Agenda 1. ピアノ屋のルーターですか? 1-1. ヤマハがルーターを作り始めた切っ掛け 1-2. 企業向けルーターとホームルーターの違い 2. セキュリティ対策の役割分担 ( 餅は餅屋 適材適所 ) 3. ブロードバンド化で被害確率が増加? 3-1. 静的 パケットフィルタリング ( パケッ

感動を ともに 創る 1

Agenda 1. ピアノ屋のルーターですか? 1-1. ヤマハがルーターを作り始めた切っ掛け 1-2. 企業向けルーターとホームルーターの違い 2. セキュリティ対策の役割分担 ( 餅は餅屋 適材適所 ) 3. ブロードバンド化で被害確率が増加? 3-1. 静的 パケットフィルタリング ( パケットを識別 ) 3-2. 動的 パケットフィルタリング ( セッションを識別 ) 3-3. セキュリティフィルターの自動生成機能 4. ネットワーク層におけるセキュリティ概念の進化 4-1. パケットフィルターとポリシーフィルター 5. 進化する無線 LAN 規格と暗号方式 5-1. 無線 LAN の変化 5-2. 小規模企業の LAN セキュリティのレベルアップ 6. 組込み機器としてのセキュリティ対策 6-1. 想定する脅威 6-2. 制御機能へのハッキング対策 2

1. ピアノ屋のルーターですか? 取組の対象期間 :1987 年 ~2014 年

ヤマハ のネットワーク機器 4 1887 年山葉寅楠 ( やまはとらくす ) 浜松尋常小学校 ( 現元城小学校 ) でオルガン修理 1897 年日本楽器製造株式会社設立 1955 年ヤマハ発動機株式会社設立 1959 年ヤマハ音楽教室開始 1966 年財団法人ヤマハ音楽振興会発足 1971 年 IC 生産開始 1983 年デジタルシンセサイザー DX-7 発売 MSX 発売 FM 音源 LSI 販売開始 1987 年創業 100 周年 & 社名変更アナログ回線用デジタル FAX モデム LSI 開発 1995 年 3 月リモートルーター RT100i 発売 1998 年 10 月ネットボランチ RTA50i 発売 2002 年 10 月イーサアクセス VPN ルーター RTX1000 発売 2004 年 11 月ルーター累計 100 万台突破 2011 年 2 月スマート L2 スイッチ SWX2200 シリーズ 発売 2011 年 3 月 ルーター累計 200 万台突破 IPv6ルーター累計 160 万台突破 2013 年 3 月 無線 LANアクセスポイント WLX302 発売 2014 年 3 月 ルーター累計 250 万台突破 今年で 19 年 今年で 27 年

楽器から派生するコア技術 Acoustic 楽器 ( オルガン ピアノ ) Electric 楽器 1960 年頃 ~ ( 電気オルガン エレキギター ) Electronic 楽器 ( 電子オルガン ) 1980 年頃 ~ 木工 接着 塗装 鋳造など 1970 年頃 ~ 半導体製造 DSP ASIC コンピューター 5 1987 年 1989 年 1995 年 デジタル FAX モデム LSI ISDN LSI ISDN 応用機器 (ISDN-TA, FD 転送装置など ) ISDN ルーター

10 周年記念講演での SOHO ルーター [Internet Watch] 村井氏 ヤマハは SOHO 市場の開拓者 ~ ヤマハルータ 10 周年記念講演 http://internet.watch.impress.co.jp/cda/event/2005/01/21/6165.html [SOHOルーターに関する概要( 抜粋 )] ヤマハは SOHO 市場の開拓者 SOHOという市場は日本で独自の発展を遂げており その市場のリーダーとして開拓者の役割をヤマハが担っていた ISDNルーター がブロードバンド普及に大きな影響 ISDNというインフラが全国で利用できるという環境が整っていたこともあり SOHOや個人をターゲットにしたルータがこれほど早く普及したのは日本特有の現象で これがその後のブロードバンドの普及にも大きな影響を与えたとした 大胆なオンラインサービス 最初から ファームウェアのアップデートやマニュアルの公開をインターネットで行なっていた 記憶にある限りでは こうしたサービスをコンシューマー製品で行なったのはヤマハが最初 今ではあたりまえになっているアップデートやマニュアルの公開など インターネットの有効な使い方を示したという意味でもヤマハの果たした役割は大きい IPv6の早期実用化 ヤマハのルータではIPv6を早い段階からサポートしており IPv6に対応した製品が数多く家庭にまで入り込んでいるのも日本の独自性であり 世界的に見れば先進性でもある 6

ルーター って何? インターネット って知ってる? 情報 A ブラックボックス ホワイトボックス データ ルーター データ

ルーターとは? WWW R インターネット R R R R 企業 組織 8

LAN( データリンク ) とネットワーク データリンク領域 ( 緑 ) データリンク領域 ( 青 ) ルーター ルーター ルーター 9 データリンク領域 ( 黄 )

