感動を・ともに・創る - projectphone.lekumo.bizprojectphone.lekumo.biz/pdf/YamahaNetworkAppliance-20160430.pdfヤマハネットワーク機器製品年表 1996.10 rtx3000

http://jp.yamaha.com/nw20th/

「ヤマハルーター」の始まり

エンタープライズ用途のWAN回線活用に注力

1995年にISDN回線に対応したRT100i発売

1996年にセンター用途のRT200i発売

1997年より複数回線収容に対応したRT140シリーズ(i/p/e/f)発売

2000年にセンター用途で回線モジュール対応のRT300i発売

2001年より多様な回線に対応したRT105シリーズ(i/p/e)発売

2002年にブロードバンドVPNに軸足を移したRTXシリーズ発売

ヤマハ（センタールーター）

ヤマハ（拠点用ルーター）

WAN回線

国内SOHOルーター市場シェア

11年連続シェア1位

（2004年～2014年、国内SOHOルーター市場）

出典：IDC Japan, May 2015, 「国内ネットワーク機器市場 2014年の分析と2015年～2019年の予測：ルーター、イーサネットスイッチ、無線LAN機器市場」（IDC #J15010104)

41.3%

SOHO（Small Office/Home Office）： 1 万6,500 円～11 万円未満

ヤマハネットワーク機器製品年表

2005 1996.10

RT200i 2000.6

RT300i

2002.11

RTX2000 2005.1

RT250i

2006.1

RTX3000

2013.7

RTX5000/ RTX3500

1997.10

RT140i

1998.5

RT140e RT140p

1999.2

RT140f 2002.10

RTX1000

2004.10

RTX1500 2005.2

RTX1100

2014.11

RTX1210

1995.3

RT100i

1997.5

RT102i 1998.10

RT103i 2001.12

RT105e

2002.1

RT105p 2005.10

RT107e

2011.11

RTX810

2001.6

RT52pro 2003.11

RTV700 2005.11

RTV01 2011.2

SWX2200-8G SWX2200-24G

2013.3

WLX302 2013.4

SWX2200-8PoE

1997.10

RT80i 1998.10

RTA50i

2000.3

RTA52i 2001.7

RTA54i 2001.11

RTW65b 2002.2

RTW65i

2002.5

RTA55i 2002.7

RT56v 2003.7

RT57i 2006.9

RT58i

2010.10

NVR500

2007.4

SRT100 2012.11

FWX120

2006.6

YMS-VPN1 2009.12

YMS-VPN1-CP

2010.9

YMS-VPN7 2011.5

YMS-VPN7-CP

2013.9

YMS-VPN8 2014.9

YMS-VPN8-CP

1995 2000

2010

2015

センター用ルーター

(VPN &/or ISDN)

拠点用スタンダード VPNルーター

(マルチWAN)

拠点用シンプル

VPNルーター

電話機能 (VoIP)

VPN

LAN機器 (スイッチ＆無線AP)

電話機能(VoIP)

&

インターネット

接続

VPN クライアント

ファイアウォール

(セキュリティ)

2008.10

RTX1200

2001.7

RT105i

2000.10

RT60w

© SN Department, Audio Products Sales and Marketing, Yamaha Corporation

Agenda 1. ピアノ屋のルーターですか?

1-1. ヤマハがルーターを作り始めた切っ掛け 1-2. 企業向けルーターとホームルーターの違い

2. セキュリティ対策の役割分担 (餅は餅屋、適材適所)

3. ブロードバンド化で被害確率が増加？ 3-1. 「静的」パケットフィルタリング (パケットを識別) 3-2. 「動的」パケットフィルタリング (セッションを識別) 3-3. セキュリティフィルターの自動生成機能

4. ネットワーク層におけるセキュリティ概念の進化 4-1. パケットフィルターとポリシーフィルター

5. 進化する無線LAN規格と暗号方式 5-1. 無線LANの変化 5-2. 小規模企業のLANセキュリティのレベルアップ

6. 組込み機器としてのセキュリティ対策 6-1.想定する脅威 6-2.制御機能へのハッキング対策

7. 最近のトピックス

5

1. ピアノ屋のルーターですか?

取組の対象期間：1987年～2014年

© SN Department, Audio Products Sales and Marketing, Yamaha Corporation 7

“ヤマハ”のネットワーク機器 1887年山葉寅楠（やまはとらくす）浜松尋常小学校（現元城小学校）でオルガン修理

1897年日本楽器製造株式会社設立

1955年ヤマハ発動機株式会社設立

1959年ヤマハ音楽教室開始

1966年財団法人ヤマハ音楽振興会発足

1971年 IC 生産開始

1983年デジタルシンセサイザー DX-7発売、MSX発売、FM音源LSI販売開始

1987年創業100周年 & 社名変更アナログ回線用デジタルFAXモデムLSI 開発

1995年3月リモートルーター「RT100i」発売

1998年10月ネットボランチ「RTA50i」発売

2002年10月イーサアクセスVPNルーター「RTX1000」発売

2004年11月ルーター累計100万台突破

2011年2月スマートL2スイッチ「SWX2200シリーズ」発売

2011年3月ルーター累計200万台突破 IPv6ルーター累計160万台突破

2013年3月無線LANアクセスポイント「WLX302」発売

2014年3月ルーター累計250万台突破今年で29年今年で21年


楽器から派生するコア技術

8

Acoustic 楽器 (オルガン、ピアノ)

