CANPAN ブログ検索
Loading
  • もっと見る
<< 2019年10月 >>
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    
カテゴリアーカイブ
最新記事
最新コメント
ゲーム機の使用制限 [2019年10月27日(Sun)]

ゲーム機の使用制限



 子供のゲーム機が無線LANを経由して、頻繁に「NVR500ルーター」に送信しています。


 途中にあって「中継しているWi-Fiルーター」での「特定MACアドレス使用制限」の方法が良くわからなかったので、「NVR500ルーター」で使用制限することにしました。


 「NVR500ルーター」の「manual」で「スケジュールの設定」を確認しました。


31.1 スケジュールの設定

http://www.rtpro.yamaha.co.jp/RT/manual/nvr500/schedule/schedule_at.html

[書式]

schedule at id [date] time * command...

schedule at id [date] time pp peer_num command...

schedule at id [date] time tunnel tunnel_num command...

schedule at id [date] time switch switch command...

no schedule at id [[date]...]



 「command」が実行できそうなので、「  [トップ] [詳細設定と情報] > コマンドの実行 」画面で以下のコマンドを実行しました。


schedule at 123 */* 17:00 * ethernet filter 108 pass-nolog (ゲーム機のMACアドレス) *:*:*:*:*:*

schedule at 124 */* 00:01 * ethernet filter 108 reject-nolog (ゲーム機のMACアドレス) *:*:*:*:*:*


※毎日ゲーム機の通信を「17:00」から「00:01」の間だけ「NVR500ルーター」が「pass」するというコマンドです。

※本当は「00:00」まででも良いのですが、1分間だけ猶予を与えました。



Posted by 山田 雄一郎 at 07:37
SIP 攻撃を受けると、こうなる(その3) [2019年10月03日(Thu)]

SIP 攻撃を受けると、こうなる(その3)



 SIP 攻撃で 050 発信不能にされたので、20191月に(その1)と(その2)を書きました。


 それの追加です。


 ネットを見ているときに、「IPアドレス」には、「グローバルIPアドレス」と「プライベートIPアドレス」に分かれると書いてありました。



**********資料開始**********

それぞれの用語の意味

グローバルIPアドレス:全世界で通用するネットワーク上の住所

プライベートIPアドレス:仲間内でしか通用しないネットワーク上の住所

https://wa3.i-3-i.info/diff120ipaddress.html

**********資料おわり**********



 この時に、ネット側から入って来る「プライベートIPアドレス」は、「Rejected」しても何の問題もないのではないかという仮定を思いつきました。



**********資料開始**********

IPv4アドレス体系

〜クラスフルとクラスレス、プライベートアドレス

 また、IPv4アドレスにはプライベートアドレスとグローバルアドレスという概念があります。前者はインターネットに直接接続されていないネットワークで自由に使って良いとされるアドレスで、以下の通り範囲が定められています。


(プライベートアドレスの範囲)

10.0.0.0 10.255.255.25510.0.0.0/8

172.16.0.0 172.31.255.255 172.16.0.0/12

192.168.0.0 192.168.255.255 192.168.0.0/16

https://www.nic.ad.jp/ja/newsletter/No26/090.html

**********資料おわり**********



 そこで、NVR500で次の「コマンド」を実行しました。


ip filter 101010 reject * 10.0.0.0/8 * * *

ip filter 101011 reject * 172.16.0.0/12 * * *

ip filter 101012 reject * 192.168.0.0/16 * * *

ip lan2 secure filter in 101010 101011 101012 (以下略)



 月単位で使ってみた感想は、


1 050 発信は可能です。

2 表示するページによっては、表示速度がかなり遅くなったり、表示待機時間を過ぎてエラーとなったりします。

3 特定の国の「グローバルIPアドレス」を「Rejected」するわけではないので、「アプリやドラーバー」のアップデートには影響しません。

4 「ip filter」ごとの「LAN2 Rejected at IN()」を「ログ(Syslog)のレポート作成」(3000件表示)で計数しました。


設定条件としては、「Infoモード」と「Noticeモード」をチェックして選択しています。

LAN2 Rejected at IN(101010)  0/3000

LAN2 Rejected at IN(101011)  0/3000

LAN2 Rejected at IN(101012)583/3000件(2割弱)