IP アドレス管理と経路選択 192.168.3.0/24 ( 緑 ) 経路 192.168.1.0/24 ( 黄 ) A 192.168.2.0/24 ( 青 ) C 192.168.3.0/24 ( 緑 ) LAN ルーター 経路 192.168.1.0/24 ( 黄 ) B 192.168.2.0/24 ( 青 ) LAN 192.168.3.0/24 ( 緑 ) C 192.168.2.0/24 ( 青 ) C DHCP で IP アドレス配布 ルーター A B ルーター 経路 192.168.1.0/24 ( 黄 ) LAN 192.168.2.0/24 ( 青 ) B 192.168.3.0/24 ( 緑 ) A 10 192.168.1.0/24 ( 黄 )

経路バックアップ 192.168.3.0/24 ( 緑 ) ネットワーク I/F 距離 A 1 192.168.1.0/24 ( 黄 ) C 2 C 1 192.168.2.0/24 ( 青 ) A 2 192.168.3.0/24 ( 緑 ) LAN 0 DHCP で IP アドレス配布 ルーター A ルーター B C ネットワーク I/F 距離 B 1 192.168.1.0/24 ( 黄 ) C 2 192.168.2.0/24 ( 青 ) LAN 0 C 1 192.168.3.0/24 ( 緑 ) B 2 ルーター 192.168.2.0/24 ( 青 ) ネットワーク I/F 距離 192.168.1.0/24 ( 黄 ) LAN 0 B 1 192.168.2.0/24 ( 青 ) A 2 A 1 192.168.3.0/24 ( 緑 ) B 2 11 192.168.1.0/24 ( 黄 )

企業用途 : インターネット接続 R インターネット R R ヤマハルーターは インターネット と 社内 LAN の境界に置かれる R 企業 組織 12

企業用途 : 拠点間接続 R R インターネット R VPN R 企業 組織 R ISDN backup 拠点センター 13

ご参考 : 個人用途 R インターネット R グローバル IP R 回線接続機能 とっても小規模 アドレス変換 (NAT) R プライベート IP 無線 LAN 14 家庭 ( 数台 )

いろいろなルーターがある 利用者通信事業者企業 組織家庭 利用シーン インターネットや閉域網などの回線サービスを提供するための機器 企業の拠点間接続 PC 数台のインターネット接続 取り扱い経路数 フルルートを持つことで インターネットの冗長経路が利用できる 数十万ルート 企業内の組織数に応じたネットワーク経路 数千 ~ 数万ルート 内部と外部の区別 2~ 数ルート 特長 多数の経路とパケットを高速に処理できる 多種多様な要望に対して 柔軟に対応できる アクセス回線に接続する機能と NAT 機能があれば十分 異なるものづくり 15

ご参考 : フルルート http://bgp.potaroo.net/ 約 53 万ルート (2012 年 10 月 19 日 ) 16 約 54 万ルート (2014 年 10 月 ) 約 43 万ルート (2012 年 7 月 ) 約 40 万ルート (2011 年 11 月 ) 約 37 万ルート (2011 年 7 月 ) 約 32 万ルート (2010 年 3 月 )

ルーター製品のポジショニング ハイエンドルーター 250 万円 ( 単価 ) 設備 ミッドレンジルーター 100 万円 ローエンドルーター ヤマハ 11 万円 17 SOHO ルーター 2.5 万円 レジデンシャルルーター レンタル機材 レンタル機材 ( 個人 ) ( 企業 ) ( キャリア ) ( 用途 )

国内 SOHO ルーター市場シェアの推移 国内 SOHO ルーター市場エンドユーザー売上額ベンダーシェア実績 2004 年 ~2012 年 RTX1500 RTX1100 RT107e 競争が激化 製品の次世代化を促進し抜け出す SWX2200 RTX810 2009 年以降のシェアは 40% 以上を維持し一歩抜け出ている RTX3000 RT58i SRT100 RTX1200 NVR500 いままで WANの 課題解決に集中 現在 LAN の 課題解決に注力 注 : 金額のシェアを示している ( 出典 :IDC Japan, May 2013, 国内ネットワーク機器市場 2012 年の分析と 2013 年 ~2017 年の予測 : ルーター イーサネットスイッチ 企業向け無線 LAN 機器 )

ネットワーク機器の事業ドメインマップ L2/L3 スイッチ ヤマハ ヤマハ 拡張 出入口 配線 出入口 配線無線 LAN スイッチ

2. セキュリティ対策の役割分担

ネットワーク構成と役割 WAN のポリシー LAN のポリシー GW コア スイッチ ディストリビューション スイッチ 小規模なら 一体運用 給電スイッチ 島スイッチ 島スイッチ アクセスポリシー ( 端末接続 ) 21 機器 機能を守る セキュリティ対策

