Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
http://jp.yamaha.com/nw20th/
「ヤマハルーター」の始まり
エンタープライズ用途のWAN回線活用に注力
1995年にISDN回線に対応したRT100i発売
1996年にセンター用途のRT200i発売
1997年より複数回線収容に対応したRT140シリーズ(i/p/e/f)発売
2000年にセンター用途で回線モジュール対応のRT300i発売
2001年より多様な回線に対応したRT105シリーズ(i/p/e)発売
2002年にブロードバンドVPNに軸足を移したRTXシリーズ発売
ヤマハ (センタールーター)
ヤマハ (拠点用ルーター)
WAN回線
国内SOHOルーター市場シェア
11年連続シェア1位
(2004年~2014年、国内SOHOルーター市場)
出典:IDC Japan, May 2015, 「国内ネットワーク機器市場 2014年の分析と2015年~2019年の予測:ルーター、イーサネットスイッチ、無線LAN機器市場」(IDC #J15010104)
41.3%
SOHO(Small Office/Home Office): 1 万6,500 円~11 万円未満
ヤマハネットワーク機器 製品年表
2005 1996.10
RT200i 2000.6
RT300i
2002.11
RTX2000 2005.1
RT250i
2006.1
RTX3000
2013.7
RTX5000/ RTX3500
1997.10
RT140i
1998.5
RT140e RT140p
1999.2
RT140f 2002.10
RTX1000
2004.10
RTX1500 2005.2
RTX1100
2014.11
RTX1210
1995.3
RT100i
1997.5
RT102i 1998.10
RT103i 2001.12
RT105e
2002.1
RT105p 2005.10
RT107e
2011.11
RTX810
2001.6
RT52pro 2003.11
RTV700 2005.11
RTV01 2011.2
SWX2200-8G SWX2200-24G
2013.3
WLX302 2013.4
SWX2200-8PoE
1997.10
RT80i 1998.10
RTA50i
2000.3
RTA52i 2001.7
RTA54i 2001.11
RTW65b 2002.2
RTW65i
2002.5
RTA55i 2002.7
RT56v 2003.7
RT57i 2006.9
RT58i
2010.10
NVR500
2007.4
SRT100 2012.11
FWX120
2006.6
YMS-VPN1 2009.12
YMS-VPN1-CP
2010.9
YMS-VPN7 2011.5
YMS-VPN7-CP
2013.9
YMS-VPN8 2014.9
YMS-VPN8-CP
1995 2000
2010
2015
センター用ルーター
(VPN &/or ISDN)
拠点用 スタンダード VPNルーター
(マルチWAN)
拠点用 シンプル
VPNルーター
電話機能 (VoIP)
VPN
LAN機器 (スイッチ&無線AP)
電話機能(VoIP)
&
インターネット
接続
VPN クライアント
ファイア ウォール
(セキュリティ)
2008.10
RTX1200
2001.7
RT105i
2000.10
RT60w
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
Agenda 1. ピアノ屋のルーターですか?
1-1. ヤマハがルーターを作り始めた切っ掛け 1-2. 企業向けルーターとホームルーターの違い
2. セキュリティ対策の役割分担 (餅は餅屋、適材適所)
3. ブロードバンド化で被害確率が増加? 3-1. 「静的」パケットフィルタリング (パケットを識別) 3-2. 「動的」パケットフィルタリング (セッションを識別) 3-3. セキュリティフィルターの自動生成機能
4. ネットワーク層におけるセキュリティ概念の進化 4-1. パケットフィルターとポリシーフィルター
5. 進化する無線LAN規格と暗号方式 5-1. 無線LANの変化 5-2. 小規模企業のLANセキュリティのレベルアップ
6. 組込み機器としてのセキュリティ対策 6-1.想定する脅威 6-2.制御機能へのハッキング対策
7. 最近のトピックス
5
1. ピアノ屋のルーターですか?
取組の対象期間:1987年~2014年
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 7
“ヤマハ”のネットワーク機器 1887年 山葉寅楠(やまは とらくす)浜松尋常小学校(現元城小学校)でオルガン修理
1897年 日本楽器製造株式会社 設立
1955年 ヤマハ発動機株式会社 設立
1959年 ヤマハ音楽教室 開始
1966年 財団法人ヤマハ音楽振興会 発足
1971年 IC 生産開始
1983年 デジタルシンセサイザー DX-7発売 、MSX発売、FM音源LSI販売開始
1987年 創業100周年 & 社名変更 アナログ回線用デジタルFAXモデムLSI 開発
1995年3月 リモートルーター「RT100i」発売
1998年10月 ネットボランチ「RTA50i」発売
2002年10月 イーサアクセスVPNルーター「RTX1000」発売
2004年11月 ルーター累計100万台突破
2011年2月 スマートL2スイッチ「SWX2200シリーズ」発売
2011年3月 ルーター累計200万台突破 IPv6ルーター累計160万台突破
2013年3月 無線LANアクセスポイント「WLX302」発売
2014年3月 ルーター累計250万台突破 今年で29年 今年で21年
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
楽器から派生するコア技術
8
Acoustic 楽器 (オルガン、ピアノ)
木工、接着、塗装、鋳造など
DSP、ASIC、コンピューター
Electric 楽器 (電気オルガン、エレキギター)
1960年頃~
Electronic 楽器 (電子オルガン)
1980年頃~
半導体製造 1970年頃~
デジタルFAXモデム LSI 1987年
ISDN LSI
ISDN応用機器 (ISDN-TA, FD転送装置など)
1989年
ISDNルーター 1995年
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 9
10周年記念講演での「SOHOルーター」
ヤマハは、SOHO市場の開拓者 SOHOという市場は日本で独自の発展を遂げており、その市場のリーダーとして開拓者の
役割をヤマハが担っていた。
「ISDNルーター」がブロードバンド普及に大きな影響 ISDNというインフラが全国で利用できるという環境が整っていたこともあり、SOHOや個人
をターゲットにしたルータがこれほど早く普及したのは日本特有の現象で、これがその後のブロードバンドの普及にも大きな影響を与えたとした。
大胆なオンラインサービス 最初から、ファームウェアのアップデートやマニュアルの公開をインターネットで行なってい
た。記憶にある限りでは、こうしたサービスをコンシューマー製品で行なったのはヤマハが最初。今ではあたりまえになっているアップデートやマニュアルの公開など、インターネットの有効な使い方を示したという意味でもヤマハの果たした役割は大きい。
IPv6の早期実用化 ヤマハのルータではIPv6を早い段階からサポートしており、IPv6に対応した製品が数多く
家庭にまで入り込んでいるのも日本の独自性であり、世界的に見れば先進性でもある
[Internet Watch] 村井氏「ヤマハはSOHO市場の開拓者」~ヤマハルータ10周年記念講演
http://internet.watch.impress.co.jp/cda/event/2005/01/21/6165.html
[SOHOルーターに関する概要(抜粋)]
「ルーター」って何?
