感動を・ともに・創る 1 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation Agenda 1. ピアノ屋のルーターですか? 1-1. ヤマハがルーターを作り始めた切っ掛け 1-2. 企業向けルーターとホームルーターの違い 2. セキュリティ対策の役割分担 (餅は餅屋、適材適所) 3. ブロードバンド化で被害確率が増加？ 3-1. 「静的」パケットフィルタリング (パケットを識別) 3-2. 「動的」パケットフィルタリング (セッションを識別) 3-3. セキュリティフィルターの自動生成機能 4. ネットワーク層におけるセキュリティ概念の進化 4-1. パケットフィルターとポリシーフィルター 5. 進化する無線LAN規格と暗号方式 5-1. 無線LANの変化 5-2. 小規模企業のLANセキュリティのレベルアップ 6. 組込み機器としてのセキュリティ対策 6-1.想定する脅威 6-2.制御機能へのハッキング対策 2 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 1. ピアノ屋のルーターですか? 取組の対象期間：1987年～2014年 “ヤマハ”のネットワーク機器 4 1887年山葉寅楠（やまはとらくす）浜松尋常小学校（現元城小学校）でオルガン修理 1897年日本楽器製造株式会社設立 1955年ヤマハ発動機株式会社設立 1959年ヤマハ音楽教室開始 1966年財団法人ヤマハ音楽振興会発足 1971年 IC 生産開始 1983年デジタルシンセサイザー DX-7発売、MSX発売、FM音源LSI販売開始 1987年創業100周年 & 社名変更アナログ回線用デジタルFAXモデムLSI 開発 1995年3月リモートルーター「RT100i」発売 1998年10月ネットボランチ「RTA50i」発売 2002年10月イーサアクセスVPNルーター「RTX1000」発売 2004年11月ルーター累計100万台突破 2011年2月スマートL2スイッチ「SWX2200シリーズ」発売 2011年3月ルーター累計200万台突破 IPv6ルーター累計160万台突破 2013年3月無線LANアクセスポイント「WLX302」発売 2014年3月ルーター累計250万台突破今年で19年今年で27年 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 楽器から派生するコア技術 Acoustic 楽器木工、接着、塗装、鋳造など (オルガン、ピアノ) 1960年頃～ 1970年頃～ Electric 楽器半導体製造 (電気オルガン、エレキギター) 1980年頃～ Electronic 楽器 DSP、ASIC、コンピューター (電子オルガン) 1987年 1989年デジタルFAXモデム LSI ISDN LSI ISDN応用機器（ISDN-TA, FD転送装置など） 1995年 5 ISDNルーター © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 10周年記念講演での「SOHOルーター」 [Internet Watch] 村井氏「ヤマハはSOHO市場の開拓者」～ヤマハルータ10周年記念講演 http://internet.watch.impress.co.jp/cda/event/2005/01/21/6165.html [SOHOルーターに関する概要(抜粋)] ヤマハは、SOHO市場の開拓者  SOHOという市場は日本で独自の発展を遂げており、その市場のリーダーとして開拓者の役割をヤマハが担っていた。 「ISDNルーター」がブロードバンド普及に大きな影響  ISDNというインフラが全国で利用できるという環境が整っていたこともあり、SOHOや個人をターゲットにしたルータがこれほど早く普及したのは日本特有の現象で、これがその後のブロードバンドの普及にも大きな影響を与えたとした。 大胆なオンラインサービス  最初から、ファームウェアのアップデートやマニュアルの公開をインターネットで行なっていた。記憶にある限りでは、こうしたサービスをコンシューマー製品で行なったのはヤマハが最初。今ではあたりまえになっているアップデートやマニュアルの公開など、インターネットの有効な使い方を示したという意味でもヤマハの果たした役割は大きい。 IPv6の早期実用化  ヤマハのルータではIPv6を早い段階からサポートしており、IPv6に対応した製品が数多く家庭にまで入り込んでいるのも日本の独自性であり、世界的に見れば先進性でもある 6 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 「ルーター」って何? 「インターネット」って知ってる? 情報A ホワイトボックスブラックボックスデータルーターデータルーターとは? R WWW R インターネット R R 企業・組織 R 8 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation LAN(データリンク)とネットワークデータリンク領域(緑) データリンク領域(青) ルータールータールーターデータリンク領域(黄) 9 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation IPアドレス管理と経路選択経路 192.168.1.0/24 (黄) B 192.168.2.0/24 (青) LAN 192.168.3.0/24 (緑) C 192.168.3.0/24 (緑) 経路 192.168.2.0/24 (青) 192.168.1.0/24 (黄) A 192.168.2.0/24 (青) C 192.168.3.0/24 (緑) LAN ルーター C DHCPで IPアドレス配布ルーター A B ルーター経路 192.168.1.0/24 (黄) LAN 192.168.2.0/24 (青) B 192.168.3.0/24 (緑) A 192.168.1.0/24 (黄) 10 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 経路バックアップネットワーク I/F 距離 B 1 192.168.1.0/24 (黄) C 2 192.168.2.0/24 (青) LAN 0 C 1 192.168.3.0/24 (緑) B 2 192.168.3.0/24 (緑) ネットワーク I/F 距離 A 1 192.168.1.0/24 (黄) C 2 C 1 192.168.2.0/24 (青) A 2 192.168.3.0/24 (緑) LAN 0 DHCPで IPアドレス配布 192.168.2.0/24 (青) ルーター C ルーター A ルーター B ネットワーク I/F 距離 192.168.1.0/24 (黄) LAN 0 B 1 192.168.2.0/24 (青) A 2 A 1 192.168.3.0/24 (緑) B 2 11 192.168.1.0/24 (黄) © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 企業用途：インターネット接続 R R インターネット R ヤマハルーターは、「インターネット」と「社内LAN」の境界に置かれる。 