3. ブロードバンド化で被害確率が増加する? 加速する! 取組の対象期間 :2001 年 ~ (RTA54i)

ブロードバンド化で脅威が増加する! ナローバンド ブロードバンド [1] 帯域が 64k/128k 1M/100M/1G に増加 ナローバンド ブロードバンド [2] 攻撃時間が 1/10 1/100 1/1000 攻撃確率が 10 倍 100 倍 1000 倍 23 ( 想定 ) ブロードバンド化に伴う脅威対策が必要とされる ( 対策 ) 1. 動的フィルター機能の導入 2. セキュリティレベル 機能の導入

従来のセキュリティ フィルター ----------< 外側 インタフェース側 >---------- <IN 側 > 通過 破棄 静的フィルター 参照 静的フィルタ定義 静的フィルタ定義 参照 静的フィルター 破棄 通過 <OUT 側 > ----------< 内側 ルーティング側 >---------- # フィルタ定義例 (LAN 側ネットワークが192.168.0.0/24の場合 ) ip filter 10 reject 192.168.0.0/24 * * * * ip filter 11 pass * 192.168.0.0/24 icmp * * ip filter 12 pass * 192.168.0.0/24 established * * # tcpの片方向性を実現する仕組み ip filter 13 pass * 192.168.0.0/24 tcp * ident # メール転送などの時の認証 (ident) ip filter 14 pass * 192.168.0.0/24 tcp ftpdata * # ftpのアクティブ転送用 ip filter 15 pass * 192.168.0.0/24 udp domain * # DNSサーバへの問い合わせ ( 戻り ) ip filter source-route on ip filter directed-broadcast on # フィルタ適用例 ( 接続先のPP 番号が1の場合 ) pp select 1 ip pp secure filter in 10 11 12 13 14 15 24 http://www.rtpro.yamaha.co.jp/rt/faq/ip-filter/network-security-filter.html

静的パケットフィルタリングの課題 = 常時開いている小窓 [ 静的フィルタの小窓 ] TCP: 一方向性のestablishedフィルタの限界判断条件 )TCPフラグのうちACKとRSTのいずれかがセット UDP: 必要なポートは常に開けておく 例 ) DNS NTP http://www.rtpro.yamaha.co.jp/rt/faq/ip-filter/ip-filter-established.html 25

(1)TCP の established フィルター telnet サーバ [TCP 通信開始 ] <SYN> <SYN+ACK> <ACK> [TCP 通信中 ] established [TCP 通信終了 ] telnet クライアント SYN 以外は ACK または RST がある established フィルタで対処できる PC [ 目的 ] 静的フィルタリングにより外部からの不必要な TCP 接続要求を破棄する [ 従来措置 ] 入り口で SYN のみパケット を破棄 established フィルタを適用 [ 悩み ] ACK つきパケット の攻撃をされたら [ 解決策 ] 動的フィルタリング 利便性とセキュリティのトレードオフ 26 http://www.rtpro.yamaha.co.jp/rt/faq/ip-filter/ip-filter-established.html

(2) ftp 通信のフィルタリング ftp のパッシブ転送 (PASV コマンド ) ftp のアクティブ転送 (PORT コマンド ) ftp server ftp server [*] データ [21] 制御 established [20] データ [21] 制御 [*] [*] [*] [*] ftp client ftp client [ 悩み ] ftp のアクティブ転送は 外部からの tcp 接続が開始される 通常であれば established フィルタで破棄される対象 ftp クライアント側は established フィルタでは 十分とはいえない [ 解決策 ] 動的フィルタリング 利便性とセキュリティのトレードオフ 27 http://www.rtpro.yamaha.co.jp/rt/faq/ip-filter/ip-filter-established.html

(3) 電子メール通信のフィルタリング 電子メールなどの認証に使われる ident mail server [*] [SMTP(25),POP3(110)] 認証 接続 [ident(113)] mail client [*] established [ 参考 ] 電子メールなどの通信におけるユーザー認証の仕組みとして ident が使用されることがある この ident の通信を単純に拒絶すると サーバーへのアクセスが遅い という症状になることがある 28

(4) UDP フィルタ (DNS や NTP) DNS 通信 (UDP 通信 ) DNS サーバー [UDP 通信 ] < 問い合わせ > < 応答 > NTP 通信 (UDP 通信 ) NTP サーバー [UDP 通信 ] < 問い合わせ > < 応答 > DNS リゾルバー PC NTP クライアント PC [ 悩み ] UDP は シンプルな通信である ため チェック機能がほとんど 無い UDP 通信を許可するためには 応答パケットを常に通過させる 必要がある [ 解決案 ] 動的フィルタリング 利便性とセキュリティの トレードオフ セキュリティ的に強固な 代理サーバを用意する 29 http://www.rtpro.yamaha.co.jp/rt/faq/ip-filter/ip-filter-established.html

