2016年12月 1日 (木)

YAMAHA RTX1210 ファームアップRev.14.01.16

新しいファームウェアが出た時に、すぐに充てる派ですか?ちょっと待ってみる派ですか?

私は、ケースバイケースですhappy02

さて、今回・・・初めてhttpによるファームウェアのアップグレードに挑戦するっす。
いつもはですね・・・tftpなんです。RT-Tftp Clientを使っているんすけどね。

まぁなんでかっつーと、常にインターネット環境が使える環境に投入されるとは限らん・・・からなんでやんすが。

今回はインターネットの接続がある場所なんで・・・使ったことなかったし使ってみようかなと。しかし、遠隔で赤いボタンを押せる訳ではないので、結局はコマンドなんですけどね・・・。

Rtx1210upgrade01

一応、念のために使用中のファームウェアをバックアップします。
#copy exec 0 1

んで・・・
#http revision-up go

とする訳なんすが、名前解決が必要でした。

dnsは適当に・・・8.8.8.8あたりをば。

最新のファームがあると「新しいリビジョンのファームウェアが存在します」と教えてくれます。更新の為に(Y)します。

ま・・・これだけなんですけどね。。。despair

Rtx1210upgrade02
つまらんかったんで、遠隔地のVRRP環境にあるRTX1210のマスター側のファームウェアのアップグレードをpingで監視してみました。

vrrpの切替はリブートはいったらすぐにバックアップ側になるんやけど、IPSecトンネルでのこっち側の切替にはkeepalive icmp 5 5でセットしてます。

6回タイムアウトしてVPNが切り替わった感じですね・・・が、その4秒後にはリブート後の起動が終わった様で、VRRPのマスターを奪ったらしく、1回タイムアウトしましたね。

何やかんやでYAMAHAルーターの良さは実はリブート後の起動が速い事かな?

”YAMAHA RTXあるある”

フィルターの調整中は私は最後にこの行が大抵入っています。

ip filter 20099 pass-log * * * * *

これで色々ログ見ながらフィルターを書いてるんですが、やっとフィルターの設定が終わったんで閉じようと思ってですね…

ip filter 20099 reject * * * * *

としてEnterした途端・・・TELNETがフリーズ・・・weep

久々にやっちまいました。IN側の設定やっててOUT側にも同じフィルタ使っちゃってると駄目っすね。

やっぱちゃんとIN用とOUT用って別けたほうがいいっすね。いあ私は別けていたんですが、横着しちゃったんすよ・・・coldsweats01

なので

ip filter 20098 pass * * * * *
ip filter 20099 reject * * * * *
ip filter 21098 pass * * * * *
ip filter 21099 reject * * * * *

てなかんじで、最初の2LAN2の2、その次の桁で0がOUTで1がINとして使うのがよいんじゃないかな~と思います。happy02

だがしかし別ルートで修正でけたからええけど、ほんまに気を付けな・・・gawk

使えるはダメな時代?