「インターネット」って知ってる?
ルーター
情報A
ブラックボックス ホワイトボックス
データ データ
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 11
ルーターとは?
R R
R
インターネット
WWW
R
R
企業・組織
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 12
LAN(データリンク)とネットワーク
データリンク領域(緑)
データリンク領域(青)
データリンク領域(黄)
ルーター
ルーター
ルーター
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 13
IPアドレス管理と経路選択
192.168.3.0/24 (緑)
192.168.2.0/24 (青)
192.168.1.0/24 (黄)
ルーター
ルーター
ルーター
DHCPで IPアドレス配布
A B
C
経路 192.168.1.0/24 (黄) LAN 192.168.2.0/24 (青) B 192.168.3.0/24 (緑) A
経路 192.168.1.0/24 (黄) B 192.168.2.0/24 (青) LAN 192.168.3.0/24 (緑) C
経路 192.168.1.0/24 (黄) A 192.168.2.0/24 (青) C 192.168.3.0/24 (緑) LAN
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 14
経路バックアップ
192.168.3.0/24 (緑)
192.168.2.0/24 (青)
192.168.1.0/24 (黄)
ルーター
ルーター
ルーター
DHCPで IPアドレス配布
A B
C
ネットワーク I/F 距離 192.168.1.0/24 (黄) LAN 0
192.168.2.0/24 (青) B 1 A 2
192.168.3.0/24 (緑) A 1 B 2
ネットワーク I/F 距離
192.168.1.0/24 (黄) B 1 C 2
192.168.2.0/24 (青) LAN 0
192.168.3.0/24 (緑) C 1 B 2 ネットワーク I/F 距離
192.168.1.0/24 (黄) A 1 C 2
192.168.2.0/24 (青) C 1 A 2
192.168.3.0/24 (緑) LAN 0
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 15
企業用途:インターネット接続
R
ヤマハルーターは、 「インターネット」 と「社内LAN」の 境界に置かれる。
R
R
R
インターネット
企業・組織
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 16
企業用途:拠点間接続
R
R
R
R
インターネット
R VPN
センター
拠点
ISDN
backup
企業・組織
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 17
ご参考:個人用途
R
R
R
R
インターネット
家庭
無線LAN プライベートIP
グローバルIP
アドレス変換(NAT)
(数台)
回線接続機能
とっても 小規模
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 18
いろいろなルーターがある
利用者 通信事業者 企業・組織 家庭
利用
シーン
インターネットや閉域網などの回線サービスを提供するための機器
企業の拠点間接続 PC数台のインターネット接続
取り扱い
経路数
フルルートを持つことで、インターネットの冗長経路が利用できる。
⇒数十万ルート
企業内の組織数に応じたネットワーク経路
⇒数千~数万ルート
内部と外部の区別
⇒2~数ルート
特長 多数の経路とパケットを高速に処理できる。
多種多様な要望に対して、柔軟に対応できる。
アクセス回線に接続する機能とNAT機能があれば十分。
異なるものづくり
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 19
ご参考:フルルート http://bgp.potaroo.net/
約64万ルート (2016年4月24日)
約64万ルート (2016年4月)
約54万ルート (2014年10月)
約43万ルート (2012年7月)
約40万ルート (2011年11月)
約37万ルート (2011年7月)
約32万ルート (2010年3月)
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 20
ルーター製品のポジショニング (単価)
250万円
100万円
11万円
2.5万円
(用途) (個人) (企業) (キャリア)
設備
レンタル機材
レンタル機材
ハイエンド ルーター
ミッドレンジ ルーター
ローエンド ルーター
SOHO ルーター
レジデンシャル ルーター
ヤマハ
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
国内SOHOルーター市場シェアの推移
国内SOHOルーター市場 エンドユーザー売上額ベンダーシェア実績、2004年~2014年
Notes:金額シェア
2009年以降のシェアは、40%以上を維持し一歩抜け出ている
製品の次世代化を促進し抜け出す
競争が激化
RTX1500
RTX1100
RT107e
RTX3000
RT58i
RTX1200 NVR500
SWX2200
RTX810
SRT100 【いままで】
WANの
課題解決に集中
【現在】
LANの
課題解決に注力
RTX3500
RTX5000
RTX1210
FWX120
出典:IDC Japan, May 2015, 「国内ネットワーク機器市場 2014年の分析と2015年~2019年の予測: ルーター、イーサネットスイッチ、無線LAN機器市場」(IDC #J15010104)
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
ネットワーク機器の事業ドメインマップ
L2/L3スイッチ
ヤマハ
ヤマハ
拡張 配線
出入口
配線
出入口
無線LAN スイッチ
2. セキュリティー 対策の役割分担
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
ネットワーク構成と役割
24 24
GW
コア・スイッチ
島スイッチ 島スイッチ
ディストリビューション・スイッチ
給電スイッチ
LANのポリシー
WANのポリシー
アクセスポリシー
(端末接続)
小規模なら
一体運用
機器・機能を守る
セキュリティ対策
3. ブロードバンド化で被害確率が増加する? →加速した!