12 R 企業・組織 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 企業用途：拠点間接続 R R R インターネット VPN R ISDN 企業・組織 13 R backup 拠点センター © SN Department, Audio Products Sales and Marketing, Yamaha Corporation ご参考：個人用途 R R インターネット R 回線接続機能グローバルIP とっても小規模アドレス変換(NAT) R プライベートIP 無線LAN 家庭 (数台) 14 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation いろいろなルーターがある利用者利用シーン通信事業者インターネットや閉企業の拠点間接続域網などの回線サービスを提供するための機器取り扱いフルルートを持つこ経路数とで、インターネットの冗長経路が利用できる。 ⇒数十万ルート特長企業・組織家庭 PC数台のインターネット接続企業内の組織数に内部と外部の区別応じたネットワーク ⇒2～数ルート経路 ⇒数千～数万ルート多数の経路とパケッ多種多様な要望にトを高速に処理でき対して、柔軟に対応る。できる。アクセス回線に接続する機能とNAT機能があれば十分。異なるものづくり 15 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation ご参考：フルルート http://bgp.potaroo.net/ 約53万ルート (2012年10月19日)  約54万ルート (2014年10月)  約43万ルート (2012年7月)  約40万ルート (2011年11月)  約37万ルート (2011年7月)  約32万ルート (2010年3月) 16 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation ルーター製品のポジショニング (単価) ハイエンドルーター設備 250万円ミッドレンジルーター 100万円ローエンドルーターヤマハ 11万円レンタル機材 SOHO ルーター 2.5万円レンタル機材レジデンシャルルーター (個人) 17 (企業) (キャリア) (用途) © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 国内SOHOルーター市場シェアの推移国内SOHOルーター市場エンドユーザー売上額ベンダーシェア実績、2004年～2012年製品の次世代化を促進し抜け出す RTX1500 RTX1100 RT107e SWX2200 RTX810 競争が激化 RTX1200 RTX3000 RT58i 2009年以降のシェアは、40％以上を維持し一歩抜け出ている SRT100 NVR500 【いままで】 WANの課題解決に集中【現在】 LANの課題解決に注力注：金額のシェアを示している（出典：IDC Japan, May 2013, 国内ネットワーク機器市場 2012年の分析と2013年～2017年の予測：ルーター、イーサネットスイッチ、企業向け無線LAN機器） © SN Department, Audio Products Sales and Marketing, Yamaha Corporation ネットワーク機器の事業ドメインマップ L2/L3スイッチヤマハヤマハ拡張出入口出入口配線配線無線LAN スイッチ © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 2. セキュリティ対策の役割分担ネットワーク構成と役割 WANのポリシー GW コア・スイッチ LANのポリシー小規模なら一体運用ディストリビューション・スイッチ給電スイッチ島スイッチ島スイッチアクセスポリシー (端末接続) 機器・機能を守るセキュリティ対策 21 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 3. ブロードバンド化で被害確率が増加する? →加速する! 取組の対象期間：2001年～ (RTA54i) ブロードバンド化で脅威が増加する! ナローバンド→ブロードバンド [1] 帯域が64k/128k→1M/100M/1Gに増加ナローバンド→ブロードバンド [2] 攻撃時間が1/10、1/100、1/1000。攻撃確率が10倍、100倍、1000倍。 (想定) ブロードバンド化に伴う脅威対策が必要とされる。 (対策) 1. 動的フィルター機能の導入 2. 