12月入りましたね。こんばんわ。今年もあと残すところは1ヶ月。私の未使用代休は・・・coldsweats02

そんな今日このごろですが、一昨日セットアップしてきたばっかりなのになぁ・・・というタイミングでRTX1210の最新ファームが昨日出ていました。。。sad
YAMAHA使いの皆様はちゃんとリリースノートみてますか?
RTX1210に限らずですが、OpenSSLから~の最近のIoT-DDoS問題まで・・・対応に死にそうですっていう人いませんかね?coldsweats01 私、かなりゲンナリしてますよ・・・とほほ。なんといってもこの手の対策は苦労が報われないwobbly
昔はっすね・・・まぁそうはいっても脆弱性があったとしても、その脆弱性の脅威に侵されるリスクが低かったり、脆弱性部分を利用していなかったりした場合は、特にファームの更新も急がず、設定もそうそう変更もないし、安定さえしていればおkと思っていました。
が・・・先日とある作業中に、自分で行ったフィルタのミスを気がついたのはいいのですが・・・これ・・・どこまで影響しているんだろ・・・結構フィルタのベースにしている部分だなぁ・・・ガクガクプルプル・・・coldsweats02・・・と、なりまして・・・。
それに気がついたのも、最近やけに変なログが多いなぁと・・・。なんでこんなログがあがるんだっけかなとConfigを調べたのがキッカケでした。
で、何が言いたいかというと、そのミスのポイントが脆弱性の部分だったらかなりアウトだなと。。。bearing
そしてなにより、例えばRTX1210現行機は良いにしても、RTX1100とかだったら・・・最終ファームが2013年ですよ。そもそもEOLなんで脆弱性情報なんてメーカーから出ない。まぁRTX1100はちょい曲者だったのでもう使っていませんが・・・参考例っす。
たとえばVPNルーターとしてみたら、どっちも同じ事出来るしね。でも後者で脆弱性対応しようもんならどうするのよってなるんすね。
ちょっと前まではまぁ、そんなリスク犯した設計にしていないし使っても大丈夫なんて思っていたけど、これからの時代はそ~とは言えなくなるっすね。私の場合は本能で機器入れ替えをしてきているので(もちろん半分ジョークです)、比較的古い機器は使っていないですが・・・実は少しだけRTX1500とか使っているんだよなぁ・・・coldsweats01
あとね・・・JuniperSSGね・・・。あ~なんか気が遠くなってきた・・・。
冗長構成環境でオンラインアップグレード出来る製品は全然楽だから比較的ぽいぽいぽいってやっているんだけどね。
やっぱ今年頑張って海外入れ替えてきてよかったなぁ・・・。気にしないで勝手にスケジューリングでアップグレードするMerakiさんは素敵だわ。某5GTなんてGUIをグローバルから扱えるようにしていたらクラッシュさせられたしね・・・coldsweats01
なんつーか、昔はセキュリティの為にICMPを切ってリスクをさげる設計をちゃんとやっていたんだけど、色々煩わしいのと世の中意外とICMP応答するのが分かって、おれも頑張ってICMP通知に耐えてやるとか思ったけど・・・またICMP切ろう・・・うん・・・そうしよう。
あれ、なんの話だっけ・・・あ、そうそうそんな訳でEOLをちゃんと管理しなくちゃねっていう事ですわ。coldsweats01 EOLというよりはライフサイクルかな?
そろそろtftpでのファームアップグレードからhttpの手法に変えようか。coldsweats01

2016年11月30日 (水)

苦労は報われず?

Kaki_2

なんか90分3000円で牡蠣食い放題があったんで行ってきました。牡蠣だけで腹を満たしたのは初めてです・・・焼き牡蠣んまかったっす・・・こんばんは。
今回はEX2200とRTX1210の本番投入でした。
最初はEX2200を他社管理のEX3300とのLAG接続・・・んんんん?!繋がらないぞ?!・・・となりましたが、EX3300からはLACP activeで飛ばしていると言われて、ありゃま・・・こっちはスタティックだぞな・・・ってことで設定変更して無事にジョイント完了。
NATで苦しんだ構成とはうって変わって、結構ルーティング重視にシンプルに作り直して接続・・・・んんんん?!何も応答ない・・・。うーん・・・何か意思疎通が上手く行っていない模様。
あとは、インターネット回線の引き込み立会後の接続試験・・・こちらは問題なく即成功。
実は設定器物を出荷してから設計仕様が変わってですね・・・ほっとんどを現地で書き換えたという・・・coldsweats01
まぁそゆこともありますよね・・・despair
無駄に頑張った結果になったようなNATとの格闘ですが・・・まぁこれはこれで日頃試さなかった事に挑戦して動きが判っただけでもヨシとしましょうhappy02
中々数台連ねた検証ってしないしね。頭で思っていても実際は器物の癖(方言)で動きが違ったりするしね。忙しい時にやりきらなきゃいけなかったんで苦しかったけど結果オーライっす。
ただ本当はっすね・・・この仕事はSIerにお願いしようと思ってたんですけど、依頼しなくてよかったですcoldsweats01

2016年11月27日 (日)

ネットワーク屋が変わらないもの

Routertool




明日から大阪出張っす。そして、今回出張に持っていくワタシの作業道具です。
どんだけクラウドがどーのこーのと言われても、私のネットワーク機器を扱う道具に変化は今の所ありません。


私が絶賛中であるCisco Meraki製品だけだったらもう少しアイテムが減ると思いますが、基本的にインフラ業でエンジニアをしている場合は、これらの道具とお別れするのは難しいかも。


