【GW特別進行】Raspberry Pi 3でセキュリティ対策設定を行ってみる(1)
こんばんは。GW真っ只中ですが、合間を見て普段出来ないことをゴソゴソやってみたりしてみたりしています。
今回はRaspberry Pi関係です。Raspberry Piを使う場合は、あまりセキュリティについて意識することは少ないんじゃないでしょうか。とりあえずOSインストールして、apt-get updateやapt-get upgradeコマンドを打つぐらいでしょうか。
rootユーザにパスワード設定
まず、rootユーザにノンパスワードでなれるのは拙いですので、パスワードを要求する様に設定します。rootになるためのパスワードを設定します。
$ sudo passwd root
piユーザの扱い
他にpiユーザをどうするかという問題もあります。少なくともデフォルトのままではあまりにも危険です。最低でもパスワードは変更しておきましょう。
$ passwd pi
可能であれば、piユーザも削除しておくと良いかもしれません。(設定などのバックアップを取っておくと良いです)
$ sudo userdel -r pi
Apacheのインストールと設定
そして、apache2をインストールし、apacheのバージョンとOSを表示させないように設定しました。
$ cd /etc/apache2/sites-available
$ sudo vi 000-default.conf
ServerSignature On
↓
ServerSignature Off
Nmapのインストールと設定
不必要なポートが開いていて、余計なサービスが立ち上がってないことを確認するためにnmapをインストールしました。
$ sudo apt-get install nmap
nmapを使って自機で立ち上がっているサービスをします。
$ nmap localhost
これで開いてるポート番号が表示されます。
sshに関する設定及びアクセス制限
sshログイン時は公開鍵認証のみにしておきます。設定はこちら。
# PasswordAuthentication yes
↓(パスワード認証を無効にするために"no"にしておきます)
PasswordAuthentication no
デフォルトでは公開鍵認証が有効になっていませんので、configを修正します。
#AuthorizedKeysFile %h/.ssh/authorized_keys
↓(公開鍵認証を有効にしておきます)
AuthorizedKeysFile %h/.ssh/authorized_keys
そして、sshdを再起動します。
$ sudo /etc/init.d/ssh restart
sshのアクセス制限をするために、LAN内からのみ許可するようにhosts.allowとhosts.denyの設定を行いました。ポート番号の変更も行っておくとよりいいかもしれません。ただ、ローカル限定なので、外側からは22/tcpが立ち上がってないように見えればOKだと考えています。
$ sudo vi /etc/hosts.allow
複数ある場合は、スペースで区切っておきます。
$ sudo vi /etc/hosts.deny
sshd: ALL
これで[利用したいIPアドレス]からのみsshでアクセス出来ます。
hosts.allowとhosts.denyだけでは心許ないので、ufwをインストールして設定を行うことにしました。iptablesでもいいのですが、ufwの方が扱いやすいということのようでしたので、試しに使ってみることにしました。
(注:具体的設定内容は現在吟味中です。続編で言及します。<(_ _)>)
通したいポート一覧(予定)
必要な通信としては、以下の通信を想定しています。それ以外はufwや物理的ファイアウォールでフィルタリングします。
22/tcp(LAN内限定:inbound)
53/tcp(outbound)
53/udp(outbound)
80/tcp(outbound、LAN内限定:inbound)
123/udp(outbound)
443/tcp(outbound、inbound)
SSLサーバ証明書については、動作試験用に自署証明書を発行してみます。これでSSLの動作確認を行います。Let's Encryptに関しても調べてみます。
Raspberry Pi 3でセキュリティ対策設定を行ってみる(2)も後日お送りしますので、少々お待ち下さい。<(_ _)>
【GW特別進行】ノートンWiFiプライバシーを購入してみました
