WPA2の脆弱性について

ニュースにもなりましたが

無線LANの通信規格、WPA2  で

10月16日(米国時間)に、暗号鍵を特定される等の脆弱性が発見されたようです。

 

現在わかっていることとしては

この脆弱性については

無線の「クライアント側」

の脆弱性になることのようなので、

無線ルータや、無線APは特に対策は必要なさそうで、

クライアントになる、WindowsPCや、スマホ、タブレット端末側で、対応が必要なようです。

 

※弊社サービス「無線LAN構築保守パック」についても、無線AP側での対応は特に不要です。

 

 

WindowsPCにおいては、すでに修正プログラムが出ているので

Windowsアップデートを適用すればよいらしい。

※ほかのOSは詳細不明。。。

 

この脆弱性をほっておくと、無線LAN経由の通信が盗聴されてしまう可能性がありますので

早めに対応するようにしましょう。

 

※参考URL

バッファロー

無線LAN製品のWPA2の脆弱性について

http://buffalo.jp/support_s/t20171017.html

 

アイ・オー・データ

WPA2の脆弱性に関する弊社調査・対応状況について

http://www.iodata.jp/support/information/2017/wpa2/

 

エレコム

WPA2の脆弱性に関する弊社調査・対応状況について

http://www.elecom.co.jp/support/news/20171018/

 

ヤマハ

「Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題」について

http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVNVU90609033.html

 

 

 

 

 

 

スマートフォンでVPN 端末側検証(2017/09)

docomoの2017夏モデルで弊社「スマートフォンでVPN」が利用可能か、検証を実施しました。

 

今回検証した機種は

Xperia XZ Premium SO-04J
Galaxy S8 SC-02J
Galaxy Feel SC-04J
AQUOS R SH-03J

あと、今回の夏モデルではないですが、過去に検証できてなかった

Xperia XZ SO-01J

も一緒に借りられたので、併せて検証しました。

 

今回借りた機種はSO-01J を除くと

すべてAndroid7.0系のOSとなっており、検証としては初のverになります。

(SO-01J は6.1.1)

 

OSのverは変わってましたが、操作感はほぼ同じで設定の方法も変わらなかったので

どの機種も順調にVPN接続は完了。問題なく接続できるようです。

      

 

VPN接続後、リモートデスクトップの操作ができるかも検証を行いましたが

アプリインストール→接続までは問題なかったのですが

リモートデスクトップ中に、ctrl+c や ctrl+v などのいわゆるコピペ のキー操作を行うと

アプリごと終了してしまいます。

(キー操作ではなく 右クリック→コピーではOK)

ただ、コピペの操作事態は、リモートデスクトップ先のPCでは行われており、

リモートデスクトップで再接続すれば、ちゃんとコピーはされているようです。

※ctrl+c →アプリ落ちる →リモデ再接続 → ctrl+V →アプリ落ちる →リモデ再接続

とやれば、一応コピペはできる。面倒だけど。

 

この現象はAndroid7.0系のどの機種でも発生。

逆に、6.0のSO-01Jでは発生せず。

おそらく、Android7.0とリモートデスクトップのアプリとの相性かもしれません。

(違うリモートデスクトップアプリでも検証すればよかったけど、検証機の返却期日に間に合わず断念・・)

 

Windows同士だと、リモートデスクトップで手元のコンピューターと接続している先のコンピューター間でコピー&ペーストを使用することができますが、

(クリップボードのリダイレクト)

これがOSがandoridであることや、リモートデスクトップの互換アプリという理由等で

正しく動作していないのが原因だと思います。

(接続している先のコンピューターで、「クリップボードのリダイレクトを許可しない」設定をすれば発生しなかったかもしれませんが、今回試せませんでした。。)

Android+リモートデスクトップアプリ もだいぶ安定してきた(つながらないとか字が打てないとかが少なくなってきた)と思ってましたが、なかなかすんなりいきませんね。

(だからちゃんと検証する意味もあるんですが)

 

ただ、すでに次期OSであるAndroid 8.0も発表されており、早ければ秋モデルにも搭載されるかと思いますが、リリースさればまた弊社サービスの検証を行う予定ですが、

Android 8.0についてはすでに↓ こんなことも起きているようです。。。

新しいOSが出る=不具合発生

という流れ、なかなかこういうのはなくなりませんねぇ、、、

 

https://sumahoinfo.com/android-oreo-8-0-issue-fuguai-mobile-data-used-while-connected-to-wifi

 

 

 

 

 

 

 

 

DHCPのアドレスが足りない?