昔は、上記以外に簡易LANチェッカーとか、ホテルとかで便利な超小型Wifiルーターを持っていたりとかしていましたが、最近はなんとか省力化出来ないかなと色々と見直しています。


上記の道具で、YAMAHAルーターとJuniperシリーズはOKです。最近Ciscoのコンソールに繋ぐことはないので、その分は減らしました。


YAMAHAルーターもRTX1210/3500あたりからCOMポートがRS232CではなくてRJ45タイプに変わりました。転換期ではあるので、どちらも対応出来るようにしています。ネットワーク屋のプラスドライバー・マイナスドライバーみたいなもんですね。


んで今のノートPCにはUSBポートは少ないし、COMポートもないので、手持ちの道具が増えてしまうんですよね。




更にLANインターフェースすらない時代になったので、USB-LANを2本持ち歩いています。2本あると色々と設定が捗るんですよ。どちらかはDHCP取得出来るようにして片方を固定IPにしたり、どちらも設定ぶち込んでおいたり、接続ポイントに合わせてすぐに対応したり、切り替え作業の効率化に中々重宝します。


今回はYAMAHA RTXの設定作業がメインなので、上記の写真の様な道具だけで済ませていますが、現場に合わせて道具の内容を考えています。
出張から帰ってきたら、今度はWiFiチェック環境の強化を考えています。




そーいえば、どれだけ色々な機器を触ってセットアップがある程度出来る様になったと言っても、私の経験の中で一番馴染まなかったルーターがあります。製品的には良いものだとは思うのですが・・・NEC IXシリーズがいつも苦手です。Configの書き方も好きになれないんですよ。何でですかね。完全に苦手な方言になっちゃってますcoldsweats01


Cisco屋さんがYAMAHAの方言が苦手というケースも有るから同じかな。


私もそんな一人だったんですが・・・なんでか今は一番扱っているのはYAMAHA RTXですcoldsweats01いつ覚えたのかも覚えていないのですが、2002年頃は「YAMAHAルーターなんでバグだらけで安心して使えるかよ!」なーんて思っていました。気がついたら一番触っているルーターに・・・わからんもんですcoldsweats02 でもでもYAMAHAを卒業したいっwobbly




コンソールケーブルもOTA(Over the Air)な時代にならんですかね?

あ、もちろんあるんですけどね。。。そんな無線化しちゃうような製品が。標準実装がいいっすcoldsweats01

2016年11月23日 (水)

NATに振り回された10日間

やっと検証終わりました・・・。weep

Natnat
こんな感じの検証環境です。どんだけYAMAHA RTX好きなのって感じですが…coldsweats01
この構成までいくと、結構色々な事試せますね。vrrpとnatの扱いにはかなり苦労しました・・・。
ネットワークセグメントはダミーですが、172.16.1.0/24が境界線セグメントにしてですね・・・10.10.x.x/24系は私はアドレスを知らない前提で更に192.168.100.0/24から192.168.120.0/24も10.10.x.x/24系は知らない前提で、どうやってサーバーに通信をさせるかってのをやっていました。
で、もっと厄介な条件として、default gatewayを頼らない。この縛りがなんだかんだで一番きつかったな。
これ、インターネットから・・・とかなどの条件があれば簡単なんですけど・・・インターナルアドレスオンリーでやるんで・・・最初は簡単に考えていたのに思ったように動かなくてですね・・・。Ciscoルーターだったら簡単にできそうだったんですが、RTXで表現するのに参考が全然なくって。
そして、vrrpの冗長化で更にハマりました。
RTXのnat ってリバースが使えるんですが・・・思ったようにうごかないwobbly
初めて2つのインターフェースにnatを作りました。
TwiceNATがやりたかったわけではなくなんですが、今回私がやっていたことに一番近い記事がありました。後々参考になったんで。
あとは、冗長構成でnatしちゃうと1つ問題があるんですが・・・そのうち書きますcoldsweats01
しかし、インフラ屋としては今回反省しました・・・。NATを甘く見ていたと・・・。更に機種によってNATの設計を知っておく必要があったと・・・coldsweats01
SSGのrouteとnatの挙動にもマイッタw
方言が変わるってのは難しいね・・・despair

2016年11月18日 (金)

Cisco Meraki MRな無線アクセスポイントが貰えるイベント?