 「ip filter」は、「192.168.0.0192.168.255.255」だけでも、SIP 攻撃に対応可能かも知れません。


 つまり


ip filter 101012 reject * 192.168.0.0/16 * * *

ip lan2 secure filter in 101012 (以下略)



 私のNVR500ルーターでは、ネットから入って来る「プライベートIPアドレス」を「Rejected」するだけでSIP 攻撃に対応できました。


 しかし、ネットから受け取る、「重要な情報」を排除(「Rejected」)している可能性もありますので、自己の責任で試してみて下さい。


Posted by 山田 雄一郎 at 17:56
不正アクセス検知 [2019年07月07日(Sun)]

不正アクセス検知



 ルーターが、不正アクセスを検知したとメールで連絡してきました。


 相手のIPアドレスを確認すると、少し前に見たことがあったので、ルーターのログを確認しました。


 すると、次の記録がありました。

Log:

2019/06/27 **:**:**: ICMP timestamp req     111.206.52.***  > ***.***.***.***

2019/07/07 **:**:**: ICMP timestamp req     111.206.52.***  > ***.***.***.***


 つぎに「ip 111.206.52.***」で、ネット検索すると


111.206.52.0/24

AS4808 China Unicom Beijing Province Network


Whois Details

inetnum:        111.192.0.0 - 111.207.255.255

netname:        UNICOM-BJ

descr:          China Unicom Beijing province network

descr:          China Unicom

country:        CN


 「China Unicom」は、「中国聯合通信」として知られる「中国の通信事業者」のようでした。


 続けて、「中国聯合通信 不正侵入」で、ネット検索すると、次のページが見つかりました。


富士通やNTTデータにも侵入 中国政府系ハッカーの攻撃で=報道

2019628 14:28

https://www.excite.co.jp/news/article/EpochTimes_44287/


 私が保管しているデータは、個人情報でしかないので、パソコンに不正侵入されても「行政」などには全く関係がなく他人に迷惑をかけないので気が楽ですが、気持ちが良くありません。


 さらに、「ICMP timestamp req」で、ネット検索すると、次のページが見つかりました。


2001/09/24 00:00

今週のSecurity Check

ICMPを使って対象サイトのOSを特定する「Xprobe

https://tech.nikkeibp.co.jp/it/members/ITPro/SEC_CHECK/20010921/1/

 通常,攻撃者が事前に情報収集をする際,TCP UDP アプリケーションを利用することが一般的である。そのため,ルーターやファイアウオール等でパケット・フィルタリングする場合,TCP UDP パケットについては注意を払う。しかし,ICMP パケットについては比較的軽視されがちであると思う。ところが,ICMP でもある程度の情報収集ならば可能なのだ。

・・・

 そのプロジェクトの過程で,ICMP を利用して対象サイトのOSを特定する理論が発見された。この理論は「X」と呼ばれている。そして,「X」を実践するために,Fyodor Yarochkin 氏等によって開発されたツールが「Xprobe」である。



 結論から言えば、ルーターやパソコンなどのOSが特定されてバグから不正侵入される可能性があると言うことだと思います。


 そして、OSのバグからの不正侵入をより困難にするため、パソコンなどをネットに直結しないで、ルーターを介してパソコンなどを使用することが推薦されると言うことだと考えます。


Posted by 山田 雄一郎 at 09:58
SIP 攻撃を受けると、こうなる(その2) [2019年01月07日(Mon)]
SIP 攻撃を受けると、こうなる(その2)


 「nvr500 sipアタック」と入力して、ネット検索すると次のブログを見つけました。

 でも、この設定をしていても、「SIP 攻撃」を防ぐことができませんでした。

 なぜなら、「自己SIPアドレス」を知っている相手が「SIP 攻撃」してくると、NVR500ルーターは着信を拒否することができません。

 当たり前のことですね。


*****以下ブログ*****
@y-ken
2014年12月09日に投稿
不正SIPパケット宛の着信をフィルタリングする方法(YAMAHAルータ編)

STEP1: SIPアドレスを確認
[トップ] > [電話の設定] > [VoIPの設定] > [IP電話サーバの設定] の画面にある、
「IP電話サーバの修正/削除」の「設定」ボタンを押し、次の画面を開きます。