「セキュリティレベル」機能の導入 23 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 従来のセキュリティ・フィルター ----------<外側…インタフェース側>---------通過 <IN側> 参照静的フィルター破棄静的フィルタ定義静的フィルタ定義破棄参照静的フィルター <OUT側> ----------<内側…ルーティング側>---------- 通過 # フィルタ定義例 (LAN側ネットワークが192.168.0.0/24の場合) ip filter 10 reject 192.168.0.0/24 * * * * ip filter 11 pass * 192.168.0.0/24 icmp * * # tcpの片方向性を実現する仕組み ip filter 12 pass * 192.168.0.0/24 established * * # メール転送などの時の認証(ident) ip filter 13 pass * 192.168.0.0/24 tcp * ident ip filter 14 pass * 192.168.0.0/24 tcp ftpdata * # ftpのアクティブ転送用 ip filter 15 pass * 192.168.0.0/24 udp domain * # DNSサーバへの問い合わせ(戻り) ip filter source-route on ip filter directed-broadcast on # フィルタ適用例 (接続先のPP番号が1の場合) pp select 1 ip pp secure filter in 10 11 12 13 14 15 http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/network-security-filter.html 24 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 静的パケットフィルタリングの課題 = 常時開いている小窓 [静的フィルタの小窓] ・TCP: 一方向性のestablishedフィルタの限界判断条件)TCPフラグのうちACKとRSTのいずれかがセット・UDP: 必要なポートは常に開けておく。例) DNS、NTP http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-filter-established.html 25 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation (1)TCPのestablishedフィルター [TCP通信開始] telnet サーバ <SYN> telnet クライアント <SYN+ACK> PC <ACK> [TCP通信中] established [TCP通信終了] SYN以外は、ACKまたはRSTがある ⇒establishedフィルタで対処できる [目的] ・静的フィルタリングにより外部からの不必要なTCP 接続要求を破棄する。 [従来措置] ・入り口で「SYNのみパケット」を破棄 ⇒establishedフィルタを適用 [悩み] ・「ACKつきパケット」の攻撃をされたら… [解決策] ・動的フィルタリング・利便性とセキュリティのトレードオフ http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-filter-established.html 26 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation (2) ftp通信のフィルタリング ftpのパッシブ転送(PASVコマンド) ftpのアクティブ転送(PORTコマンド) ftp server [*] データ [*] ftp client ftp server [21] 制御 [*] established [20] データ [*] [21] 制御 [*] ftp client [悩み] ・ftpのアクティブ転送は、外部からのtcp接続が開始される。 ⇒通常であれば、establishedフィルタで破棄される対象。・ftpクライアント側は、establishedフィルタでは、十分とはいえない。 [解決策] ・動的フィルタリング・利便性とセキュリティのトレードオフ http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-filter-established.html 27 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation (3) 電子メール通信のフィルタリング電子メールなどの認証に使われるident mail server [*] 認証 [ident(113)] mail client [SMTP(25),POP3(110)] 接続 [*] established [参考] ・電子メールなどの通信におけるユーザー認証の仕組みとして、 identが使用されることがある。 ⇒このidentの通信を単純に拒絶すると「サーバーへのアクセスが遅い」という症状になることがある。 28 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation (4) UDPフィルタ(DNSやNTP) DNS通信(UDP通信) DNS サーバー [UDP通信] <問い合わせ> <応答> DNS リゾルバー PC NTP通信(UDP通信) NTP サーバー [UDP通信] <問い合わせ> <応答> NTP クライアント PC [悩み] ・UDPは、シンプルな通信であるため、チェック機能がほとんど無い。・UDP通信を許可するためには、応答パケットを常に通過させる必要がある。 [解決案] ・動的フィルタリング・利便性とセキュリティのトレードオフ・セキュリティ的に強固な代理サーバを用意する http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-filter-established.html 29 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 動的フィルタリングの特徴 = 必要な時に開閉する小窓 [目的] ・安全性を確保したフィルタリング設定の難しさの解消・静的フィルタリングの弱点を補完し、利便性とセキュリティを両立するしくみの提供・動的フィルタリングを加えることにより、さらに安全性を高める。 [静的フィルタリングの弱点] ・安全性と安定性を確保した十分なフィルタリングを行うためには、高度な知識が求められる。