Category: ヤマハルータ

VPNとフィルタ型ルーティング

Posted by on 3月 7, 2010

yamaha-filter-routing-concept

ヤマハルーターが備えるフィルター型ルーティングは、同一方向経路でありながら途中の経路を条件指定で複数経路に割り振ることができ、経路選択の条件指定をフィルタで行うので「フィルタ型ルーティング」と呼びます。以下の疑似設定で考えてみます。

ip lan1 address 192.168.1.1/24
ip filter 1 pass 192.168.1.0 * * * *
ip filter 2 pass 192.168.2.0 * * * *
ip route default gateway pp 1 filter 1 gateway pp 2 filter 2
pp selsect 1
# プロバイダ 1の設定
ip pp nat descriptor 101
pp enable 1
pp selsect 2
# プロバイダ 2の設定
ip pp nat descriptor 102
pp enable 2

以上の設定では、ローカル側192.168.1.0/24のセグメントはプロバイダ1で通信、192.168.2.0/24のセグメントはプロバイダ2で通信します。もちろんLAN側の別のルーターへの経路に振ってもかまいません。

ip route default gateway pp 1 filter 1 gateway 192.168.1.254 filter 2

このように「default」は本来一つの経路しか持ち得ないのですが、defaultの向け先をフィルタの条件に従って振り替えているのです。VPNの宛先等、特定の経路は直接インターネットに出し、その他の経路はVPN越えして本社から出す。等がこの例の応用です。もちろん、defaultのみだけでなく、その他のセグメント行きも同様に条件により切り替えることができます。

ヤマハルーターのDoS攻撃への脆弱性の告知の解説

Posted by on 9月 28, 2009

ヤマハルーターのDoS攻撃への脆弱性の告知の解説

こんにちは。匠技術研究所の谷山 亮治です。
ヤマハからヤマハルーターのサービス運用妨害(DoS)攻撃への脆弱性の告知が出ました。ヤマハルーターご利用者の方はご一読をおすすめします。

ヤマハ:TCPの実装におけるサービス運用妨害(DoS)の脆弱性について


以下の内容は匠技術研究所の谷山 亮治が作成したもので、ヤマハ様とは無関係です。ヤマハ様の技術的なアナウンスを実際の利用形態に合わせて解説を行うものです。内容は正確性を期してはい ますが、情報セキュリティの性格上完全性をお約束するものではなく無保証です。お気づきの点はご遠慮無くヤマハルーターに関するお問い合わせにてお知らせください。たいへん助かります。[1]サービス運用妨害(DoS)の脆弱性のあらまし

この脆弱性はヤマハルーターそのものがTCP/IP通信の「サーバー側」の機能を提供する部分にあります。

1.telnet(23)
2.pptp(1723)
3.ssh(22)
4.http(80)
5.bgp(179)
6.UPnP(2869)

このポートがインターネット外向けに開いている場合、ポートスキャン等で検出され、DoS攻撃を受ける可能性が高まります。static nat等で接続ポート番号の変更をしている場合でも脆弱性に変わりはありません。もちろん、内部からの攻撃対象にもなり得ます。

[2]サービス運用妨害(DoS)の脆弱性の影響
サービス運用妨害(DoS)攻撃を受けた場合、ルーターが再起動するなど一時的な通信障害が発生する可能性があります。攻撃者は脆弱性のある相手を繰り返 し攻撃する可能性もあります。安定して動いていたにもかかわらず、予期しないルーターの再起動がおこる、あるいはルーターの再起動がくりかえされるという 現象になります。

今は大丈夫でも、対策をしないままでいると、サービス運用妨害(DoS)攻撃を受ける可能性があります。ただ、この脆弱性をもって不正侵入はできません。被害の範囲はルーターの停止です。

[3]主な利用形態での脆弱性攻撃の可能性を考える
ヤマハルーターの利用形態で考えられるインターネット側からの脆弱性攻撃の可能性は、主として、以下の場合があります。

1.インターネットでPPTP VPNを利用している
離れた事務所をインターネットVPNでPPTP VPNを使って接続している場合はPPTPポート(1723)が開いています。対策は必須です。
全機種、工場出荷状態でPPTP VPNは稼働しません。

