RTX1210でのフィルタリングについて検討中
こんばんは。一昨日はRTX1210等における静的IPマスカレードについて書きました。これに直接関係する話題は後日書く予定にしています。
今回はRTX1210等のYAMAHA製ルータorファイアウォールでのフィルタリングについて少し検討してみます。備忘録的になってしまうことは御容赦下さい。<(_ _)>
今回やらせたいこととしては、以下の通りです。
- 部門毎にVLANを分けたい
- 有線と無線も分けたい
- インターネットにはどのVLANからもアクセス出来る
- 部門VLAN間の通信は拒否
- 各部門VLANからDMZへのアクセスはOK
あたりを想定しています。そこで、YAMAHAルータ等の設定例ページを探してみると、以下の事例がヒットしました。
これを基に検討します。ここではLAN分割機能を用いていましが、タグVLAN機能を使っても同様の機能は実現出来ます。
この設定例にあるように、LAN分割orタグVLANでVLANを定義します。そして、ISPへの経路設定(デフォルトルートがISPへ向かうように)とNATの設定を行います。
ここからが今回の本題になります。「どのようなフィルタリングを行うか?」に基づいて、個々のフィルタリングルールを作成します。たとえば、「192.168.100.0/24をはじめとするVLAN間通信は一切認めない」というようなルールを作るとします。この場合、以下のようになります。
ip filter 1020 reject 192.168.100.0/24 *
ip filter 1021 reject 192.168.101.0/24 *
ip filter 1022 reject 192.168.102.0/24 *
ip filter 1023 reject 192.168.103.0/24 *
ip filter 1024 reject 192.168.104.0/24 *
ip filter 1025 reject 192.168.105.0/24 *
ip filter 1026 reject 192.168.106.0/24 *
ip filter 1027 reject 192.168.107.0/24 *
ip filter 1040 reject * 192.168.100.0/24
ip filter 1041 reject * 192.168.101.0/24
ip filter 1042 reject * 192.168.102.0/24
ip filter 1043 reject * 192.168.103.0/24
ip filter 1044 reject * 192.168.104.0/24
ip filter 1045 reject * 192.168.105.0/24
ip filter 1046 reject * 192.168.106.0/24
ip filter 1047 reject * 192.168.107.0/24
ip filter 2000 reject * *
ip filter 3000 pass * *
上記4種類のルールを作成します。たとえば192.168.100.0/24 --> 192.168.101.0/24 の方向と、192.168.101.0/24 --> 192.168.100.0/24 の両方向について考えてやります。
ここで重要なのは、inとoutについてです。inというとLAN、outというとWANと考えがちですが、YAMAHAの機器の場合は、「in:インターフェースに入ってくる方向」「out:インターフェースから出て行く方向」であるということです。上記の事例ではVLAN1のインターフェースは192.168.100.1です。よって、「192.168.100.1に入ってくる場合はin」「192.168.100.1から出て行く場合はout」になります。
この設定例を基にして以下の設定について説明します。
ip vlan1 secure filter in 1041 1042 1043 1044 1045 1046 1047 3000
ip vlan1 secure filter out 1021 1022 1023 1024 1025 1026 1027 3000
VLAN1の場合を例に取ります。「192.168.100.0/24からインターネットには出られるが、192.168.101.0/24をはじめとする他のVLANには接続出来ない」という前提の「インターネットに出られる」という部分はここでは除きます。(後述します)