・ftp通信のフィルタリングにおける安全性・UDP通信のためのフィルタの安全性・TCP通信のためのestablishedフィルタの安全性 30 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation TCPの動的フィルタ (基本動作) <外側> <通信路> <内側> [TCP通信開始] telnet サーバ <SYN> <SYN+ACK> <ACK> [TCP通信中] established telnet クライアント PC [開くトリガー] ・コネクションを開くSYN情報を持ったパケット [確立の監視] ・TCPコネクションを開始するハンドシェイクの監視 [閉じるトリガー] ・コネクションを閉じるFINや RSTなどの情報を持ったパケット・無通信監視(タイマ) [TCP通信終了] FINやRST 31 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation UDPの動的フィルタ (基本動作) NTP通信(UDP通信) NTP サーバー [UDP通信] <問い合わせ> <応答> NTP クライアント PC DNS通信(UDP通信) DNS サーバー [UDP通信] <問い合わせ> <応答> 32 [開くトリガー] ・該当パケット [閉じるトリガー] ・タイマーの満了 DNS リゾルバー PC [DNSの処理] ・問い合わせパケットに対して、必ず、応答パケットがある。 →タイマー管理に加えて、応答パケットの到着で閉じる。 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation セキュリティフィルターの自動生成機能セキュリティ・レベル (ネットボランチのセキュリティ強度の選択機能) セキュリティ・レベル 1 予期しない発呼を防ぐフィルタ NetBIOS等を塞ぐフィルタ (ポート番号:135,137,138,139,445) プライベートアドレスのままの通信を禁止するフィルタ静的セキュリティ・フィルタ (従来のセキュリティフィルタ) 動的セキュリティ・フィルタ (強固なセキュリティ・フィルタ) 33 2 3 4 5 6 7 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ◎ ◎ ☆ ☆ © SN Department, Audio Products Sales and Marketing, Yamaha Corporation ファイアウォールの構造 ----------<外側…インタフェース側>---------通過 <IN側> 動的フィルタ監視動的フィルタ静的フィルタ定義参照破棄静的フィルタ動的フィルタ定義登録通過破棄動的フィルタコネクション管理テーブル登録動的フィルタ監視通過動的フィルタ定義静的フィルタ静的フィルタ定義参照動的フィルタ <OUT側 > ----------<内側…ルーティング側>---------通過 http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html 34 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 静的セキュリティ・フィルタ ----------<外側…インタフェース側>---------通過 ① <IN側> ② 動的フィルタ監視動的フィルタ静的フィルタ定義参照破棄静的フィルタ動的フィルタ定義登録通過破棄動的フィルタコネクション管理テーブル登録動的フィルタ監視通過動的フィルタ定義静的フィルタ静的フィルタ定義参照動的フィルタ <OUT側 > ----------<内側…ルーティング側>---------通過 35 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 設定例#1 http://www.rtpro.yamaha.co.jp/RTA54i/ScreenShot/40310/security-level5.html (静的セキュリティフィルタ) 入出|# 静的フィルタの定義 ■□| ip filter 00 reject 10.0.0.0/8 * * * * ■□| ip filter 01 reject 172.16.0.0/12 * * * * ■□| ip filter 02 reject 192.168.0.0/16 * * * * ■□| ip filter 03 reject 192.168.0.0/24 * * * * □■| ip filter 10 reject * 10.0.0.0/8 * * * □■| ip filter 11 reject * 172.16.0.0/12 * * * □■| ip filter 12 reject * 192.168.0.0/16 * * * □■| ip filter 13 reject * 192.168.0.0/24 * * * ■■| ip filter 20 reject * * udp,tcp 135 * ■■| ip filter 21 reject * * udp,tcp * 135 ■■| ip filter 22 reject * * udp,tcp netbios_ns-netbios_ssn * ■■| ip filter 23 reject * * udp,tcp * netbios_ns-netbios_ssn ■■| ip filter 24 reject * * udp,tcp 445 * ■■| ip filter 25 reject * * udp,tcp * 445 □■| ip filter 26 restrict * * tcpfin * www,21,nntp □■| ip filter 27 restrict * * tcprst * www,21,nntp ■□| ip filter 30 pass * 192.168.0.0/24 icmp * * ■□| ip filter 31 pass * 192.168.0.0/24 established * * ■□| ip filter 32 pass * 192.168.0.0/24 tcp * ident ■□| ip filter 33 pass * 192.168.0.0/24 tcp ftpdata * □□| ip filter 34 pass * 192.168.0.0/24 tcp,udp * domain ■□| ip filter 35 pass * 192.168.0.0/24 udp domain * □□| ip filter 36 pass * 192.168.0.0/24 udp * ntp □□| ip filter 37 pass * 192.168.0.0/24 udp ntp * □■| ip filter 99 pass * * * * * [条件] ・ネットボランチ RTA54i ・プロバイダ接続設定のセキュリティ・レベル5 入出| □□| □□| □□| □□| □□| □□| □□| # 動的フィルタの定義 ip filter dynamic 80 * * ip filter dynamic 81 * * ip filter dynamic 82 * * ip filter dynamic 83 * * ip filter dynamic 84 * * ip filter dynamic 98 * * ip filter dynamic 99 * * ftp domain www smtp pop3 tcp udp # 接続先のフィルタの入力(IN)と出力(OUT)の適用 pp select 1 ip pp secure filter in 00 01 02 03 20 21 22 23 24 25 30 31 32 33 35 ip pp secure filter out 10 11 12 13 20 21 22 23 24 25 26 27 99 36 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 動的セキュリティ・フィルタ ----------<外側…インタフェース側>---------⑤ <IN側> 通過 ③ ① 動的フィルタ監視動的フィルタ静的フィルタ定義参照登録破棄静的フィルタ動的フィルタ定義 ④ 通過破棄動的フィルタコネクション管理テーブル登録動的フィルタ監視通過動的フィルタ定義静的フィルタ静的フィルタ定義参照動的フィルタ ② 通過 <OUT側 > ----------<内側…ルーティング側>---------37 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 設定例#2 http://www.rtpro.yamaha.co.jp/RTA54i/ScreenShot/40310/security-level7.html (動的セキュリティフィルタ) 入出|# 静的フィルタの定義 ■□| ip filter 00 reject 10.0.0.0/8 * * * * ■□| ip filter 01 reject 172.16.0.0/12 * * * * ■□| ip filter 02 reject 192.168.0.0/16 * * * * ■□| ip filter 03 reject 192.168.0.0/24 * * * * □■| ip filter 10 reject * 10.0.0.0/8 * * * □■| ip filter 11 reject * 172.16.0.0/12 * * * □■| ip filter 12 reject * 192.168.0.0/16 * * * □■| ip filter 13 reject * 192.168.0.0/24 * * * ■■| ip filter 20 reject * * udp,tcp 135 * ■■| ip filter 21 reject * * udp,tcp * 135 ■■| ip filter 22 reject * * udp,tcp netbios_ns-netbios_ssn * ■■| ip filter 23 reject * * udp,tcp * netbios_ns-netbios_ssn ■■| ip filter 24 reject * * udp,tcp 445 * ■■| ip filter 25 reject * * udp,tcp * 445 □■| ip filter 26 restrict * * tcpfin * www,21,nntp □■| ip filter 27 restrict * * tcprst * www,21,nntp ■□| ip filter 30 pass * 192.168.0.0/24 icmp * * □□| ip filter 31 pass * 192.168.0.0/24 established * * ■□| ip filter 32 pass * 192.168.0.0/24 tcp * ident □□| ip filter 33 pass * 192.168.0.0/24 tcp ftpdata * □□| ip filter 34 pass * 192.168.0.0/24 tcp,udp * domain □□| ip filter 35 pass * 192.168.0.0/24 udp domain * □□| ip filter 36 pass * 192.168.0.0/24 udp * ntp □□| ip filter 37 pass * 192.168.0.0/24 udp ntp * □■| ip filter 99 pass * * * * * [条件] ・ネットボランチ RTA54i ・プロバイダ接続設定のセキュリティ・レベル7 入出| □■| □■| □■| □■| □■| □■| □■| # 動的フィルタの定義 ip filter dynamic 80 * * ip filter dynamic 81 * * ip filter dynamic 82 * * ip filter dynamic 83 * * ip filter dynamic 84 * * ip filter dynamic 98 * * ip filter dynamic 99 * * ftp domain www smtp pop3 tcp udp # 接続先のフィルタの入力(IN)と出力(OUT)の適用 pp select 1 ip pp secure filter in 00 01 02 03 20 21 22 23 24 25 30 32 ip pp secure filter out 10 11 12 13 20 21 22 23 24 25 26 27 99 dynamic 80 81 82 83 84 98 99 38 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 4. ネットワーク層におけるセキュリティ概念の進化取組の対象期間：2007年～/2013年～ (SRT100) (FWX120) フィルター機能のレイヤー概念レイヤー概念ポリシーフィルター ポリシー単位 ? 