STEP2: 自己SIPアドレスの登録
[トップ] > [電話の設定] > [TELの共通設定] > [基本設定] と画面を遷移し、自己SIPアドレスの登録をします。

STEP3: 識別着信の設定
先ほどと同じ画面へ [トップ] > [電話の設定] > [TELの共通設定] > [基本設定] と遷移し、識別着信の設定をします。

番外編
そもそも発信にしか使わないのであれば、使用制限のプルダウンで、発信専用としてしまうのも手ですね。

Posted by 山田 雄一郎 at 07:39
SIP 攻撃を受けると、こうなる(その1) [2019年01月03日(Thu)]
SIP 攻撃を受けると、こうなる(その1)


 「SIP 攻撃」を受けても、NVR500ルーターが「rejected」しているため、実害がないと思っていました。

 ところが、正月に、ふと思いついて、自宅の固定電話から、「市外に住んでいる知人の自宅」の固定電話に電話をかけました。

 受話器からは、「ツーツー」という音しか聞こえませんでした。

 話し中だと考えて、しばらくたって電話しても、「ツーツー」という音しか聞こえませんでした。

 そこで、携帯電話から携帯電話にかけて、「固定電話でずいぶん長く話しているんだね。」というと、電話はかけていないとの返事でした。

 何かおかしいと思って、自宅の携帯電話から知人宅の固定電話にかけると、普段どおり話すことができました。

 知人宅の固定電話から自宅の固定電話に電話をかけても通話ができました。

 点検の結果、恐らく、自宅の「IP電話」の不具合であることがわかりました。

 自宅の「IP電話」は、NVR500ルーターが管理しています。
・市内へはNTT
・市外へは 050

 NVR500の「Syslogの表示」に「rejected」した記録が残っていました。
*****開始*****
2019/01/03 **:**:**: [SIP] SIP Call to [sip:0**********@***.***.***.***] from [sip:050********] rejected with cause NO CHANNEL (3034).
*****おわり*****
[sip:0**********@***.***.***.***](知人宅の固定電話)
[sip:050********](自宅の固定電話)


「rejected with cause NO CHANNEL」でネット検索をしました。
*****開始*****
<独自拡張した切断コード>
3034SIP: NO CHANNEL
インターネット電話用利用可ポート無し。
インターネット電話に使用するポートが確保できなかった。
既にインターネット電話用のすべてのポートが使用されている。
*****おわり*****


さらに、ネット検索をして次のブログを見つけました。

2017-11-28
SIP 攻撃で 050 発信不能にされたので、国外IP を全て弾いてやった
@ 知らん間に SIP 攻撃を受けていたぜ
A ログによれば正常に rejected されたぽいし、クレカの請求額も常識的な範囲内であることから、経済的損失はなかったと推定されるものの、この攻撃を食らうと 050 への発信が出来なくなってしまうみたいです。
B どうも同様の攻撃は 11/13 付近から始まっていたものの毎朝未明に reboot するようにスケジュール登録していたため翌朝には勝手に回復してしまい、また普段から家の電話で発信する頻度が少なかったことと相まって、050 発信不能に気がつくことなく過ごしてきました・・・
C きっと攻撃者は日本人じゃないはず・・・という思い切った仮説のもと、国外IP を全ブロックするフィルターを書いてみることにしました。


 このブログを参考にして、次の対策を考えました。
@暫定対策
・「毎朝未明に reboot するようにスケジュール登録していた」を参考にして、NVR500を再起動しました。
・自宅の固定電話から知人宅の固定電話にかけると、普段どおり話すことができました。

A恒久対策
・「国外IP を全ブロックするフィルター」を参考にして、フィルターを作成することになります。
・今後、フィルターを作成し、上手く動くことが確認できたなら、ブログに書きます。
・なお、NVR500の「通信履歴のレポート作成」を見ると「SIP 攻撃」の有無がわかるので、受話器から「ツーツー」という音が聞こえる場合は、NVR500を再起動することで対応できます。

