Agenda 1. ピアノ屋のルーターですか? 1-1. ヤマハがルーターを作り始めた切っ掛け 1-2. 企業向けルーターとホームルーターの違い 2. セキュリティ対策の役割分担 ( 餅は餅屋適材適所 ) 3. ブロードバンド化で被害確率が増加? 3-1. 静的パケットフィルタリング ( パケッ

Size: px

Start display at page:

Download "Agenda 1. ピアノ屋のルーターですか? 1-1. ヤマハがルーターを作り始めた切っ掛け 1-2. 企業向けルーターとホームルーターの違い 2. セキュリティ対策の役割分担 ( 餅は餅屋適材適所 ) 3. ブロードバンド化で被害確率が増加? 3-1. 静的パケットフィルタリング ( パケッ"

つづるののした
6 years ago
Views:

1 感動をともに創る 1

2 Agenda 1. ピアノ屋のルーターですか? 1-1. ヤマハがルーターを作り始めた切っ掛け 1-2. 企業向けルーターとホームルーターの違い 2. セキュリティ対策の役割分担 ( 餅は餅屋適材適所 ) 3. ブロードバンド化で被害確率が増加? 3-1. 静的パケットフィルタリング ( パケットを識別 ) 3-2. 動的パケットフィルタリング ( セッションを識別 ) 3-3. セキュリティフィルターの自動生成機能 4. ネットワーク層におけるセキュリティ概念の進化 4-1. パケットフィルターとポリシーフィルター 5. 進化する無線 LAN 規格と暗号方式 5-1. 無線 LAN の変化 5-2. 小規模企業の LAN セキュリティのレベルアップ 6. 組込み機器としてのセキュリティ対策 6-1. 想定する脅威 6-2. 制御機能へのハッキング対策 2

3 1. ピアノ屋のルーターですか? 取組の対象期間 :1987 年 ~2014 年

4 ヤマハのネットワーク機器年山葉寅楠 ( やまはとらくす ) 浜松尋常小学校 ( 現元城小学校 ) でオルガン修理 1897 年日本楽器製造株式会社設立 1955 年ヤマハ発動機株式会社設立 1959 年ヤマハ音楽教室開始 1966 年財団法人ヤマハ音楽振興会発足 1971 年 IC 生産開始 1983 年デジタルシンセサイザー DX-7 発売 MSX 発売 FM 音源 LSI 販売開始 1987 年創業 100 周年 & 社名変更アナログ回線用デジタル FAX モデム LSI 開発 1995 年 3 月リモートルーター RT100i 発売 1998 年 10 月ネットボランチ RTA50i 発売 2002 年 10 月イーサアクセス VPN ルーター RTX1000 発売 2004 年 11 月ルーター累計 100 万台突破 2011 年 2 月スマート L2 スイッチ SWX2200 シリーズ発売 2011 年 3 月ルーター累計 200 万台突破 IPv6ルーター累計 160 万台突破 2013 年 3 月無線 LANアクセスポイント WLX302 発売 2014 年 3 月ルーター累計 250 万台突破今年で 19 年今年で 27 年

5 楽器から派生するコア技術 Acoustic 楽器 ( オルガンピアノ ) Electric 楽器 1960 年頃 ~ ( 電気オルガンエレキギター ) Electronic 楽器 ( 電子オルガン ) 1980 年頃 ~ 木工接着塗装鋳造など 1970 年頃 ~ 半導体製造 DSP ASIC コンピューター年 1989 年 1995 年デジタル FAX モデム LSI ISDN LSI ISDN 応用機器 (ISDN-TA, FD 転送装置など ) ISDN ルーター

6 10 周年記念講演での SOHO ルーター [Internet Watch] 村井氏ヤマハは SOHO 市場の開拓者 ~ ヤマハルータ 10 周年記念講演 [SOHOルーターに関する概要( 抜粋 )] ヤマハは SOHO 市場の開拓者 SOHOという市場は日本で独自の発展を遂げておりその市場のリーダーとして開拓者の役割をヤマハが担っていた ISDNルーターがブロードバンド普及に大きな影響 ISDNというインフラが全国で利用できるという環境が整っていたこともあり SOHOや個人をターゲットにしたルータがこれほど早く普及したのは日本特有の現象でこれがその後のブロードバンドの普及にも大きな影響を与えたとした大胆なオンラインサービス最初からファームウェアのアップデートやマニュアルの公開をインターネットで行なっていた記憶にある限りではこうしたサービスをコンシューマー製品で行なったのはヤマハが最初今ではあたりまえになっているアップデートやマニュアルの公開などインターネットの有効な使い方を示したという意味でもヤマハの果たした役割は大きい IPv6の早期実用化ヤマハのルータではIPv6を早い段階からサポートしており IPv6に対応した製品が数多く家庭にまで入り込んでいるのも日本の独自性であり世界的に見れば先進性でもある 6