こんばんは。VAIOを購入してから外で作業する時間が増えました。iPhoneとiPad mini 4を使っている頃でもそれなりにはありましたが、そこまででもありませんでした。タブレットではファイルを閲覧するにはいいのですが、ファイルを作るにはどうも使い勝手が良くないです。PCだと「作る」作業がはかどります。
で、うっかり3G/LTEを有効にした状態で調べものなどをしていると、あっという間にデータ量を消費してしまいます。「これは拙い!」と思い、公衆無線LANを使う回数が増えてきました。
しかし、多くの公衆無線LANは無線区間を暗号化していないケースが多く、暗号化していると言ってもWEPであったり、WPA2(AES)であってもPSKを店内に貼り出していたりします。これでは暗号化していても、接続しているユーザからは覗き放題です。この状態でhttps対応しているサイトだけに接続しても、接続先だけは分かってしまいます。
となると、「VPNアプリの導入は不可避かな」と考え、梅田のヨドバシカメラでノートンWiFiプライバシーを購入してきました。(他のアプリとの比較などは続編で)
インストールから実際の使用感などは「【GW特別進行】ノートンWiFiプライバシーをインストールしてみました」でお送りします。
<つづく>
【GW特別進行】丹波篠山に行って来ました
こんばんは。昨日(日付が変わってしまいましたので)は篠山に行ってきました。近畿圏内の方々だと「篠山」でも通用しますが、それ以外の地域の方々にとっては、「丹波篠山」という表現の方が馴染みがあるかと思いますので、丹波篠山で統一します。
30年ほど前に篠山口駅までのアクセスが大幅に改善されました
最寄駅はJR福知山線篠山口駅になります。大阪駅から丹波路快速で1時間5分、特急で50分程度で到着します。30年以上前は大阪から宝塚までしか電化されていませんでしたので、篠山口駅へは気動車での移動になりましたし、本数も少なく時間もかかるという印象がありました。現在のように30分毎に快速が走っているような状況ではなかったので、日帰りでふらっと遊びに行くといった感覚で行く場所ではなかった記憶があります。1986年に新三田まで複線電化。城崎(当時:現城崎温泉)まで電化されてから大きく変わりました。(1997年に篠山口まで複線化されました)
全線電化により、一気に篠山口が近くなりました。大阪駅への通勤圏にもなりましたし、遊びに行きやすくなりました。
丹波路快速に乗って1時間強かけて篠山口に行きました。市街地はバスで20分弱行った二階町あたりですので、篠山口駅前は商業施設がほとんどありません。特急停車駅にしては少々寂しいですが。昔は篠山口駅から分岐して本篠山駅まで支線が走っていたようです。
篠山市中心部に行って来ました
レンタサイクルもあったのですが、バスに乗って二階町まで移動しました。二階町で降りると目の前に黒豆パンの店が。卵も牛乳も使わずに、添加物の含まれていない材料を使った黒豆パンです。もっちりとした食感がクセになります。1個210円(税込)ですが、十分にその価値はあります。(^_^)v
昼食は「特産館ささやま」に行って来ました。JA直営のレストランと土産物販売所を併設しています。地元産の食材を使ったメニューと地酒を提供しています。ここでは丹波篠山牛を使ったハンバーグ定食と、黒豆を使ったリキュール「楼欄」をいただきました。前者が1,620円(税抜)、後者が160円(税抜)でした。ハンバーグもしっかりと肉汁を閉じ込めていて、美味しくいただくことが出来ました。
他に地酒やサイダーを買って帰りました。ささやまサイダーという名称で瓶入りになっていて、240円(税込)で販売されてました。製造元が鳳鳴酒造というのが意外性がありました。鳳鳴酒造は丹波篠山で地酒を造っている酒造会社です。まぁ、大手ビール会社でサイダーなどの清涼飲料を造っているのは普通にありますね。
(帰宅後、これらをまだ飲んでいません。(^^;;)
その後、ささやま荘の天然温泉「まけきらいの湯」に行って来ました。宿泊客だけでなく日帰り客も入浴可能で、23時まで入れます。中にはサウナと内風呂(水風呂と通常の風呂)と露天風呂の構成になっています。浴室内備付のボディーソープとシャンプー&リンスにお茶の成分が含まれているのが印象的でした。丹波篠山ではお茶も特産品の一つでもあるようです。意外だったのは、ブルーベリーも丹波篠山産だったことです。しない土産物店でもブルーベリージャムを販売しています。
丹波篠山というと、猪肉-->猪鍋というイメージが強いです。だからといって、冬場以外何もないということはありません。鯖寿司やそばもあります。年中美味い食材には事欠かない土地ですね。
夕方に篠山口から丹波路快速に乗って大阪に戻りました。1時間ほどで行けるので、ちょっとした小旅行でもありました。<(_ _)>
【GW特別進行】公衆無線LAN利用時のVPNソフトのプロトコルって?