inは「192.168.100.1に向けて入ってくるパケット」と考えます。192.168.101.0/24〜192.168.107.0/24が宛先となっているパケットを破棄する(水際で拒否する)必要があります。そのために、送信元が192.168.100.0/24となっていて、宛先が192.168.101.0/24〜192.168.107.0/24となっているパケットを破棄します。送信元アドレスを*でなく、個別のVLANを指定してもいいのですが、ルールセットが増えるということで流用可能な*にしているということになります。(ちょっとここが考えにくかったです。(^^;;)
outは「192.168.100.1から出て行くパケット」になります。今度は逆に考えます。「送信元が192.168.100.0/24以外のパケットは破棄する」ということになります。たとえば、送信元アドレスが192.168.107.100から192.168.100.100へのパケットが192.168.100.1に届いたとします。192.168.107.0/24と192.168.100.0/24の間は通信不可設定です。ですので、このパケットはout側から出してはいけません。なので、この場合は1027のルールを適用する必要があります。
このへんが混乱してしまう点ですね。ワイルドカードを上手に使うことでシンプルなルールセットになることも頭に置いておきたいところです。
途中で触れましたが、インターネット側へのアクセス制御は以下のようになります。(各プロトコルとICMPに関するフィルタリングはここでは省略します)
ip pp secure filter in 1020 1021 1022 1023 1024 1025 1026 1027 2000
ip pp secure filter out 3000
生まれて初めて架空請求メールを受信しました
こんばんは。今回は架空請求メールネタです。世間では未だにアダルトサイト閲覧に関する架空請求メールが届くという事例があるようですね。そう言えば、昨年ブログに書きました福井県池田町議会事務局長がやらかした事件がありましたね。
取り上げた際の記事はこちらです。
karasuma-kitaoji.hatenablog.com
職場のPCでアダルトサイトを閲覧していて、ウイルス感染してしまい、表示された電話番号に電話して情報漏洩をやらかしたというお話でしたね。
架空請求メールが届いても焦らず慌てずに
エロい欲望に打ち勝てない人たちのうちの一部がこうしてやられてしまうのでしょう。だからこそ、正しい知識を身に着けて冷静に対処する必要があります。
アダルトサイト架空請求メールは当該サイトを見た見ないに関係なくやって来るようです。私が普段使っているガラケーのアドレス宛に昨朝、覚えのないメールがAmazonを騙ってやってきました。
ガラケーなので、Amazonのアドレスがどのように騙られているか、ヘッダで追うことが出来ませんでした。明らかに架空請求メールだというのが分かったので、速攻で削除してしまいました。御丁寧に電話番号まで書いてありました。これが信憑性を持たせようということなのか、フリーダイヤルでした。(うっかりかけさせようと狙っていたんでしょうか)
ランダムにメール送信しているのがバレバレです
そもそも、ガラケーでアダルトサイトにアクセスすることは現状では非現実的ですよね。軒並みガラケー用サイトを閉鎖している現状があるわけですから。向こうも手当たり次第にメールを送信しているのでしょうね。相手先がスマホなのかガラケーなのか確認せずに投げているのが丸出しですよね。
PCでの受信と違って、スマホやガラケーで受信すると、ヘッダの確認がしづらいので、誤認する余地があります。身に覚えがなければ当然無視でOKですし、仮に見たとしても、払う前に消費生活センターに相談した方がいいです。
余談になりますが、3/28(火)の「北野誠のズバリ」でも架空請求メールネタを取り上げていました。
昨日の「北野誠のズバリ!」で、架空請求の話題について取り上げてました。/ 北野誠のズバリ | CBCラジオ | 2017/03/28/火 13:00-16:00 https://t.co/DGsS5mTN0Z #radiko
— 不覚亭ヨウ素 (@amagasaki820) 2017年3月29日
本当に気を付けましょうね。専門用語並べ立てて追及しようとか考えるよりも、無視が一番いいようです。(^^;
DNATと静的IPマスカレード
こんばんは。今回はDNATと静的IPマスカレードについて少し書いてみます。ここで言うDNATとは、Destination NATのことを指します。
DNATについて調べてみました。e-words.jpの記事です。
ルータなどで外部からグローバルIPアドレスでアクセスしてきたパケットをDMZ上のプライベートIPアドレスを持つサーバに転送するために使います。ルータなどでIPアドレスを変換してやります。
で、DNATを使って、YAMAHA FWX120で環境構築しようと画策しました。そこで、ググってみたのですが、YAMAHAのマニュアルや参考ページなどにはDNATの文字がない!