動的フィルタリングの特徴 = 必要な時に開閉する小窓 [ 目的 ] 安全性を確保したフィルタリング設定の難しさの解消 静的フィルタリングの弱点を補完し 利便性とセキュリティを両立するしくみの提供 動的フィルタリングを加えることにより さらに安全性を高める [ 静的フィルタリングの弱点 ] 安全性と安定性を確保した十分なフィルタリングを行うためには 高度な知識が求められる ftp 通信のフィルタリングにおける安全性 UDP 通信のためのフィルタの安全性 TCP 通信のためのestablishedフィルタの安全性 30

TCP の動的フィルタ ( 基本動作 ) < 外側 > < 内側 > < 通信路 > telnet サーバ [TCP 通信開始 ] <SYN> <SYN+ACK> <ACK> [TCP 通信中 ] established telnet クライアント PC [ 開くトリガー ] コネクションを開くSYN 情報を持ったパケット [ 確立の監視 ] TCPコネクションを開始するハンドシェイクの監視 [ 閉じるトリガー ] コネクションを閉じるFINや RSTなどの情報を持ったパケット 無通信監視( タイマ ) [TCP 通信終了 ] FIN や RST 31

UDP の動的フィルタ ( 基本動作 ) NTP 通信 (UDP 通信 ) [ 開くトリガー ] [UDP 通信 ] 該当パケット < 問い合わせ > NTP [ 閉じるトリガー ] クライアント タイマーの満了 NTP サーバー < 応答 > PC DNS 通信 (UDP 通信 ) DNS サーバー [UDP 通信 ] < 問い合わせ > < 応答 > DNS リゾルバー PC [DNSの処理] 問い合わせパケットに対して 必ず 応答パケットがある タイマー管理に加えて 応答パケットの到着で閉じる 32

セキュリティフィルターの自動生成機能 セキュリティ レベル ( ネットボランチのセキュリティ強度の選択機能 ) セキュリティ レベル 1 2 3 4 5 6 7 予期しない発呼を防ぐフィルタ NetBIOS 等を塞ぐフィルタ ( ポート番号 :135,137,138,139,445) プライベートアドレスのままの通信を禁止するフィルタ静的セキュリティ フィルタ ( 従来のセキュリティフィルタ ) 動的セキュリティ フィルタ ( 強固なセキュリティ フィルタ ) 33

ファイアウォールの構造 ----------< 外側 インタフェース側 >---------- <IN 側 > 通過 静的フィルタ定義 動的フィルタ 参照 登録 破棄 動的フィルタ監視 通過 動的フィルタ定義 動的フィルタ定義 静的フィルタ 通過 動的フィルタ監視 破棄 登録 動的フィルタコネクション管理テーブル 参照 静的フィルタ 動的フィルタ 静的フィルタ定義 通過 <OUT 側 ----------< 内側 ルーティング側 >---------- > 34 http://www.rtpro.yamaha.co.jp/rt/docs/firewall/index.html

静的セキュリティ フィルタ ----------< 外側 インタフェース側 >---------- 1 <IN 側 > 2 通過 静的フィルタ定義 動的フィルタ 参照 登録 破棄 動的フィルタ監視 通過 動的フィルタ定義 動的フィルタ定義 静的フィルタ 通過 動的フィルタ監視 破棄 登録 動的フィルタコネクション管理テーブル 参照 静的フィルタ 動的フィルタ 静的フィルタ定義 通過 <OUT 側 ----------< 内側 ルーティング側 >---------- > 35