取組の対象期間:2001年~
(RTA54i)
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
ブロードバンド化で脅威が増加する!
26
ナローバンド→ブロードバンド [1]
帯域が64k/128k→1M/100M/1Gに増加
ナローバンド→ブロードバンド [2]
攻撃時間が1/10、1/100、1/1000。
攻撃確率が10倍、100倍、1000倍。
(想定)
ブロードバンド化に伴う脅威対策が必要とされる。
(対策)
1. 動的フィルター機能の導入
2. 「セキュリティーレベル」機能の導入
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 27
従前のセキュリティー・フィルター
静的 フィルタ 定義
静的フィルター
----------<外側…インタフェース側>----------
----------<内側…ルーティング側>----------
静的フィルター
静的 フィルタ 定義
通過 破棄
通過 破棄 <IN側>
<OUT側>
参照 参照
# フィルタ定義例 (LAN側ネットワークが192.168.0.0/24の場合) ip filter 10 reject 192.168.0.0/24 * * * * ip filter 11 pass * 192.168.0.0/24 icmp * * ip filter 12 pass * 192.168.0.0/24 established * * # tcpの片方向性を実現する仕組み ip filter 13 pass * 192.168.0.0/24 tcp * ident # メール転送などの時の認証(ident) ip filter 14 pass * 192.168.0.0/24 tcp ftpdata * # ftpのアクティブ転送用 ip filter 15 pass * 192.168.0.0/24 udp domain * # DNSサーバへの問い合わせ(戻り) ip filter source-route on ip filter directed-broadcast on # フィルタ適用例 (接続先のPP番号が1の場合) pp select 1 ip pp secure filter in 10 11 12 13 14 15
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/network-security-filter.html
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 28
静的パケットフィルタリングの課題
[静的フィルタの小窓]
・TCP: 一方向性のestablishedフィルタの限界
判断条件)TCPフラグのうちACKとRSTのいずれかがセット
・UDP: 必要なポートは常に開けておく。
例) DNS、NTP
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-filter-established.html
= 常時開いている小窓
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 29
(1)TCPのestablishedフィルター
[目的]
・静的フィルタリングにより
外部からの不必要なTCP
接続要求を破棄する。
[従来措置]
・入り口で「SYNのみパケット」
を破棄
⇒establishedフィルタを適用
[悩み]
・「ACKつきパケット」の攻撃を
されたら…
[解決策]
・動的フィルタリング
・利便性とセキュリティの
トレードオフ
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-filter-established.html
PC
telnet サーバ
telnet クライアント
established
<SYN>
<SYN+ACK>
<ACK>
[TCP通信開始]
[TCP通信中]
[TCP通信終了]
SYN以外は、ACKまたはRSTがある ⇒establishedフィルタで対処できる
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 30
(2) ftp通信のフィルタリング
[悩み] ・ftpのアクティブ転送は、 外部からのtcp接続が開始される。 ⇒通常であれば、establishedフィルタで破棄される対象。 ・ftpクライアント側は、establishedフィルタでは、十分とはいえない。 [解決策] ・動的フィルタリング ・利便性とセキュリティのトレードオフ
ftpのパッシブ転送(PASVコマンド)
ftp server
ftp client
制御 データ
[*]
[21] [*]
[*]
ftpのアクティブ転送(PORTコマンド)
ftp server
ftp client
制御 データ
[*]
[21] [20]
[*]
established
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-filter-established.html
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 31
(3) 電子メール通信のフィルタリング
[参考] ・電子メールなどの通信におけるユーザー認証の仕組みとして、 identが使用されることがある。 ⇒このidentの通信を単純に拒絶すると「サーバーへのアクセスが遅い」 という症状になることがある。
電子メールなどの認証に使われるident
mail server
mail client
接続 認証
[*]
[SMTP(25),POP3(110)] [*]
[ident(113)]
established
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 32
(4) UDPフィルタ(DNSやNTP)
[悩み]
・UDPは、シンプルな通信である
ため、チェック機能がほとんど
無い。
・UDP通信を許可するためには、
応答パケットを常に通過させる
必要がある。
[解決案]
・動的フィルタリング
・利便性とセキュリティの
トレードオフ
・セキュリティ的に強固な
代理サーバを用意する
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-filter-established.html
PC
DNS サーバー DNS
リゾルバー <問い合わせ>
<応答>
[UDP通信]
PC
NTP サーバー NTP
クライアント <問い合わせ>
<応答>
[UDP通信]
DNS通信(UDP通信)
NTP通信(UDP通信)