木工、接着、塗装、鋳造など

DSP、ASIC、コンピューター

Electric 楽器 (電気オルガン、エレキギター)

1960年頃～

Electronic 楽器 (電子オルガン)

1980年頃～

半導体製造 1970年頃～

デジタルFAXモデム LSI 1987年

ISDN LSI

ISDN応用機器（ISDN-TA, FD転送装置など）

1989年

ISDNルーター 1995年


10周年記念講演での「SOHOルーター」

ヤマハは、SOHO市場の開拓者 SOHOという市場は日本で独自の発展を遂げており、その市場のリーダーとして開拓者の

役割をヤマハが担っていた。

「ISDNルーター」がブロードバンド普及に大きな影響 ISDNというインフラが全国で利用できるという環境が整っていたこともあり、SOHOや個人

をターゲットにしたルータがこれほど早く普及したのは日本特有の現象で、これがその後のブロードバンドの普及にも大きな影響を与えたとした。

大胆なオンラインサービス最初から、ファームウェアのアップデートやマニュアルの公開をインターネットで行なってい

た。記憶にある限りでは、こうしたサービスをコンシューマー製品で行なったのはヤマハが最初。今ではあたりまえになっているアップデートやマニュアルの公開など、インターネットの有効な使い方を示したという意味でもヤマハの果たした役割は大きい。

IPv6の早期実用化ヤマハのルータではIPv6を早い段階からサポートしており、IPv6に対応した製品が数多く

家庭にまで入り込んでいるのも日本の独自性であり、世界的に見れば先進性でもある

[Internet Watch] 村井氏「ヤマハはSOHO市場の開拓者」～ヤマハルータ10周年記念講演

http://internet.watch.impress.co.jp/cda/event/2005/01/21/6165.html

[SOHOルーターに関する概要(抜粋)]

「ルーター」って何?

「インターネット」って知ってる?

ルーター

情報A

ブラックボックスホワイトボックス

データデータ


ルーターとは?

R R

R


WWW

R

R

企業・組織


LAN(データリンク)とネットワーク

データリンク領域(緑)

データリンク領域(青)

データリンク領域(黄)

ルーター

ルーター

ルーター


IPアドレス管理と経路選択

192.168.3.0/24 (緑)

192.168.2.0/24 (青)

192.168.1.0/24 (黄)

ルーター

ルーター

ルーター

DHCPで IPアドレス配布

A B

C

経路 192.168.1.0/24 (黄) LAN 192.168.2.0/24 (青) B 192.168.3.0/24 (緑) A

経路 192.168.1.0/24 (黄) B 192.168.2.0/24 (青) LAN 192.168.3.0/24 (緑) C

経路 192.168.1.0/24 (黄) A 192.168.2.0/24 (青) C 192.168.3.0/24 (緑) LAN


経路バックアップ

192.168.3.0/24 (緑)

192.168.2.0/24 (青)

192.168.1.0/24 (黄)

ルーター

ルーター

ルーター

DHCPで IPアドレス配布

A B

C

ネットワーク I/F 距離 192.168.1.0/24 (黄) LAN 0

192.168.2.0/24 (青) B 1 A 2

192.168.3.0/24 (緑) A 1 B 2

ネットワーク I/F 距離

192.168.1.0/24 (黄) B 1 C 2

192.168.2.0/24 (青) LAN 0

192.168.3.0/24 (緑) C 1 B 2 ネットワーク I/F 距離

192.168.1.0/24 (黄) A 1 C 2

192.168.2.0/24 (青) C 1 A 2

192.168.3.0/24 (緑) LAN 0


企業用途：インターネット接続

R

ヤマハルーターは、「インターネット」と「社内LAN」の境界に置かれる。

R

R

R


企業・組織


企業用途：拠点間接続

R

R

R

R


R VPN

センター

拠点

ISDN

backup

企業・組織


ご参考：個人用途

R

R

R

R


家庭

無線LAN プライベートIP

グローバルIP

アドレス変換(NAT)

(数台)

回線接続機能

とっても小規模


いろいろなルーターがある

利用者通信事業者企業・組織家庭

利用

シーン

インターネットや閉域網などの回線サービスを提供するための機器

企業の拠点間接続 PC数台のインターネット接続

取り扱い

経路数

フルルートを持つことで、インターネットの冗長経路が利用できる。

⇒数十万ルート

企業内の組織数に応じたネットワーク経路

⇒数千～数万ルート

内部と外部の区別

⇒2～数ルート

特長多数の経路とパケットを高速に処理できる。

多種多様な要望に対して、柔軟に対応できる。

アクセス回線に接続する機能とNAT機能があれば十分。

異なるものづくり


ご参考：フルルート http://bgp.potaroo.net/

約64万ルート (2016年4月24日)

約64万ルート (2016年4月)

約54万ルート (2014年10月)


約40万ルート (2011年11月)




ルーター製品のポジショニング (単価)

250万円

100万円

11万円

2.5万円

(用途) (個人) (企業) (キャリア)