36 http://www.rtpro.yamaha.co.jp/rta54i/screenshot/40310/security-level5.html 設定例 #1 ( 静的セキュリティフィルタ ) 入出 # 静的フィルタの定義 ip filter 00 reject 10.0.0.0/8 * * * * ip filter 01 reject 172.16.0.0/12 * * * * ip filter 02 reject 192.168.0.0/16 * * * * ip filter 03 reject 192.168.0.0/24 * * * * ip filter 10 reject * 10.0.0.0/8 * * * ip filter 11 reject * 172.16.0.0/12 * * * ip filter 12 reject * 192.168.0.0/16 * * * ip filter 13 reject * 192.168.0.0/24 * * * ip filter 20 reject * * udp,tcp 135 * ip filter 21 reject * * udp,tcp * 135 ip filter 22 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 23 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 24 reject * * udp,tcp 445 * ip filter 25 reject * * udp,tcp * 445 ip filter 26 restrict * * tcpfin * www,21,nntp ip filter 27 restrict * * tcprst * www,21,nntp ip filter 30 pass * 192.168.0.0/24 icmp * * ip filter 31 pass * 192.168.0.0/24 established * * ip filter 32 pass * 192.168.0.0/24 tcp * ident ip filter 33 pass * 192.168.0.0/24 tcp ftpdata * ip filter 34 pass * 192.168.0.0/24 tcp,udp * domain ip filter 35 pass * 192.168.0.0/24 udp domain * ip filter 36 pass * 192.168.0.0/24 udp * ntp ip filter 37 pass * 192.168.0.0/24 udp ntp * ip filter 99 pass * * * * * # 接続先のフィルタの入力 (IN) と出力 (OUT) の適用 pp select 1 ip pp secure filter in 00 01 02 03 20 21 22 23 24 25 30 31 32 33 35 ip pp secure filter out 10 11 12 13 20 21 22 23 24 25 26 27 99 [ 条件 ] ネットボランチ RTA54i プロバイダ接続設定の セキュリティ レベル 5 入出 # 動的フィルタの定義 ip filter dynamic 80 * * ftp ip filter dynamic 81 * * domain ip filter dynamic 82 * * www ip filter dynamic 83 * * smtp ip filter dynamic 84 * * pop3 ip filter dynamic 98 * * tcp ip filter dynamic 99 * * udp

動的セキュリティ フィルタ 静的フィルタ定義 動的フィルタ定義 5 ----------< 外側 インタフェース側 >---------- <IN 側 > 動的フィルタ 静的フィルタ 通過 1 動的フィルタ監視 破棄 参照 登録 動的フィルタコネクション管理テーブル 登録 参照 破棄 通過 動的フィルタ監視 通過 静的フィルタ 動的フィルタ 2 通過 <OUT 側 ----------< 内側 ルーティング側 >---------- > 4 3 動的フィルタ定義 静的フィルタ定義 37

http://www.rtpro.yamaha.co.jp/rta54i/screenshot/40310/security-level7.html 設定例 #2 ( 動的セキュリティフィルタ ) 入出 # 静的フィルタの定義 ip filter 00 reject 10.0.0.0/8 * * * * ip filter 01 reject 172.16.0.0/12 * * * * ip filter 02 reject 192.168.0.0/16 * * * * ip filter 03 reject 192.168.0.0/24 * * * * ip filter 10 reject * 10.0.0.0/8 * * * ip filter 11 reject * 172.16.0.0/12 * * * ip filter 12 reject * 192.168.0.0/16 * * * ip filter 13 reject * 192.168.0.0/24 * * * ip filter 20 reject * * udp,tcp 135 * ip filter 21 reject * * udp,tcp * 135 ip filter 22 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 23 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 24 reject * * udp,tcp 445 * ip filter 25 reject * * udp,tcp * 445 ip filter 26 restrict * * tcpfin * www,21,nntp ip filter 27 restrict * * tcprst * www,21,nntp ip filter 30 pass * 192.168.0.0/24 icmp * * ip filter 31 pass * 192.168.0.0/24 established * * ip filter 32 pass * 192.168.0.0/24 tcp * ident ip filter 33 pass * 192.168.0.0/24 tcp ftpdata * ip filter 34 pass * 192.168.0.0/24 tcp,udp * domain ip filter 35 pass * 192.168.0.0/24 udp domain * ip filter 36 pass * 192.168.0.0/24 udp * ntp ip filter 37 pass * 192.168.0.0/24 udp ntp * ip filter 99 pass * * * * * [ 条件 ] ネットボランチ RTA54i プロバイダ接続設定の セキュリティ レベル 7 入出 # 動的フィルタの定義 ip filter dynamic 80 * * ftp ip filter dynamic 81 * * domain ip filter dynamic 82 * * www ip filter dynamic 83 * * smtp ip filter dynamic 84 * * pop3 ip filter dynamic 98 * * tcp ip filter dynamic 99 * * udp 38 # 接続先のフィルタの入力 (IN) と出力 (OUT) の適用 pp select 1 ip pp secure filter in 00 01 02 03 20 21 22 23 24 25 30 32 ip pp secure filter out 10 11 12 13 20 21 22 23 24 25 26 27 99 dynamic 80 81 82 83 84 98 99

4. ネットワーク層におけるセキュリティ概念の進化 取組の対象期間 :2007 年 ~/2013 年 ~ (SRT100) (FWX120)

フィルター機能のレイヤー概念 レイヤー概念 ポリシーフィルター ポリシー単位? 通信路 ( を管理する ) より抽象化されている ip/ipv6 policy filter コマンドなど 動的パケットフィルタリング ( ステートフル インスペクション ) コネクションやセッション単位 双方向のパケット通信を管理する ip filter dynamic コマンドなど 静的フィルタリング IP パケット 1 個単位 TCP/UDP の 5 個組み 単方向のパケットを管理する ip filter コマンドなど 40

