「フレッツv6オプション」を使ったIPv6のVPNのテスト②

前回の続きです。

「フレッツv6オプション」を使ってのVPN接続ですが、まず前提として
今回「フレッツv6オプション」を利用して、IPv6のアドレスを使ってVPNを構築しますが
IPv6のアドレスは使うのはいわゆるルータのWAN側のみです。
(もちろんLAN側にv6オプションのIPv6アドレスを割り当てることもできますが、今回はしません)
なので、LAN側のパソコンやネットワーク機器でv6アドレスを使えるようにするなどの設定変更は不要
という構成を想定しています。

また、インターネットは今まで通りとし、プロバイダ設定は残したままにします。
(前回書いた通り、「フレッツv6オプション」だけではインターネット接続できません)
※WAN側が、今までのプロバイダで使っているIPv4アドレスと、「フレッツv6オプション」のv6アドレス
の二つを持つことになります。
※ちなみに、「フレッツv6オプション」はいわゆる「IPv6 IPoE接続」になるため
フレッツの「PPPoEセッション」は使用しません。(この接続のためにセッション追加は不要)

さらに、「フレッツv6オプション」ですが
払い出されるv6アドレスが、あまり聞きなれない「半固定アドレス」になっています。
これは滅多に変わらないが、変わっちゃうこともがあるよ ということだそうですが
以前、NTTの故障受付に問い合わせたときには「アドレスが変わったなんて聞いたことがない」
みたいなことを言っていたので、変わる可能性はかなり低いようです。
(実際に、ONUのオフオン等何度も試してみましたが、変わりませんでした。NTT網内で工事等メンテナンスがないと変わらないようです)
ただ、ほとんどアドレスが変わらないといっても、変わる可能性はゼロではなく、
通常VPNルータでVPN構成を組む場合、最低でもルータのどちらかが固定のIPアドレス(もしくはDDNSなど利用)
が必要ですが、半固定なので何かしら固定にする必要があります。
(忘れたころにVPNがつながらなくなっても困りますので)
今回は「フレッツv6オプション」のオプション(?)の「ネーム」の機能を使ってこれを解決します。(後述)

さらにさらに、「IPv6 IPoE接続」ですが
フレッツ光ネクストの「ひかり電話」の契約によって、IPアドレスの取得方法(=ルータの設定方法)が変わるので注意が必要です。

・ひかり電話有り
アドレス範囲の大きさ : ONU配下には/56で配布されるが、ホームゲートウェイ以下は/60で分割配布される
アドレス払い出し方式 : DHCP-v6-PD

・ひかり電話無し

アドレス範囲の大きさ :  ONU配下に/64が配布される
アドレス払い出し方式 :  RS/RA方式
今回は、片側ひかり電話あり、もう一方はひかり電話なし
でテストすることにしました。

◆「フレッツv6オプション」を使ってVPN接続をする手順

1)「フレッツv6オプション」を申し込む
サービス情報サイトの申し込み受付ページ(https://www.v4flets-west.jp/) (西日本)
のサイトからオンラインで申込みをする必要があります。
※116にかけて申し込むこともできるようですが、初期費用が発生しますので注意が必要です。

ただ、このサイトに接続するには
フレッツ網用のPPPoEセッションに接続されたPCからのみとなります。
この接続は、NTTから提供される「スタートアップツール」を使って接続するか
PCまたはルータに、「サービス情報サイト」用のPPPoE設定をして、接続することになります。
この時にフレッツのセッションを1つ利用する形になりますので
セッションに空きがないとそもそもこのサイトに接続できないので注意が必要。
(初期でフレッツのセッションは2つ。有償で最大5まで増やすことが可能。)
(1)の作業とこのあとの2)の作業が終われば、このセッションは切断してもOK)

ルータに設定する場合は、ルーティングの設定も必要なので結構めんどい

また、このサイトに接続する場合は、フレッツの開通案内(フレッツサービスお申込み内容の案内)
に記載されている
「お客様ID」(CAFから始まる番号)
「アクセスキー」
が必要になります。