設備

レンタル機材

レンタル機材

ハイエンドルーター

ミッドレンジルーター

ローエンドルーター

SOHO ルーター

レジデンシャルルーター

ヤマハ


国内SOHOルーター市場シェアの推移

国内SOHOルーター市場エンドユーザー売上額ベンダーシェア実績、2004年～2014年

Notes：金額シェア

2009年以降のシェアは、40％以上を維持し一歩抜け出ている

製品の次世代化を促進し抜け出す

競争が激化

RTX1500

RTX1100

RT107e

RTX3000

RT58i

RTX1200 NVR500

SWX2200

RTX810

SRT100 【いままで】

WANの

課題解決に集中

【現在】

LANの

課題解決に注力

RTX3500

RTX5000

RTX1210

FWX120

出典：IDC Japan, May 2015, 「国内ネットワーク機器市場 2014年の分析と2015年～2019年の予測：ルーター、イーサネットスイッチ、無線LAN機器市場」（IDC #J15010104)


ネットワーク機器の事業ドメインマップ

L2/L3スイッチ

ヤマハ

ヤマハ

拡張配線

出入口

配線

出入口

無線LAN スイッチ

http://proaudio.yamaha.co.jp/products/mixers/pm5d/index.html

2. セキュリティー対策の役割分担


ネットワーク構成と役割

24 24

GW

コア・スイッチ

島スイッチ島スイッチ

ディストリビューション・スイッチ

給電スイッチ

LANのポリシー

WANのポリシー

アクセスポリシー

(端末接続)

小規模なら

一体運用

機器・機能を守る

セキュリティ対策

3. ブロードバンド化で被害確率が増加する? →加速した!

取組の対象期間：2001年～

(RTA54i)


ブロードバンド化で脅威が増加する!

26

ナローバンド→ブロードバンド [1]

帯域が64k/128k→1M/100M/1Gに増加

ナローバンド→ブロードバンド [2]

攻撃時間が1/10、1/100、1/1000。

攻撃確率が10倍、100倍、1000倍。

(想定)

ブロードバンド化に伴う脅威対策が必要とされる。

(対策)

1. 動的フィルター機能の導入

2. 「セキュリティーレベル」機能の導入


従前のセキュリティー・フィルター

静的フィルタ定義

静的フィルター

----------<外側…インタフェース側>----------

----------<内側…ルーティング側>----------

静的フィルター


通過破棄

通過破棄 <IN側>

<OUT側>

参照参照

# フィルタ定義例 (LAN側ネットワークが192.168.0.0/24の場合) ip filter 10 reject 192.168.0.0/24 * * * * ip filter 11 pass * 192.168.0.0/24 icmp * * ip filter 12 pass * 192.168.0.0/24 established * * # tcpの片方向性を実現する仕組み ip filter 13 pass * 192.168.0.0/24 tcp * ident # メール転送などの時の認証(ident) ip filter 14 pass * 192.168.0.0/24 tcp ftpdata * # ftpのアクティブ転送用 ip filter 15 pass * 192.168.0.0/24 udp domain * # DNSサーバへの問い合わせ(戻り) ip filter source-route on ip filter directed-broadcast on # フィルタ適用例 (接続先のPP番号が1の場合) pp select 1 ip pp secure filter in 10 11 12 13 14 15

http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/network-security-filter.html


静的パケットフィルタリングの課題

[静的フィルタの小窓]

・TCP: 一方向性のestablishedフィルタの限界

判断条件)TCPフラグのうちACKとRSTのいずれかがセット

・UDP: 必要なポートは常に開けておく。

例) DNS、NTP

http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-filter-established.html

= 常時開いている小窓


(1)TCPのestablishedフィルター

[目的]

・静的フィルタリングにより

外部からの不必要なTCP

接続要求を破棄する。

[従来措置]

・入り口で「SYNのみパケット」

を破棄

⇒establishedフィルタを適用

[悩み]

・「ACKつきパケット」の攻撃を

されたら…

[解決策]

・動的フィルタリング

・利便性とセキュリティの

トレードオフ


PC

telnet サーバ

telnet クライアント

established

<SYN>

<SYN+ACK>

<ACK>

[TCP通信開始]

[TCP通信中]

[TCP通信終了]

SYN以外は、ACKまたはRSTがある ⇒establishedフィルタで対処できる









(2) ftp通信のフィルタリング

[悩み] ・ftpのアクティブ転送は、外部からのtcp接続が開始される。 ⇒通常であれば、establishedフィルタで破棄される対象。・ftpクライアント側は、establishedフィルタでは、十分とはいえない。 [解決策] ・動的フィルタリング・利便性とセキュリティのトレードオフ

ftpのパッシブ転送(PASVコマンド)

ftp server

ftp client

制御データ

[*]

[21] [*]

[*]

ftpのアクティブ転送(PORTコマンド)

ftp server

ftp client

制御データ

[*]

[21] [20]

[*]

established










(3) 電子メール通信のフィルタリング

[参考] ・電子メールなどの通信におけるユーザー認証の仕組みとして、 identが使用されることがある。 ⇒このidentの通信を単純に拒絶すると「サーバーへのアクセスが遅い」という症状になることがある。

電子メールなどの認証に使われるident

mail server

mail client

接続認証

[*]

[SMTP(25),POP3(110)] [*]

[ident(113)]

established


(4) UDPフィルタ(DNSやNTP)

[悩み]

・UDPは、シンプルな通信である

ため、チェック機能がほとんど

無い。

・UDP通信を許可するためには、

応答パケットを常に通過させる

必要がある。

[解決案]

・動的フィルタリング

・利便性とセキュリティの

トレードオフ

・セキュリティ的に強固な

代理サーバを用意する


PC

DNS サーバー DNS

リゾルバー <問い合わせ>

<応答>

[UDP通信]