FWX120 の自動生成ポリシー 1 [ 適用ルール ] 上から順番に処理される 1 段低い階層は 例外条件として処理される フィルタ動作は 破棄を赤色 通過を緑色 2 3 4 Global 2 VPN Private LOCAL LAN1 1 3 41

ポリシーフィルター

ポリシーフィルター 1 2 3 4 [ 適用ルール ] 上から順番に処理される 1 段低い階層は 例外条件として処理される フィルター動作は 破棄を赤色 通過を緑色

FWX120 の設定画面 ポリシーフィルター 直観的に適用ルールが判別しやすい階層型ポリシー定義 Pass/Reject の状態をわかり易く表示 ポリシー毎に通信状態を記録できる 動作 pass (stateful inspection) static-pass (static) reject 該当パケット未検出 該当パケット検出 無効化 restrict 44

45 セキュリティのための内部構造 ルーター 1995 年 3 月 RT100i 発売 その後 様々な機能を搭載してきた 機能や内部構造は 歴史的に蓄積されたもの ファイアウォール機能 ( フィルターや不正アクセス検知機能 ) は インターフェースで処理され使い方によっては 2 度通る ファイアウォール FWX120 (SRT100) 一つ一つの機能は ほぼ同じ セキュリティ装置として あるべき姿を目指して 作り直した セキュリティ機能で 通信状態が適切に把握できること 設定の適切さを診断する機能 ( ワンクリック診断等 ) [ ご参考 ] 2012.09.27 FWX120 のパケット処理構造 (L3/ ルーター型 ) http://projectphone.typepad.jp/blog/2012/09/fwx120-030f.html 2012.09.28 FWX120 のパケット処理構造 (L2/ 透過型 ) http://projectphone.typepad.jp/blog/2012/09/fwx120-40c5.html

RTX1200/RTX810 のパケット処理構造 パケット転送フィルター Interface-out Interface-in egress QoS(queue) イーサネットフィルター NATディスクリプタ QoS(classify) URLフィルター ファイアウォール + 不正アクセス検知 ルーティング URLフィルター ファイアウォール + 不正アクセス検知 NATディスクリプタイーサネットフィルター インターネット LAN2 In/Out 連携 In/Out 連携 In/Out 連携 In/Out 連携 LAN1 ingress イーサネットフィルター NATディスクリプタ ファイアウォール + 不正アクセス検知 URLフィルタールーティング ファイアウォール + 不正アクセス検知 URLフィルター QoS(classify) NATディスクリプタイーサネットフィルター QoS(queue) Interface-in Interface-out パケット転送フィルター

FWX120 のパケット処理構造 (L3/ ルーター型 ) Interface-out パケット転送フィルター Interface-in egress QoS(queue) イーサネットフィルター NATディスクリプタ QoS(classify) URLフィルター 不正アクセス検知 #2 ポリシーフィルター ルーティング URLフィルター NATディスクリプタ入力遮断フィルター不正アクセス検知 #1 イーサネットフィルター インターネット LAN2 In/Out 連携 In/Out 連携 In/Out 連携 LAN1 ingress イーサネットフィルター不正アクセス検知 #1 入力遮断フィルター NATディスクリプタ URLフィルター ルーティング ポリシーフィルター不正アクセス検知 #2 URLフィルター QoS(classify) NATディスクリプタイーサネットフィルター QoS(queue) Interface-in パケット転送フィルター Winny/Share フィルター等 Interface-out 入力と出力が非対称

FWX120 のパケット処理構造 (L2/ 透過型 ) Interface-out egress QoS(queue) イーサネットフィルター NATディスクリプタ QoS(classify) URLフィルター インターネット LAN2 ingress イーサネットフィルターブリッジング不正アクセス検知 #1 入力遮断フィルター NATディスクリプタ URLフィルター Interface-in 不正アクセス検知 #2 ポリシーフィルター In/Out 連携 ポリシーフィルター不正アクセス検知 #2 Winny/Share フィルター等 Interface-in URLフィルター NATディスクリプタ URLフィルター 入力遮断フィルター QoS(classify) 不正アクセス検知 #1 NATディスクリプタ ブリッジング イーサネットフィルター イーサネットフィルター QoS(queue) LAN1 Interface-out 入力と出力が非対称

4. 進化する無線 LAN 規格と暗号方式 取組の対象期間 :2013 年 ~ (SRT100)

主な無線 LAN の伝送規格 下位互換性を考慮しながら高速化 2.4GHz 帯 IEEE 802.11b IEEE 802.11g 22MHz 幅 20MHz 幅 1999 年 10 月 2003 年 6 月 IEEE 802.11n 20/40MHz 幅 1~4 ストリーム 5GHz 帯 IEEE 802.11a IEEE 802.11ac 20MHz 幅 80/160MHz 幅 1~8 ストリーム 1999 年 6 月 2009 年 9 月 2014 年 1 月 伝送速度 最大 11Mbps 最大 54Mbps 6.5M~600Mbps 290M~6.9Gbps 50 60GHz 帯 ( 近距離 10m 以内 ) WiGig IEEE 802.11ad 2012 年 12 月