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 33
動的フィルタリングの特徴
[目的]
・安全性を確保したフィルタリング設定の難しさの解消
・静的フィルタリングの弱点を補完し、利便性とセキュリティを
両立するしくみの提供
・動的フィルタリングを加えることにより、さらに安全性を高める。
[静的フィルタリングの弱点]
・安全性と安定性を確保した十分なフィルタリングを行うためには、
高度な知識が求められる。
・ftp通信のフィルタリングにおける安全性
・UDP通信のためのフィルタの安全性
・TCP通信のためのestablishedフィルタの安全性
= 必要な時に開閉する小窓
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 34
TCPの動的フィルター (基本動作)
[開くトリガー]
・コネクションを開くSYN情報を
持ったパケット
[確立の監視]
・TCPコネクションを開始する
ハンドシェイクの監視
[閉じるトリガー]
・コネクションを閉じるFINや
RSTなどの情報を持った
パケット
・無通信監視(タイマ)
PC
telnet サーバ telnet
クライアント
established
<SYN>
<SYN+ACK>
<ACK>
[TCP通信開始]
[TCP通信中]
[TCP通信終了]
FINやRST
<外側> <内側> <通信路>
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 35
UDPの動的フィルター (基本動作)
PC
DNS サーバー DNS
リゾルバー <問い合わせ>
<応答>
[UDP通信]
DNS通信(UDP通信)
PC
NTP サーバー NTP
クライアント <問い合わせ>
<応答>
[UDP通信]
NTP通信(UDP通信) [開くトリガー]
・該当パケット
[閉じるトリガー]
・タイマーの満了
[DNSの処理]
・問い合わせパケットに対して、
必ず、応答パケットがある。
→タイマー管理に加えて、応答
パケットの到着で閉じる。
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 36
セキュリティーフィルターの自動生成機能
セキュリティ・レベル 1 2 3 4 5 6 7
予期しない発呼を防ぐフィルタ ○ ○ ○ ○ ○ ○ ○
NetBIOS等を塞ぐフィルタ
(ポート番号:135,137,138,139,445) ○ ○ ○ ○ ○ ○
プライベートアドレスのままの通信
を禁止するフィルタ ○ ○ ○
静的セキュリティ・フィルタ
(従来のセキュリティフィルタ) ◎ ◎
動的セキュリティ・フィルタ
(強固なセキュリティ・フィルタ) ☆ ☆
セキュリティー・レベル (ネットボランチのセキュリティー強度の選択機能)
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 37
ファイアウォールの構造
動的フィルタ 監視
静的 フィルタ 定義
静的フィルタ
----------<外側…インタフェース側>----------
----------<内側…ルーティング側>----------
静的フィルタ
静的 フィルタ 定義
動的 フィルタ 定義
<IN側>
動的フィルタ 監視
動的 フィルタ 定義
動的フィルタ
動的フィルタ
動的フィルタ コネクション 管理テーブル
登録
登録
参照
参照
通過 破棄
通過
通過 破棄
通過 <OUT側>
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 38
静的セキュリティー・フィルター
① ②
動的フィルタ 監視
静的 フィルタ 定義
静的フィルタ
----------<外側…インタフェース側>----------
----------<内側…ルーティング側>----------
静的フィルタ
静的 フィルタ 定義
動的 フィルタ 定義
<IN側>
動的フィルタ 監視
動的 フィルタ 定義
動的フィルタ
動的フィルタ
動的フィルタ コネクション 管理テーブル
登録
登録
参照
参照
通過 破棄
通過
通過 破棄
通過 <OUT側>
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 39
設定例#1 (静的セキュリティーフィルター)
入出|# 静的フィルタの定義 ■□| ip filter 00 reject 10.0.0.0/8 * * * * ■□| ip filter 01 reject 172.16.0.0/12 * * * * ■□| ip filter 02 reject 192.168.0.0/16 * * * * ■□| ip filter 03 reject 192.168.0.0/24 * * * * □■| ip filter 10 reject * 10.0.0.0/8 * * * □■| ip filter 11 reject * 172.16.0.0/12 * * * □■| ip filter 12 reject * 192.168.0.0/16 * * * □■| ip filter 13 reject * 192.168.0.0/24 * * * ■■| ip filter 20 reject * * udp,tcp 135 * ■■| ip filter 21 reject * * udp,tcp * 135 ■■| ip filter 22 reject * * udp,tcp netbios_ns-netbios_ssn * ■■| ip filter 23 reject * * udp,tcp * netbios_ns-netbios_ssn ■■| ip filter 24 reject * * udp,tcp 445 * ■■| ip filter 25 reject * * udp,tcp * 445 □■| ip filter 26 restrict * * tcpfin * www,21,nntp □■| ip filter 27 restrict * * tcprst * www,21,nntp ■□| ip filter 30 pass * 192.168.0.0/24 icmp * * ■□| ip filter 31 pass * 192.168.0.0/24 established * * ■□| ip filter 32 pass * 192.168.0.0/24 tcp * ident ■□| ip filter 33 pass * 192.168.0.0/24 tcp ftpdata * □□| ip filter 34 pass * 192.168.0.0/24 tcp,udp * domain ■□| ip filter 35 pass * 192.168.0.0/24 udp domain * □□| ip filter 36 pass * 192.168.0.0/24 udp * ntp □□| ip filter 37 pass * 192.168.0.0/24 udp ntp * □■| ip filter 99 pass * * * * *