このサイトにログインした後は、「フレッツv6オプション」申込み とするだけでOKです。

ちなみに、この作業は、IPv6でVPN接続する全回線で作業する必要があります。

2)ネームの登録
前述のとおり、「フレッツv6オプション」は半固定のアドレスになるため、その対策として
「ネーム」の機能を使います。
「ネーム」とは、NGN 網内専用のDDNSサービス(=動的グローバル IP アドレスを固定ホスト名として使えるようにするサービス)
と思ってもらえればわかりやすいと思います。

この設定も、1)と同様「サービス情報サイトで設定します。
1アドレスまでは無料、追加は有料です。(VPNだけなら1つあればよいので無料でいけます)

ネームの部分  NTT西日本では
**********.p-ns.flets-west.jp
というアドレスになっており、**********の部分が任意に設定可能です。

なおこの作業は、センター拠点になる回線のみで基本的にはOK。
今回は2か所でテストしますので片方の回線でしか設定していません。

ちなみにこの作業、実際には一度ルータなどに、IPv6アドレスを割り当てないと登録できません、、、
(割り振られる、半固定のアドレスがわからないからです。)

 

3)各ルータにIPv6設定→VPN設定
ひかり電話有り/なし に併せてルータの設定。

ルータは、VPNソリューションパックで使用している、センチュリーシステムズのNXRシリーズです。
最初は、v6のことがよくわかっていなかったので、アドレスが取得できない→原因が切り分けできない
と散々でしたが、
(リンクアドレスのこととか、prefixとかよくわからず試し始めたのが原因です。。。。やっぱちゃんと勉強してから始めないといけないですね・・)
なんとかv6接続可能。

IPv6のアドレスを使ってルータ間でpingの疎通もOK
(最初ネームでのpingが通りませんでしたが、v6用のDNSの設定が抜けてました。。。。。超初歩的なミス。。。)

VPN設定は、基本的にv4と同じ。
VPN接続まで無事できました。

とりあえず、これで接続まではできました。
このあと、v6に変わってどれくらい速くなったか!速度を測定してみたいと思います。

次回へ続く

「フレッツv6オプション」を使ったIPv6のVPNのテスト①

最近、VPNが遅い
こんな問い合わせが、良く入るようになりました。

「Windowsアップデート」の日や、iOSのアップデートがリリースされた日などは
顕著で、インターネット全体で通信量が急増しているからなどが理由の一つですが
特に最近は、上記のアップデートがない日であっても発生しているようです。

NTT東西やプロバイダに混雑状況の調査を依頼すると
NTT局内に設置されている「網終端装置」が込み合っていて速度がでない状況との回答が来ます。
込み合っている原因としては、最近は昔と違いインターネットの利用が
・YouTubeやamazonビデオ等の動画再生
・OSのアップデート
・クラウドサービスなどのファイル共有利用
等が増え、ユーザが利用するデータ量が増えているのが原因のようです。

しかも、この装置が込み合っている状況は、NTT的には「故障」という認識ではないため
なかなか対処もされず(ベストエフォートなので仕方ない側面もありますが)
なかなか改善されません。

※1そもそも、この装置は各地域ごとおよびプロバイダごとに複数台あるのですが
この台数を決める基準が、トラフィック量ではなく、ユーザ数(PPPoEセッション数)
で決めているらしい(違ったらすみません)のでなかなか増設されないようです。
OCNでは過去に何度も増設工事はされてきましたが、増設のスピードに、ユーザが利用するデータ量の増加が
追いついていない印象です。
そもそもこの基準が今に合ってないんだよな~

※2さらにさらに、この装置の「責任」がややこしい。
NTTに問い合わせると、「この装置の責任はプロバイダにある」(各プロバイダごとの装置のため)
と言うし、
プロバイダに問い合わせると、「装置はNTT内に置かれているのでNTTの責任範囲」
と言ってきます。
どっちの言い分もわからなくもないですが、この辺きっちりしてほしいです。