7 ルーターって何? インターネットって知ってる? 情報 A ブラックボックスホワイトボックスデータルーターデータ

8 ルーターとは? WWW R インターネット R R R R 企業組織 8

9 LAN( データリンク ) とネットワークデータリンク領域 ( 緑 ) データリンク領域 ( 青 ) ルータールータールーター 9 データリンク領域 ( 黄 )

10 IP アドレス管理と経路選択 /24 ( 緑 ) 経路 /24 ( 黄 ) A /24 ( 青 ) C /24 ( 緑 ) LAN ルーター経路 /24 ( 黄 ) B /24 ( 青 ) LAN /24 ( 緑 ) C /24 ( 青 ) C DHCP で IP アドレス配布ルーター A B ルーター経路 /24 ( 黄 ) LAN /24 ( 青 ) B /24 ( 緑 ) A /24 ( 黄 )

11 経路バックアップ /24 ( 緑 ) ネットワーク I/F 距離 A /24 ( 黄 ) C 2 C /24 ( 青 ) A /24 ( 緑 ) LAN 0 DHCP で IP アドレス配布ルーター A ルーター B C ネットワーク I/F 距離 B /24 ( 黄 ) C /24 ( 青 ) LAN 0 C /24 ( 緑 ) B 2 ルーター /24 ( 青 ) ネットワーク I/F 距離 /24 ( 黄 ) LAN 0 B /24 ( 青 ) A 2 A /24 ( 緑 ) B /24 ( 黄 )

12 企業用途 : インターネット接続 R インターネット R R ヤマハルーターはインターネットと社内 LAN の境界に置かれる R 企業組織 12

13 企業用途 : 拠点間接続 R R インターネット R VPN R 企業組織 R ISDN backup 拠点センター 13

14 ご参考 : 個人用途 R インターネット R グローバル IP R 回線接続機能とっても小規模アドレス変換 (NAT) R プライベート IP 無線 LAN 14 家庭 ( 数台 )

15 いろいろなルーターがある利用者通信事業者企業組織家庭利用シーンインターネットや閉域網などの回線サービスを提供するための機器企業の拠点間接続 PC 数台のインターネット接続取り扱い経路数フルルートを持つことでインターネットの冗長経路が利用できる数十万ルート企業内の組織数に応じたネットワーク経路数千 ~ 数万ルート内部と外部の区別 2~ 数ルート特長多数の経路とパケットを高速に処理できる多種多様な要望に対して柔軟に対応できるアクセス回線に接続する機能と NAT 機能があれば十分異なるものづくり 15

16 ご参考 : フルルート約 53 万ルート (2012 年 10 月 19 日 ) 16 約 54 万ルート (2014 年 10 月 ) 約 43 万ルート (2012 年 7 月 ) 約 40 万ルート (2011 年 11 月 ) 約 37 万ルート (2011 年 7 月 ) 約 32 万ルート (2010 年 3 月 )

17 ルーター製品のポジショニングハイエンドルーター 250 万円 ( 単価 ) 設備ミッドレンジルーター 100 万円ローエンドルーターヤマハ 11 万円 17 SOHO ルーター 2.5 万円レジデンシャルルーターレンタル機材レンタル機材 ( 個人 ) ( 企業 ) ( キャリア ) ( 用途 )

国内 SOHO ルーター市場シェアの推移国内 SOHO ルーター市場エンドユーザー売上額ベンダーシェア実績 2004 年 ~2012 年 RTX1500 RTX1100 RT107e 競争が激化製品の次世代化を促進し抜け出す SWX2200 RTX810 2009 年以降のシェアは 40% 以上を維持し一歩抜け出ている RTX3000 RT58i

18 国内 SOHO ルーター市場シェアの推移国内 SOHO ルーター市場エンドユーザー売上額ベンダーシェア実績 2004 年 ~2012 年 RTX1500 RTX1100 RT107e 競争が激化製品の次世代化を促進し抜け出す SWX2200 RTX 年以降のシェアは 40% 以上を維持し一歩抜け出ている RTX3000 RT58i SRT100 RTX1200 NVR500 いままで WANの課題解決に集中現在 LAN の課題解決に注力注 : 金額のシェアを示している ( 出典 :IDC Japan, May 2013, 国内ネットワーク機器市場 2012 年の分析と 2013 年 ~2017 年の予測 : ルーターイーサネットスイッチ企業向け無線 LAN 機器 )

