こんばんは。一昨日はRTX1210等における静的IPマスカレードについて書きました。これに直接関係する話題は後日書く予定にしています。

　今回はRTX1210等のYAMAHA製ルータorファイアウォールでのフィルタリングについて少し検討してみます。備忘録的になってしまうことは御容赦下さい。<(_ _)>

　今回やらせたいこととしては、以下の通りです。

• 部門毎にVLANを分けたい
• 有線と無線も分けたい
• インターネットにはどのVLANからもアクセス出来る
• 部門VLAN間の通信は拒否
• 各部門VLANからDMZへのアクセスはOK

　あたりを想定しています。そこで、YAMAHAルータ等の設定例ページを探してみると、以下の事例がヒットしました。

部門毎に社内ネットワークを構成する « 設定例

　これを基に検討します。ここではLAN分割機能を用いていましが、タグVLAN機能を使っても同様の機能は実現出来ます。

　この設定例にあるように、LAN分割orタグVLANでVLANを定義します。そして、ISPへの経路設定（デフォルトルートがISPへ向かうように）とNATの設定を行います。

　そして、DHCPとDNSに関する設定をしておきます。

　ここからが今回の本題になります。「どのようなフィルタリングを行うか？」に基づいて、個々のフィルタリングルールを作成します。たとえば、「192.168.100.0/24をはじめとするVLAN間通信は一切認めない」というようなルールを作るとします。この場合、以下のようになります。

ip filter 1020 reject 192.168.100.0/24 * 

ip filter 1021 reject 192.168.101.0/24 * 

ip filter 1022 reject 192.168.102.0/24 *

ip filter 1023 reject 192.168.103.0/24 *

ip filter 1024 reject 192.168.104.0/24 *

ip filter 1025 reject 192.168.105.0/24 *

ip filter 1026 reject 192.168.106.0/24 *

ip filter 1027 reject 192.168.107.0/24 *

ip filter 1040 reject * 192.168.100.0/24  

ip filter 1041 reject * 192.168.101.0/24 

ip filter 1042 reject * 192.168.102.0/24

ip filter 1043 reject * 192.168.103.0/24

ip filter 1044 reject * 192.168.104.0/24

ip filter 1045 reject * 192.168.105.0/24

ip filter 1046 reject * 192.168.106.0/24

ip filter 1047 reject * 192.168.107.0/24

ip filter 2000 reject * *

ip filter 3000 pass * *

　上記4種類のルールを作成します。たとえば192.168.100.0/24 --> 192.168.101.0/24 の方向と、192.168.101.0/24 --> 192.168.100.0/24 の両方向について考えてやります。

　ここで重要なのは、inとoutについてです。inというとLAN、outというとWANと考えがちですが、YAMAHAの機器の場合は、「in：インターフェースに入ってくる方向」「out：インターフェースから出て行く方向」であるということです。上記の事例ではVLAN1のインターフェースは192.168.100.1です。よって、「192.168.100.1に入ってくる場合はin」「192.168.100.1から出て行く場合はout」になります。

　この設定例を基にして以下の設定について説明します。

ip vlan1 secure filter in 1041 1042 1043 1044 1045 1046 1047 3000

ip vlan1 secure filter out 1021 1022 1023 1024 1025 1026 1027 3000

　VLAN1の場合を例に取ります。「192.168.100.0/24からインターネットには出られるが、192.168.101.0/24をはじめとする他のVLANには接続出来ない」という前提の「インターネットに出られる」という部分はここでは除きます。（後述します）

　inは「192.168.100.1に向けて入ってくるパケット」と考えます。192.168.101.0/24〜192.168.107.0/24が宛先となっているパケットを破棄する（水際で拒否する）必要があります。そのために、送信元が192.168.100.0/24となっていて、宛先が192.168.101.0/24〜192.168.107.0/24となっているパケットを破棄します。送信元アドレスを*でなく、個別のVLANを指定してもいいのですが、ルールセットが増えるということで流用可能な*にしているということになります。（ちょっとここが考えにくかったです。(^^;;）

　outは「192.168.100.1から出て行くパケット」になります。今度は逆に考えます。「送信元が192.168.100.0/24以外のパケットは破棄する」ということになります。たとえば、送信元アドレスが192.168.107.100から192.168.100.100へのパケットが192.168.100.1に届いたとします。192.168.107.0/24と192.168.100.0/24の間は通信不可設定です。ですので、このパケットはout側から出してはいけません。なので、この場合は1027のルールを適用する必要があります。

　このへんが混乱してしまう点ですね。ワイルドカードを上手に使うことでシンプルなルールセットになることも頭に置いておきたいところです。

　途中で触れましたが、インターネット側へのアクセス制御は以下のようになります。（各プロトコルとICMPに関するフィルタリングはここでは省略します）

ip pp secure filter in 1020 1021 1022 1023 1024 1025 1026 1027 2000 

ip pp secure filter out 3000

　こんばんは。今回はDNATと静的IPマスカレードについて少し書いてみます。ここで言うDNATとは、Destination NATのことを指します。

　DNATについて調べてみました。e-words.jpの記事です。

e-words.jp

　ルータなどで外部からグローバルIPアドレスでアクセスしてきたパケットをDMZ上のプライベートIPアドレスを持つサーバに転送するために使います。ルータなどでIPアドレスを変換してやります。

　で、DNATを使って、YAMAHA FWX120で環境構築しようと画策しました。そこで、ググってみたのですが、YAMAHAのマニュアルや参考ページなどにはDNATの文字がない！