2.インターネット経由でtelnetによるヤマハルーターの遠隔保守を行っている
インターネットに向けてtelnetポート(23)が開いています。対策が必須です。
全機種、工場出荷状態でtelnet(23)が動作しています。一般にファイヤーウオール機能でインターネット側からの接続は遮断します。

3.インターネット経由でブラウザでの遠隔保守を行っている
インターネットに向けてhttpポート(80)が開いています。対策が必須です。
ブラウザ設定ができる機種では工場出荷状態でhttp(80)がLAN(内)側からアクセスできます。

4.インターネット経由でブラウザでの遠隔保守を行っている
インターネットに向けてsshポート(22)が開いています。対策が必須です。
全機種、工場出荷状態でSSH(22)は稼働しません。

5.インターネットに向けてBGPによる経路制御を行っている
ヤマハルーターの利用形態の場合、一般企業のインターネット接続では、BGPをインターネットに向けて通信することはありえないネットワーク構成です。 ヤマハルーターでのBGPは、一般企業ではIP-VPNで知られる通信事業者による閉域網を冗長構成で使う場合が考えられます。この場合は閉域網なのでイ ンターネット(外)側からの攻撃はありません。プロバイダ事業者がインターネット上でBGPを使う場合は、対策が必要です。
全機種、工場出荷状態でBGP(179)は稼働しません。

6.インターネットに向けてUPnPポートを開いている
ヤマハルーターの利用形態ではありえないネットワーク構成です。UPnP機能はLAN(内)側のプライベートIPセグメントに対して使うものです。一般にファイヤーウオール機能でインターネット側からの接続は遮断します。
一部機種、バージョンで、工場出荷状態でUPnP(2869)は稼働しています。

[4]当面の対策
ヤマハルーターのバージョンアップを待つことは当然ですが、バージョンアップができない場合もあります。今回該当するDoS攻撃の可能性を減らすには、いくつかの方法があります。

1.外向けに該当ポートを開かない
上記ポート全てがインターネット側に開いていなければ攻撃の対象になりません。

2.インターネット側からヤマハルーターに接続する通信相手を限定する
ヤマハルーターのフィルタ機能で、特定の通信相手のみ接続可能にします。こうすることで攻撃のできる相手を限定します。不特定の攻撃者からの接続を排除することで、攻撃の可能性を大幅に減らすことができます。

[5]対策で困ること
おそらくもっとも困るのは、インターネット経由のPPTP VPN接続です。PPTP VPNは以下の場合に使われます。

■モバイルパソコンから事務所のヤマハルーターにPPTP VPN接続する
■NetvolanteDNS等のダイナミックIPでのPPTP VPN接続する

これらの場合、IPアドレスを確定することができないので通信相手を限定できません。脆弱性の解消には、固定IPに変更することが必要です。またはIPsecなど異なるVPNに変更する必要があります。

また、インターネット経由の遠隔保守も困ります。もともとtelnet、httpは暗号通信ではないので遠隔保守には向きません。今後は固定IPからのSSH接続に切り替える必要があります。

[6]実務的に相談するには
匠技術研究所では、本脆弱性に関し、個人利用の方を除く、エンドユーザ様、ヤマハルーターの販売会社様のご相談をメールで承ります。ご利用の形態に応じ た対策が必要なので、ご利用形態によっては対策の提示は有償となりますので予めご了承ください。なお、個人利用の方は販売店様にご相談ください。


ヤマハルーターに関するお問い合わせ

RTX1200/RTX1100間でIP-VPN

Posted by on 5月 19, 2009

RTX1200/RTX1100はIP-VPN回線を使うことができます。先般IP-VPN回線でのイントラネット開通を行いました。通信事業者はKDDIです。

RTX1200-IP-VPN

利用したKDDIのIP-VPN網の場合は、ヤマハのホームページの事例の設定とは異なります。IP-VPNの良さは単一の通信事業者に閉じたネットワークなので、障害の少ないネットワークを構成することができます。

また「通信事業者の網」なので、応答時間の予測がつきます。今回の設定は東京都内ルーター間対向で5msec台で安定して推移し、回線越しとしては極めて安定した通信です。