19 ネットワーク機器の事業ドメインマップ L2/L3 スイッチヤマハヤマハ拡張出入口配線出入口配線無線 LAN スイッチ

20 2. セキュリティ対策の役割分担

21 ネットワーク構成と役割 WAN のポリシー LAN のポリシー GW コアスイッチディストリビューションスイッチ小規模なら一体運用給電スイッチ島スイッチ島スイッチアクセスポリシー ( 端末接続 ) 21 機器機能を守るセキュリティ対策

22 3. ブロードバンド化で被害確率が増加する? 加速する! 取組の対象期間 :2001 年 ~ (RTA54i)

23 ブロードバンド化で脅威が増加する! ナローバンドブロードバンド [1] 帯域が 64k/128k 1M/100M/1G に増加ナローバンドブロードバンド [2] 攻撃時間が 1/10 1/100 1/1000 攻撃確率が 10 倍 100 倍 1000 倍 23 ( 想定 ) ブロードバンド化に伴う脅威対策が必要とされる ( 対策 ) 1. 動的フィルター機能の導入 2. セキュリティレベル機能の導入

24 従来のセキュリティフィルター < 外側インタフェース側 > <IN 側 > 通過破棄静的フィルター参照静的フィルタ定義静的フィルタ定義参照静的フィルター破棄通過 <OUT 側 > < 内側ルーティング側 > # フィルタ定義例 (LAN 側ネットワークが /24の場合 ) ip filter 10 reject /24 * * * * ip filter 11 pass * /24 icmp * * ip filter 12 pass * /24 established * * # tcpの片方向性を実現する仕組み ip filter 13 pass * /24 tcp * ident # メール転送などの時の認証 (ident) ip filter 14 pass * /24 tcp ftpdata * # ftpのアクティブ転送用 ip filter 15 pass * /24 udp domain * # DNSサーバへの問い合わせ ( 戻り ) ip filter source-route on ip filter directed-broadcast on # フィルタ適用例 ( 接続先のPP 番号が1の場合 ) pp select 1 ip pp secure filter in

25 静的パケットフィルタリングの課題 = 常時開いている小窓 [ 静的フィルタの小窓 ] TCP: 一方向性のestablishedフィルタの限界判断条件 )TCPフラグのうちACKとRSTのいずれかがセット UDP: 必要なポートは常に開けておく例 ) DNS NTP 25

26 (1)TCP の established フィルター telnet サーバ [TCP 通信開始 ] <SYN> <SYN+ACK> <ACK> [TCP 通信中 ] established [TCP 通信終了 ] telnet クライアント SYN 以外は ACK または RST がある established フィルタで対処できる PC [ 目的 ] 静的フィルタリングにより外部からの不必要な TCP 接続要求を破棄する [ 従来措置 ] 入り口で SYN のみパケットを破棄 established フィルタを適用 [ 悩み ] ACK つきパケットの攻撃をされたら [ 解決策 ] 動的フィルタリング利便性とセキュリティのトレードオフ 26

27 (2) ftp 通信のフィルタリング ftp のパッシブ転送 (PASV コマンド ) ftp のアクティブ転送 (PORT コマンド ) ftp server ftp server [*] データ [21] 制御 established [20] データ [21] 制御 [*] [*] [*] [*] ftp client ftp client [ 悩み ] ftp のアクティブ転送は外部からの tcp 接続が開始される通常であれば established フィルタで破棄される対象 ftp クライアント側は established フィルタでは十分とはいえない [ 解決策 ] 動的フィルタリング利便性とセキュリティのトレードオフ 27

28 (3) 電子メール通信のフィルタリング電子メールなどの認証に使われる ident mail server [*] [SMTP(25),POP3(110)] 認証接続 [ident(113)] mail client [*] established [ 参考 ] 電子メールなどの通信におけるユーザー認証の仕組みとして ident が使用されることがあるこの ident の通信を単純に拒絶するとサーバーへのアクセスが遅いという症状になることがある 28

29 (4) UDP フィルタ (DNS や NTP) DNS 通信 (UDP 通信 ) DNS サーバー [UDP 通信 ] < 問い合わせ > < 応答 > NTP 通信 (UDP 通信 ) NTP サーバー [UDP 通信 ] < 問い合わせ > < 応答 > DNS リゾルバー PC NTP クライアント PC [ 悩み ] UDP はシンプルな通信であるためチェック機能がほとんど無い UDP 通信を許可するためには応答パケットを常に通過させる必要がある [ 解決案 ] 動的フィルタリング利便性とセキュリティのトレードオフセキュリティ的に強固な代理サーバを用意する 29