時間帯によっては、この「網終端装置」のどれかが比較的空いていることもありえるので
PPPoEセッションの再接続(ルータの再起動等)することで、この空いている機器につながり、遅いのが改善することもあるかと
思いますが、時がたてば再発する可能性が高いです。

 

ということで、結論的には、「網終端装置」が込み合っているけど、NTTやプロバイダではすぐに対処が難しい
状況なのですが、その対策としてNTT東西の「フレッツv6オプション」を使って解決しようと思います。

この「フレッツv6オプション」ですが、NTT東西のIPv6通信サービスになります。
https://flets-w.com/opt/v6option/
このオプション自体の月額利用料は無料で、
このオプションをつかうことで、
インターネット(網終端装置)を経由せずNGNの網内で、このオプションを利用するユーザ同士が
直接に通信することができます。
なので、このオプションを使ってIPv6のアドレスで拠点間のVPN接続をすれば、速度遅延の解決が見込めるはずです。

ただし、このサービスを使っても、インターネット通信はプロバイダ契約が必要です。
そのため、今回の解決策の案は、残念ながらインターネットが遅い
ということに関しては解決されません。。。。
(一先ずVPN優先!)

ということで次回このサービスを使ってVPNの設定を行っていきます。

次回へ続く

WPA2の脆弱性について②

先日も書かせていただいた

WPA2の脆弱性について

ですが、その後、各端末メーカのほうでセキュリティパッチの公開など行われているようです。

基本的には、前回も書きましたが

無線ルータ、APに関しては「ルータモード、APモード」で利用している場合は、特に影響はなく

無線ルータ間で通信している場合(中継器モード、子機モード等)はメーカからのセキュリティパッチの適用をしないと

悪意のある第三者から無線通信をアクセスされ覗き見される可能性があります。

 

また、無線を使うパソコンやスマートフォン等の端末に関しては

それぞれのOSメーカ提供されるセキュリティパッチをあてる必要があるのですが・・・・

WindowsOSに関しては、10/10付でパッチが公開されていましたが、

iOS,MacOS等(アップル)に関しても、10/31付

android関しても11/6付

でパッチが公開されたようです。

ただし、iOSに関しては

https://support.apple.com/ja-jp/HT208222


 

Available for: iPhone 7 and later, and iPad Pro 9.7-inch (early 2016) and later

Impact: An attacker in Wi-Fi range may force nonce reuse in WPA multicast/GTK clients (Key Reinstallation Attacks – KRACK)

Description: A logic issue existed in the handling of state transitions. This was addressed with improved state management.

CVE-2017-13080: Mathy Vanhoef of the imec-DistriNet group at KU Leuven

 


まさかのiPhone7 以降の対応のみ・・・・・

私が使っているiPhone6sは、いまだWi-Fiつなげません(-_-;)

 

さらに、androidに関しては、andorid開発元のgoogleとしては、パッチを公開してますが

キャリアが提供するかどうかなのですが、iPhone以上に、古い端末は未対応となりそうな気配です。

※自力でパッチを適用できるかどうかはandroidにそこまで詳しくないのでわかりません、、、(T_T)

↓docomoのアップデート状況

https://www.nttdocomo.co.jp/support/utilization/product_update/

 

現状業務利用のスマホはWi-Fiつなぐな 状態ですが、いつになったら解決されるのでしょうか。。。。

 

 

 

 

「無線LAN構築保守パック」納品準備

今度ある、「無線LAN構築保守パック」の納品準備真っ最中。

今回の納品は、AP、HUBそれぞれ10台ほどあるため、設定を投入するのも一苦労。

設定後の動作確認もこうやって全台ならべて、実際配線もしてみて実施しています。

もちろん無線の動作が問題ないかもチェックします。

 

納品時にできるだけバタバタしないように、事前に確認できることはして納品に臨みます!!