PC

NTP サーバー NTP

クライアント <問い合わせ>

<応答>

[UDP通信]

DNS通信(UDP通信)

NTP通信(UDP通信)









動的フィルタリングの特徴

[目的]

・安全性を確保したフィルタリング設定の難しさの解消

・静的フィルタリングの弱点を補完し、利便性とセキュリティを

両立するしくみの提供

・動的フィルタリングを加えることにより、さらに安全性を高める。

[静的フィルタリングの弱点]

・安全性と安定性を確保した十分なフィルタリングを行うためには、

高度な知識が求められる。

・ftp通信のフィルタリングにおける安全性

・UDP通信のためのフィルタの安全性

・TCP通信のためのestablishedフィルタの安全性

= 必要な時に開閉する小窓


TCPの動的フィルター (基本動作)

[開くトリガー]

・コネクションを開くSYN情報を

持ったパケット

[確立の監視]

・TCPコネクションを開始する

ハンドシェイクの監視

[閉じるトリガー]

・コネクションを閉じるFINや

RSTなどの情報を持った

パケット

・無通信監視(タイマ)

PC

telnet サーバ telnet

クライアント

established

<SYN>

<SYN+ACK>

<ACK>

[TCP通信開始]

[TCP通信中]

[TCP通信終了]

FINやRST

<外側> <内側> <通信路>


UDPの動的フィルター (基本動作)

PC

DNS サーバー DNS

リゾルバー <問い合わせ>

<応答>

[UDP通信]

DNS通信(UDP通信)

PC

NTP サーバー NTP

クライアント <問い合わせ>

<応答>

[UDP通信]

NTP通信(UDP通信) [開くトリガー]

・該当パケット

[閉じるトリガー]

・タイマーの満了

[DNSの処理]

・問い合わせパケットに対して、

必ず、応答パケットがある。

→タイマー管理に加えて、応答

パケットの到着で閉じる。


セキュリティーフィルターの自動生成機能

セキュリティ・レベル 1 2 3 4 5 6 7

予期しない発呼を防ぐフィルタ ○ ○ ○ ○ ○ ○ ○

NetBIOS等を塞ぐフィルタ

(ポート番号:135,137,138,139,445) ○ ○ ○ ○ ○ ○

プライベートアドレスのままの通信

を禁止するフィルタ ○ ○ ○

静的セキュリティ・フィルタ

(従来のセキュリティフィルタ) ◎ ◎

動的セキュリティ・フィルタ

(強固なセキュリティ・フィルタ) ☆ ☆

セキュリティー・レベル (ネットボランチのセキュリティー強度の選択機能)


ファイアウォールの構造

動的フィルタ監視


静的フィルタ

----------<外側…インタフェース側>----------

----------<内側…ルーティング側>----------

静的フィルタ


動的フィルタ定義

<IN側>



動的フィルタ

動的フィルタ

動的フィルタコネクション管理テーブル

登録

登録

参照

参照

通過破棄

通過

通過破棄

通過 <OUT側>

http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html


静的セキュリティー・フィルター

① ②



静的フィルタ

----------<外側…インタフェース側>----------

----------<内側…ルーティング側>----------

静的フィルタ



<IN側>



動的フィルタ

動的フィルタ


登録

登録

参照

参照

通過破棄

通過

通過破棄

通過 <OUT側>


設定例#1 (静的セキュリティーフィルター)

入出|# 静的フィルタの定義 ■□| ip filter 00 reject 10.0.0.0/8 * * * * ■□| ip filter 01 reject 172.16.0.0/12 * * * * ■□| ip filter 02 reject 192.168.0.0/16 * * * * ■□| ip filter 03 reject 192.168.0.0/24 * * * * □■| ip filter 10 reject * 10.0.0.0/8 * * * □■| ip filter 11 reject * 172.16.0.0/12 * * * □■| ip filter 12 reject * 192.168.0.0/16 * * * □■| ip filter 13 reject * 192.168.0.0/24 * * * ■■| ip filter 20 reject * * udp,tcp 135 * ■■| ip filter 21 reject * * udp,tcp * 135 ■■| ip filter 22 reject * * udp,tcp netbios_ns-netbios_ssn * ■■| ip filter 23 reject * * udp,tcp * netbios_ns-netbios_ssn ■■| ip filter 24 reject * * udp,tcp 445 * ■■| ip filter 25 reject * * udp,tcp * 445 □■| ip filter 26 restrict * * tcpfin * www,21,nntp □■| ip filter 27 restrict * * tcprst * www,21,nntp ■□| ip filter 30 pass * 192.168.0.0/24 icmp * * ■□| ip filter 31 pass * 192.168.0.0/24 established * * ■□| ip filter 32 pass * 192.168.0.0/24 tcp * ident ■□| ip filter 33 pass * 192.168.0.0/24 tcp ftpdata * □□| ip filter 34 pass * 192.168.0.0/24 tcp,udp * domain ■□| ip filter 35 pass * 192.168.0.0/24 udp domain * □□| ip filter 36 pass * 192.168.0.0/24 udp * ntp □□| ip filter 37 pass * 192.168.0.0/24 udp ntp * □■| ip filter 99 pass * * * * *