30 動的フィルタリングの特徴 = 必要な時に開閉する小窓 [ 目的 ] 安全性を確保したフィルタリング設定の難しさの解消静的フィルタリングの弱点を補完し利便性とセキュリティを両立するしくみの提供動的フィルタリングを加えることによりさらに安全性を高める [ 静的フィルタリングの弱点 ] 安全性と安定性を確保した十分なフィルタリングを行うためには高度な知識が求められる ftp 通信のフィルタリングにおける安全性 UDP 通信のためのフィルタの安全性 TCP 通信のためのestablishedフィルタの安全性 30

31 TCP の動的フィルタ ( 基本動作 ) < 外側 > < 内側 > < 通信路 > telnet サーバ [TCP 通信開始 ] <SYN> <SYN+ACK> <ACK> [TCP 通信中 ] established telnet クライアント PC [ 開くトリガー ] コネクションを開くSYN 情報を持ったパケット [ 確立の監視 ] TCPコネクションを開始するハンドシェイクの監視 [ 閉じるトリガー ] コネクションを閉じるFINや RSTなどの情報を持ったパケット無通信監視( タイマ ) [TCP 通信終了 ] FIN や RST 31

32 UDP の動的フィルタ ( 基本動作 ) NTP 通信 (UDP 通信 ) [ 開くトリガー ] [UDP 通信 ] 該当パケット < 問い合わせ > NTP [ 閉じるトリガー ] クライアントタイマーの満了 NTP サーバー < 応答 > PC DNS 通信 (UDP 通信 ) DNS サーバー [UDP 通信 ] < 問い合わせ > < 応答 > DNS リゾルバー PC [DNSの処理] 問い合わせパケットに対して必ず応答パケットがあるタイマー管理に加えて応答パケットの到着で閉じる 32

33 セキュリティフィルターの自動生成機能セキュリティレベル ( ネットボランチのセキュリティ強度の選択機能 ) セキュリティレベル予期しない発呼を防ぐフィルタ NetBIOS 等を塞ぐフィルタ ( ポート番号 :135,137,138,139,445) プライベートアドレスのままの通信を禁止するフィルタ静的セキュリティフィルタ ( 従来のセキュリティフィルタ ) 動的セキュリティフィルタ ( 強固なセキュリティフィルタ ) 33

34 ファイアウォールの構造 < 外側インタフェース側 > <IN 側 > 通過静的フィルタ定義動的フィルタ参照登録破棄動的フィルタ監視通過動的フィルタ定義動的フィルタ定義静的フィルタ通過動的フィルタ監視破棄登録動的フィルタコネクション管理テーブル参照静的フィルタ動的フィルタ静的フィルタ定義通過 <OUT 側 < 内側ルーティング側 > > 34

35 静的セキュリティフィルタ < 外側インタフェース側 > <IN 側 > 2 通過静的フィルタ定義動的フィルタ参照登録破棄動的フィルタ監視通過動的フィルタ定義動的フィルタ定義静的フィルタ通過動的フィルタ監視破棄登録動的フィルタコネクション管理テーブル参照静的フィルタ動的フィルタ静的フィルタ定義通過 <OUT 側 < 内側ルーティング側 > > 35

36 36 設定例 #1 ( 静的セキュリティフィルタ ) 入出 # 静的フィルタの定義 ip filter 00 reject /8 * * * * ip filter 01 reject /12 * * * * ip filter 02 reject /16 * * * * ip filter 03 reject /24 * * * * ip filter 10 reject * /8 * * * ip filter 11 reject * /12 * * * ip filter 12 reject * /16 * * * ip filter 13 reject * /24 * * * ip filter 20 reject * * udp,tcp 135 * ip filter 21 reject * * udp,tcp * 135 ip filter 22 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 23 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 24 reject * * udp,tcp 445 * ip filter 25 reject * * udp,tcp * 445 ip filter 26 restrict * * tcpfin * www,21,nntp ip filter 27 restrict * * tcprst * www,21,nntp ip filter 30 pass * /24 icmp * * ip filter 31 pass * /24 established * * ip filter 32 pass * /24 tcp * ident ip filter 33 pass * /24 tcp ftpdata * ip filter 34 pass * /24 tcp,udp * domain ip filter 35 pass * /24 udp domain * ip filter 36 pass * /24 udp * ntp ip filter 37 pass * /24 udp ntp * ip filter 99 pass * * * * * # 接続先のフィルタの入力 (IN) と出力 (OUT) の適用 pp select 1 ip pp secure filter in ip pp secure filter out [ 条件 ] ネットボランチ RTA54i プロバイダ接続設定のセキュリティレベル 5 入出 # 動的フィルタの定義 ip filter dynamic 80 * * ftp ip filter dynamic 81 * * domain ip filter dynamic 82 * * www ip filter dynamic 83 * * smtp ip filter dynamic 84 * * pop3 ip filter dynamic 98 * * tcp ip filter dynamic 99 * * udp