通信路 (を管理する) より抽象化されている ip/ipv6 policy filter コマンドなど動的パケットフィルタリング (ステートフル・インスペクション) コネクションやセッション単位 双方向のパケット通信を管理する ip filter dynamic コマンドなど静的フィルタリング IPパケット1個単位 TCP/UDPの5個組み 単方向のパケットを管理する ip filter コマンドなど 40 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation FWX120の自動生成ポリシー ① ② ③ ④ [適用ルール]  上から順番に処理される。  1段低い階層は、例外条件として処理される。  フィルタ動作は、破棄を赤色、通過を緑色。 Global ② VPN LOCAL ③ Private LAN1 41 ① © SN Department, Audio Products Sales and Marketing, Yamaha Corporation ポリシーフィルター © SN Department, Audio Products Sales and Marketing, Yamaha Corporation ポリシーフィルター ① ② ③ ④ [適用ルール]  上から順番に処理される。  1段低い階層は、例外条件として処理される。  フィルター動作は、破棄を赤色、通過を緑色。 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation FWX120の設定画面 ● ポリシーフィルター  直観的に適用ルールが判別しやすい階層型ポリシー定義  Pass/Rejectの状態をわかり易く表示  ポリシー毎に通信状態を記録できる。動作該当該当パケットパケット無効化未検出検出 pass (stateful inspection) static-pass (static) reject restrict 44 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation セキュリティのための内部構造 ルーター 1995年3月 RT100i発売 その後、様々な機能を搭載してきた。 機能や内部構造は、歴史的に蓄積されたもの。 • ファイアウォール機能(フィルターや不正アクセス検知機能)は、インターフェースで処理され使い方によっては2度通る。 ファイアウォール FWX120 (SRT100) 一つ一つの機能は、ほぼ同じ。 セキュリティ装置として、あるべき姿を目指して、作り直した。 • セキュリティ機能で、通信状態が適切に把握できること。 • 設定の適切さを診断する機能 (ワンクリック診断等) [ご参考] 2012.09.27 FWX120のパケット処理構造(L3/ルーター型) http://projectphone.typepad.jp/blog/2012/09/fwx120-030f.html 2012.09.28 FWX120のパケット処理構造(L2/透過型) http://projectphone.typepad.jp/blog/2012/09/fwx120-40c5.html 45 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation RTX1200/RTX810のパケット処理構造 egress インターネット ingress QoS(queue) イーサネットフィルター NATディスクリプタ QoS(classify) URLフィルターファイアウォール+不正アクセス検知 In/Out連携 In/Out連携イーサネットフィルター NATディスクリプタ Interface-in Interface-out LAN2 ファイアウォール+不正アクセス検知パケット転送フィルタールーティング URLフィルター NATディスクリプタイーサネットフィルタールーティング In/Out連携 In/Out連携ファイアウォール+不正アクセス検知 URLフィルター QoS(classify) NATディスクリプタイーサネットフィルター QoS(queue) Interface-out Interface-in ファイアウォール+不正アクセス検知パケット転送フィルター URLフィルター LAN1 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation FWX120のパケット処理構造(L3/ルーター型) egress インターネット ingress ルーティング In/Out連携ルーティング URLフィルター NATディスクリプタ入力遮断フィルター不正アクセス検知#1 イーサネットフィルター In/Out連携ポリシーフィルター不正アクセス検知#2 URLフィルター QoS(classify) NATディスクリプタイーサネットフィルター QoS(queue) Winny/Share フィルター等 Interface-out Interface-in パケット転送フィルター不正アクセス検知#2 ポリシーフィルター In/Out連携イーサネットフィルター不正アクセス検知#1 入力遮断フィルター NATディスクリプタ URLフィルターパケット転送フィルター QoS(queue) イーサネットフィルター NATディスクリプタ QoS(classify) URLフィルター Interface-in Interface-out LAN2 LAN1 ※入力と出力が非対称 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation FWX120のパケット処理構造(L2/透過型) egress インターネット ingress QoS(queue) イーサネットフィルター NATディスクリプタ QoS(classify) URLフィルター In/Out連携 URLフィルター NATディスクリプタ入力遮断フィルター不正アクセス検知#1 ブリッジングイーサネットフィルターポリシーフィルター不正アクセス検知#2 URLフィルター QoS(classify) NATディスクリプタイーサネットフィルター QoS(queue) Winny/Share フィルター等 Interface-out Interface-in 不正アクセス検知#2 ポリシーフィルターイーサネットフィルターブリッジング不正アクセス検知#1 入力遮断フィルター NATディスクリプタ URLフィルター Interface-in Interface-out LAN2 LAN1 ※入力と出力が非対称 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 4. 