VPNソリューションパックご利用中のお客様から

一部のPCで、DHCPサーバからアドレスが取得できず、インターネットに繋がらない

との問い合わせがあり対応をしました。

 

そのお客様の環境では、VPNソリューションパック利用してるVPNルータでDHCPサーバとなっているので

ルータのログを確認したところ

dhcpd: DHCPDISCOVER from **:**:**:**:**:** via eth0: network 192.168.xx.0/24: no free leases

というログ発見。

どうやら、

もともとDHCPサーバで設定している、リースするアドレスが足りない状況のようでした。

 

こちらのお客様では、DHCPのリース数は50で設定してあったので、DHCPのクライアント数としては50台

ということになりますが、

 

お客様曰く、PCとかスマホ含めてもそんなに端末がない はず・・ とのこと。

(最近、スマホを社内LANにつなげてDHCPのリースアドレス数が足りなくなる というのは良くあったのですが・・・今回はそうではないみたい)

 

で、DHCPのログを再調査したところ、

同じホスト名で、違うMACアドレスからDHCP要求があることを発見。(しかも結構な台数)

これは、おそらく

1台のPCで、有線LANも無線LANも有効になっており

それぞれで、アドレスを取得している状態 だと推測。

 

 

お客様に状況をお伝えすると、こちらの読み通りの利用/運用だったようです。

こちらのお客様については、社内で利用するときは無線を切る という運用で一旦対応としては終了になりました。

 

最近はいろんな端末で無線を利用することが多くなった関係で、今回のようなトラブルは

実は他でも結構おきてるんじゃないかなぁ

持ち出し用のノートPCとかだと、社内で利用してるときは、有線で接続するけど、その時わざわざ無線をOFFにしない人のほうが多いですよね??

DHCPのアドレスが足りない

となった時は

・無線の端末の台数

・パソコンの場合は、両方同時に使ってないか

このあたりのチェックが大事ですね。

 

 

 

 

 

android6.0 でVPN接続(L2TP/IPsec)

当社サービス、「スマートフォンでVPN」および「VPNソリューションパック モバイルオプション」ですが

ホームページネットワーク情報サイトでも案内しましたが

現状、Android6.0 ではVPN接続(L2TP/IPSec)がつながらない状態です。

 

複数の端末で確認し、同じ現象が出ているので端末の問題というよりも、OSとVPNルータとの相性が良くないようです。

(そもそも、Android6.0にあげられる端末がそれほど多くないのが救いです、、)

 

現在メーカ(センチュリーシステムズ)のサポートにもいろいろ相談して、引き続き確認をしてもらっていますが

まだ、具体的な対策は何もない状況です。。。

ルータ側のファームウェアの更新程度で済めばよいのですが、、、、

(それでも全サービス利用ユーザのファームアップは大変ですが・・・)

 

で、そもそもなんで、VPNがつながらないかと言うと、

Android側の仕様変更にあると思われます。

 

今までの、Android5.xの場合

IPsec SAの暗号/認証アルゴリズム がAES128_HMAC_SHA1 でしたが

Android6.0では、

AES128_HMAC_SHA256

に変更されています。

ただ、VPNルータは、AES128_HMAC_SHA256 に対応しているのでこの変更仕様自体は全然問題ないはずなんですが、

 

ログを見る感じだとアルゴリズムの違いによる認証エラーになっているっぽい、、、、

VPNルータ側はAES128_HMAC_SHA256で正しく処理しているのですが・・・

 

※メーカサポート曰く、

ESPパケットに付加される認証情報が

通常SHA256の場合、128bit長だが

android6.0から送られてくる
ESPパケットの認証部分が96bitになっているようです、、、

 

Android側で、L2TP/IPSECの暗号化の仕様なんか変更できない(Rootとればできるのかもしれませんが)

のでルータ側でなんとかしてもらわないとどうしようもないですが、、、

 

他のメーカのルータでも同じようなこと起きてないんだろうか、、、、

 

 

 

 

 

 

 

 

 

ARROWS F-03GでVPN接続できない

スマートフォンでVPNをご利用中のお客様から

「ARROWS F-03G」を使って、「スマートフォンでVPN」が利用できない

との問い合わせがあったので、対応しました。
(もともとARROWS F-03Gは弊社確認済み端末には入ってない端末で、動作保障外ではあります。)