37 動的セキュリティフィルタ静的フィルタ定義動的フィルタ定義 < 外側インタフェース側 > <IN 側 > 動的フィルタ静的フィルタ通過 1 動的フィルタ監視破棄参照登録動的フィルタコネクション管理テーブル登録参照破棄通過動的フィルタ監視通過静的フィルタ動的フィルタ 2 通過 <OUT 側 < 内側ルーティング側 > > 4 3 動的フィルタ定義静的フィルタ定義 37

38 設定例 #2 ( 動的セキュリティフィルタ ) 入出 # 静的フィルタの定義 ip filter 00 reject /8 * * * * ip filter 01 reject /12 * * * * ip filter 02 reject /16 * * * * ip filter 03 reject /24 * * * * ip filter 10 reject * /8 * * * ip filter 11 reject * /12 * * * ip filter 12 reject * /16 * * * ip filter 13 reject * /24 * * * ip filter 20 reject * * udp,tcp 135 * ip filter 21 reject * * udp,tcp * 135 ip filter 22 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 23 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 24 reject * * udp,tcp 445 * ip filter 25 reject * * udp,tcp * 445 ip filter 26 restrict * * tcpfin * www,21,nntp ip filter 27 restrict * * tcprst * www,21,nntp ip filter 30 pass * /24 icmp * * ip filter 31 pass * /24 established * * ip filter 32 pass * /24 tcp * ident ip filter 33 pass * /24 tcp ftpdata * ip filter 34 pass * /24 tcp,udp * domain ip filter 35 pass * /24 udp domain * ip filter 36 pass * /24 udp * ntp ip filter 37 pass * /24 udp ntp * ip filter 99 pass * * * * * [ 条件 ] ネットボランチ RTA54i プロバイダ接続設定のセキュリティレベル 7 入出 # 動的フィルタの定義 ip filter dynamic 80 * * ftp ip filter dynamic 81 * * domain ip filter dynamic 82 * * www ip filter dynamic 83 * * smtp ip filter dynamic 84 * * pop3 ip filter dynamic 98 * * tcp ip filter dynamic 99 * * udp 38 # 接続先のフィルタの入力 (IN) と出力 (OUT) の適用 pp select 1 ip pp secure filter in ip pp secure filter out dynamic

39 4. ネットワーク層におけるセキュリティ概念の進化取組の対象期間 :2007 年 ~/2013 年 ~ (SRT100) (FWX120)

40 フィルター機能のレイヤー概念レイヤー概念ポリシーフィルターポリシー単位? 通信路 ( を管理する ) より抽象化されている ip/ipv6 policy filter コマンドなど動的パケットフィルタリング ( ステートフルインスペクション ) コネクションやセッション単位双方向のパケット通信を管理する ip filter dynamic コマンドなど静的フィルタリング IP パケット 1 個単位 TCP/UDP の 5 個組み単方向のパケットを管理する ip filter コマンドなど 40

41 FWX120 の自動生成ポリシー 1 [ 適用ルール ] 上から順番に処理される 1 段低い階層は例外条件として処理されるフィルタ動作は破棄を赤色通過を緑色 Global 2 VPN Private LOCAL LAN

42 ポリシーフィルター

43 ポリシーフィルター [ 適用ルール ] 上から順番に処理される 1 段低い階層は例外条件として処理されるフィルター動作は破棄を赤色通過を緑色

44 FWX120 の設定画面ポリシーフィルター直観的に適用ルールが判別しやすい階層型ポリシー定義 Pass/Reject の状態をわかり易く表示ポリシー毎に通信状態を記録できる動作 pass (stateful inspection) static-pass (static) reject 該当パケット未検出該当パケット検出無効化 restrict 44

45 45 セキュリティのための内部構造ルーター 1995 年 3 月 RT100i 発売その後様々な機能を搭載してきた機能や内部構造は歴史的に蓄積されたものファイアウォール機能 ( フィルターや不正アクセス検知機能 ) はインターフェースで処理され使い方によっては 2 度通るファイアウォール FWX120 (SRT100) 一つ一つの機能はほぼ同じセキュリティ装置としてあるべき姿を目指して作り直したセキュリティ機能で通信状態が適切に把握できること設定の適切さを診断する機能 ( ワンクリック診断等 ) [ ご参考 ] FWX120 のパケット処理構造 (L3/ ルーター型 ) FWX120 のパケット処理構造 (L2/ 透過型 )