IP-VPNで組むネットワークは、ルーター側で暗号処理をする必要がないことも特徴です。そのためルーターの負荷も低く抑えられます。

今回のIP-VPNの開通は現地設定以前に作成した設定のままで、問題なく接続ができました。実は開通済みの対向ルーターの接続設定を見ること以外は、回線事業者様が提供する接続要件をエンドユーザー様から一切提示していただけないという変則的状況でした。そういう中で無事開通でき、別途紹介しますがIP-VPNの障害時にはインターネットVPNへの自動迂回も予定通り実装しています。

自動迂回を実現するために対向ルーターの設定も調整しました。

RTX1200のFOMA L-02A接続ログ

Posted by on 3月 19, 2009

ヤマハルーターRTX1200とdocomo FOMA L-02Aの接続の様子です。

ヤマハRT1200とdocomo FOMA L-02A

実際に接続したときのログは以下の通り(一部伏せ字)です。

■接続時

2009/03/18 07:33:00: PP[01] IP Commencing:
2009/03/18 07:33:00: PP[01] IP Commencing: ICMP 192.168.100.1 > 202.xxx.yy.zz :
echo request
2009/03/18 07:33:00: PP[01] Calling mopera.flat.foma.ne.jp with usb1
2009/03/18 07:33:00: [MOBILE] Signal Strength (0-3): 3 (usb1)
2009/03/18 07:33:00: USB[1] SEND [ATD*99***4#]
2009/03/18 07:33:03: USB[1] RECV [CONNECT 7200000]
2009/03/18 07:33:03: USB[1] Connected 7200000 bps
2009/03/18 07:33:06: PP[01] PPP/IPCP up  (Local: 220.xx.yy.zz, Remote: 219.zz.yy.xx)
2009/03/18 07:33:06: PP[01] Local  PP IP address 220.xx.yy.zz
2009/03/18 07:33:06: PP[01] Remote PP IP address 219.zz.yy.xx

■ 切断時

2009/03/18 07:35:40: USB[1] SEND SIGNAL [DTR=OFF]
2009/03/18 07:35:42: USB[1] RECV [NO CARRIER]
2009/03/18 07:35:42: USB[1] SEND [ATH]
2009/03/18 07:35:42: PP[01] Disconnected, cause [Data transaction timer (SEND) expired]
2009/03/18 07:35:42: [MOBILE] Signal Strength (0-3): 3 (usb1)


			

出先も事務所

Posted by on 3月 10, 2009

匠技術研究所では「出先も事務所」を実現します。

  • 業務効率を改善したい
    • 移動中の電車で会社のメールを確認、返信。
    • 訪問待ち合わせ時間に会社のメールを確認、返信。
    • 最新の在庫状況を確認したい。
    • 細切れの時間を有効活用したい。
  • 在宅勤務を有効活用したい
    • 在宅勤務者専用の業務パソコンを会社に接続したい
    • 在宅勤務者が会社と同じように勤務できるようにしたい

匠技術研究所では、この両方を実現し、実際に使っています。会社の経費節減の切り札は「出先を事務所化=細切れの時間を最新情報で有効活用」すること、「在宅勤務社宅を事務所化=在宅勤務を積極・有効活用」することです。

小規模事業者だからこそ「出先も事務所」で最新の情報を活用し、業務の効率を上げて競争力を高めましょう!

「出先も事務所」のお問い合わせはこちらから

匠のヤマハルーターセミナー

Posted by on 2月 14, 2009

 匠技術研究所では、ヤマハルーターの技術セミナーを開催しています。ヤマハルーターの技術セミナーを実施しているところは少なく、弊社の他は発売元の住商情報システムが実施しています。

住商情報システムの技術セミナーの源流はヤマハルータービジネス立ち上げ期にできました。住商情報システムと弊社のセミナーの根本的な違いは、ルータを販売する側からの目か、ネットワークを使う側からの目かの違いで、補完関係にあります。今後は、ユーザー様にとって良いセミナーとなるよう住商情報との連携を深めて行きます。

ヤマハルーターは技術情報を公開することを前提としています。発売開始から「設定例集」が添付・公開されており、設定例を解説つきで知ることができます。また、ヤマハはrtpro.yamaha.co.jpを通じて豊富な技術情報を提供しています。メーカーが積極的な情報公開をしていることに加え、rt100i-usersという、メーリングリストでのルーター利用者間のコミュニティベースの情報交換の場が充実しています。このような背景から、技術セミナーに頼ることなく豊富な情報を入手可能です。