今日はMeraki Dayにしておきます。なんというか・・・NATの海に溺れかけているので気分転換です。coldsweats01

私がMerakiとであった頃はですね・・・とりあえずDEMOサイトでどんな感じか触ってみてですね・・・
すぐに面白そうだぞ・・・ってなったわけなんですが、その当時は1カ月検証機を借りるという手段があったんです。
やっぱりダッシュボードだけだと実際の動きが読めないじゃないですか。
それで検証機を得る所から始めたんですが、借りるのにクレジットカードの登録が必要だったんです。つまり1カ月過ぎると自動的にお買い上げになるというか・・・単に担保情報だったんじゃないかと思われますが・・・私はSIerの技術担当者に借りてもらってその技術担当者のクレジットカードの担保で評価していましたbleahてへぺろ。
これがですね・・・実機がある状態で試せると色々試しやすくなるんですよね。クラウドで設定変更してミスってしまっていてAPがアナザーワールドに行っちゃった場合にどうすればよいの?とかね。
ダッシュボードで設定したことが、新品のAPがインターネットに繋がるだけで設定が入っていく感じは当時は不思議な感覚でした。その分、何処に気を付ければよいのかとかもわかってくるしね。
それがですよ・・・いつのまにかAPを貰える時代になっているというんですから驚きですよcoldsweats02私もほしかったなぁ~weep
まぁ貰えると言ってもタダでは貰えないっす。でもタダみたいなもんです。

Merakiにはウェビナーっていうのが定期開催されていまして、
Merakiwebinars
このウェビナーの開催に合わせて参加登録してオンライン視聴すると、MRと3年分のライセンス付きで貰えちゃうという・・・うーんズルイw
Merakiwebinars2
日本語のウェビナーもチラホラあがっており・・・って毎週やってそうですね。ウェビナー開催後はYoutubeのmerakiチャンネルにウェビナーの動画がアップされてたりします。
それと、公式サイトとは別に導入事例的ウェビナーもあってですね・・・その情報は、
https://twitter.com/cisco_japan を見ていると出ていたりします。導入事例のウェビナーとかだと結構生々したお話が聞けるかもしれませんね。
そういえば、ダッシュボードも日本語化対応が出たばかりですが、これでウェビナーで日本語版のデモとかも出てきそうですね。ウェビナーってチャットで質問出来るから、日頃講演とかで質問しにくい方でも質問しやすいかもですね。
(ウェビナーを)見て、(もらったMRで)試して、買いたくなっちゃうかも?!
なんだかMerakiのセールスマンみたいですねcoldsweats02
でもですよ?ビッグサイトとか幕張メッセでやっている粗品だけを貰う周回イベントよりも、とっても良いものが貰えるのは羨ましいです(結局悔しいだけ)。
よくよく考えると意味判らないっすな・・・クラウドマネージド・アクセスポイントを1時間視聴してもらえるなんて・・・そんな安いものでもないんですが…。coldsweats01
でも貰える為の条件はあるのでご注意を~。
でも最近感じるのは「Meraki使い」が本当に増えました。ネットに情報も増えた気がします。私もネタ切れにならない様に頑張ります?!
1つ温めているMerakiネタがあるのですが、それは来月にしておきまっす。