「通信履歴のレポート作成」の例
2019/01/0*15:**:11SIP:着信00:00:00*3017sip:c@103.***.***.***
※(103.xxx.xxx.xxx はプロバイダから割り当てられた自ルーターのグローバルアドレス)

Posted by 山田 雄一郎 at 23:47
MACアドレスフィルタリング(続きの続きのおまけの継ぎ足しの少し改善) [2016年05月27日(Fri)]
MACアドレスフィルタリング(続きの続きのおまけの継ぎ足しの少し改善)


 「MACアドレスフィルタリング(続きの続きのおまけの継ぎ足し)[2016年03月11日(Fri)]」を少し改善しました。

 改善内容は
@「毎月ついたちの設定保存」を「各月ついたちの設定保存」に変更しました。これで、「11か月前のついたちの設定」を確認できるようになります。
A「毎月ついたちの設定保存」する番号を欠番にするのは止めて、「毎月15日の設定保存」に変更しました。

 「[トップ] > [詳細設定と情報]> [本製品の全設定(config)のレポート作成]」で、内容を確認すると次のようになります。

#
# Ethernet Filter configuration
#

ethernet filter 1 pass-nolog 00:a0:de:**:**:** *:*:*:*:*:*
(略)
ethernet filter 81 reject-log 68:76:4f:**:**:** *:*:*:*:*:*
ethernet filter 99 pass-log *:*:*:*:*:* *:*:*:*:*:*
ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*

#
# LAN configuration
#

(略)
ethernet lan1 filter in 1 2 3 4 5 6 7 8 9 10 (略) 81 100
(略)

#
# Schedule configuration
#

schedule at 1 */* 01:04 * ntpdate ntp.jst.mfeed.ad.jp
schedule at 2 */* 00:02 * rotate external-memory syslog
schedule at 3 */Sun 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sun
schedule at 4 */Mon 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Mon
schedule at 5 */Tue 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Tue
schedule at 6 */Wed 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Wed
schedule at 7 */Thu 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Thu
schedule at 8 */Fri 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Fri
schedule at 9 */Sat 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sat
schedule at 10 */15 01:05 * copy config 0 sd1:/NVR500/NVR500_config_15th
schedule at 11 1/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Jan
schedule at 12 2/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Feb
schedule at 13 3/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Mar
schedule at 14 4/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Apr
schedule at 15 5/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_May
schedule at 16 6/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Jun
schedule at 17 7/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Jul
schedule at 18 8/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Aug
schedule at 19 9/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sep
schedule at 20 10/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Oct
schedule at 21 11/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Nov
schedule at 22 12/1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Dec

#
# External-memory configuration
#

external-memory syslog filename sd1:/NVR500/NVR500_syslog_
Posted by 山田 雄一郎 at 07:29
MACアドレスフィルタリング(続きの続きのおまけの継ぎ足し) [2016年03月11日(Fri)]
MACアドレスフィルタリング(続きの続きのおまけの継ぎ足し)


 この話は、この辺で止めたいと思います。2回ぐらいで終わるつもりが、長くなりました。

 前回の後、「NVR500」は、ルーター内部で「Luaスクリプト」を動作させる機能を持っているので、「Lua」を使って毎日決まった時刻に「設定ファイル」の自動保存を試みました。

 しかし、「Lua」で「設定ファイル」を自動保存できませんでしたので、「毎月1日と曜日毎」に「設定ファイル」を自動保存することで妥協することにしました。

 「[トップ] > [詳細設定と情報] > [設定ファイル・ファームウェアファイルのコピー]」で、「設定ファイル」を見ると、「1B」単位で表示するため「設定ファイル」の記憶容量が増加しています。

 「設定ファイル」を見直してみると、次の行が追加になっていました。
##sd1:/NVR500/NVR500_20160309

 行の最初が「#」なので、「設定」には、全く影響がないとわかっていますが、気持ちが良くありません。

 「NVR500」を「[トップ] > [詳細設定と情報]」から「コマンドの実行」の「実行」をクリックして、「restart」を入力し「設定の確定」をクリックして再起動しましたが、「設定ファイル」には「例の行」が残っていました。