おはようございます。今回はショートバージョンです。(^^;
昨日、ノートンWiFiプライバシーを購入しました。本日深夜(日付が変わって明日になっているかもしれませんが(^^;)にそのあたりの記事をアップする予定ですが、その前に少しだけ書いてみます。
「公衆無線LAN利用時にVPN接続は必須」というような記事をよく見かけます。しかし、各VPNアプリの説明でも「VPN」とあるだけで、一体どういうプロトコルを使っているのか不明なケースが多いです。たとえば、脆弱性が指摘されたことや、Apple自体がサポートを止めたことであまり使われなくなりましたが、PPTPだとNAPT環境下では使えません。sshポートフォワードだと、公衆無線LAN側のFWで22/tcpをフィルタリングしていたら使えません。
で、ヨドバシカメラのスタッフの方に質問してみましたが、「分かりません」とのことでした。ここは人柱になる覚悟で買ってみました。どうやらOpenVPNを使っているようです。(VAIOにインストールする際にOpenVPNらしきソフトをインストールするプロセスが見えましたので)
詳しいことは追って書いてみたいと思いますが、取り急ぎ気づいたことを書いてみました。<(_ _)>
【GW特別進行】家電量販店で売ってる無線ルータでセキュリティ対策がどこまで出来るのか(2)
こんばんは。前回の続きになります。家庭用無線ルータでどこまでセキュリティ対策が可能なのかを調べてみました。さすがに全ての機種を調べるわけには行きませんので、大手どころの代表機種を取り上げてみます。
Buffaloの機種について調べてみました
こちらです。
一戸建て2階・マンション3LDKを想定した家庭用ルータなので、この機種を基準に調べてみることにしました。取扱説明書もダウンロード可能です。仕様を見ることでおおよその見当はつきますので、そちらを基にお話を進めて行きます。
セキュリティの項目を見ると、WPA2-PSK(AES)に対応していることが分かります。これだけを有効にしておいて、WEPやTKIPは使えないようにしておくことは必要です。
MACアドレス制限(フィルタリング)機能も微妙なところです。(「認証」ではなく、「制限」「フィルタリング」であることがポイントです)MACアドレス自体は偽装も可能ですので、気休め程度に考えておくのが無難でしょう。
中継機能ですが、これは下手に使わない方がいいのではないかと思います。通信可能な範囲を広げるということは、室外にもリークオーバーしてしまう確率が高くなります。悪意の第三者の餌食にもなりかねません。
ゲストポート機能に関しては、来客用対応としてはアリかと思います。(簡易VLAN機能がある感じなのでしょうか?)
無線LANに関してはこれぐらいでしょうか。
NECの機種について調べてみました
こちらは想定が3階建て・マンション4LDKになっています。2階建て・マンション3LDKに該当する適当な機種が見つかりませんでした。<(_ _)>(私の見落としならごめんなさい)
機種はこちらです。
Buffaloと特段変わったところは見受けられませんでした。こちらもWPA2-PSK(AES)のみの設定にしておくことが安全ですね。(前述のように、古い機種は処分してしまいましょう。(^^;;)
同様にWEPやTKIPは無効にしておきます。MACアドレス機能はおまじない程度に考えておくのが吉です。ネットワーク分離機能は簡易VLANっぽいですね。ゲーム機用にWEP専用SSIDというのは、ユーザー向けの落としどころなんでしょうね。本来はWPA2-PSK(AES)に対応しないゲーム機メーカー側の問題もあるとは思いますが…。
IODATAについても調べてみました
IODATAの機器hこちらです。(続きは後日調べてみたいと思います。<(_ _)>)
今回調べた機器は以下の通りです。
こちらもWPA2-PSK(AES)対応ですので、他は無効化しておくのが良いかと思います。WEPとTKIPとWPSは無効にしておきましょう。マルチSSID対応ですが、具体的にどのようなことが出来るのかは不明でした。(簡易VLAN機能があるのか、SSIDセパレーターなのかは分かりませんでした)
他の2機種にはありませんでしたが、送信出力制限機能があります。これは上手く活用してやりたいところです。
最後にASUSの機種について調べてみました
参考までにASUSについて調べてみました。今回調べた機器はこちらです。
価格.comを参照すると、他の機種よりもかなり高めです。32,000円ほどします。
