Author:


ヤマハルーター設定セミナーサイトオープン

Posted by on 8月 5, 2011

ヤマハルータ設定セミナーサイトがオープンしました。

https://www.yamaharouterseminar.com/

自力で構築
ヤマハルーター VPN初級トレーニングセミナー
ヤマハルーター ポイントセミナー

を定期的に開催中です。
ぜひご参加ください。

詳細はこちら

ヤマハルーターのDoS攻撃への脆弱性の告知の解説

Posted by on 9月 28, 2009

ヤマハルーターのDoS攻撃への脆弱性の告知の解説

こんにちは。匠技術研究所の谷山 亮治です。
ヤマハからヤマハルーターのサービス運用妨害(DoS)攻撃への脆弱性の告知が出ました。ヤマハルーターご利用者の方はご一読をおすすめします。

ヤマハ:TCPの実装におけるサービス運用妨害(DoS)の脆弱性について


以下の内容は匠技術研究所の谷山 亮治が作成したもので、ヤマハ様とは無関係です。ヤマハ様の技術的なアナウンスを実際の利用形態に合わせて解説を行うものです。内容は正確性を期してはい ますが、情報セキュリティの性格上完全性をお約束するものではなく無保証です。お気づきの点はご遠慮無くヤマハルーターに関するお問い合わせにてお知らせください。たいへん助かります。[1]サービス運用妨害(DoS)の脆弱性のあらまし

この脆弱性はヤマハルーターそのものがTCP/IP通信の「サーバー側」の機能を提供する部分にあります。

1.telnet(23)
2.pptp(1723)
3.ssh(22)
4.http(80)
5.bgp(179)
6.UPnP(2869)

このポートがインターネット外向けに開いている場合、ポートスキャン等で検出され、DoS攻撃を受ける可能性が高まります。static nat等で接続ポート番号の変更をしている場合でも脆弱性に変わりはありません。もちろん、内部からの攻撃対象にもなり得ます。

[2]サービス運用妨害(DoS)の脆弱性の影響
サービス運用妨害(DoS)攻撃を受けた場合、ルーターが再起動するなど一時的な通信障害が発生する可能性があります。攻撃者は脆弱性のある相手を繰り返 し攻撃する可能性もあります。安定して動いていたにもかかわらず、予期しないルーターの再起動がおこる、あるいはルーターの再起動がくりかえされるという 現象になります。

今は大丈夫でも、対策をしないままでいると、サービス運用妨害(DoS)攻撃を受ける可能性があります。ただ、この脆弱性をもって不正侵入はできません。被害の範囲はルーターの停止です。

[3]主な利用形態での脆弱性攻撃の可能性を考える
ヤマハルーターの利用形態で考えられるインターネット側からの脆弱性攻撃の可能性は、主として、以下の場合があります。

1.インターネットでPPTP VPNを利用している
離れた事務所をインターネットVPNでPPTP VPNを使って接続している場合はPPTPポート(1723)が開いています。対策は必須です。
全機種、工場出荷状態でPPTP VPNは稼働しません。

2.インターネット経由でtelnetによるヤマハルーターの遠隔保守を行っている
インターネットに向けてtelnetポート(23)が開いています。対策が必須です。
全機種、工場出荷状態でtelnet(23)が動作しています。一般にファイヤーウオール機能でインターネット側からの接続は遮断します。

3.インターネット経由でブラウザでの遠隔保守を行っている
インターネットに向けてhttpポート(80)が開いています。対策が必須です。
ブラウザ設定ができる機種では工場出荷状態でhttp(80)がLAN(内)側からアクセスできます。

4.インターネット経由でブラウザでの遠隔保守を行っている
インターネットに向けてsshポート(22)が開いています。対策が必須です。
全機種、工場出荷状態でSSH(22)は稼働しません。

5.インターネットに向けてBGPによる経路制御を行っている
ヤマハルーターの利用形態の場合、一般企業のインターネット接続では、BGPをインターネットに向けて通信することはありえないネットワーク構成です。 ヤマハルーターでのBGPは、一般企業ではIP-VPNで知られる通信事業者による閉域網を冗長構成で使う場合が考えられます。この場合は閉域網なのでイ ンターネット(外)側からの攻撃はありません。プロバイダ事業者がインターネット上でBGPを使う場合は、対策が必要です。
全機種、工場出荷状態でBGP(179)は稼働しません。