何が進化してきたのか? スループットを稼ぐ方法 変調方式 DSSS(Direct Sequence Spread Spectrum) CCK(Complementary Code Keying) スペクトラム拡散方式の一つ 小さい電力で広い帯域に拡散して通信する OFDM(Orthogonal Frequency Division Multiplexing) 直交波周波数分割多重 データを複数の搬送波に重なり合いながら互いに干渉させずに乗せる 周波数帯域 2.4GHz 帯 : 遠くに届く 5GHz 帯 : 直進性が強い 60GHz 帯 : 高速だが かなり近距離 チャネル幅 ( チャネルボンディング ) 隣り合う 2 チャネル分の 40MHz で通信すること 空間ストリーム数 (MIMO) 複数のアンテナを使い 複数のストリームを同時に送信する 11ac の特長 チャネル幅の増大 空間ストリーム数の増大 より高効率な変調方式 ビームホーミング 複数の電波が同時に放出される 受信側では複数のアンテナを使って受信した電波を解析し それぞれのストリームを取り出す 51

11n vs 11ac: あなたは何を選ぶ? 規格 IEEE 802.11n IEEE 802.11ac 周波数帯域 2.4GHz 帯 5GHz 帯 5 GHz 帯のみ 最大伝送速度 600 Mbps 6.93 Gbps 変調方式 OFDM OFDM サブキャリアの変調方式 64QAM 約 1.4 倍 256QAM 空間ストリーム 最大 4 最大 2 倍 最大 8 チャネル幅 最大 40MHz 最大 4 倍 最大 160MHz MIMOのユーザー シングルユーザー マルチユーザー (MU-MIMO) 52 Wave は 世代 発売中 LSI/ モジュール開発中 Wave 1 ( 第一世代 ) Wave 2 ( 第二世代 ) 最大伝送速度 290Mbps - 1.3Gbps 3.5Gbps サブキャリアの変調方式 256QAM 256QAM 空間ストリーム 3 4-8 チャネル幅 20/40/80MHz 20/40/80/80+80/160MHz MIMOのユーザー シングルユーザー マルチユーザー (MU-MIMO) ビームホーミングも標準

例示 1 例示 2 53 無線 LAN が遅くなる要因例 仕組みに起因する要因 距離が遠くなると 遅くなる 距離が遠くなると 電波強度が落ち 伝送レートも落ちる 遅い端末があると 遅くなる CSMA/CA の特性による 接続している / 通信している端末が多いと遅くなる 無線と CSMA/CA の特性による 機器に起因する要因 AP の基本性能不足 複数台接続の負荷に耐えられない 高速通信に未対応の端末 レガシー端末 ( 例えば 11b と 11g の同居 ) 端末特性による スマートデバイスは バッテリー消費 ( 省エネ ) を考慮し MIMO に未対応などで最大 72.2Mbps の端末も多い 有線 LAN に起因する要因 ネットワーク構築の不備 ルーターの性能不足 インターネット回線の速度 混雑 障害 The Internet R LAN AP

WLX302 見える化画面 InteropTokyo 2013 の無線 LAN 環境提供に利用された WLX302 54

PyCon APAC 2013 in Japan 12 台の WLX302 ごとの接続端末台数 本会議 ( 初日 ) 本会議 (2 日目 ) スプリント 55

重要 推奨暗号化方式 認証方式 情報処理推進機構 (IPA) 一般家庭における無線 LAN のセキュリティに関する注意 セキュリティ対策のポイント SSID 接続先 AP の選択 ( セキュリティ機能ではない ) MAC アドレスフィルタリング 接続可能な子機の制限 ( セキュリティ機能ではない ) 暗号化方式 ( 認証方式 ) 無線 LAN で用いられる暗号化方式の比較 (2003 年 2 月 28 日 ~2012 年 9 月 27 日 ) http://www.ipa.go.jp/security/ciadr/wirelesslan.html 暗号化方式 WEP 暗号技術は RC4 を用いる WPA 安全 暗号技術は TKIP(RC4) を用いる WPA2 暗号技術は AES を用いる ( 出典 : 一般家庭における無線 LAN のセキュリティに関する注意 表 2) 56

事例 : ある NW 系セミナー会場の観察 非常に混雑 AP が数十台 2.4GHz 帯は 1ch/6ch/11ch に集中 5GHz 帯も多数 セキュリティに WEP や Open が多数 決して古い機器ではない 無線スキルを十分持っている可能性が高いのであるが セキュリティ意識は不十分? 57 観察に用いたツール : inssider 3 for Home 時期 :2014 年初頭