入出| # 動的フィルタの定義 □□| ip filter dynamic 80 * * ftp □□| ip filter dynamic 81 * * domain □□| ip filter dynamic 82 * * www □□| ip filter dynamic 83 * * smtp □□| ip filter dynamic 84 * * pop3 □□| ip filter dynamic 98 * * tcp □□| ip filter dynamic 99 * * udp

# 接続先のフィルタの入力(IN)と出力(OUT)の適用 pp select 1 ip pp secure filter in 00 01 02 03 20 21 22 23 24 25 30 31 32 33 35 ip pp secure filter out 10 11 12 13 20 21 22 23 24 25 26 27 99

[条件]

・ネットボランチ RTA54i

・プロバイダ接続設定の

セキュリティー・レベル5

http://www.rtpro.yamaha.co.jp/RTA54i/ScreenShot/40310/security-level5.html




静的フィルタ

----------<外側…インタフェース側>----------

----------<内側…ルーティング側>----------

静的フィルタ



<IN側>



動的フィルタ

動的フィルタ


登録

登録

参照

参照

通過破棄

通過

通過破棄

通過 <OUT側>

動的セキュリティー・フィルター

①

②

③

④

⑤


設定例#2 (動的セキュリティーフィルター)

入出|# 静的フィルタの定義 ■□| ip filter 00 reject 10.0.0.0/8 * * * * ■□| ip filter 01 reject 172.16.0.0/12 * * * * ■□| ip filter 02 reject 192.168.0.0/16 * * * * ■□| ip filter 03 reject 192.168.0.0/24 * * * * □■| ip filter 10 reject * 10.0.0.0/8 * * * □■| ip filter 11 reject * 172.16.0.0/12 * * * □■| ip filter 12 reject * 192.168.0.0/16 * * * □■| ip filter 13 reject * 192.168.0.0/24 * * * ■■| ip filter 20 reject * * udp,tcp 135 * ■■| ip filter 21 reject * * udp,tcp * 135 ■■| ip filter 22 reject * * udp,tcp netbios_ns-netbios_ssn * ■■| ip filter 23 reject * * udp,tcp * netbios_ns-netbios_ssn ■■| ip filter 24 reject * * udp,tcp 445 * ■■| ip filter 25 reject * * udp,tcp * 445 □■| ip filter 26 restrict * * tcpfin * www,21,nntp □■| ip filter 27 restrict * * tcprst * www,21,nntp ■□| ip filter 30 pass * 192.168.0.0/24 icmp * * □□| ip filter 31 pass * 192.168.0.0/24 established * * ■□| ip filter 32 pass * 192.168.0.0/24 tcp * ident □□| ip filter 33 pass * 192.168.0.0/24 tcp ftpdata * □□| ip filter 34 pass * 192.168.0.0/24 tcp,udp * domain □□| ip filter 35 pass * 192.168.0.0/24 udp domain * □□| ip filter 36 pass * 192.168.0.0/24 udp * ntp □□| ip filter 37 pass * 192.168.0.0/24 udp ntp * □■| ip filter 99 pass * * * * *

入出| # 動的フィルタの定義 □■| ip filter dynamic 80 * * ftp □■| ip filter dynamic 81 * * domain □■| ip filter dynamic 82 * * www □■| ip filter dynamic 83 * * smtp □■| ip filter dynamic 84 * * pop3 □■| ip filter dynamic 98 * * tcp □■| ip filter dynamic 99 * * udp

# 接続先のフィルタの入力(IN)と出力(OUT)の適用 pp select 1 ip pp secure filter in 00 01 02 03 20 21 22 23 24 25 30 32 ip pp secure filter out 10 11 12 13 20 21 22 23 24 25 26 27 99 dynamic 80 81 82 83 84 98 99

[条件]

・ネットボランチ RTA54i

・プロバイダ接続設定の

セキュリティー・レベル7

http://www.rtpro.yamaha.co.jp/RTA54i/ScreenShot/40310/security-level7.html

4. ネットワーク層におけるセキュリティー概念の進化

取組の対象期間：2007年～/2013年～

(SRT100) (FWX120)


フィルター機能のレイヤー概念

レイヤー概念ポリシー単位 ?

通信路 (を管理する)

より抽象化されている

コネクションやセッション単位

双方向のパケット通信を管理する

IPパケット1個単位

TCP/UDPの5個組み

単方向のパケットを管理する静的フィルタリング

動的パケットフィルタリング (ステートフル・インスペクション)

ポリシーフィルター

ip/ipv6 policy filter コマンドなど

ip filter dynamic コマンドなど

ip filter コマンドなど


FWX120の自動生成ポリシー

Global

Private

LOCAL

LAN1

VPN

①

①

② ② ③

③

④

44

[適用ルール] 上から順番に処理される。 1段低い階層は、例外条件として処理される。フィルタ動作は、破棄を赤色、通過を緑色。





①

②

③

④

[適用ルール] 上から順番に処理される。 1段低い階層は、例外条件として処理される。フィルター動作は、破棄を赤色、通過を緑色。


FWX120の設定画面

47

● ポリシーフィルター

直観的に適用ルールが判別しやすい階層型ポリシー定義

Pass/Rejectの状態をわかり易く表示

ポリシー毎に通信状態を記録できる。

動作該当

パケット未検出

該当パケット

検出無効化

pass (stateful

inspection)

static-pass (static)

reject

restrict

http://projectphone.typepad.jp/photos/srt100_icon/p_log.html

http://projectphone.typepad.jp/photos/srt100_icon/p_config.html

http://projectphone.typepad.jp/photos/srt100_icon/p_close.html

http://projectphone.typepad.jp/photos/srt100_icon/p_open.html

http://projectphone.typepad.jp/photos/srt100_icon/configmenu.html


セキュリティーのための内部構造

ルーター 1995年3月 RT100i発売その後、様々な機能を搭載してきた。機能や内部構造は、歴史的に蓄積されたもの。

• ファイアウォール機能(フィルターや不正アクセス検知機能)は、インターフェースで処理され使い方によっては2度通る。

ファイアウォール FWX120 (SRT100) 一つ一つの機能は、ほぼ同じ。セキュリティ装置として、あるべき姿を目指して、作り直した。

• セキュリティ機能で、通信状態が適切に把握できること。 • 設定の適切さを診断する機能 (ワンクリック診断等)