 次に、「NVR500」を「[トップ] > [詳細設定と情報]」から「お買い上げ頂いた時の状態へ戻す」の「実行」をクリックして再起動しました。

 「NVR500」を「[トップ] > [詳細設定と情報]」から「コマンドの実行」の「実行」をクリックして、「設定ファイル」を入力し「設定の確定」をクリックして再起動しました。

 「設定ファイル」の「例の行」は無くなっていました。

 しかし、「ASUS Eee Pad Transformer TF101」と「iPad Air」で「YouTube」が使えなくなりました。

 さらに、次のような内容のメールが届くようになりました。
ethernet 100 reject lan1 in
(00:a0:de:**:**:** -> ff:ff:ff:ff:ff:ff)

 今まで、「00:a0:de:**:**:**」という「MACアドレス」は「reject」していなかったのでビックリしました。

 ネットで「MACアドレス」を検索して、次のページを見つけました。

Mac address directory
http://macaddress.webwat.ch/
 「Search:」欄にMACアドレスの最初の24bit(3オクテット 例 00:a0:de)を入力して「Find」検索!をクリックします。

 すると、次のような結果が出ます。
Search results:
00:A0:DE - YAMAHA CORPORATION

 次のページも見つけました。

MACアドレス、ベンダーコード一覧(2014/10/08)
http://www.vor.jp/oui/oui.html

00-A0-DE YAMAHA CORPORATION

 「YAMAHA」の製品は、「NVR500」しか持っていないので、「MACアドレス」を調べてみました。

 「[トップ] > [詳細設定と情報] > [システム情報のレポート作成]の【 システム情報 】に、「MACアドレス」が2つ書いてありました。

 つまり、「NVR500」の「MACアドレス」でした。

 「NVR500」の「MACアドレス」を「pass-nolog」に設定すると、メールは届かなくなりました。

 まとめると、今回の「MACアドレスフィルタリング」シリーズで、「NVR500」を次のように追加設定しました。

その1(設定の保存)
ethernet filter 1 pass-nolog 00:a0:de:**:**:** *:*:*:*:*:*
(略)
ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 1 (略) 100
schedule at 2 */Sun 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sun
schedule at 3 */Mon 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Mon
schedule at 4 */Tue 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Tue
schedule at 5 */Wed 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Wed
schedule at 6 */Thu 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Thu
schedule at 7 */Fri 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Fri
schedule at 8 */Sat 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sat
schedule at 9 */1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_1st


その2(ログの保存)
external-memory syslog filename sd1:/NVR500/NVR500_syslog_
schedule at 10 */* 00:02 * rotate external-memory syslog

Posted by 山田 雄一郎 at 11:27
MACアドレスフィルタリング(続きの続きのおまけ) [2016年03月07日(Mon)]
MACアドレスフィルタリング(続きの続きのおまけ)


 私は、MACアドレスフィルタリング [2016年02月26日(Fri)]で次のように反省しています。

***引用開始***
 ここで一番反省したことは、工場出荷時に初期化した「NVR500」の設定をするための「設定バックアップ」が、昨年9月の日付が最新だったことです。

 おかげで、着信拒否をする電話番号が、最新の番号から10回線くらい消えました。

 少なくとも、毎月(月初め)、「設定バックアップ」をすることにしました。
***引用終わり***

 ということで、「設定ファイル」の自動保存をすることにしました。

 「設定ファイル」をルーターの内蔵フラッシュROMから外部メモリ(microSD/SDHCメモリカード)へ書き込みます。

 「sd1(microSD/SDHCメモリカード)」に「/NVR500」というフォルダーを作成し、そのフォルダーの中に設定ファイルをバックアップすることにしました。