46 RTX1200/RTX810 のパケット処理構造パケット転送フィルター Interface-out Interface-in egress QoS(queue) イーサネットフィルター NATディスクリプタ QoS(classify) URLフィルターファイアウォール + 不正アクセス検知ルーティング URLフィルターファイアウォール + 不正アクセス検知 NATディスクリプタイーサネットフィルターインターネット LAN2 In/Out 連携 In/Out 連携 In/Out 連携 In/Out 連携 LAN1 ingress イーサネットフィルター NATディスクリプタファイアウォール + 不正アクセス検知 URLフィルタールーティングファイアウォール + 不正アクセス検知 URLフィルター QoS(classify) NATディスクリプタイーサネットフィルター QoS(queue) Interface-in Interface-out パケット転送フィルター

47 FWX120 のパケット処理構造 (L3/ ルーター型 ) Interface-out パケット転送フィルター Interface-in egress QoS(queue) イーサネットフィルター NATディスクリプタ QoS(classify) URLフィルター不正アクセス検知 #2 ポリシーフィルタールーティング URLフィルター NATディスクリプタ入力遮断フィルター不正アクセス検知 #1 イーサネットフィルターインターネット LAN2 In/Out 連携 In/Out 連携 In/Out 連携 LAN1 ingress イーサネットフィルター不正アクセス検知 #1 入力遮断フィルター NATディスクリプタ URLフィルタールーティングポリシーフィルター不正アクセス検知 #2 URLフィルター QoS(classify) NATディスクリプタイーサネットフィルター QoS(queue) Interface-in パケット転送フィルター Winny/Share フィルター等 Interface-out 入力と出力が非対称

48 FWX120 のパケット処理構造 (L2/ 透過型 ) Interface-out egress QoS(queue) イーサネットフィルター NATディスクリプタ QoS(classify) URLフィルターインターネット LAN2 ingress イーサネットフィルターブリッジング不正アクセス検知 #1 入力遮断フィルター NATディスクリプタ URLフィルター Interface-in 不正アクセス検知 #2 ポリシーフィルター In/Out 連携ポリシーフィルター不正アクセス検知 #2 Winny/Share フィルター等 Interface-in URLフィルター NATディスクリプタ URLフィルター入力遮断フィルター QoS(classify) 不正アクセス検知 #1 NATディスクリプタブリッジングイーサネットフィルターイーサネットフィルター QoS(queue) LAN1 Interface-out 入力と出力が非対称

49 4. 進化する無線 LAN 規格と暗号方式取組の対象期間 :2013 年 ~ (SRT100)

50 主な無線 LAN の伝送規格下位互換性を考慮しながら高速化 2.4GHz 帯 IEEE b IEEE g 22MHz 幅 20MHz 幅 1999 年 10 月 2003 年 6 月 IEEE n 20/40MHz 幅 1~4 ストリーム 5GHz 帯 IEEE a IEEE ac 20MHz 幅 80/160MHz 幅 1~8 ストリーム 1999 年 6 月 2009 年 9 月 2014 年 1 月伝送速度最大 11Mbps 最大 54Mbps 6.5M~600Mbps 290M~6.9Gbps 50 60GHz 帯 ( 近距離 10m 以内 ) WiGig IEEE ad 2012 年 12 月

51 何が進化してきたのか? スループットを稼ぐ方法変調方式 DSSS(Direct Sequence Spread Spectrum) CCK(Complementary Code Keying) スペクトラム拡散方式の一つ小さい電力で広い帯域に拡散して通信する OFDM(Orthogonal Frequency Division Multiplexing) 直交波周波数分割多重データを複数の搬送波に重なり合いながら互いに干渉させずに乗せる周波数帯域 2.4GHz 帯 : 遠くに届く 5GHz 帯 : 直進性が強い 60GHz 帯 : 高速だがかなり近距離チャネル幅 ( チャネルボンディング ) 隣り合う 2 チャネル分の 40MHz で通信すること空間ストリーム数 (MIMO) 複数のアンテナを使い複数のストリームを同時に送信する 11ac の特長チャネル幅の増大空間ストリーム数の増大より高効率な変調方式ビームホーミング複数の電波が同時に放出される受信側では複数のアンテナを使って受信した電波を解析しそれぞれのストリームを取り出す 51