入出| # 動的フィルタの定義 □□| ip filter dynamic 80 * * ftp □□| ip filter dynamic 81 * * domain □□| ip filter dynamic 82 * * www □□| ip filter dynamic 83 * * smtp □□| ip filter dynamic 84 * * pop3 □□| ip filter dynamic 98 * * tcp □□| ip filter dynamic 99 * * udp
# 接続先のフィルタの入力(IN)と出力(OUT)の適用 pp select 1 ip pp secure filter in 00 01 02 03 20 21 22 23 24 25 30 31 32 33 35 ip pp secure filter out 10 11 12 13 20 21 22 23 24 25 26 27 99
[条件]
・ネットボランチ RTA54i
・プロバイダ接続設定の
セキュリティー・レベル5
http://www.rtpro.yamaha.co.jp/RTA54i/ScreenShot/40310/security-level5.html
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 40
動的フィルタ 監視
静的 フィルタ 定義
静的フィルタ
----------<外側…インタフェース側>----------
----------<内側…ルーティング側>----------
静的フィルタ
静的 フィルタ 定義
動的 フィルタ 定義
<IN側>
動的フィルタ 監視
動的 フィルタ 定義
動的フィルタ
動的フィルタ
動的フィルタ コネクション 管理テーブル
登録
登録
参照
参照
通過 破棄
通過
通過 破棄
通過 <OUT側>
動的セキュリティー・フィルター
①
②
③
④
⑤
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 41
設定例#2 (動的セキュリティーフィルター)
入出|# 静的フィルタの定義 ■□| ip filter 00 reject 10.0.0.0/8 * * * * ■□| ip filter 01 reject 172.16.0.0/12 * * * * ■□| ip filter 02 reject 192.168.0.0/16 * * * * ■□| ip filter 03 reject 192.168.0.0/24 * * * * □■| ip filter 10 reject * 10.0.0.0/8 * * * □■| ip filter 11 reject * 172.16.0.0/12 * * * □■| ip filter 12 reject * 192.168.0.0/16 * * * □■| ip filter 13 reject * 192.168.0.0/24 * * * ■■| ip filter 20 reject * * udp,tcp 135 * ■■| ip filter 21 reject * * udp,tcp * 135 ■■| ip filter 22 reject * * udp,tcp netbios_ns-netbios_ssn * ■■| ip filter 23 reject * * udp,tcp * netbios_ns-netbios_ssn ■■| ip filter 24 reject * * udp,tcp 445 * ■■| ip filter 25 reject * * udp,tcp * 445 □■| ip filter 26 restrict * * tcpfin * www,21,nntp □■| ip filter 27 restrict * * tcprst * www,21,nntp ■□| ip filter 30 pass * 192.168.0.0/24 icmp * * □□| ip filter 31 pass * 192.168.0.0/24 established * * ■□| ip filter 32 pass * 192.168.0.0/24 tcp * ident □□| ip filter 33 pass * 192.168.0.0/24 tcp ftpdata * □□| ip filter 34 pass * 192.168.0.0/24 tcp,udp * domain □□| ip filter 35 pass * 192.168.0.0/24 udp domain * □□| ip filter 36 pass * 192.168.0.0/24 udp * ntp □□| ip filter 37 pass * 192.168.0.0/24 udp ntp * □■| ip filter 99 pass * * * * *
入出| # 動的フィルタの定義 □■| ip filter dynamic 80 * * ftp □■| ip filter dynamic 81 * * domain □■| ip filter dynamic 82 * * www □■| ip filter dynamic 83 * * smtp □■| ip filter dynamic 84 * * pop3 □■| ip filter dynamic 98 * * tcp □■| ip filter dynamic 99 * * udp
# 接続先のフィルタの入力(IN)と出力(OUT)の適用 pp select 1 ip pp secure filter in 00 01 02 03 20 21 22 23 24 25 30 32 ip pp secure filter out 10 11 12 13 20 21 22 23 24 25 26 27 99 dynamic 80 81 82 83 84 98 99
[条件]
・ネットボランチ RTA54i
・プロバイダ接続設定の
セキュリティー・レベル7
http://www.rtpro.yamaha.co.jp/RTA54i/ScreenShot/40310/security-level7.html
4. ネットワーク層におけるセキュリティー概念の進化
取組の対象期間:2007年~/2013年~
(SRT100) (FWX120)
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 43
フィルター機能のレイヤー概念
レイヤー概念 ポリシー単位 ?