 ファイルを区別しやすいように、外部メモリのファイル名に年月日を追加しようとしたのですが、うまく出来なかったので、曜日でローテーションするようにしました。

 そして、次のように実行します。

[トップ] > [詳細設定と情報] > [コマンドの実行] で、「1週間分」と「毎月 1日」にバックアップを実行する次の8行を入力し、「設定の確定」をクリックします。

schedule at 2 */Sun 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sun
schedule at 3 */Mon 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Mon
schedule at 4 */Tue 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Tue
schedule at 5 */Wed 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Wed
schedule at 6 */Thu 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Thu
schedule at 7 */Fri 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Fri
schedule at 8 */Sat 01:05 * copy config 0 sd1:/NVR500/NVR500_config_Sat
schedule at 9 */1 01:05 * copy config 0 sd1:/NVR500/NVR500_config_1st

※「schedule at 1」は、毎日、NVR500の時刻を問い合せることに使用していますので、「schedule at 2」から始めました。
schedule at 1 */* 01:04 * ntpdate ntp.jst.mfeed.ad.jp
※テストで次のコマンドを実行しました。
schedule at 3 */Mon 17:15 * copy config 0 sd1:/NVR500/NVR500_config_Mon
schedule at 9 */7 17:15 * copy config 0 sd1:/NVR500/NVR500_config_1st
「schedule at 3」→「schedule at 9」と実行しますので、私の設定ファイル(約27KB)で行うと、両者の「作成日時」には、2秒の差がありました。



***NVR500で設定する場合の注意事項***

失敗例(その1)
 外部メモリに保存された SYSLOG ファイルに「設定ファイル」を出力して、 SYSLOG ファイルのローテート(バックアップ)を試みましたが、ファイルの中に「schedule at」を実行した結果を追加して書き込むので、完全な「設定ファイル」はバックアップできませんでした。

external-memory syslog filename sd1:/NVR500/NVR500_config
schedule at 2 */* 01:00 * copy config 0 sd1:/NVR500/NVR500_config
schedule at 3 */* 01:00 * rotate external-memory syslog


失敗例(その2)
 私にとって、重要度では低いのですが、時系列的には(その1)の少し前に、下の「参考webページ」を参考にして、
schedule at 2 */man 01:00 * rotate external-memory syslog
を入力し [コマンドの実行]を行うと次のエラーメッセージが出ます。

***引用開始***
コマンド "schedule at 2 */man 01:00 * rotate external-memory syslog" は入力できません。
エラー: パラメータのキーワードが認識できません。
コマンド書式が正しく、またブラウザで入力できるコマンドであることを確認してください。
設定に変更はありません。
[ コマンド入力結果(最新の実行ログ) ]
# schedule at 2 */man 01:00 * rotate external-memory syslog
エラー: パラメータのキーワードが認識できません
***引用終わり***

 単純な間違いです。

間違い → マンデーは「man」ではない
正しい → マンデーは「mon」だ


参考webページ
外部メモリファイルコピー機能
http://www.rtpro.yamaha.co.jp/RT/docs/external-memory/copy.html#external-memory_syslog_filename_new
・外部メモリに保存された SYSLOG ファイルのローテート(バックアップ)
[設定例]
schedule at 1 */* 00:00 * rotate external-memory syslog # 毎日バックアップを実行する
schedule at 1 */man 00:00 * rotate external-memory syslog # 毎週月曜日にバックアップを実行する
schedule at 1 */1 00:00 * rotate external-memory syslog # 毎月 1日にバックアップを実行する
[適用モデル]
RTX5000 RTX3500 RTX1210 RTX810 FWX120 NVR500
 
Posted by 山田 雄一郎 at 18:07
MACアドレスフィルタリング(続きの続き) [2016年03月02日(Wed)]
MACアドレスフィルタリング(続きの続き)


「ethernet filter 1 pass-nolog dhcp-bind 1」の話しをします。

 前回次のように書きました。

***引用開始***
つまり、DHCPでIPアドレスを設定するだけなら
ethernet filter 2 pass-nolog dhcp-bind 1
と書いても良いことになります。
***引用終わり***

 しかし、MACアドレスが「pass」できなくて、「reject-log」のメールが大量に来るので、元のように、MACアドレスを全て記述する書き方に戻しました。

 そして次のように設定しました。

ethernet filter 1 pass-nolog 31:42:53:64:75:86 *:*:*:*:*:*
・・・
ethernet filter 85 pass-nolog 32:43:54:65:76:87 *:*:*:*:*:*
ethernet filter 91 reject-log 33:44:55:66:77:88 *:*:*:*:*:*
ethernet filter 99 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 1 ・・・ 85 91 100
mail notify 2 1 trigger filter ethernet lan1 in