ヤマハルーターシステム管理関連図

1995年発売当初のヤマハのルーターは「7行設定」を標榜し「簡単に設定できるルーター」が売りでした。その後、日本のネットワークの実情にあった機能追加を積極的におこない、IPマスカレード、回線バックアップ、IPsec VPNを低価格なルーターの中でいち早く対応し、普及の大きな要因となりました。

今のヤマハルーターは、もはや「7行設定」では使うことができません。多機能になりコマンドの数も驚くほど増えています。

多機能化は設定の多様化につながっており、同じことを実現する方法が複数あります。ところが、ルーターの利用者はどの実現方法が自社のネットワークに適しているかを知ることは困難です。各ユーザや、システムの販社が、ルータの設定に関し、複数の選択肢を実践的に評価し、最適な解を選択することは考えられません。

一方、簡明なネットワーク設計と、ヤマハルーターの機能との組み合わせで、ほとんどの企業のネットワークを構築できます。近年は一般の企業のみならず、医療画像伝送のネットワーク、病院のネットワーク等も構築しています。

このようなネットワークを構築するときは、典型的な設定例と、ルーターのコマンドを知っているだけでは不十分です。ネットワークの設計フェイズでは、アプリの動きからネットワークへの要求事項、機能、性能を判断する必要があります。

弊社はTCP/IPを使ったソフトウエアの開発も行います。体制も小さいので、アプリケーションからの要求事項をネットワーク設計に反映することが容易です。

その為、ヤマハの設定例集と同じネットワークでも、設定例集とは異なる設定を行うことが多々あります。様々なネットワーク構築の経験を基に、設定の最適化を行うからです。

匠技術研究所のセミナーは、単にヤマハルータを知っているから、売ってるから実施するのではありません。 企業のアプリケーション・ネットワークを構築するときに必要な事柄をどのようにネットワークに反映するのかを考え、回線を選び、通信機器を選択し、実装、運用すれば良いのかをお客様と共に考える場にしたいと考えています。

株式会社匠技術研究所

2009年2月13日

谷山 亮治

ヤマハRTX1200の初期IP

Posted by on 2月 11, 2009

RTX1200と携帯電話接続

ヤマハRTX1200はRT58iと同じ初期IPがLAN1に設定されています。RT58iと同様にDHCPサーバーも稼動しており、パソコンとLAN1をDHCP接続すれば、設定をはじめることができます。

これまでのRTXシリーズは初期IPを持たなかったので、工場出荷状態で既存LANに接続しても影響はありませんが、RTX1200やRT58iでは「既存LANに合わせて設定してからLAN1接続」する必要があります。既存LANではIPアドレスの設定と、必ずDHCPサーバーを外すことをお忘れなく。

■RTX1200のLA1の初期設定値

# RTX1200 Rev.10.01.08 (Thu Dec 18 15:40:26 2008)
# Memory 128Mbytes, 3LAN, 1BRI
ip lan1 address 192.168.100.1/24
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

お名前 (必須)

メールアドレス (必須)

題名

メッセージ本文

確認コード CAPTCHA を使うには Really Simple CAPTCHA プラグインのインストールが必要です。

RTX1200でのEMobile D02HW

Posted by on 1月 22, 2009

RTX1200-EMobile

RTX1200にEMobile D02HWをつないで見ました。

> show status usbhost ?
入力形式: show status usbhost
説明: USBホスト機能の動作状態を表示します
このコマンドの後に’modem’を続けると別のコマンドになります
> show status usbhost
ホストコントローラ:     動作中

usb1
給電:                   ON
接続中のデバイス:       接続されていません
> show status usbhost modem ?
入力形式: show status usbhost modem
説明: USB接続されたモデムの通信状態を表示します
> show status usbhost modem
通信状態:           FOMAが接続されていません
FCSエラー:          0
送信数:             0 byte
受信数:             0 byte
着信回数:           0
最近の接続
[着信]
電話番号:
時間:           —-/–/– –:–:–
インタフェース: usb1
>

# execute at-command usb1 ?
入力形式: execute at-command インタフェース コマンド
インタフェース = ‘usb1’, コマンド = ATコマンド(例: ATE1)
説明: 指定したモバイルインタフェースに対してATコマンドを実行します
# execute at-command usb1 at
SEND [at]
Failed
#