通信路 (を管理する)
より抽象化されている
コネクションやセッション単位
双方向のパケット通信を管理する
IPパケット1個単位
TCP/UDPの5個組み
単方向のパケットを管理する 静的フィルタリング
動的パケットフィルタリング (ステートフル・インスペクション)
ポリシーフィルター
ip/ipv6 policy filter コマンドなど
ip filter dynamic コマンドなど
ip filter コマンドなど
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
FWX120の自動生成ポリシー
Global
Private
LOCAL
LAN1
VPN
①
①
② ② ③
③
④
44
[適用ルール] 上から順番に処理される。 1段低い階層は、例外条件として処理される。 フィルタ動作は、破棄を赤色、通過を緑色。
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
ポリシーフィルター
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
ポリシーフィルター
①
②
③
④
[適用ルール] 上から順番に処理される。 1段低い階層は、例外条件として処理される。 フィルター動作は、破棄を赤色、通過を緑色。
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
FWX120の設定画面
47
● ポリシーフィルター
直観的に適用ルールが判別しやすい階層型ポリシー定義
Pass/Rejectの状態をわかり易く表示
ポリシー毎に通信状態を記録できる。
動作 該当
パケット 未検出
該当 パケット
検出 無効化
pass (stateful
inspection)
static-pass (static)
reject
restrict
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
セキュリティーのための内部構造
ルーター 1995年3月 RT100i発売 その後、様々な機能を搭載してきた。 機能や内部構造は、歴史的に蓄積されたもの。
• ファイアウォール機能(フィルターや不正アクセス検知機能)は、インターフェースで処理され使い方によっては2度通る。
ファイアウォール FWX120 (SRT100) 一つ一つの機能は、ほぼ同じ。 セキュリティ装置として、あるべき姿を目指して、作り直した。
• セキュリティ機能で、通信状態が適切に把握できること。 • 設定の適切さを診断する機能 (ワンクリック診断等)
48
[ご参考] 2012.09.27 FWX120のパケット処理構造(L3/ルーター型) http://projectphone.typepad.jp/blog/2012/09/fwx120-030f.html 2012.09.28 FWX120のパケット処理構造(L2/透過型) http://projectphone.typepad.jp/blog/2012/09/fwx120-40c5.html
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
インターネット
RTX1200/RTX810のパケット処理構造
LAN2
LAN1
ingress egress
イーサネットフィルター イーサネットフィルター NATディスクリプタ
ルーティング
NATディスクリプタ
ファイアウォール+不正アクセス検知
NATディスクリプタ
ルーティング
NATディスクリプタ
ファイアウォール+不正アクセス検知
イーサネットフィルター イーサネットフィルター
URLフィルター
URLフィルター
URLフィルター
URLフィルター Inte
rfa
ce-o
ut
Inte
rfa
ce-i
n
Interfa
ce-o
ut
Interfa
ce-in
ファイアウォール+不正アクセス検知 ファイアウォール+不正アクセス検知
QoS(queue)
QoS(classify)
QoS(classify)
QoS(queue)
パケ
ット
転送
フ
ィル
ター
パケ
ット
転送
フ
ィル
ター
In/Out連携
In/Out連携
In/Out連携
In/Out連携
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
インターネット
FWX120のパケット処理構造(L3/ルーター型)
LAN2
LAN1
ingress egress
※入力と出力が非対称
イーサネットフィルター イーサネットフィルター
入力遮断フィルター 不正アクセス検知#1
NATディスクリプタ
ルーティング
NATディスクリプタ
ポリシーフィルター
入力遮断フィルター 不正アクセス検知#1
NATディスクリプタ
ルーティング
NATディスクリプタ
ポリシーフィルター
イーサネットフィルター イーサネットフィルター
不正アクセス検知#2
URLフィルター
URLフィルター URLフィルター
URLフィルター
不正アクセス検知#2
Inte
rfa
ce-o
ut
Inte
rfa
ce-i
n
Interfa
ce-o
ut
Interfa
ce-in
QoS(queue)
QoS(classify)
QoS(classify)
QoS(queue)
In/Out連携
In/Out連携
In/Out連携
Winny/Share
フィルター等
パケ
ット
転送
フ
ィル
ター
パ
ケッ
ト転
送
フィ
ルタ
ー
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
インターネット
FWX120のパケット処理構造(L2/透過型)
LAN2
LAN1
ingress egress
※入力と出力が非対称
イーサネットフィルター イーサネットフィルター
入力遮断フィルター 不正アクセス検知#1
NATディスクリプタ
ブリッジング
NATディスクリプタ
ポリシーフィルター
入力遮断フィルター 不正アクセス検知#1
NATディスクリプタ
ブリッジング
NATディスクリプタ
ポリシーフィルター
イーサネットフィルター イーサネットフィルター
不正アクセス検知#2
URLフィルター
URLフィルター URLフィルター
URLフィルター
不正アクセス検知#2
Inte
rfa
ce-o
ut
Inte
rfa
ce-i
n
Interfa
ce-o
ut
Interfa
ce-in
QoS(queue)
QoS(classify)
QoS(classify)
QoS(queue)
In/Out連携 Winny/Share
フィルター等
5. 進化する無線LAN規格と暗号方式
取組の対象期間:2013年~
(WLX302)
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
主な無線LANの伝送規格
下位互換性を考慮しながら高速化
53
IEEE 802.11n
20/40MHz幅
1~4ストリーム
IEEE 802.11ac
80/160MHz幅
1~8ストリーム
最大54Mbps
IEEE 802.11a
20MHz幅
IEEE 802.11g
20MHz幅
IEEE 802.11b
22MHz幅
最大11Mbps 6.5M~600Mbps 290M~6.9Gbps
2.4GHz帯
5GHz帯
1999年10月 2003年6月
1999年6月 2009年9月 2014年1月
60GHz帯(近距離、10m以内)→WiGig IEEE 802.11ad 2012年12月
伝送速度
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
何が進化してきたのか? スループットを稼ぐ方法 変調方式
• DSSS(Direct Sequence Spread Spectrum)、 CCK(Complementary Code Keying)
– スペクトラム拡散方式の一つ – 小さい電力で広い帯域に拡散して通信する
• OFDM(Orthogonal Frequency Division Multiplexing) – 直交波周波数分割多重 – データを複数の搬送波に重なり合いながら互いに干渉させずに乗せる
周波数帯域 • 2.4GHz帯:遠くに届く • 5GHz帯:直進性が強い • 60GHz帯:高速だが、かなり近距離
チャネル幅(チャネルボンディング) • 隣り合う2チャネル分の40MHzで通信すること
空間ストリーム数(MIMO) • 複数のアンテナを使い、複数のストリームを同時に送信する
• 複数の電波が同時に放出される。受信側では複数のアンテナを使って受信した電波を解析し、それぞれのストリームを取り出す
54
【11acの特長】 チャネル幅の増大 空間ストリーム数の増大 より高効率な変調方式 ビームホーミング
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
11n vs 11ac: あなたは何を選ぶ?