進化する無線 LAN規格と暗号方式取組の対象期間：2013年～ (SRT100) 主な無線LANの伝送規格 下位互換性を考慮しながら高速化 IEEE 802.11b 22MHz幅 2.4GHz帯 1999年10月 50 IEEE 802.11n 20/40MHz幅 1～4ストリーム 2003年6月 IEEE 802.11a 20MHz幅 5GHz帯伝送速度 IEEE 802.11g 20MHz幅最大11Mbps IEEE 802.11ac 80/160MHz幅 1～8ストリーム 1999年6月 2009年9月 2014年1月最大54Mbps 6.5M～600Mbps 290M～6.9Gbps 60GHz帯（近距離、10m以内）→WiGig IEEE 802.11ad 2012年12月 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 何が進化してきたのか？ スループットを稼ぐ方法 変調方式 • DSSS（Direct Sequence Spread Spectrum）、 CCK（Complementary Code Keying） – スペクトラム拡散方式の一つ – 小さい電力で広い帯域に拡散して通信する • OFDM（Orthogonal Frequency Division Multiplexing） – 直交波周波数分割多重 – データを複数の搬送波に重なり合いながら互いに干渉させずに乗せる 周波数帯域 • 2.4GHz帯：遠くに届く • 5GHz帯：直進性が強い • 60GHz帯：高速だが、かなり近距離 チャネル幅（チャネルボンディング） • 隣り合う2チャネル分の40MHzで通信すること 空間ストリーム数（MIMO）【11acの特長】  チャネル幅の増大  空間ストリーム数の増大  より高効率な変調方式  ビームホーミング • 複数のアンテナを使い、複数のストリームを同時に送信する • 複数の電波が同時に放出される。受信側では複数のアンテナを使って受信した電波を解析し、それぞれのストリームを取り出す 51 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 11n vs 11ac: あなたは何を選ぶ？規格 IEEE 802.11n IEEE 802.11ac 周波数帯域 2.4GHz帯、5GHz帯 5 GHz帯のみ最大伝送速度 600 Mbps 6.93 Gbps 変調方式 OFDM OFDM サブキャリアの変調方式 64QAM 約1.4倍 256QAM 空間ストリーム最大4 最大2倍最大8 チャネル幅最大40MHz 最大4倍最大160MHz MIMOのユーザーシングルユーザー発売中 ★“Wave”は、“世代” 52 マルチユーザー(MU-MIMO） LSI/モジュール開発中 Wave 1 (第一世代) Wave 2 (第二世代) 最大伝送速度 290Mbps - 1.3Gbps 3.5Gbps サブキャリアの変調方式 256QAM 256QAM 空間ストリーム 3 4-8 チャネル幅 20/40/80MHz 20/40/80/80+80/160MHz MIMOのユーザーシングルユーザーマルチユーザー(MU-MIMO） ※ビームホーミングも標準 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 無線LANが遅くなる要因例 ■仕組みに起因する要因  距離が遠くなると、遅くなる • 距離が遠くなると、電波強度が落ち、伝送レートも落ちる  遅い端末があると、遅くなる • CSMA/CAの特性による例示1  接続している/通信している端末が多いと遅くなる • 無線とCSMA/CAの特性による The Internet R LAN AP ■機器に起因する要因例示2  APの基本性能不足 • 複数台接続の負荷に耐えられない  高速通信に未対応の端末 • レガシー端末（例えば、11bと11gの同居） • 端末特性による – スマートデバイスは、バッテリー消費（省エネ）を考慮し、MIMOに未対応などで最大72.2Mbpsの端末も多い ■有線LANに起因する要因  ネットワーク構築の不備  ルーターの性能不足  インターネット回線の速度、混雑、障害 53 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation WLX302 「見える化画面」 InteropTokyo 2013の無線LAN環境提供に利用されたWLX302 54 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation PyCon APAC 2013 in Japan 12台のWLX302ごとの接続端末台数本会議（初日） 55 本会議（2日目）スプリント © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 推奨暗号化方式、認証方式情報処理推進機構（IPA）「一般家庭における無線LANのセキュリティに関する注意」 (2003年 2月28日～2012年 9月27日) http://www.ipa.go.jp/security/ciadr/wirelesslan.html 暗号化方式 セキュリティ対策のポイント WEP  SSID • 接続先APの選択（セキュリティ機能ではない）  MACアドレスフィルタリング • 接続可能な子機の制限 (セキュリティ機能ではない) 重要  暗号化方式(認証方式) • 暗号技術は、RC4を用いる。 WPA • 暗号技術は、TKIP(RC4)を用いる。安全 WPA2 • 暗号技術は、AESを用いる。無線LANで用いられる暗号化方式の比較（出典：「一般家庭における無線LANのセキュリティに関する注意」表2） 56 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 事例：あるNW系セミナー会場の観察非常に混雑。APが数十台、2.4GHz帯は1ch/6ch/11chに集中、5GHz帯も多数セキュリティに「WEP」や「Open」が多数 →決して古い機器ではない。