お客様は同じ端末を数台購入されていたので、全台で試してみたけど、すべて同じ状況のようで

タブレット側の設定を何度も見直したり、タブレットの再起動

あんまり関係ないけど、VPNアダプタ側も再起動

どれをやっても効果なし。

埒があかないので、docomoから端末をお借りして
弊社でテスト。

・・・

やっぱりつながらない。

設定を削除して、再度作り直したり

LTE/3G→WIFIに切り替えたり

通信に影響しそうななアプリが入ってないか確認したり(実際は入ってなかったですが)

独自の通信機能(マルチコネクション、高速ダウンロード機能)を止めてもだめ、、、、

何をやってもつながる気配なし。

ルータのログを見ると
Jun 9 09:54:53 NXR pluto[2319]: “tunnel1″[1088] x.x.x.x:4500 #1216: max number of retransmissions (2) reached STATE_QUICK_R1
という感じでVPNのPhase2あたりで、タブレットが通信を返してこない

とルータ側では認識している様子。。。。

VPNアダプタのファームウェアを最新にしたり

同メーカの上位機種で試してみてもダメ。

奥の手で、他メーカのVPNルータに接続テストしてみたけど、やっぱりダメ、、、

 

どうもこの機種ではVPN接続(L2TP/IPSEC)に不具合があるのか、、、

ググってみたけど、同じようなことが起きている情報は見つけられない、、、、

AndoridOSのVerが4.44だけど、これが問題か???

(Nexsus7とかのVer5.xxはOKなんですけどね、、、)

 

ルータメーカの見解は、「ルータはちゃんと通信しようとしていますが、Andoridが通信を受け取ってくれないようなので・・・」とのことで、まぁおっしゃる通り。

現在、docomo側でも端末の調査をしてもらってますが、どんな結果が来るのやら。。。。

むかーしは、AndoridでもVPNがつながらない端末(というより、そもそもVPNの設定ができない端末)がありましたが

今回のような設定自体はできるけど、繋がらない というのは初めて。

Androidもだいぶ「枯れて」きたな と思ってましたが、、、まだまだのようです。(Android側の問題だったとすれば)

 

IMG_3161

 

※docomoの営業曰く、 GALAXY Tab S 8.4 SC03G もつながらないらしい??こっちも要調査。

 

 

 

スマホやタブレットを社内LANに繋いだときのトラブル

久しぶりにVPNのサポートの話です。
先日「VPNソリューションパック」をご利用のお客様から、

 

PC数台ネットワークに接続できない

PCを再起動しても復旧せず、VPNルータを再起動したら復旧する

といった状況のようで、お客様的にはルータに何か問題がないか?

 

との問い合わせをいただきました。

 

ルータを再起動すると復旧するというのがちょっといやな感じもしましたが

ログ等調査すると

どうやらDHCPのアドレスが不足している様子。

(このお客様はVPNルータをDHCPサーバとして利用)

DHCPのリース範囲、10台をMAXで使いきっていて、おそらくルータを再起動すると

リース情報がリセットされ、つながるようになっていると推測されます。

(その場合、ほかのPCがネットワークにつながってないと思われますが、、)

 

再度お客様にヒアリングしたところ、

PC(IP自動取得)の台数は、6台とのこと。(DHCPリース数より少ない!)

でも

スマホも無線で(アクセスポイントはお客様で準備して)LANに繋いでいる(5,6台)とのこと。
スマートフォンやタブレット端末などのスマートデバイスを、仕事にも使いたい

というニーズが増え、社内LANに無線で接続する というケースが

増えているとは思いますが、その影響で今回のような事象がでたようです。

(当たり前と言えば当たり前ですが、、)

 

今回のケースとしては、PCのIPアドレスを固定にして運用していただくことになりましたが

スマホやタブレットを社内の無線を利用して使うとき、

・何に使う?どんな業務で使う?

・セキュリティはどうする?

という観点だけでなく

・どう管理する?どうやって繋がせる?