6.インターネットに向けてUPnPポートを開いている
ヤマハルーターの利用形態ではありえないネットワーク構成です。UPnP機能はLAN(内)側のプライベートIPセグメントに対して使うものです。一般にファイヤーウオール機能でインターネット側からの接続は遮断します。
一部機種、バージョンで、工場出荷状態でUPnP(2869)は稼働しています。

[4]当面の対策
ヤマハルーターのバージョンアップを待つことは当然ですが、バージョンアップができない場合もあります。今回該当するDoS攻撃の可能性を減らすには、いくつかの方法があります。

1.外向けに該当ポートを開かない
上記ポート全てがインターネット側に開いていなければ攻撃の対象になりません。

2.インターネット側からヤマハルーターに接続する通信相手を限定する
ヤマハルーターのフィルタ機能で、特定の通信相手のみ接続可能にします。こうすることで攻撃のできる相手を限定します。不特定の攻撃者からの接続を排除することで、攻撃の可能性を大幅に減らすことができます。

[5]対策で困ること
おそらくもっとも困るのは、インターネット経由のPPTP VPN接続です。PPTP VPNは以下の場合に使われます。

■モバイルパソコンから事務所のヤマハルーターにPPTP VPN接続する
■NetvolanteDNS等のダイナミックIPでのPPTP VPN接続する

これらの場合、IPアドレスを確定することができないので通信相手を限定できません。脆弱性の解消には、固定IPに変更することが必要です。またはIPsecなど異なるVPNに変更する必要があります。

また、インターネット経由の遠隔保守も困ります。もともとtelnet、httpは暗号通信ではないので遠隔保守には向きません。今後は固定IPからのSSH接続に切り替える必要があります。

[6]実務的に相談するには
匠技術研究所では、本脆弱性に関し、個人利用の方を除く、エンドユーザ様、ヤマハルーターの販売会社様のご相談をメールで承ります。ご利用の形態に応じ た対策が必要なので、ご利用形態によっては対策の提示は有償となりますので予めご了承ください。なお、個人利用の方は販売店様にご相談ください。


ヤマハルーターに関するお問い合わせ

RTX1200でのEMobile D02HW

Posted by on 1月 22, 2009

RTX1200-EMobile

RTX1200にEMobile D02HWをつないで見ました。

> show status usbhost ?
入力形式: show status usbhost
説明: USBホスト機能の動作状態を表示します
このコマンドの後に’modem’を続けると別のコマンドになります
> show status usbhost
ホストコントローラ:     動作中

usb1
給電:                   ON
接続中のデバイス:       接続されていません
> show status usbhost modem ?
入力形式: show status usbhost modem
説明: USB接続されたモデムの通信状態を表示します
> show status usbhost modem
通信状態:           FOMAが接続されていません
FCSエラー:          0
送信数:             0 byte
受信数:             0 byte
着信回数:           0
最近の接続
[着信]
電話番号:
時間:           —-/–/– –:–:–
インタフェース: usb1
>

# execute at-command usb1 ?
入力形式: execute at-command インタフェース コマンド
インタフェース = ‘usb1’, コマンド = ATコマンド(例: ATE1)
説明: 指定したモバイルインタフェースに対してATコマンドを実行します
# execute at-command usb1 at
SEND [at]
Failed
#

となり、 認識できません。USB接続したEMobile D02HW側は「青色点滅」で電波が届いていることを示しています。

Modemに見えればATコマンドの打ちようもあるのですが、それ以前なので残念です。
同じEMobile D02HWを使いLinuxでは接続することができました。これはちゃんと発信できます。LinuxにはUSB経由のモデムとして認識されますが、RTX1200にはそう見えません。RTX1200のUSBポートがUSBハブ経由のモデム接続を認識できないようです。

この件はしばらく休戦です。

ヤマハルータセミナー0902

Posted by on 1月 18, 2009

ヤマハルーターセミナー2009年2月開催分のご案内を以下にて行っております。
ご参加をお待ちしております。

情報技術の四方山話の案内記事へ

以下、引用

今回は、初めての運用管理者向けセミナーということで、少人数で行います。ご参加のほどよろしくお願いします。

■ヤマハルータネットワークの構築から運用まで~入門編~
○概要:
ヤマハルータを使ったネットワーク構築、運用に必要な実践的なポイントを軸にネットワーク設計から運用までの考え方を実機での動作を確認しながら説明しま す。これからヤマハを使う方、実案件をお持ちの方が対象です。入門編とはいえ、syslogホストの作り方等も含め即役に立ちます。