無線スキルを十分持っている可能性が高いのであるが、セキュリティ意識は不十分？観察に用いたツール： inSSIDer 3 for Home 時期：2014年初頭 57 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 無線LANを「見える化」しよう！目的 [1] 安定した無線LAN環境を確保する。目的 [2] 安全な無線LAN環境を確保する。 58 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation WLX302 「端末一覧」接続しているステーションの無線情報(評価値、MACアドレス、メディアタイプ、認証方式、伝送速度、信号強度、再送率、無線切断回数)を一覧表示。複数のSSIDを設定している場合はSSIDごと。信号強度が低く、再送も多い。赤/橙→ 緑→ 青→ 赤/橙→ 緑→ 青→ ヤマハが独自に策定した基準で5段階評価【悪】１（濃赤色）→２（赤色）→３（橙色）→４（緑色）→ ５（青色）【良】 59 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation WLX302 「周辺AP一覧」周辺APの評価値、SSID、MACアドレス、メディアタイプ、チャネル、伝送速度、信号強度、認証方式、暗号化方式を一覧できる。認証なしAPがありセキュリティ面伝送速度が遅いので電波の占有時間が長く、スループット低下の要因となる。自社で運用中のAPを登録しておき、管理していないAP （未登録AP）と分けて表示できる。で問題あり。赤→ 登録橙→ 緑→ 赤→ 橙→ 削除緑→ ヤマハが独自に策定した基準で5段階評価。【悪】１（濃赤色）→ ２（赤色）→ ３（橙色）→ ４（緑色）→ ５（青色）【良】 60 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 物理ネットワークと要件 [要件]  有線LAN • 開発と営業を分離  無線LAN • 開発と営業は有線と同じポリシー • ゲストはインターネット接続のみタグVLAN 開発部門営業部門 2.4GHz帯/5GHz帯 (従業員用スポット) 61 2.4GHz帯 (ゲスト用スポット) © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 論理ネットワーク構成 [構築技術ポイント]  スイッチングハブ • タグVLAN  無線LANアクセスポイント • VAP [セキュリティポイント]  ルーター • IPネットワーク超えは、フィルターで制限 • ゲスト→開発/営業：禁止 vid=1467 vid=1221 vid=1837 192.168.101.0/24 開発ネットワーク 192.168.102.0/24 営業ネットワーク 192.168.254.0/24 ゲストネットワーク VAP 開発部門 “Development” 2.4GHz帯/5GHz帯 (開発部門用スポット) 営業部門 2.4GHz帯/5GHz帯 (営業部門用スポット) VAP VAP “Sales” “Guest” 2.4GHz帯 (ゲスト用スポット) © SN Department, Audio Products Sales and Marketing, Yamaha Corporation タグVLANとVAP SW制御 R RTX1200 ←フィルター機能によるネットワーク間のアクセス制限タグVLANを使ったネットワーク(LAN) ハイブリッド→ vidなし管理ネットワーク vid=1467 開発ネットワーク vid=1837 vid=1221 営業ネットワークゲストネットワークハイブリッド→ ←ハイブリッド SWX2200-8G 制御 WLX302 制御制御 VAP VAP VAP アクセス→ “Dev” 63 “Sales” “Guest” © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 5. 組み込み機器としてのセキュリティ対策想定する脅威 ネットワークレイヤーの攻撃 DoS攻撃、ポートスキャン プロトコルの仕様レベルでの脆弱性 OSPFv2, TCP実装, IPv6 過去事例の知見 65 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 高負荷対策 (限界値の検証) 「負荷試験装置」の活用 (ご参考) アプリケーション・パフォーマンス/セキュリティ試験ツール Avalanche（レイヤ4-7 ストレス試験） 攻撃トラフィックジェネレーター ThreatEx • 後継は、 Avalanche 「VAオプション」→脆弱性検査 次世代IP負荷測定/擬似エミュレーションテスター Spirent TestCenter VoIP/PSTN テレフォニーネットワークテストシステム Abacus 66 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 脆弱性と対策の情報公開切っ掛け OSPFv2 IPv6 TCP IPv6 TCP TCP 67 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 制御機能へのハッキング対策 #1 2001年8月の「CodeRed」 • マイクロソフトのIISを狙った攻撃知見 • HTTPメッセージ処理のバッファオーバーフロー 68 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation 制御機能へのハッキング対策 #2 制御機能のセキュリティ対策 • 機能ON/OFFコマンド • 初期値は、できるだけOFF • 待ち受けポートの変更 • サービス対象範囲を限定するコマンド • 隣接インターフェースに限定 • IPアドレス範囲に限定例) Web設定機能(httpサーバー)に関連する設定 69 コマンド名機能 httpd service 機能のON/OFF httpd listen listenポートの変更 httpd host アクセスを許可するホストをインターフェースやアドレス範囲で指定 © SN Department, Audio Products Sales and Marketing, Yamaha Corporation