「ethernet filter 99」は「ethernet lan1 filter in 1」で設定していないので、適用しません。


Posted by 山田 雄一郎 at 21:40
MACアドレスフィルタリング(続き) [2016年03月01日(Tue)]
MACアドレスフィルタリング(続き)


 前回設定した「reject-log」や「pass-log」が起こったときに、リアルタイムでメール連絡することが便利だと気がつきました。

 前回の参考webページには、「メール通知機能の設定」があります。
***引用開始***
MACアドレスフィルタリング
http://jp.yamaha.com/products/network/solution/mac/
設定例
メール通知機能の設定
mail server smtp 1 (メールサーバーのアドレス)
mail template 1 1 From:(送信元メールアドレス) To:(送信先メールアドレス) Subject:(サブジェクト名)
mail notify 1 1 trigger filter ethernet lan1 in
***引用終わり***

 「不正アクセス検知」すると、メールで知らせるように設定していました。

[トップ] > [詳細設定と情報] > [メール通知機能の設定]
「メールサーバの設定」
「通知内容の設定」
→「From:(送信元メールアドレス)」、「To:(送信先メールアドレス)」と「Subject:(サブジェクト名)」

 ですから、「mail notify 1 1 trigger」はすでに設定していました。
mail notify 1 1 trigger intrusion lan1 in lan2 in lan1 out lan2 out

 そこで、次のようにしました。
mail notify 1 1 trigger intrusion lan1 in lan2 in lan1 out lan2 out
mail notify 2 1 trigger filter ethernet lan1 in

 突然、約30秒ごとにメールが来るようになり、「pass-log」を「pass-nolog」に変更しました。

[トップ] > [詳細設定と情報] > [コマンドの実行]
ethernet filter 99 pass-nolog *:*:*:*:*:*
と入力して「設定の確定」をクリックしました。

 おかしな例えかもしれませんが、
ethernet filter 1 reject-log 33:44:55:66:77:88 *:*:*:*:*:*
ethernet filter 99 pass-nolog *:*:*:*:*:* *:*:*:*:*:*

では、疑わしい人からの連絡を「reject」して、不特定多数の人からの連絡は「pass」していました。

 このようにした理由は、「ethernet filter」を多く設定すると、「NVR500」の処理が遅くなるかもしれないと思っていました。

 見たことがないMACアドレスを見つけたので、不特定多数の人からの連絡を「reject」して、信頼できる人からの連絡は「pass」するように設定を変えることにしました。

 信頼できるMACアドレスは、次のDHCPサーバ情報にしました。

[トップ] > [詳細設定と情報] > [システム情報のレポート作成]
【 DHCPサーバ情報 】

 そして次のように設定しました。

ethernet filter 1 pass-nolog 31:42:53:64:75:86 *:*:*:*:*:*
・・・
ethernet filter 85 pass-nolog 32:43:54:65:76:87 *:*:*:*:*:*
ethernet filter 91 reject-log 33:44:55:66:77:88 *:*:*:*:*:*
ethernet filter 99 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 1 ・・・ 85 91 100
mail notify 2 1 trigger filter ethernet lan1 in

「ethernet filter 99」は「ethernet lan1 filter in 1」で設定していないので、適用しません。

 「ethernet lan1 filter」を検索してネットを見ていると、次のページを見つけました。

不正ホスト接続禁止
http://jp.yamaha.com/products/network/solution/lua/swx/pc_check/
イーサネットフィルタの設定
ethernet filter 1 pass-nolog *:*:*:*:*:* 01:a0:de:00:e8:13 0 e8,12
ethernet filter 2 pass-nolog dhcp-bind 1
ethernet lan1 filter in 1 2

 つまり、DHCPでIPアドレスを設定するだけなら
ethernet filter 2 pass-nolog dhcp-bind 1
と書いても良いことになります。