Wave 1 (第一世代) Wave 2 (第二世代)
最大伝送速度 290Mbps - 1.3Gbps 3.5Gbps
サブキャリアの変調方式 256QAM 256QAM
空間ストリーム 3 4 - 8
チャネル幅 20/40/80MHz 20/40/80/80+80/160MHz
MIMOのユーザー シングルユーザー マルチユーザー(MU-MIMO)
55
規格 IEEE 802.11n IEEE 802.11ac
周波数帯域 2.4GHz帯、5GHz帯 5 GHz帯のみ
最大伝送速度 600 Mbps 6.93 Gbps
変調方式 OFDM OFDM
サブキャリアの変調方式 64QAM 256QAM
空間ストリーム 最大4 最大8
チャネル幅 最大40MHz 最大160MHz
MIMOのユーザー シングルユーザー マルチユーザー(MU-MIMO)
★“Wave”は、“世代”
※ビームホーミングも標準
発売中 LSI/モジュール開発中
約1.4倍
最大2倍
最大4倍
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
無線LANが遅くなる要因例 ■仕組みに起因する要因
距離が遠くなると、遅くなる
• 距離が遠くなると、電波強度が落ち、伝送レートも落ちる
遅い端末があると、遅くなる
• CSMA/CAの特性による
接続している/通信している端末が多いと遅くなる
• 無線とCSMA/CAの特性による
■機器に起因する要因 APの基本性能不足
• 複数台接続の負荷に耐えられない
高速通信に未対応の端末
• レガシー端末(例えば、11bと11gの同居)
• 端末特性による
– スマートデバイスは、バッテリー消費(省エネ)を考慮し、MIMOに未対応などで最大72.2Mbpsの端末も多い
■有線LANに起因する要因 ネットワーク構築の不備
ルーターの性能不足
インターネット回線の速度、混雑、障害 56
AP
LAN
R
The Internet
例示1
例示2
インターネットが使えない?
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
WLX302 「見える化画面」
57
InteropTokyo 2013の無線LAN環境提供に利用されたWLX302
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
PyCon APAC 2013 in Japan
58
12台のWLX302ごとの接続端末台数
本会議(初日) 本会議(2日目) スプリント
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
推奨暗号化方式、認証方式
セキュリティ対策のポイント SSID
• 接続先APの選択 (セキュリティ機能ではない)
MACアドレスフィルタリング • 接続可能な子機の制限 (セキュリティ機能ではない)
暗号化方式(認証方式)
59
情報処理推進機構(IPA) 「一般家庭における無線LANのセキュリティに関する注意」
(2003年 2月28日~2012年 9月27日)
http://www.ipa.go.jp/security/ciadr/wirelesslan.html
暗号化方式 WEP
• 暗号技術は、RC4を用いる。 WPA
• 暗号技術は、TKIP(RC4)を用いる。 WPA2
• 暗号技術は、AESを用いる。
無線LANで用いられる暗号化方式の比較
重要 安全
(出典:「一般家庭における無線LANのセキュリティに関する注意」 表2)
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
事例:あるNW系セミナー会場の観察
60
非常に混雑。APが数十台、2.4GHz帯は1ch/6ch/11chに集中、5GHz帯も多数
セキュリティに「WEP」や「Open」が多数 →決して古い機器ではない。 無線スキルを十分持っている 可能性が高いのであるが、 セキュリティ意識は不十分?
観察に用いたツール: inSSIDer 3 for Home 時期:2014年初頭
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
無線LANを「見える化」しよう!
61
目的 [1]
安定した無線LAN環境を確保する。
目的 [2]
安全な無線LAN環境を確保する。
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
WLX302 「端末一覧」
62
赤/橙→
緑→
青→
接続しているステーションの無線情報(評価値、MACアドレス、メディアタイプ、認証方式、伝送速度、信号強度、再送率、無線切断回数)を一覧表示。 複数のSSIDを設定している場合はSSIDごと。
ヤマハが独自に策定した基準で5段階評価 【悪】1(濃赤色)→2(赤色)→3(橙色)→4(緑色)→ 5(青色)【良】
信号強度が低く、再送も多い。
赤/橙→
緑→
青→
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
WLX302 「周辺AP一覧」
63
周辺APの評価値、SSID、MACアドレス、メディアタイプ、チャネル、伝送速度、信号強度、認証方式、暗号化方式を一覧できる。
登録 赤→
橙→
緑→
ヤマハが独自に策定した基準で5段階評価。 【悪】1(濃赤色)→ 2(赤色)→ 3(橙色)→ 4(緑色)→ 5(青色) 【良】
自社で運用中のAPを登録しておき、管理していないAP(未登録AP)と分けて表示できる。
伝送速度が遅いので電波の占有時間が長く、スループット低下の要因となる。
認証なしAPがありセキュリティ面で問題あり。
赤→
橙→
緑→ 削除
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
物理ネットワークと要件
64 64
2.4GHz帯/5GHz帯 (従業員用スポット)
2.4GHz帯 (ゲスト用スポット)
開発部門 営業部門
タグVLAN
[要件]
有線LAN
• 開発と営業を分離
無線LAN
• 開発と営業は有線と同じポリシー
• ゲストはインターネット接続のみ
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
論理ネットワーク構成
2.4GHz帯/5GHz帯 (開発部門用スポット)
2.4GHz帯 (ゲスト用スポット)
開発部門 営業部門
2.4GHz帯/5GHz帯 (営業部門用スポット)
ゲストネットワーク 営業ネットワーク 開発ネットワーク
VAP VAP VAP
[構築技術ポイント]
スイッチングハブ
• タグVLAN
無線LANアクセスポイント
• VAP
192.168.101.0/24 192.168.102.0/24 192.168.254.0/24
vid=1221 vid=1467
vid=1837
“Development” “Sales” “Guest”
[セキュリティポイント]