52 11n vs 11ac: あなたは何を選ぶ? 規格 IEEE n IEEE ac 周波数帯域 2.4GHz 帯 5GHz 帯 5 GHz 帯のみ最大伝送速度 600 Mbps 6.93 Gbps 変調方式 OFDM OFDM サブキャリアの変調方式 64QAM 約 1.4 倍 256QAM 空間ストリーム最大 4 最大 2 倍最大 8 チャネル幅最大 40MHz 最大 4 倍最大 160MHz MIMOのユーザーシングルユーザーマルチユーザー (MU-MIMO) 52 Wave は世代発売中 LSI/ モジュール開発中 Wave 1 ( 第一世代 ) Wave 2 ( 第二世代 ) 最大伝送速度 290Mbps - 1.3Gbps 3.5Gbps サブキャリアの変調方式 256QAM 256QAM 空間ストリームチャネル幅 20/40/80MHz 20/40/80/80+80/160MHz MIMOのユーザーシングルユーザーマルチユーザー (MU-MIMO) ビームホーミングも標準

53 例示 1 例示 2 53 無線 LAN が遅くなる要因例仕組みに起因する要因距離が遠くなると遅くなる距離が遠くなると電波強度が落ち伝送レートも落ちる遅い端末があると遅くなる CSMA/CA の特性による接続している / 通信している端末が多いと遅くなる無線と CSMA/CA の特性による機器に起因する要因 AP の基本性能不足複数台接続の負荷に耐えられない高速通信に未対応の端末レガシー端末 ( 例えば 11b と 11g の同居 ) 端末特性によるスマートデバイスはバッテリー消費 ( 省エネ ) を考慮し MIMO に未対応などで最大 72.2Mbps の端末も多い有線 LAN に起因する要因ネットワーク構築の不備ルーターの性能不足インターネット回線の速度混雑障害 The Internet R LAN AP

54 WLX302 見える化画面 InteropTokyo 2013 の無線 LAN 環境提供に利用された WLX302 54

55 PyCon APAC 2013 in Japan 12 台の WLX302 ごとの接続端末台数本会議 ( 初日 ) 本会議 (2 日目 ) スプリント 55

重要推奨暗号化方式認証方式情報処理推進機構 (IPA) 一般家庭における無線 LAN のセキュリティに関する注意セキュリティ対策のポイント SSID 接続先 AP の選択 ( セキュリティ機能ではない ) MAC アドレスフィルタリング接続可能な子機の制限 ( セキュリティ機能ではない ) 暗号化方式 ( 認証方式 ) 無線 LAN で用いられる暗号化方式の比較 (2003 年

56 重要推奨暗号化方式認証方式情報処理推進機構 (IPA) 一般家庭における無線 LAN のセキュリティに関する注意セキュリティ対策のポイント SSID 接続先 AP の選択 ( セキュリティ機能ではない ) MAC アドレスフィルタリング接続可能な子機の制限 ( セキュリティ機能ではない ) 暗号化方式 ( 認証方式 ) 無線 LAN で用いられる暗号化方式の比較 (2003 年 2 月 28 日 ~2012 年 9 月 27 日 ) 暗号化方式 WEP 暗号技術は RC4 を用いる WPA 安全暗号技術は TKIP(RC4) を用いる WPA2 暗号技術は AES を用いる ( 出典 : 一般家庭における無線 LAN のセキュリティに関する注意表 2) 56

57 事例 : ある NW 系セミナー会場の観察非常に混雑 AP が数十台 2.4GHz 帯は 1ch/6ch/11ch に集中 5GHz 帯も多数セキュリティに WEP や Open が多数決して古い機器ではない無線スキルを十分持っている可能性が高いのであるがセキュリティ意識は不十分? 57 観察に用いたツール : inssider 3 for Home 時期 :2014 年初頭

58 無線 LAN を見える化しよう! 目的 [1] 安定した無線 LAN 環境を確保する目的 [2] 安全な無線 LAN 環境を確保する 58

59 WLX302 端末一覧接続しているステーションの無線情報 ( 評価値 MAC アドレスメディアタイプ認証方式伝送速度信号強度再送率無線切断回数 ) を一覧表示複数の SSID を設定している場合は SSID ごと信号強度が低く再送も多い赤 / 橙緑青赤 / 橙緑青 59 ヤマハが独自に策定した基準で 5 段階評価悪 1( 濃赤色 ) 2( 赤色 ) 3( 橙色 ) 4( 緑色 ) 5( 青色 ) 良

WLX302 周辺 AP 一覧周辺 APの評価値 SSID MACアドレスメディアタイプチャネル伝送速度信号強度認証方式暗号化方式を一覧できる認証なしAPがありセキュリティ面伝送速度が遅いので電波の占有時間が長くスループット低下の要因となるで問題あり

