わせはこちらから

匠のヤマハルーターセミナー

Posted by on February 14, 2009

 匠技術研究所では、ヤマハルーターの技術セミナーを開催しています。ヤマハルーターの技術セミナーを実施しているところは少なく、弊社の他は発売元の住商情報システムが実施しています。

住商情報システムの技術セミナーの源流はヤマハルータービジネス立ち上げ期にできました。住商情報システムと弊社のセミナーの根本的な違いは、ルータを販売する側からの目か、ネットワークを使う側からの目かの違いで、補完関係にあります。今後は、ユーザー様にとって良いセミナーとなるよう住商情報との連携を深めて行きます。

ヤマハルーターは技術情報を公開することを前提としています。発売開始から「設定例集」が添付・公開されており、設定例を解説つきで知ることができます。また、ヤマハはrtpro.yamaha.co.jpを通じて豊富な技術情報を提供しています。メーカーが積極的な情報公開をしていることに加え、rt100i-usersという、メーリングリストでのルーター利用者間のコミュニティベースの情報交換の場が充実しています。このような背景から、技術セミナーに頼ることなく豊富な情報を入手可能です。

ヤマハルーターシステム管理関連図

1995年発売当初のヤマハのルーターは「7行設定」を標榜し「簡単に設定できるルーター」が売りでした。その後、日本のネットワークの実情にあった機能追加を積極的におこない、IPマスカレード、回線バックアップ、IPsec VPNを低価格なルーターの中でいち早く対応し、普及の大きな要因となりました。

今のヤマハルーターは、もはや「7行設定」では使うことができません。多機能になりコマンドの数も驚くほど増えています。

多機能化は設定の多様化につながっており、同じことを実現する方法が複数あります。ところが、ルーターの利用者はどの実現方法が自社のネットワークに適しているかを知ることは困難です。各ユーザや、システムの販社が、ルータの設定に関し、複数の選択肢を実践的に評価し、最適な解を選択することは考えられません。

一方、簡明なネットワーク設計と、ヤマハルーターの機能との組み合わせで、ほとんどの企業のネットワークを構築できます。近年は一般の企業のみならず、医療画像伝送のネットワーク、病院のネットワーク等も構築しています。

このようなネットワークを構築するときは、典型的な設定例と、ルーターのコマンドを知っているだけでは不十分です。ネットワークの設計フェイズでは、アプリの動きからネットワークへの要求事項、機能、性能を判断する必要があります。

弊社はTCP/IPを使ったソフトウエアの開発も行います。体制も小さいので、アプリケーションからの要求事項をネットワーク設計に反映することが容易です。

その為、ヤマハの設定例集と同じネットワークでも、設定例集とは異なる設定を行うことが多々あります。様々なネットワーク構築の経験を基に、設定の最適化を行うからです。

匠技術研究所のセミナーは、単にヤマハルータを知っているから、売ってるから実施するのではありません。 企業のアプリケーション・ネットワークを構築するときに必要な事柄をどのようにネットワークに反映するのかを考え、回線を選び、通信機器を選択し、実装、運用すれば良いのかをお客様と共に考える場にしたいと考えています。

株式会社匠技術研究所

2009年2月13日

谷山 亮治