48

[ご参考] 2012.09.27 FWX120のパケット処理構造(L3/ルーター型) http://projectphone.typepad.jp/blog/2012/09/fwx120-030f.html 2012.09.28 FWX120のパケット処理構造(L2/透過型) http://projectphone.typepad.jp/blog/2012/09/fwx120-40c5.html



RTX1200/RTX810のパケット処理構造

LAN2

LAN1

ingress egress

イーサネットフィルターイーサネットフィルター NATディスクリプタ

ルーティング

NATディスクリプタ

ファイアウォール+不正アクセス検知


ルーティング


ファイアウォール+不正アクセス検知

イーサネットフィルターイーサネットフィルター

URLフィルター

URLフィルター

URLフィルター

URLフィルター Inte

rfa

ce-o

ut

Inte

rfa

ce-i

n

Interfa

ce-o

ut

Interfa

ce-in

ファイアウォール+不正アクセス検知ファイアウォール+不正アクセス検知

QoS(queue)

QoS(classify)

QoS(classify)

QoS(queue)

パケ

ット

転送

フ

ィル

ター

パケ

ット

転送

フ

ィル

ター

In/Out連携

In/Out連携

In/Out連携

In/Out連携



FWX120のパケット処理構造(L3/ルーター型)

LAN2

LAN1

ingress egress

※入力と出力が非対称


入力遮断フィルター不正アクセス検知#1


ルーティング





ルーティング




不正アクセス検知#2

URLフィルター

URLフィルター URLフィルター

URLフィルター


Inte

rfa

ce-o

ut

Inte

rfa

ce-i

n

Interfa

ce-o

ut

Interfa

ce-in

QoS(queue)

QoS(classify)

QoS(classify)

QoS(queue)

In/Out連携

In/Out連携

In/Out連携

Winny/Share

フィルター等

パケ

ット

転送

フ

ィル

ター

パ

ケッ

ト転

送

フィ

ルタ

ー



FWX120のパケット処理構造(L2/透過型)

LAN2

LAN1

ingress egress

※入力と出力が非対称




ブリッジング





ブリッジング





URLフィルター

URLフィルター URLフィルター

URLフィルター


Inte

rfa

ce-o

ut

Inte

rfa

ce-i

n

Interfa

ce-o

ut

Interfa

ce-in

QoS(queue)

QoS(classify)

QoS(classify)

QoS(queue)

In/Out連携 Winny/Share

フィルター等

5. 進化する無線LAN規格と暗号方式

取組の対象期間：2013年～

(WLX302)


主な無線LANの伝送規格

下位互換性を考慮しながら高速化

53

IEEE 802.11n

20/40MHz幅

1～4ストリーム

IEEE 802.11ac

80/160MHz幅

1～8ストリーム

最大54Mbps

IEEE 802.11a

20MHz幅

IEEE 802.11g

20MHz幅

IEEE 802.11b

22MHz幅

最大11Mbps 6.5M～600Mbps 290M～6.9Gbps

2.4GHz帯

5GHz帯

1999年10月 2003年6月

1999年6月 2009年9月 2014年1月

60GHz帯（近距離、10m以内）→WiGig IEEE 802.11ad 2012年12月

伝送速度


何が進化してきたのか？スループットを稼ぐ方法変調方式

• DSSS（Direct Sequence Spread Spectrum）、 CCK（Complementary Code Keying）

– スペクトラム拡散方式の一つ – 小さい電力で広い帯域に拡散して通信する

• OFDM（Orthogonal Frequency Division Multiplexing） – 直交波周波数分割多重 – データを複数の搬送波に重なり合いながら互いに干渉させずに乗せる

周波数帯域 • 2.4GHz帯：遠くに届く • 5GHz帯：直進性が強い • 60GHz帯：高速だが、かなり近距離

チャネル幅（チャネルボンディング） • 隣り合う2チャネル分の40MHzで通信すること

空間ストリーム数（MIMO） • 複数のアンテナを使い、複数のストリームを同時に送信する

• 複数の電波が同時に放出される。受信側では複数のアンテナを使って受信した電波を解析し、それぞれのストリームを取り出す

54

【11acの特長】チャネル幅の増大空間ストリーム数の増大より高効率な変調方式ビームホーミング


11n vs 11ac: あなたは何を選ぶ？

Wave 1 (第一世代) Wave 2 (第二世代)