Merakiダッシュボードの日本語対応化

日本人には待望のMerakiダッシュボードの日本語化が対応されました(まだBeta提供だけど)。

Merakilang01
画像はベルギーに置いてあるMR18です。すっげー違和感しかないけどcoldsweats02
Merakiのブログね。
すかさずEnableリクエストして対応しました。現在はサポート(case)に依頼しないと機能付与してもらえません。ちなみに最近ダッシュボードのUIの新しいバージョンが発表されているんですが・・・私の所には誘導メニューが出ないですね・・・。新UIでも日本語で見えると思います。
因みに切替はというと・・・個人アカウント毎でのランゲージ選択となるので右上にある「my profile」を選択して、最下部までスクロールするとあります。
Merakilang02
現在、5か国語に対応と。フランス人も日本人と同じく英語が苦手な人多いしこれはイイね。
私がMerakiを利用し出した頃は、日本語対応は全然する気すらない様な状況でGoogleで翻訳してって言われたっけかな。確かに翻訳機能使ったけど・・・全翻訳って余計な所まで無理やり翻訳するから余計に分からなくなる事があるんすよね。
日本語対応の翻訳レベルはどんな感じでしょうかね。パッと見た感じ結構イケてる感じします。
Merakilang03
MRシリーズのメニュー。いいかんじ。今まで英語で慣れてたんで新鮮でし。
Merakilang05
MSシリーズ。ここまで違和感は「オーガナイゼーション」だけかな。
Merakilang04
MXシリーズ。ふむふむなるほど。
Merakilang06
Z1メニュー。テレワーカーはカタカタにしないのね。
Merakilang07
ちなみにinfoアイコンでの説明文は英語のままでした。
あと、最近ですが、Merakiのサポートに日本語が少し出来そうな外国人が増えてきたような?気がします。今まで、サポートに対する問い合わせは英語でやっていたんですが、日本語で投げても行けそうな気がしますね。私は、SIerにサポートを依頼する場合と自分で依頼する場合があります。私の場合は、機能の有効化を依頼する場合だけですね。
日本語対応のインパクトとしては、Ciscoの方針だとは思いますが、Merakiにとって日本のマーケットが重要視されているという事でしょう。
さて・・・せっかくの日本語対応ですが、私は海外のサポートもしている関係で英語にもどします・・・sad
でもこれでとっつき難かった方々も楽になると思いますhappy02

2016年11月15日 (火)

Merakiのスマフォアプリにリブートボタン復活

MerakiにはiPhone向けアプリで簡易的ではあるのですがデバイスの状況が確認できるアプリがあります。

Merakiapp
これが、当初はアクセスポイントのリブートとか出来てとっても便利だったんですが、ある時からリブートボタンが無くなっちゃっていたんですよ。
ところが最近ひっそりと復活していたので、このアプリを知っている方向け情報?になってしまいますが、お知らせっす。
復活ついでに昔はMXとかMSシリーズは、このアプリでリブートが出来なかったはずなんですが、出来る様になっていました。sign02
Rebootaccesspoint Rebootappliance Rebootswitch
実際にはですね・・・AP(MR)は時々リブートしたいという時があります。MXとMSはそうそうないです。MXはファームアップデートがあるのでその時がリブートタイミングですね。
なんとなくリモコン感覚でこのアプリを使っています。
『取りあえずリブート!impact』を何処にいても出来るってのは便利だけど・・・
お気を付けくださいhappy01

RTX1210でNATの海に溺れる

むーんgawk

Yamahas
ヤマハルーターでNATやらマスカレードやらを駆使してーの、ローカル試験風景です。
多段NATが絡む要件キライ~crying
さらにIPsecVPNも絡んでいてルーティングとNATとマスカレードとFWとロードバランサ―とと色々あるので、頭の中がどこで変換かけているのかアレレノレ。
さらに冗長構成にしてパスを張るとンムムムム?!
この写真には全部写っていないですが、RTX1210を7台、RTX1200を1台、ラズパイ1台で楽しんでます。coldsweats01
サクサク検証する時って、結局コマンドライクな機器って楽なのよね・・・。結局の所、コマンド体系を変えていない機器は長い付き合いが出来るからかもだけど。コマンドでキライなのはフィルタを書くときぐらいすかね・・・。
とりあえず、NATとマスカレードとNATマスカレード。そしてその方向。いつも頭が混乱します。何年もネットワークやっているのになぁ・・・sad
クラウド時代なのに、当ブログは定期的にルーターのセットアップが入るのは何故でしょう・・・( ^ω^)・・・
そういえばRTX1210の新NATモード方式で問題無く運用している方っていますかね。とりあえず、おまじないの様に「nat descriptor backward-compatibility  1」を入れていますが、面倒なんすよねcoldsweats01

2016年11月 3日 (木)