「値段の違いはどこにあるのか?」という点ですが、WPA2-EnterpriseやRADIUSやIEEE802.1Xに対応していることです。家庭用にもIEEE802.1X対応機種があることが分かりました。ただ、家庭用で32,000円となると、一般的感覚だとちょっと考えてしまいますね。(^^;;
【GW特別進行】家電量販店で売ってる無線ルータでセキュリティ対策がどこまで出来るのか(1)
こんばんは。GW真っ最中ですね。「GW谷間のうちに出来ること」をいろいろ済ませました。(全てではないですが)
別件の用事もありましたので、梅田のヨドバシカメラに寄ってきました。別件の用事とは、LANケーブルにつけるタグを探していました。それは無事に見つけることが出来て無問題でした。ここで取り上げるのは、おまけの用事の方です。先日、無線LANタダ乗り事件に関する判決が出ましたね。4/29の記事にも書きました。
karasuma-kitaoji.hatenablog.com
現在の電波法では、事前共有鍵を入手してタダ乗りするのはセーフらしいです。「通信を傍受しているわけではない」ということだそうです。
今使っている無線ルータで確認すべきこと
となると、やはり自分の身は自分で守るしかないですよね。そこで、市販されている家庭用無線ルータでどこまで対応可能なのかをマニュアルを読みながら検証してみました。
最低限やっておきたい項目としては、以下の通りです。
- WPA2-AESに設定しておく
- 事前共有鍵のパスフレーズは簡単に分かる文字列にはしないこと
- 事前共有鍵のパスフレーズは最低でも8文字は確保する
- 事前共有鍵のパスフレーズは英数大小文字混在で(出来れば特殊記号も)
- WEPやTKIPは無効化する
- 無線ルータ付属の簡単事前共有鍵設定機能は設定時のみに
- 可能であれば出力を絞っておく
- WPA/WPA2 mixed-modeは設定しない
あたりでしょうか。
1.は散々言われていることですね。WEPは簡単に破られてしまうので無意味です。ましてや、無線区間を暗号化しないのは論外です。
2.〜4.に関しては、一般的にパスワード設定で言われていることと同じですね。
5.に関しては、少々古い記事ですが、神戸大学の森井先生の記事を御覧下さい。
6.ですが、接続設定を簡単に出来る仕組みですから、これを悪意の第三者に利用されないようにしておくことは重要かと思います。
7.は特に説明は不要ですね。
8.に関しては、無線子機(PCやスマホなどのことですね)自体がWPA2-AES対応の機器が主流になってますので、「古い機器は捨てる」でいいんじゃないでしょうか。古い機器を接続するためにTKIPが使えてしまいますので、セキュリティレベルが低下してしまいます。なので、敢えて古い機器を使わないためにも、1.にしておいて古い機種を接続出来ないようにしておくのも手です。
次回は家庭用無線ルータのマニュアルを眺めつつ、どこまで出来るのかを探ってみたいと思います。<(_ _)>
<つづく>
【GW特別進行】実家に寄ったついでに昔行きつけの喫茶店に寄ってみました
こんばんは。GW特別進行ですので、ITネタ以外についても積極的に取り上げて行きます。今日は有馬温泉の土産物を届けに実家に寄ってきました。自宅から40分程度なのでそんなに遠くはないのですが、沿線が違うと行きにくいのもあります。阪神間は東西の交通は発達しているのですが、南北の交通がどうも貧弱です。なので、沿線を跨ると距離の割には行き来しにくいという問題があります。
それはさておき、実家最寄駅前にある喫茶店に寄ってきました。実家時代に仕事帰りに寄って、情報処理技術者試験の参考書を読んだり、問題集を解いたりしていました。
久しぶりに寄ったのですが、基本的な内装は変わっていませんでした。「カフェ」ではなく、「喫茶店」という表現がぴったりきます。スタバだとどこか構えてしまうところがあります。ちょっとした作業をするためにiPadやVAIOを広げると、「MacBook広げてドヤ顔組に括られてないかな…」とか余計なことを考えてしまって落ち着きません。VAIO広げて作業するにしても、なんか落ち着くんですよね。
で、コーヒーを飲みつつごそごそとVAIOをいじる。なんとなく昔を思い出したりするんですよね。店長も健在で安心しました。15年以上も続いているというのも、地元に根付いた証拠なんだろうなと思いました。飲食関係は入れ替わりが激しく、「3年持ちこたえたら成功」と言われる世界です。そんな中、これだけ長期にわたって続いていることに改めて驚きました。
別に遠出したわけではないんだけれども、ふとタイムスリップしたかのような錯覚に陥るのは、今も昔も(根幹が)変わってないからなのだろうなと思いつつ、コーヒーを飲み干して支払いを済ませて店を後にしたのでした。たまに寄ってみようかな。時々タイムスリップを体験するために…。