最大伝送速度 290Mbps - 1.3Gbps 3.5Gbps

サブキャリアの変調方式 256QAM 256QAM

空間ストリーム 3 4 - 8

チャネル幅 20/40/80MHz 20/40/80/80+80/160MHz

MIMOのユーザーシングルユーザーマルチユーザー(MU-MIMO）

55

規格 IEEE 802.11n IEEE 802.11ac

周波数帯域 2.4GHz帯、5GHz帯 5 GHz帯のみ

最大伝送速度 600 Mbps 6.93 Gbps

変調方式 OFDM OFDM

サブキャリアの変調方式 64QAM 256QAM

空間ストリーム最大4 最大8

チャネル幅最大40MHz 最大160MHz

MIMOのユーザーシングルユーザーマルチユーザー(MU-MIMO）

★“Wave”は、“世代”

※ビームホーミングも標準

発売中 LSI/モジュール開発中

約1.4倍

最大2倍

最大4倍


無線LANが遅くなる要因例 ■仕組みに起因する要因

距離が遠くなると、遅くなる

• 距離が遠くなると、電波強度が落ち、伝送レートも落ちる

遅い端末があると、遅くなる

• CSMA/CAの特性による

接続している/通信している端末が多いと遅くなる

• 無線とCSMA/CAの特性による

■機器に起因する要因 APの基本性能不足

• 複数台接続の負荷に耐えられない

高速通信に未対応の端末

• レガシー端末（例えば、11bと11gの同居）

• 端末特性による

– スマートデバイスは、バッテリー消費（省エネ）を考慮し、MIMOに未対応などで最大72.2Mbpsの端末も多い

■有線LANに起因する要因ネットワーク構築の不備

ルーターの性能不足

インターネット回線の速度、混雑、障害 56

AP

LAN

R

The Internet

例示1

例示2

インターネットが使えない？


WLX302 「見える化画面」

57

InteropTokyo 2013の無線LAN環境提供に利用されたWLX302


PyCon APAC 2013 in Japan

58

12台のWLX302ごとの接続端末台数

本会議（初日）本会議（2日目）スプリント


推奨暗号化方式、認証方式

セキュリティ対策のポイント SSID

• 接続先APの選択（セキュリティ機能ではない）

MACアドレスフィルタリング • 接続可能な子機の制限 (セキュリティ機能ではない)

暗号化方式(認証方式)

59

情報処理推進機構（IPA）「一般家庭における無線LANのセキュリティに関する注意」

(2003年 2月28日～2012年 9月27日)

http://www.ipa.go.jp/security/ciadr/wirelesslan.html

暗号化方式 WEP

• 暗号技術は、RC4を用いる。 WPA

• 暗号技術は、TKIP(RC4)を用いる。 WPA2

• 暗号技術は、AESを用いる。

無線LANで用いられる暗号化方式の比較

重要安全

（出典：「一般家庭における無線LANのセキュリティに関する注意」表2）


事例：あるNW系セミナー会場の観察

60

非常に混雑。APが数十台、2.4GHz帯は1ch/6ch/11chに集中、5GHz帯も多数

セキュリティに「WEP」や「Open」が多数 →決して古い機器ではない。無線スキルを十分持っている可能性が高いのであるが、セキュリティ意識は不十分？

観察に用いたツール： inSSIDer 3 for Home 時期：2014年初頭


無線LANを「見える化」しよう！

61

目的 [1]

安定した無線LAN環境を確保する。

目的 [2]

安全な無線LAN環境を確保する。


WLX302 「端末一覧」

62

赤/橙→

緑→

青→

接続しているステーションの無線情報(評価値、MACアドレス、メディアタイプ、認証方式、伝送速度、信号強度、再送率、無線切断回数)を一覧表示。複数のSSIDを設定している場合はSSIDごと。

ヤマハが独自に策定した基準で5段階評価【悪】１（濃赤色）→２（赤色）→３（橙色）→４（緑色）→ ５（青色）【良】

信号強度が低く、再送も多い。

赤/橙→

緑→

青→


WLX302 「周辺AP一覧」

63

周辺APの評価値、SSID、MACアドレス、メディアタイプ、チャネル、伝送速度、信号強度、認証方式、暗号化方式を一覧できる。

登録赤→

橙→

緑→

ヤマハが独自に策定した基準で5段階評価。【悪】１（濃赤色）→ ２（赤色）→ ３（橙色）→ ４（緑色）→ ５（青色）【良】

自社で運用中のAPを登録しておき、管理していないAP（未登録AP）と分けて表示できる。

伝送速度が遅いので電波の占有時間が長く、スループット低下の要因となる。

認証なしAPがありセキュリティ面で問題あり。

赤→

橙→

緑→ 削除


物理ネットワークと要件

64 64

2.4GHz帯/5GHz帯 (従業員用スポット)

2.4GHz帯 (ゲスト用スポット)

開発部門営業部門

タグVLAN

[要件]

有線LAN

• 開発と営業を分離

無線LAN

• 開発と営業は有線と同じポリシー

• ゲストはインターネット接続のみ


論理ネットワーク構成

2.4GHz帯/5GHz帯 (開発部門用スポット)

2.4GHz帯 (ゲスト用スポット)

開発部門営業部門

2.4GHz帯/5GHz帯 (営業部門用スポット)

ゲストネットワーク営業ネットワーク開発ネットワーク

VAP VAP VAP

[構築技術ポイント]

スイッチングハブ

• タグVLAN

無線LANアクセスポイント

• VAP

192.168.101.0/24 192.168.102.0/24 192.168.254.0/24

vid=1221 vid=1467

vid=1837

“Development” “Sales” “Guest”