ルーター
• IPネットワーク超えは、 フィルターで制限
• ゲスト→開発/営業:禁止
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
タグVLANとVAP
66
vidなし
vid=1467
vid=1837
vid=1221
R SW制御
制御 制御 制御
VAP VAP VAP
RTX1200
SWX2200-8G WLX302
タグVLANを使ったネットワーク(LAN)
ハイブリッド→ ←ハイブリッド
ハイブリッド→
“Guest” “Sales”
ゲストネットワーク
営業ネットワーク
開発ネットワーク
管理ネットワーク
アクセス→
“Dev”
←フィルター機能によるネットワーク間のアクセス制限
6. 組み込み機器としてのセキュリティ対策
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
想定する脅威
ネットワークレイヤーの攻撃 DoS攻撃、ポートスキャン
プロトコルの仕様レベルでの脆弱性 OSPFv2, TCP実装, IPv6
過去事例の知見
68
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
高負荷対策 (限界値の検証)
「負荷試験装置」の活用 (ご参考) アプリケーション・パフォーマンス/セキュリティ 試験ツール Avalanche(レイヤ4-7 ストレス試験) 攻撃トラフィックジェネレーター ThreatEx
• 後継は、 Avalanche 「VAオプション」→脆弱性検査
次世代IP負荷測定/擬似エミュレーション テスター Spirent TestCenter VoIP/PSTN テレフォニーネットワークテストシステム Abacus
69
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
脆弱性と対策の情報公開
70
切っ掛け
OSPFv2
TCP
IPv6
IPv6
TCP
TCP
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
制御機能へのハッキング対策 #1
71
2001年8月の「CodeRed」 • マイクロソフトのIISを狙った攻撃
知見 • HTTPメッセージ処理のバッファオーバーフロー
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
制御機能へのハッキング対策 #2
72
制御機能のセキュリティ対策 • 機能ON/OFFコマンド
• 初期値は、できるだけOFF • 待ち受けポートの変更 • サービス対象範囲を限定するコマンド
• 隣接インターフェースに限定 • IPアドレス範囲に限定
コマンド名 機能
httpd service 機能のON/OFF
httpd listen listenポートの変更
httpd host アクセスを許可するホストをインターフェースやアドレス範囲で指定
例) Web設定機能(httpサーバー)に関連する設定
7. 最近のトピックス
最近の取り組み:2015年~
(FWX120)
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
FWX120 セキュリティーライセンス
74
http://jp.yamaha.com/products/network/software_service/firewall_options/ysl-mc120/
端末やメールサーバーを問わずにガード メールセキュリティー機能によるチェックは、クラウドサーバー上で実行されるため、FWX120配下の端末(PC、スマートデバイスなど)やメールサーバーに対して特定のアプリケーションをインストールする必要はありません。したがって、メーカーやOSによらず当機能を使用することが可能です。
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
FWX120 セキュリティーライセンス
75
アンチスパム スパムメールか否かを判定する
アンチウイルス メールの添付ファイルに対してウイルススキャンを行う
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
ヤマハネットワーク機器20周年
76
開発OB
RT100i黎明期パートナー
長期ユーザー
海外パートナー
Webメディア座談会
Webメディアサテライトサイト
ルーター総選挙 No.1:RTA50i
http://jp.yamaha.com/nw20th/
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
山賀正人氏とのコラボ
77
「山賀正人が見た、ヤマハのネットワーク機器とセキュリティのかかわり」 2016/3/7 6:00公開 http://internet.watch.impress.co.jp/docs/special/20160307_744974.html
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
荻窪圭氏とのコラボ
78
IT系ライター荻窪圭が聞く、「ヤマハがルータ以外のネットワーク機器を作ったワケ」・前編 実は、LANの管理はできていなかった? http://cloud.watch.impress.co.jp/docs/special/20160330_749987.html IT系ライター荻窪圭が聞く、「ヤマハがルータ以外のネットワーク機器を作ったワケ」・後編 企業の無線LANには何が必要? http://cloud.watch.impress.co.jp/docs/special/20160331_750025.html IT系ライター荻窪圭、企業向け無線LANアクセスポイント「WLX202」を試してみる ビジネス向け製品に縁がないライターでも使えるの? http://cloud.watch.impress.co.jp/docs/special/20160415_750804.html
© SN Department, Audio Products Sales and Marketing, Yamaha Corporation
「なれる!SE」とのコラボ
79
ヤマハと電撃文庫の異色作『なれる!SE』のスペシャルコラボ! http://ascii.jp/elem/000/001/125/1125786/ 2016年02月29日 15時00分 なれる!SE ヤマハ?の歩きかた 第1回 WAN更改案件でヤマハのルーターを選んだところ、 ヤマハから工場見学の案内が。 http://ascii.jp/elem/000/001/124/1124102/ 2016年04月08日 11時00分 なれる!SE ヤマハ?の歩きかた 第2回 WAN更改案件でヤマハのルーターを選んだところ、 ヤマハから工場見学の案内が。 http://ascii.jp/elem/000/001/145/1145948/