で、ググった結果を読み漁ってみると、静的IPマスカレードとして記載されていました。「これだ!これがやりたかったんだ!」と思って読み込んでみました。
IPマスカレードで調べると、先ほどのe-words.jpではNAPTとして記されています。
NAPTが技術的名称で、IPマスカレードがLinuxでの実装の話になっていて、そのへんを混同してしまうケースが多いようだとのことです。
YAMAHAのマニュアルを見ると、静的IPマスカレードとして説明されていました。ルータやFWでグローバルIPアドレス宛のパケットをDMZにあるプライベートIPアドレスに変換する書式が記載されていました。こちらです。
グローバルIPアドレスでのアクセスをプライベートIPアドレスに変換する際に、ポート番号も変更出来るようになっています。これは上手に活用することで、セキュリティ面の向上に寄与しそうです。
今回は自分自身の備忘録っぽくなりましたが御容赦のほどを。<(_ _)>
iOS10.3にアップデートしてみました
こんばんは。今朝iOS10.3がリリースされました。内容の概略を見ると、多くのセキュリティフィックスもあるようです。脆弱性情報に関しては、以下を御参照下さい。Security-NEXTのサイトからです。
WebkitやSafariの脆弱性対応が41件含まれています。セキュリティフィックスも重要なのですが、今回大きな変更点は他のサイトでも注意喚起が出ているように、「ファイルシステムの変更」ですね。以下はimpressのページです。こちらに詳しく書かれています。
ファイルシステムが変わるとのことです。従来はHFS+なのが、APFSに変わるそうです。APFSとは、Apple File Systemの略だそうです。こちらがセキュリティ強化につながったり、SSDにも対応するそうです。
他に言われているのが、AirPodsを探しやすくなっていたり、iTunesでレンタルしたコンテンツを同じApple IDを使っている機器で視聴出来るようになっていたり、Siriでの機能拡張があるようです。
で、先ほど手元のiPhone6と、iPad mini 4をアップデートしてみました。ファイルシステムが変わることにより、バックアップを取っておくようにということがあちこちのサイトで見受けられました。そこで、Mac miniに接続してiTunes経由でバックアップ取得後、アップデートを実行することにしました。
アップデータは両者共2.5GBほどで、10分程度でダウンロードは完了しました。ダウンロード完了後、実際にiPhoneやiPadにアップデートを適用するまでの時間は20分程度でした。特に不具合が発生することもなく、無事に動作しています。iPhone側のみですが、キャリアアップデートがなされました。ドコモ28.3になりました。
ファイルシステム変更の影響だと思われますが、最大容量が10GB近く増えていました。(124GB強になってました)それに伴い、使用可能容量も10GB近く増えていました。
バックアップを取るのはPCでiTunes経由でもよし、iCloud経由でもよし。万一アップデートに失敗した場合に備えておく必要があります。御注意下さい。
医療機器のIoT(IoMT)化に伴うセキュリティについて
こんばんは。今日は医療機器のIoT化に関するセキュリティについて書いてみます。zdnetからの記事です。
こちらにはIoMTと書かれていますね。「IoMT」という表現は初めて聞きました。推測ですが、Internet of Medical Thingsの略なんでしょうね。医療機器ですし。
(ここからはIoMTと表現します)
さて、ここからが本題になります。IoMTですが、ネットワークに接続された機器がボット化して一斉に攻撃し始めるという懸念があることも理解出来ます。また、簡単にアクセスして乗っ取ることは困難だとも書かれています。
ここで問題になるのは、乗っ取られたIoMT機器がボット化して、外部に対して一斉に攻撃を仕掛けるということだけではなく、内部(院内)で使われているIoMT機器に直接攻撃を仕掛けてくることです。
たとえば、無線接続しているIoMT機器に対して、偽APを設置して悪意あるサーバに誘導するということも考えられます。無線接続しているノートPCやタブレットであれば、クライアント証明書をインストールすることで、正当なクライアントであることをサーバ側は認識出来ます。仮に偽APに誘導しようとしても、証明書での認証が出来ずに接続に失敗します。
しかし、一般的にIoT機器は非力です。過去に何度もありましたが、23/tcpポートが開いたままになっていて、telnetを使って遠隔操作されてしまう事例が報じられました。
sshだと通信経路が暗号化されるので、telnetよりも格段に安全なのですが、暗号化/復号するだけのリソースを割けないという問題があり、telnetにしているということなのだろうという推測が成り立ちます。
この点はIoMT機器も同じではないかと考えられます。当たり前ですが、医療機器としての確実かつ安定した動作が要求されます。その関係で、どうしてもセキュリティに回せるリソースが少なくなってしまうという問題があります。