[セキュリティポイント]

ルーター

• IPネットワーク超えは、フィルターで制限

• ゲスト→開発/営業：禁止


タグVLANとVAP

66

vidなし

vid=1467

vid=1837

vid=1221

R SW制御

制御制御制御

VAP VAP VAP

RTX1200

SWX2200-8G WLX302

タグVLANを使ったネットワーク(LAN)

ハイブリッド→ ←ハイブリッド

ハイブリッド→

“Guest” “Sales”

ゲストネットワーク

営業ネットワーク

開発ネットワーク

管理ネットワーク

アクセス→

“Dev”

←フィルター機能によるネットワーク間のアクセス制限

6. 組み込み機器としてのセキュリティ対策


想定する脅威

ネットワークレイヤーの攻撃 DoS攻撃、ポートスキャン

プロトコルの仕様レベルでの脆弱性 OSPFv2, TCP実装, IPv6

過去事例の知見

68


高負荷対策 (限界値の検証)

「負荷試験装置」の活用 (ご参考) アプリケーション・パフォーマンス/セキュリティ試験ツール Avalanche（レイヤ4-7 ストレス試験）攻撃トラフィックジェネレーター ThreatEx

• 後継は、 Avalanche 「VAオプション」→脆弱性検査

次世代IP負荷測定/擬似エミュレーションテスター Spirent TestCenter VoIP/PSTN テレフォニーネットワークテストシステム Abacus

69


脆弱性と対策の情報公開

70

切っ掛け

OSPFv2

TCP

IPv6

IPv6

TCP

TCP


制御機能へのハッキング対策 #1

71

2001年8月の「CodeRed」 • マイクロソフトのIISを狙った攻撃

知見 • HTTPメッセージ処理のバッファオーバーフロー


制御機能へのハッキング対策 #2

72

制御機能のセキュリティ対策 • 機能ON/OFFコマンド

• 初期値は、できるだけOFF • 待ち受けポートの変更 • サービス対象範囲を限定するコマンド

• 隣接インターフェースに限定 • IPアドレス範囲に限定

コマンド名機能

httpd service 機能のON/OFF

httpd listen listenポートの変更

httpd host アクセスを許可するホストをインターフェースやアドレス範囲で指定

例) Web設定機能(httpサーバー)に関連する設定

7. 最近のトピックス

最近の取り組み：2015年～

(FWX120)


FWX120 セキュリティーライセンス

74

http://jp.yamaha.com/products/network/software_service/firewall_options/ysl-mc120/

端末やメールサーバーを問わずにガードメールセキュリティー機能によるチェックは、クラウドサーバー上で実行されるため、FWX120配下の端末（PC、スマートデバイスなど）やメールサーバーに対して特定のアプリケーションをインストールする必要はありません。したがって、メーカーやOSによらず当機能を使用することが可能です。


FWX120 セキュリティーライセンス

75

アンチスパムスパムメールか否かを判定する

アンチウイルスメールの添付ファイルに対してウイルススキャンを行う


ヤマハネットワーク機器20周年

76

開発OB

RT100i黎明期パートナー

長期ユーザー

海外パートナー

Webメディア座談会

Webメディアサテライトサイト

ルーター総選挙 No.1：RTA50i

http://jp.yamaha.com/nw20th/


山賀正人氏とのコラボ

77

「山賀正人が見た、ヤマハのネットワーク機器とセキュリティのかかわり」 2016/3/7 6:00公開 http://internet.watch.impress.co.jp/docs/special/20160307_744974.html


荻窪圭氏とのコラボ

78

IT系ライター荻窪圭が聞く、「ヤマハがルータ以外のネットワーク機器を作ったワケ」・前編実は、LANの管理はできていなかった？ http://cloud.watch.impress.co.jp/docs/special/20160330_749987.html IT系ライター荻窪圭が聞く、「ヤマハがルータ以外のネットワーク機器を作ったワケ」・後編企業の無線LANには何が必要？ http://cloud.watch.impress.co.jp/docs/special/20160331_750025.html IT系ライター荻窪圭、企業向け無線LANアクセスポイント「WLX202」を試してみるビジネス向け製品に縁がないライターでも使えるの？ http://cloud.watch.impress.co.jp/docs/special/20160415_750804.html


「なれる!SE」とのコラボ

79

ヤマハと電撃文庫の異色作『なれる！SE』のスペシャルコラボ！ http://ascii.jp/elem/000/001/125/1125786/ 2016年02月29日 15時00分なれる！SE ヤマハ？の歩きかた第1回 WAN更改案件でヤマハのルーターを選んだところ、ヤマハから工場見学の案内が。 http://ascii.jp/elem/000/001/124/1124102/ 2016年04月08日 11時00分なれる！SE ヤマハ？の歩きかた第2回 WAN更改案件でヤマハのルーターを選んだところ、ヤマハから工場見学の案内が。 http://ascii.jp/elem/000/001/145/1145948/

Documents

感動を・ともに・創る - projectphone.lekumo.bizprojectphone.lekumo.biz/pdf/YamahaNetworkAppliance-20160430.pdfヤマハネットワーク機器 製品年表 1996.10 rtx3000

感動を・ともに・創る - projectphone.lekumo.bizprojectphone.lekumo.biz/pdf/YamahaNetworkAppliance-20160430.pdfヤマハネットワーク機器製品年表 1996.10 rtx3000