無線 LAN を 見える化 しよう! 目的 [1] 安定した無線 LAN 環境を確保する 目的 [2] 安全な無線 LAN 環境を確保する 58

WLX302 端末一覧 接続しているステーションの無線情報 ( 評価値 MAC アドレス メディアタイプ 認証方式 伝送速度 信号強度 再送率 無線切断回数 ) を一覧表示 複数の SSID を設定している場合は SSID ごと 信号強度が低く 再送も多い 赤 / 橙 緑 青 赤 / 橙 緑 青 59 ヤマハが独自に策定した基準で 5 段階評価 悪 1( 濃赤色 ) 2( 赤色 ) 3( 橙色 ) 4( 緑色 ) 5( 青色 ) 良

WLX302 周辺 AP 一覧 周辺 APの評価値 SSID MACアドレス メディアタイプ チャネル 伝送速度 信号強度 認証方 式 暗号化方式を一覧できる 認証なしAPがありセキュリティ面 伝送速度が遅いので電波の占有時間が長く スループット低下の要因となる で問題あり 自社で運用中の AP を登録しておき 管理していない AP ( 未登録 AP) と分けて表示できる 赤 橙 緑 登録 赤 橙 緑 削除 60 ヤマハが独自に策定した基準で 5 段階評価 悪 1( 濃赤色 ) 2( 赤色 ) 3( 橙色 ) 4( 緑色 ) 5( 青色 ) 良

物理ネットワークと要件 [ 要件 ] 有線 LAN 開発と営業を分離 無線 LAN 開発と営業は有線と同じポリシー ゲストはインターネット接続のみ タグ VLAN 開発部門 営業部門 2.4GHz 帯 /5GHz 帯 ( 従業員用スポット ) 2.4GHz 帯 ( ゲスト用スポット ) 61

論理ネットワーク構成 [ 構築技術ポイント ] スイッチングハブ タグ VLAN 無線 LAN アクセスポイント VAP vid=1467 開発ネットワーク vid=1837 営業ネットワーク [ セキュリティポイント ] ルーター IP ネットワーク超えは フィルターで制限 192.168.101.0/24 192.168.102.0/24 192.168.254.0/24 ゲスト 開発 / 営業 : 禁止 vid=1221 ゲストネットワーク VAP VAP VAP 開発部門 営業部門 Development Sales Guest 2.4GHz 帯 /5GHz 帯 ( 開発部門用スポット ) 2.4GHz 帯 /5GHz 帯 ( 営業部門用スポット ) 2.4GHz 帯 ( ゲスト用スポット )

タグ VLAN と VAP SW 制御ハイブリッド vidなし vid=1467 vid=1837 vid=1221 R RTX1200 フィルター機能によるネットワーク間のアクセス制限 タグ VLAN を使ったネットワーク (LAN) 管理ネットワーク開発ネットワーク営業ネットワークゲストネットワーク ハイブリッド SWX2200-8G 制御 制御 制御 アクセス VAP VAP VAP ハイブリッド WLX302 Dev Sales Guest 63

5. 組み込み機器としてのセキュリティ対策

想定する脅威 ネットワークレイヤーの攻撃 DoS 攻撃 ポートスキャン プロトコルの仕様レベルでの脆弱性 OSPFv2, TCP 実装, IPv6 過去事例の知見 65

高負荷対策 ( 限界値の検証 ) 負荷試験装置 の活用 ( ご参考 ) アプリケーション パフォーマンス / セキュリティ試験ツール Avalanche( レイヤ 4-7 ストレス試験 ) 攻撃トラフィックジェネレーター ThreatEx 後継は Avalanche VA オプション 脆弱性検査 次世代 IP 負荷測定 / 擬似エミュレーションテスター Spirent TestCenter VoIP/PSTN テレフォニーネットワークテストシステム Abacus 66

脆弱性と対策の情報公開 切っ掛け OSPFv2 IPv6 TCP IPv6 TCP TCP 67

制御機能へのハッキング対策 #1 2001 年 8 月の CodeRed マイクロソフトの IIS を狙った攻撃 68 知見 HTTP メッセージ処理のバッファオーバーフロー

制御機能へのハッキング対策 #2 制御機能のセキュリティ対策 機能 ON/OFF コマンド 初期値は できるだけ OFF 待ち受けポートの変更 サービス対象範囲を限定するコマンド 隣接インターフェースに限定 IP アドレス範囲に限定 例 ) Web 設定機能 (http サーバー ) に関連する設定 コマンド名 httpd service httpd listen httpd host 機能 機能の ON/OFF listen ポートの変更 アクセスを許可するホストをインターフェースやアドレス範囲で指定 69