 

WPA2の脆弱性について

ニュースにもなりましたが

無線LANの通信規格、WPA2  で

10月16日(米国時間)に、暗号鍵を特定される等の脆弱性が発見されたようです。

 

現在わかっていることとしては

この脆弱性については

無線の「クライアント側」

の脆弱性になることのようなので、

無線ルータや、無線APは特に対策は必要なさそうで、

クライアントになる、WindowsPCや、スマホ、タブレット端末側で、対応が必要なようです。

 

※弊社サービス「無線LAN構築保守パック」についても、無線AP側での対応は特に不要です。

 

 

WindowsPCにおいては、すでに修正プログラムが出ているので

Windowsアップデートを適用すればよいらしい。

※ほかのOSは詳細不明。。。

 

この脆弱性をほっておくと、無線LAN経由の通信が盗聴されてしまう可能性がありますので

早めに対応するようにしましょう。

 

※参考URL

バッファロー

無線LAN製品のWPA2の脆弱性について

http://buffalo.jp/support_s/t20171017.html

 

アイ・オー・データ

WPA2の脆弱性に関する弊社調査・対応状況について

http://www.iodata.jp/support/information/2017/wpa2/

 

エレコム

WPA2の脆弱性に関する弊社調査・対応状況について

http://www.elecom.co.jp/support/news/20171018/

 

ヤマハ

「Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題」について

http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVNVU90609033.html

 

 

 

 

 

 

スパムメールにはご用心を

最近、こんなスパムメールが流行っているようです。

■「NTT-X Store」からの「商品発送のお知らせ」を装うスパムメールにご注意ください

https://help.goo.ne.jp/help/article/2230/?_ga=2.183000800.753656512.1507697921-1451381935.1506052606

 

実は、これ弊社にも届きました。

中身は↓のような感じです。添付ファイルはありませんが、何かしらのリンクがあり

クリックするとzipファイルがダウンロードされるようです。

(これがウィルスなのか、なんなのかは不明)

っていたと思いますが

 

弊社は、HTMLメールの受信をメーラーの設定で止めていますので、URLが表示されています。

ちゃんと見ればURL「zip」で終わっているので、怪しさ全開です。

ただ、このちゃんと見れば・・・というのが全社員に徹底するのが難しいですが。。。。。

それ以外のメールの内容でいうと

一昔まえのスパムメールだと、日本語が若干問題あったり、送信者、送信先が不自然だったりしましたが

今回うちに届いたメールだと

かなり本物っぽく見た目だけでスパムと断定するのは難しいと思われます。

 

また、弊社はスパム対策をメールサーバ側と、社内のファイアウォールで2重に行っていましたが

それでも届いてしまいました。

また、添付ファイルがなかったので、ウィルスという判定もされませんでした。

URL自体はただの「文字列」でしかないので、リンク先まで確認するファイアウォールでないと検知できませんし、

最近のいわゆる標的型攻撃の場合、そのURLのリンク先は

アクセスする時間で、ウィルスであったり、そうでなかったりする場合があるため検知は非常に難しいと言われています。

(社員がクリックしそうな時間帯だけ、ウィルスのリンクになっていたりするそうです)

 

 

ひとまず、みなさんもそれっぽいメールが来ても、「うちはファイアウォールあるから」といって

安心してメールをやたらめったら開かないように注意してください。

 

 

 

 

 

スマートフォンでVPN 端末側検証(2017/09)

docomoの2017夏モデルで弊社「スマートフォンでVPN」が利用可能か、検証を実施しました。

 

今回検証した機種は

Xperia XZ Premium SO-04J
Galaxy S8 SC-02J
Galaxy Feel SC-04J
AQUOS R SH-03J

あと、今回の夏モデルではないですが、過去に検証できてなかった

Xperia XZ SO-01J

も一緒に借りられたので、併せて検証しました。

 

今回借りた機種はSO-01J を除くと

すべてAndroid7.0系のOSとなっており、検証としては初のverになります。

(SO-01J は6.1.1)

 

OSのverは変わってましたが、操作感はほぼ同じで設定の方法も変わらなかったので

どの機種も順調にVPN接続は完了。問題なく接続できるようです。

      