60 WLX302 周辺 AP 一覧周辺 APの評価値 SSID MACアドレスメディアタイプチャネル伝送速度信号強度認証方式暗号化方式を一覧できる認証なしAPがありセキュリティ面伝送速度が遅いので電波の占有時間が長くスループット低下の要因となるで問題あり自社で運用中の AP を登録しておき管理していない AP ( 未登録 AP) と分けて表示できる赤橙緑登録赤橙緑削除 60 ヤマハが独自に策定した基準で 5 段階評価悪 1( 濃赤色 ) 2( 赤色 ) 3( 橙色 ) 4( 緑色 ) 5( 青色 ) 良

61 物理ネットワークと要件 [ 要件 ] 有線 LAN 開発と営業を分離無線 LAN 開発と営業は有線と同じポリシーゲストはインターネット接続のみタグ VLAN 開発部門営業部門 2.4GHz 帯 /5GHz 帯 ( 従業員用スポット ) 2.4GHz 帯 ( ゲスト用スポット ) 61

論理ネットワーク構成 [ 構築技術ポイント ] スイッチングハブタグ VLAN 無線 LAN アクセスポイント VAP vid=1467 開発ネットワーク vid=1837 営業ネットワーク [ セキュリティポイント ] ルーター IP ネットワーク超えはフィルターで制限 192.168.101.0/24 192.168.102.0/24 192.168.254.

62 論理ネットワーク構成 [ 構築技術ポイント ] スイッチングハブタグ VLAN 無線 LAN アクセスポイント VAP vid=1467 開発ネットワーク vid=1837 営業ネットワーク [ セキュリティポイント ] ルーター IP ネットワーク超えはフィルターで制限 / / /24 ゲスト開発 / 営業 : 禁止 vid=1221 ゲストネットワーク VAP VAP VAP 開発部門営業部門 Development Sales Guest 2.4GHz 帯 /5GHz 帯 ( 開発部門用スポット ) 2.4GHz 帯 /5GHz 帯 ( 営業部門用スポット ) 2.4GHz 帯 ( ゲスト用スポット )

63 タグ VLAN と VAP SW 制御ハイブリッド vidなし vid=1467 vid=1837 vid=1221 R RTX1200 フィルター機能によるネットワーク間のアクセス制限タグ VLAN を使ったネットワーク (LAN) 管理ネットワーク開発ネットワーク営業ネットワークゲストネットワークハイブリッド SWX2200-8G 制御制御制御アクセス VAP VAP VAP ハイブリッド WLX302 Dev Sales Guest 63

64 5. 組み込み機器としてのセキュリティ対策

65 想定する脅威ネットワークレイヤーの攻撃 DoS 攻撃ポートスキャンプロトコルの仕様レベルでの脆弱性 OSPFv2, TCP 実装, IPv6 過去事例の知見 65

66 高負荷対策 ( 限界値の検証 ) 負荷試験装置の活用 ( ご参考 ) アプリケーションパフォーマンス / セキュリティ試験ツール Avalanche( レイヤ 4-7 ストレス試験 ) 攻撃トラフィックジェネレーター ThreatEx 後継は Avalanche VA オプション脆弱性検査次世代 IP 負荷測定 / 擬似エミュレーションテスター Spirent TestCenter VoIP/PSTN テレフォニーネットワークテストシステム Abacus 66

67 脆弱性と対策の情報公開切っ掛け OSPFv2 IPv6 TCP IPv6 TCP TCP 67

68 制御機能へのハッキング対策 # 年 8 月の CodeRed マイクロソフトの IIS を狙った攻撃 68 知見 HTTP メッセージ処理のバッファオーバーフロー

69 制御機能へのハッキング対策 #2 制御機能のセキュリティ対策機能 ON/OFF コマンド初期値はできるだけ OFF 待ち受けポートの変更サービス対象範囲を限定するコマンド隣接インターフェースに限定 IP アドレス範囲に限定例 ) Web 設定機能 (http サーバー ) に関連する設定コマンド名 httpd service httpd listen httpd host 機能機能の ON/OFF listen ポートの変更アクセスを許可するホストをインターフェースやアドレス範囲で指定 69

スライド 1

スライド 1 10 年以上シェア1 位の実力! ヤマハネットワーク製品の魅力を徹底解析! ヤマハ株式会社 / SCSK 株式会社ヤマハネットワーク製品の歴史センター用ルーター (VPN & ISDN) 1996.10 RT200i 2000 2013.7 RTX5000 RTX3500 拠点用スタンダード VPN ルーター ( マルチ WAN) 拠点用シンプル VPN ルーター 1997.10 RT140i