○講師:谷山 亮治
○期日(同内容):2月3日(火)定員4名、2月4日(水)定員4名
○時間:10:00-16:00(途中休憩含む)
○ご持参いただくもの:設定用シリアルポート付きPC。

○ご利用可能な回線
– ISDN回線
– Bフレッツ回線
– フレッツADSL回線
– EMobile回線(PC側)
– docomoハイスピード(PC側、ご用意できないこともございます)

○ヤマハルータ実機
RTX1200
RTX1100
SRT100
RT107e
RT58i
RT57i

○セミナー内容
0)基本操作
– 設定画面と設定方法
– webインターフェイス,コマンドライン操作の基本
– 設定の表示と保存
– ログの表示と保存

1)インターネット接続
– プロバイダ接続と基本設定
– ファイヤーウール入門と基本設定

2)ルーティングの基礎知識
– ルーティングの考え方
– ルーティングの実際

3)アドレス変換の基礎知識
– IPマスカレード、NATの実際

4)VPN接続
– NetVolanteDNS
– PPTP接続入門
– IPsec接続入門

5)ログを記録する
– Windowsでのsyslog収集
– Linuxでのsyslog収集

6)運用技術の四方山話
– 運用の留意点など自由に。

実回線に接続できるところが特長です。
定員も最大4名様なので詳細なお話ができます。

○ヤマハルータ器材協力:住商情報システム株会社

○費用
初回特価 一日15,000円 (両日同内容です。)

○お申し込み
希望日とお名前、ご連絡先を明記の上
問い合わせフォームをご利用ください

RTX1200の次世代ネットワーク対応概要

Posted by on 1月 5, 2009

ヤマハRTX1200は2008年10月に発売開始されました。その次世代ネットワークへの対応を解説します。

■docomoの高速携帯端末で通信するRTX1200

RTX1200と携帯電話接続

1)全ポートギガビット対応

RTX1200のLANポートは全ポートギガビット対応です。既に提供が始まったギガビットでのインターネットアクセスに対応できます。分散した事務所のネットワークを集約する本社やデータセンターのVPNルーターとして使えるほか、事務所ではLAN側8ポートのコアスイッチとして使えます。

2)IPv6対応

ヤマハルーターは基本機能としてIPv6対応しています。NTTが推進する次世代ネットワークNGNへの接続もできます。間違いなく着実にインターネット接続のIPv6化は進みます。

3)USB高速携帯通信対応

USBポートに高速携帯端末を接続することができます。ブロードバンド回線の設置ができないところ、一時的設置ですむところ等でも携帯電話網でつなぐことができます。また、バックアップに携帯回線を使うこともできます。

このUSBでの高速通信機能は、将来的にはUSB経由でまだ実現されていない多様な通信方法に対応できる可能性が高く、インターネット接続の多様化、特に高速携帯系、さらにWiMAXなど新しい無線通信系に柔軟に対応ができる可能性があります。

以上のように、これまでのRTx1000,RTX1100に続き法人用インターネットアクセスルータとして安心して使うことができます。次世代のネットワークへの変化に柔軟に対応でき、通信の仕組みが変わっていく中でも安心の選択肢です。

株式会社匠技術研究所

 

谷山 亮治

VPNの四方山話を立ち上げました!

Posted by on 1月 1, 2009

こんにちは。このブログはVPNなど企業向けのネットワークの構築の話題を取り上げます。

技術的な話題もさることながら、VPNをどう使えばよりよくなるのかを、皆様と考えていければと思います。

先ず最初のご案内はVPN用固定IPの月額料金半額サービスです。「お得情報」をご覧ください。

固定IPでVPNを使っているお客様、これからVPNをご利用のお客様に朗報です。
また、固定IP8,IP16などをお使いの皆様も、アドレスの変更はありますが、固定IPのプロバイダ料金を削減できる可能性があります。

どうぞ、よろしくご検討ください。