 

VPN接続後、リモートデスクトップの操作ができるかも検証を行いましたが

アプリインストール→接続までは問題なかったのですが

リモートデスクトップ中に、ctrl+c や ctrl+v などのいわゆるコピペ のキー操作を行うと

アプリごと終了してしまいます。

(キー操作ではなく 右クリック→コピーではOK)

ただ、コピペの操作事態は、リモートデスクトップ先のPCでは行われており、

リモートデスクトップで再接続すれば、ちゃんとコピーはされているようです。

※ctrl+c →アプリ落ちる →リモデ再接続 → ctrl+V →アプリ落ちる →リモデ再接続

とやれば、一応コピペはできる。面倒だけど。

 

この現象はAndroid7.0系のどの機種でも発生。

逆に、6.0のSO-01Jでは発生せず。

おそらく、Android7.0とリモートデスクトップのアプリとの相性かもしれません。

(違うリモートデスクトップアプリでも検証すればよかったけど、検証機の返却期日に間に合わず断念・・)

 

Windows同士だと、リモートデスクトップで手元のコンピューターと接続している先のコンピューター間でコピー&ペーストを使用することができますが、

(クリップボードのリダイレクト)

これがOSがandoridであることや、リモートデスクトップの互換アプリという理由等で

正しく動作していないのが原因だと思います。

(接続している先のコンピューターで、「クリップボードのリダイレクトを許可しない」設定をすれば発生しなかったかもしれませんが、今回試せませんでした。。)

Android+リモートデスクトップアプリ もだいぶ安定してきた(つながらないとか字が打てないとかが少なくなってきた)と思ってましたが、なかなかすんなりいきませんね。

(だからちゃんと検証する意味もあるんですが)

 

ただ、すでに次期OSであるAndroid 8.0も発表されており、早ければ秋モデルにも搭載されるかと思いますが、リリースさればまた弊社サービスの検証を行う予定ですが、

Android 8.0についてはすでに↓ こんなことも起きているようです。。。

新しいOSが出る=不具合発生

という流れ、なかなかこういうのはなくなりませんねぇ、、、

 

https://sumahoinfo.com/android-oreo-8-0-issue-fuguai-mobile-data-used-while-connected-to-wifi

 

 

 

 

 

 

 

 

windows10 creators update

いままで互換性の確認がとれた端末から段階的にリリースされていた

windows10 creators update

ですが、先日すべての端末で更新できるようになったようです。

http://forest.watch.impress.co.jp/docs/news/1072969.html

今回のwindows10 creators updateですが

適用しないとすぐにWindows10が利用できなくなる というものでもなくどちらかというと新機能追加がメインのようです。

ただ、やはりというか、あいかわらずというか

アップデートすることで、端末によっては不具合は起きるようで

弊社のお客さまでも、アップデートしたら「無線が使えなくなった」、「システムの動作が・・・・」

みたいな問い合わせは何件かありました。

このあたりは、一度アップデートする前に、パソコンメーカのサイトやサポートに問い合わせが必要だと思われます。

一応、アップデートを戻す方法もあるようですが

Windows 10 を以前のバージョンの Windows 10 に戻す方法について

戻すのにいろいろ条件があったり、戻したら戻したで不具合ありそうなのでこれはこれで注意が必要だと思います。

 

アップデートそのものでの端末の不具合もありますが

どうやら、このアップデート、ダウンロードの容量が結構大きいらしく、現在全国的にネットワークのトラフィックが増加傾向にあるようです。

そのため普段よりネットが遅いとかが起きているようです。

(昨年のwindows7→windows10 無料アップデートを思い出させます。。。)

「VPNソリューションパック」等弊社サービスをご利用のお客様で、ネットやVPNが遅いなどがあれば

状況を確認させていただきますので、一度ご連絡ください。

 

 

 

 