このへんは院内全体の予算的な話でも同じことが言えます。医療機器を購入する場合に「医療機器として適切に動作すること」に予算が割かれます。セキュリティに関しては、「余った予算でなんとかしろ」という風になりがちではないでしょうか。
医療従事者としては、「医療そのものを確実に遂行する」ということが第一義にあることは十分理解出来ます。ただ、IT化の進展により、それに伴う情報セキュリティ対策という意識が働かない、もしくは実感が湧かないということなのだろうと思われます。
この記事にもありますように、医療機器本体のコストが莫大なものだった場合、制御するOSのサポートという点は矮小化されてしまいます。補償契約の問題で泣く泣く使い続けないといけないということも起こり得ます。場合によっては、ソフトウェアやハードウェアの更新が「改造扱い」とされ、法律違反になることも考えられます。
医療機関における高度IT化や、IoMTという概念が登場する前の法律が足枷になってしまっていることもあります。実態に即した形で対応出来るように法整備がなされれば、また変わってくるのかなとも思います。
ボウリング場の受付カウンター越しにWindowsXPのPCが…
こんばんは。今日はアミューズメント施設に行ってきました。その際に受付で手続しようとしたら、たまたまカウンター越しにWindowsXPが走っているPCが目に留まりました。
「確かWindowsXPは2014年4月に延長サポートが終了しているはず…」と頭を過ぎり、そうなるといろいろ気になってしまうものです。サポート終了後、既に3年が経過しようとしているOSを未だに使用しているのはどういう理由があるのだろうかと。システムで使用しているプログラムが新しいOSに移行出来ないとか、新しいブラウザでは正しく稼働しないとか、はたまたシステム更新予算がないので、そのまま使っているのか…。
もしかすると、「使えるから別に問題ないか。とっくの昔にサポートは終了しているけど、インターネットに接続されていないネットワークだから大丈夫だろう。」という風に安直に考えられているのではないかと。
「インターネットに接続していないから安全」と考えているのは間違っているということがもっと浸透してほしいものです。USBメモリやウイルス定義ファイルが更新されないなどの問題があります。
うっかり見える位置にあったとしても、多くの方々は気にも留めないかもしれません。IT系に関わっているせいで邪推してしまいます。「この会社はセキュリティ意識が低いんじゃないだろうか?」とか、「個人情報管理は本当に徹底しているんだろうか?」とか、「セキュリティをコストとしか見てないんじゃないだろうか?」などとあらぬ詮索をしてしまいます。
少なくとも客の視界に入る位置にサポートが終了したPCが置いてあるのは拙いんじゃないかと感じました。心理的に不安を与えることにもなりますし…。
情報処理技術者試験対策スマホアプリ諸々
こんばんは。今日はうっかり呑んでしまったので、あまり書く時間が取れませんでした。<(_ _)>
春期情報処理技術者試験まであと1ヶ月を切ってしまいましたね。「何を今さら」と言われそうですが、試験対策スマホアプリについて少し書いてみます。
一昔前なら紙の参考書しかありませんでしたので、重い参考書を持ち歩いたりしていました。ポケスタに代表されるようなポケットサイズの参考書もありましたので、こちらを利用することもままありました。
最近はスマホの普及により、情報処理技術者試験対策アプリが複数登場しました。多くは午前対策中心ですが、中には午後問題に対応しているアプリも存在します。
個人的に使ったことのあるアプリについて書いてみることにします。
応用情報では鉄板ですが、東京電気大学出版が出している「精選予想問題集」には御世話になりました。無料版と有料版両方使いましたが、分量では後者に軍配が上がります。数をこなすためには、問題が多く収録されている後者の方が役に立ちました。
と、私は使っていませんが、Tokyo Interactiveの「一問一答」シリーズもいいなと言う印象を持っています。これは情報セキュリティスペシャリスト(今ですと、情報処理安全確保支援士ですね)アプリ無料版を試しに使ってみたことがありましたが、結構使いやすかった印象がありました。
システム監査で使っていた(使っている(^^;;)アプリですが、「情報処理 システム監査」です。こちらは午前問題だけでなく、午後問題にも対応していますので、これだけでもかなり使えます。なんとか合格したいのですが、なかなか思うようには行きませんねぇ。(^^;;
システム監査アプリの話に限定してしまって恐縮ですが、「システム監査技術者試験 過去問」(株式会社龍野情報システム)と、システム監査技術者試験(AU)午前問題(HIKARU YOKOYAMA)の2つがヒットしました。この2つについて試してみようと思います。こちらのレポートも改めてしてみたいと思います。<(_ _)>
応用情報に関する続きですが、Tokyo Interactiveやhideharu harada氏のアプリも良さそうです。後者は午後問題についても対応していますので、いいのではないかと思います。
ということで、4月の試験を受ける皆様、一緒に頑張りましょう!(^o^)/