ということも改めて大事だなと思わされました。(特に自分は管理云々は苦手なので、、)

 

ということで、さっそく対応後、自社のDHCPの状況見てみると、お客様と同様に

DHCPのリースアドレスが足りてないことが発覚、、、(ギリ1個ですが)

(通りで無線が最近調子悪いなとは思ってましたが、、)

自社のネットワークの管理が一番できていない、まさに医者の不養生。

反省します。。。。

 

 

 

 

 

 

Andoroid5.0でのVPN接続テスト

やっと手元にあるNexus7(2012)で、Android5.0のアップデートができるようになったので
早速アップデートして
・スマートフォンでVPN
・VPNソリューションパック モバイルオプション

の動作検証を行いました。

4.x→5.x でVPN関係では大きな変更はないようで、

今までと同じようにVPN接続も可能なようです。

操作感も変わりません。
Screenshot_2015-01-26-16-20-13

 

リモートデスクトップのアプリも試してみましたが問題なく動作するようです。

 

4.x→5.x で色々変更があるかもと思い気合入れて確認しましたが
ほとんど変更点もなく若干拍子抜け。

まぁ変更無いほうがいいんですが、、、

 

ちなみにVPNとは関係ないですが

4.x→5.xで

Andorid標準のメールアプリが廃止になり、Gmailアプリと統合された様子。

アカウントやデータは普通に移行されてますが

振り分け設定とか色々設定弄ってる人は、メールアプリの再設定が必要かも。

(私はほとんどデフォルト設定だったので実害はありませんでしたが、、)

 

 

Andoroid5.0対応

Andorid5.0がリリースされたので、当社サービス「VPNソリューションパック モバイルオプション」、「スマートフォンでVPN」で利用可能か検証しようと思ったのですが
手元にあるNexus7にはまだアップデートが配信されてない、、、
どうやら配信は開始されているようですが、全てのデバイスに配信されず、徐々に行われるようです。。。
(最悪数週間後になることもあるようです、、)

 

いろいろ調べている感じだと、VPN機能自体は変わらないようなので
VPNがつながらないなんてことは可能性としては低いと思いますが、
リモートデスクトップのアプリの対応については?なので
iOS8.0のときもそうでしたがちゃんと確認しないといけないですね。
↓何日も更新押してますが・・・4.4のまま変わらず

 

Screenshot_2014-11-18-11-48-41

 

 

iOS8.0検証②

前回、確認した弊社サービス「スマートフォンでVPN」でiOS8.0が使えるかの確認ですが、

リモートデスクトップのアプリがiOS8.0に対応しておらず、動作がおかしかった状態でしたが
アプリがバージョンアップして、無事iOS8.0にも対応になりました!!

前回おかしかった
> リモデ通信の切断ができなかったり
> 本体横向きにすると字が打てなかったり、、、

も無事解決。問題なく動作しました。

ちなみに
アプリが対応して、iOS8.0で動作確認したあとすぐにiOS8.1のリリースが決まったので
8.1で再度確認となり、2度手間となりましたが、、、こればっかりは仕方ない、、

ということでタイトルは8.0対応ですが、8.1もOKです。

いままでの経験上、
マイナーバージョンアップ(iOS8.0→iOS8.1 等)の時は大抵の場合、動作しないなんてことはないんですが、もしものこともあるので勿論ちゃんとチェックはします。
OSがバージョンアップして、バグが修正されたり機能が増えたりするのはうれしいんですが
その都度検証となるので、大変と言えば大変です。
まぁ、アプリ開発と比べれば大したことではないんですが、、、

iOS8.0検証

9/17 リリースされたiOS8.0ですが
弊社サービス「スマートフォンでVPN」および「VPNソリューションパック モバイルオプション」
で利用可能かチェックしました。

確認した端末はちょい古めの端末「iPad2」と「iPhone4s」です。
(iPhone4でも確認しようとしたら、iPhone4 は8.0未対応らしい、、、、)

で、確認結果ですが
まず、「VPN接続」は問題なし。(設定項目自体も変わり映え無く)

で、リモートデスクトップアプリを確認したところ
アプリがまだ対応していないためか
動作が色々あやしい、、、
リモデ通信の切断ができなかったり
本体横向きにすると字が打てなかったり、、、

OS自体のあんまり変わってないので(少なくとも6.0→7.0に比べれば)
大丈夫かと思いましたが、、
残念ですが、こればっかりはアプリの対応を待つしかないですが・・・

※ただ、色々調べてると、さまざまな(リモデ以外の)アプリで不具合報告でてるっぽいですね。
開発者の皆様、新OS対応大変かと思いますが頑張ってください、、