 DHCPでIPアドレスを設定するならば

ethernet filter 1 pass-nolog dhcp-bind 1
ethernet filter 91 reject-log 33:44:55:66:77:88 *:*:*:*:*:*
ethernet filter 99 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 1 91 100
mail notify 2 1 trigger filter ethernet lan1 in

と書けることになります。

 しかし
ethernet filter 1 pass-nolog dhcp-bind 1

を実行してしばらくすると

「ホスト名: iPad-Air」のMACアドレスが「ethernet filter 100 reject-log」で「reject」されたというメールが届くようになりました。

[トップ] > [詳細設定と情報] > [システム情報のレポート作成]
【 DHCPサーバ情報 】

を確認すると、IPアドレスをリリースしていませんでした。

 本日、「NVR500 Rev.11.00.28 (Tue Oct 13 12:25:08 2015)」→「NVR500 Rev.11.00.31 (Tue Feb 9 12:05:49 2016)」とバージョンアップをしたためだと思います。

 「iPad-Air」の「設定」→「Wi-Fi」→「接続している回線」をクリック→「DHCPリースを更新」をクリックしました。

[トップ] > [詳細設定と情報] > [システム情報のレポート作成]
【 DHCPサーバ情報 】

を確認すると、IPアドレスをリリースしていました。

 20分以上待っていますが「ホスト名: iPad-Air」のMACアドレスが「ethernet filter 100 reject-log」で「reject」されたというメールが届かないので正常になったと思います。

 しかし、30分後に「ホスト名: iPad-Air」のMACアドレスが「ethernet filter 100 reject-log」で「reject」されたというメールが届いたので、「ホスト名: iPad-Air」だけを「ethernet filter * pass-nolog」という書式でMACアドレスを書きました。


 次に、重要な話を書きます。

ethernet filter 100 reject-log *:*:*:*:*:* *:*:*:*:*:*

のルールで「reject」されたMACアドレスの中に、無線LAN親機(Wi-Fiルーター)WHR-1166DHP2のMACアドレスによく似たものがありました。

 WHR-1166DHP2には、IPアドレスが1個しか設定していないのに、「2.4GHz」用と「5GHz」用の2個のMACアドレスを持っていることは、BUFFALOの「AirStation(WHR-1166DHP2 Version 2.10)」の「ステータス」→「システム」で見ることができます。

 さらに、「中継機能を利用」すると、無線LAN中継機のMACアドレスは親機と接続するためのMACアドレスが2個増えて、合計4個になることがわかりました。

 無線LAN中継機の増えたMACアドレスは、DHCPで設定していないので、「ethernet filter 85 pass-nolog 32:43:54:65:76:87」のように設置する必要がありました。


参考webページ
中継機能を利用したときのMACアドレス制限の設定方法について
公開 2013年6月26日 11時53分 | 更新 2015年12月17日 15時42分
http://faq.buffalo.jp/app/answers/detail/a_id/15113/p/0,1,2,8143

中継機能を利用したときのMACアドレス制限の設定方法について

上位の無線親機にMACアドレス制限を行っている場合、中継機側に接続する機器のMACアドレスも登録する必要があります。
■『中継機能』搭載製品の場合
《対象製品》
WHR-300HP2、WHR-600D、WHR-1166DHP、WHR-1166DHP2
WSR-600DHP、WSR-1166DHP、WSR-1166DHP2
WEX-300、WEX-733D、WEX-733DHP、WEX-G300

『中継機能』搭載製品の場合
2.中継機のMACアドレス
WHR-1166DHP2 の場合
例)2.4GHz帯の無線MACアドレスが「AA:BB:CC:DD:12:38」
2.4GHzで親機と接続する場合 AA:BB:CC:DD:12:3B
5GHzで親機と接続する場合  AA:BB:CC:DD:12:3F
Posted by 山田 雄一郎 at 11:12
| 次へ
プロフィール

山田 雄一郎さんの画像
山田 雄一郎
プロフィール
ブログ
リンク集
http://blog.canpan.info/hofu_nanboku/index1_0.rdf
http://blog.canpan.info/hofu_nanboku/index2_0.xml