となり、 認識できません。USB接続したEMobile D02HW側は「青色点滅」で電波が届いていることを示しています。

Modemに見えればATコマンドの打ちようもあるのですが、それ以前なので残念です。
同じEMobile D02HWを使いLinuxでは接続することができました。これはちゃんと発信できます。LinuxにはUSB経由のモデムとして認識されますが、RTX1200にはそう見えません。RTX1200のUSBポートがUSBハブ経由のモデム接続を認識できないようです。

この件はしばらく休戦です。

ヤマハルータセミナー0902

Posted by on 1月 18, 2009

ヤマハルーターセミナー2009年2月開催分のご案内を以下にて行っております。
ご参加をお待ちしております。

情報技術の四方山話の案内記事へ

以下、引用

今回は、初めての運用管理者向けセミナーということで、少人数で行います。ご参加のほどよろしくお願いします。

■ヤマハルータネットワークの構築から運用まで~入門編~
○概要:
ヤマハルータを使ったネットワーク構築、運用に必要な実践的なポイントを軸にネットワーク設計から運用までの考え方を実機での動作を確認しながら説明しま す。これからヤマハを使う方、実案件をお持ちの方が対象です。入門編とはいえ、syslogホストの作り方等も含め即役に立ちます。

○講師:谷山 亮治
○期日(同内容):2月3日(火)定員4名、2月4日(水)定員4名
○時間:10:00-16:00(途中休憩含む)
○ご持参いただくもの:設定用シリアルポート付きPC。

○ご利用可能な回線
– ISDN回線
– Bフレッツ回線
– フレッツADSL回線
– EMobile回線(PC側)
– docomoハイスピード(PC側、ご用意できないこともございます)

○ヤマハルータ実機
RTX1200
RTX1100
SRT100
RT107e
RT58i
RT57i

○セミナー内容
0)基本操作
– 設定画面と設定方法
– webインターフェイス,コマンドライン操作の基本
– 設定の表示と保存
– ログの表示と保存

1)インターネット接続
– プロバイダ接続と基本設定
– ファイヤーウール入門と基本設定

2)ルーティングの基礎知識
– ルーティングの考え方
– ルーティングの実際

3)アドレス変換の基礎知識
– IPマスカレード、NATの実際

4)VPN接続
– NetVolanteDNS
– PPTP接続入門
– IPsec接続入門

5)ログを記録する
– Windowsでのsyslog収集
– Linuxでのsyslog収集

6)運用技術の四方山話
– 運用の留意点など自由に。

実回線に接続できるところが特長です。
定員も最大4名様なので詳細なお話ができます。

○ヤマハルータ器材協力:住商情報システム株会社

○費用
初回特価 一日15,000円 (両日同内容です。)

○お申し込み
希望日とお名前、ご連絡先を明記の上
問い合わせフォームをご利用ください

ヤマハルータの技術情報源

Posted by on 1月 11, 2009

ヤマハルータは1995年発売以来、干支が一回りする間成長を続けてきました。ヤマハルータに取り組み始めたときから、多くの技術情報が以下のサイトで公開され続けています。ルータ技術の宝庫rtpro.yamaha.co.jpへこのサイトの情報は、IPネットワークの基本を取りまとめた事項も豊富です。設定例も豊富で設定内容についても詳細に説明しています。一方、ヤマハルータの成長を支えた、rt100i-usersというヤマハルーターの技術情報交換を目的としたメーリングリストがありあります。rt100i-usersの説明ページへ多くのヤマハルータユーザー、ヤマハの開発やサポート、営業などを含めて自由な意見交換がなされており、ここで疑問を解決した方も多いと思います。加えて、姉妹サイトに以下のサイトがあります。夫々特徴があります。NetVolante.jpヤマハルーターの製品情報へヤマハの音とネットワーク製品を語るこれほど技術情報を公開することに積極的な日本のルーターメーカーは他に知りません。このように豊富な情報を提供しながら、豊富な情報ゆえ、期待する局面にどの機能を使うのか「やりたいことへの到達」に苦労します。ネットワーク・サービスの多様化により「通信したい!」と思っても、何をどうすれば効率的なのか判りにくい時代になってきました。もう少し、ネットワークから見て、体系的に必要な情報にたどり着く方法がないものか、このサイトと今後立ち上げを予定しているwikiやFAQサイトなどファミリーサイトを通じて試行してみます。