ランサムウェア「Petya」の亜種「GoldenEye」が世界各地に感染拡大

また、新たな、ランサムウェアの被害が拡大しているようです、、、、

「Petya」の亜種「GoldenEye」というランサムウェアのようです。

「Petya」=ぺとやorぺちゃ と読むらしいですが、その名前の可愛らしさ(?)とは裏腹に

>Petyaは、HDDのMBR(マスターブートレコード)を暗号化し、PCを起動不能にした上で、ビットコインで300ドルの身代金要求メッセージを表示するが、今回登場したGoldenEyeは、MBRに加えてファイルの暗号化も行う。

という結構強烈なランサムウェアのようです。

 

(参考)

http://internet.watch.impress.co.jp/docs/news/1067653.html

http://www.ipa.go.jp/security/ciadr/vul/20170628-ransomware.html

 

現時点では

Microsoft社 の脆弱性の脆弱性「MS17-010」を突いての攻撃のようですが

今年4月に猛威を振るった「Wanna Cry」と同じ脆弱性のようなので、OSのパッチは前回対応済みであれば新たに対応は不要のように思えますが

以下URLによると

>これを適用して更新したコンピュータでも感染する恐れがあるという。Petyaは、「Office」文書によっても感染を拡大できるためだ。別の脆弱性を利用して、WannaCryのようにワームホールと組み合わせるという。

https://japan.cnet.com/article/35103415/

ということで、今後新たなOSの更新ファイルが公開されるかもしれませんね、、、、

 

現段階では、まだ情報がいろいろ錯綜しているようなので、引き続き情報収集が必要ですが

ひとまず現段階では

①Microsoft Windows/Officeの最新セキュリティパッチの適用

②あやしい添付ファイル(今回はWORDが多い?)は開かないように徹底する。

③アンチウィルスソフトの定義ファイルは最新にする。

ことが大事ですね。

 

ちなみに弊社のセキュリティ対策

UTMソリューション」では、今回の「Petya」とその亜種「GoldenEye」はすでに対応済みです。

が、日々亜種が作られているため、上記の①~③も平行して実施したほうが良いと思います。

 

 

 

 

DHCPのアドレスが足りない?

VPNソリューションパックご利用中のお客様から

一部のPCで、DHCPサーバからアドレスが取得できず、インターネットに繋がらない

との問い合わせがあり対応をしました。

 

そのお客様の環境では、VPNソリューションパック利用してるVPNルータでDHCPサーバとなっているので

ルータのログを確認したところ

dhcpd: DHCPDISCOVER from **:**:**:**:**:** via eth0: network 192.168.xx.0/24: no free leases

というログ発見。

どうやら、

もともとDHCPサーバで設定している、リースするアドレスが足りない状況のようでした。

 

こちらのお客様では、DHCPのリース数は50で設定してあったので、DHCPのクライアント数としては50台

ということになりますが、

 

お客様曰く、PCとかスマホ含めてもそんなに端末がない はず・・ とのこと。

(最近、スマホを社内LANにつなげてDHCPのリースアドレス数が足りなくなる というのは良くあったのですが・・・今回はそうではないみたい)

 

で、DHCPのログを再調査したところ、

同じホスト名で、違うMACアドレスからDHCP要求があることを発見。(しかも結構な台数)

これは、おそらく

1台のPCで、有線LANも無線LANも有効になっており

それぞれで、アドレスを取得している状態 だと推測。

 

 

お客様に状況をお伝えすると、こちらの読み通りの利用/運用だったようです。

こちらのお客様については、社内で利用するときは無線を切る という運用で一旦対応としては終了になりました。

 

最近はいろんな端末で無線を利用することが多くなった関係で、今回のようなトラブルは

実は他でも結構おきてるんじゃないかなぁ

持ち出し用のノートPCとかだと、社内で利用してるときは、有線で接続するけど、その時わざわざ無線をOFFにしない人のほうが多いですよね??

DHCPのアドレスが足りない

となった時は

・無線の端末の台数

・パソコンの場合は、両方同時に使ってないか

このあたりのチェックが大事ですね。