　で、ググった結果を読み漁ってみると、静的IPマスカレードとして記載されていました。「これだ！これがやりたかったんだ！」と思って読み込んでみました。

　IPマスカレードで調べると、先ほどのe-words.jpではNAPTとして記されています。

e-words.jp

　NAPTが技術的名称で、IPマスカレードがLinuxでの実装の話になっていて、そのへんを混同してしまうケースが多いようだとのことです。

　YAMAHAのマニュアルを見ると、静的IPマスカレードとして説明されていました。ルータやFWでグローバルIPアドレス宛のパケットをDMZにあるプライベートIPアドレスに変換する書式が記載されていました。こちらです。

NATディスクリプター機能 概要

　グローバルIPアドレスでのアクセスをプライベートIPアドレスに変換する際に、ポート番号も変更出来るようになっています。これは上手に活用することで、セキュリティ面の向上に寄与しそうです。

　今回は自分自身の備忘録っぽくなりましたが御容赦のほどを。<(_ _)>

　こんばんは。今日は医療機器のIoT化に関するセキュリティについて書いてみます。zdnetからの記事です。

japan.zdnet.com

　こちらにはIoMTと書かれていますね。「IoMT」という表現は初めて聞きました。推測ですが、Internet of Medical Thingsの略なんでしょうね。医療機器ですし。

（ここからはIoMTと表現します）

　さて、ここからが本題になります。IoMTですが、ネットワークに接続された機器がボット化して一斉に攻撃し始めるという懸念があることも理解出来ます。また、簡単にアクセスして乗っ取ることは困難だとも書かれています。

　ここで問題になるのは、乗っ取られたIoMT機器がボット化して、外部に対して一斉に攻撃を仕掛けるということだけではなく、内部（院内）で使われているIoMT機器に直接攻撃を仕掛けてくることです。

　たとえば、無線接続しているIoMT機器に対して、偽APを設置して悪意あるサーバに誘導するということも考えられます。無線接続しているノートPCやタブレットであれば、クライアント証明書をインストールすることで、正当なクライアントであることをサーバ側は認識出来ます。仮に偽APに誘導しようとしても、証明書での認証が出来ずに接続に失敗します。

　しかし、一般的にIoT機器は非力です。過去に何度もありましたが、23/tcpポートが開いたままになっていて、telnetを使って遠隔操作されてしまう事例が報じられました。

　sshだと通信経路が暗号化されるので、telnetよりも格段に安全なのですが、暗号化/復号するだけのリソースを割けないという問題があり、telnetにしているということなのだろうという推測が成り立ちます。

　この点はIoMT機器も同じではないかと考えられます。当たり前ですが、医療機器としての確実かつ安定した動作が要求されます。その関係で、どうしてもセキュリティに回せるリソースが少なくなってしまうという問題があります。

　このへんは院内全体の予算的な話でも同じことが言えます。医療機器を購入する場合に「医療機器として適切に動作すること」に予算が割かれます。セキュリティに関しては、「余った予算でなんとかしろ」という風になりがちではないでしょうか。

　医療従事者としては、「医療そのものを確実に遂行する」ということが第一義にあることは十分理解出来ます。ただ、IT化の進展により、それに伴う情報セキュリティ対策という意識が働かない、もしくは実感が湧かないということなのだろうと思われます。

　この記事にもありますように、医療機器本体のコストが莫大なものだった場合、制御するOSのサポートという点は矮小化されてしまいます。補償契約の問題で泣く泣く使い続けないといけないということも起こり得ます。場合によっては、ソフトウェアやハードウェアの更新が「改造扱い」とされ、法律違反になることも考えられます。

　医療機関における高度IT化や、IoMTという概念が登場する前の法律が足枷になってしまっていることもあります。実態に即した形で対応出来るように法整備がなされれば、また変わってくるのかなとも思います。

　こんばんは。今日はうっかり呑んでしまったので、あまり書く時間が取れませんでした。<(_ _)>

　春期情報処理技術者試験まであと1ヶ月を切ってしまいましたね。「何を今さら」と言われそうですが、試験対策スマホアプリについて少し書いてみます。

　一昔前なら紙の参考書しかありませんでしたので、重い参考書を持ち歩いたりしていました。ポケスタに代表されるようなポケットサイズの参考書もありましたので、こちらを利用することもままありました。

　最近はスマホの普及により、情報処理技術者試験対策アプリが複数登場しました。多くは午前対策中心ですが、中には午後問題に対応しているアプリも存在します。

　個人的に使ったことのあるアプリについて書いてみることにします。

　応用情報では鉄板ですが、東京電気大学出版が出している「精選予想問題集」には御世話になりました。無料版と有料版両方使いましたが、分量では後者に軍配が上がります。数をこなすためには、問題が多く収録されている後者の方が役に立ちました。

　と、私は使っていませんが、Tokyo Interactiveの「一問一答」シリーズもいいなと言う印象を持っています。これは情報セキュリティスペシャリスト（今ですと、情報処理安全確保支援士ですね）アプリ無料版を試しに使ってみたことがありましたが、結構使いやすかった印象がありました。

　システム監査で使っていた（使っている(^^;;）アプリですが、「情報処理　システム監査」です。こちらは午前問題だけでなく、午後問題にも対応していますので、これだけでもかなり使えます。なんとか合格したいのですが、なかなか思うようには行きませんねぇ。(^^;;

　システム監査アプリの話に限定してしまって恐縮ですが、「システム監査技術者試験　過去問」（株式会社龍野情報システム）と、システム監査技術者試験(AU)午前問題(HIKARU YOKOYAMA）の2つがヒットしました。この2つについて試してみようと思います。こちらのレポートも改めてしてみたいと思います。<(_ _)>

　応用情報に関する続きですが、Tokyo Interactiveやhideharu harada氏のアプリも良さそうです。後者は午後問題についても対応していますので、いいのではないかと思います。

　ということで、4月の試験を受ける皆様、一緒に頑張りましょう！(^o^)/