文化の日だけど・・・クラウドやらIoTに孕む危機

今日は文化の日ですか。日本国憲法公布日。。。ふむ。

中学生の時の社会科の先生が前文を暗記しろという授業を思い出します。
これを当時は暗記という形でしか覚えない頭の悪い子でした。
ま、それはよいとして、日本は一応の一国で平和はあると(最近殺傷事件が多く対国関係よりも国内事情に不安がありますが)。アメリカの大統領がどうなるかでおオロオロするしかない他は特に平和なんだと思います。
そして、平和の対岸にあるものといえば紛争・戦争ですが、その中でも宗教的な関係でのテロが今時代の平和を脅かす事なのかなと(あんま詳細は語りませんが)。
で、ここら辺までは新聞やニュースなどで世の中が何が起きているか情報を端的ではありますが知ることが出来ている状況ですよね。
言葉は悪いのですが、共通項として人の生命に関わる内容がニュースになっていて、安全や安心の為の自立行動を何かしら即していると思います。
どこかでテロや殺人事件・事故・偽装などなどの問題を目にして自己の判断でリスクを減らす行動をして安心を得ると・・・。メディアによる情報操作などは別問題で情報を読みぬく力は現社会では更に大事ですが・・・。
とりあえず、防弾ベストとか着なくても街を歩けるけど、最近は殺傷だったり殴られたりするので、切れない服にヘルメットか何かガードを付けて歩けば無差別からは安心ですかね。
いあいあ、日本全国からみたら事件はほんの一角の無差別だから・・・いつも通り・・・ですかね。もしも自分の家族がその一角に出くわす可能性を常に考えたら外出もままならなくなりそうです。
人の話はここら辺でやめます(内容的に気分を悪くしたと思います。大変申し訳ございません)。
んで、私の領域で身近なテロはというとサイバーテロになる訳なんですね。
警察でもない私ですが、インフラの色々なモノを守らなければならないと・・・。
昨日、インターネットで重要な役割を果たしているDNSがちょっと攻撃を受けていたようで、私のテリトリーに影響が出ました。頼っていた物が不確かなモノになった時、打つ手はあるのかどうか。
私は・・・ありませんでした~coldsweats01
どうやら1週間ぐらい前からUS方面で色々とDNS方面にDDoSとか起きているようですね。大手サービスが見えなくなるという状況になったようです。他人事のように(は見ていなかったけど)見ていたら同じように被害を被ったわけですね。
これの発端としてはIoT(と呼ぶのが手っ取り早いからだろうけど)端末となっている監視カメラ等が乗っ取られてボット化してそれが何十万台も乗っ取られてDNSを攻撃したんだとか。
そしてついに国内大手メーカー製造のルーターが販売停止。これはY!ニュースには上がっていたけど、普通の人には何のことやらだとおもう。
簡単に言えば、(サイバー)テロへの加担リスクとなる状態だったからだ。
普通の社会ではテロへの加担は特定の信仰者であって、平和や殺戮を願わない人々は自分の意志でテロへ加担することは無い。
これをサイバー社会に照らし合わせると、C4ダイナマイトを勝手に背負わされてテロへ加担しているような感じになるのだろうか。
まだ自覚できるなら良いのだが、サイバーの場合は自覚するのも大変。ウィルスに感染し発病していることも判らず事が進んでしまうのと同じで、ある日突然、あなたはサイバーテロリストとしてマークされて逮捕される日が来るのかもしれない。
先日、韓国の製造メーカーのスマートフォンが爆発・発火の恐れがあるとして大規模な回収騒ぎになったばかりだが、元々リチウムイオンはリスクがある程度あるのはご存知の通り。今回の件に限らず、もしもリチウムイオン管理プロセスにウィルス介入とか出来るようだとちょっと怖いよね。怖いで済むかな・・・?!
最近は日本のインターネットも昔に比べたらターゲットになっているのもあって荒れてきた気がする。

私が管理するルーターのログを少しご紹介。
[00001] 2016-XX-XX 16:48:04 [Root]system-critical: Multiple login failures occurred for user shell from IP address 77.228.6.8:42096(ES)
これはスペインからルーターにログインを試みて失敗しているログ。
以下30件程連続してみてみよう。一応どこの国からも分かるようにした。
[00002] 2016-XX-XX 16:47:45 ・・・ from IP address 77.228.6.8:41982(ES)
[00003] 2016-XX-XX 16:47:26 ・・・ from IP address 178.211.23.246:4410(RU)
[00004] 2016-XX-XX 16:47:08 ・・・ from IP address 178.211.23.246:3307(RU)
[00005] 2016-XX-XX 16:46:50 ・・・ from IP address 178.211.23.246:4845(RU)
[00006] 2016-XX-XX 16:46:32 ・・・ from IP address 178.211.23.246:4564(RU)
[00007] 2016-XX-XX 16:46:14 ・・・ from IP address 178.211.23.246:4247(RU)
[00008] 2016-XX-XX 16:46:04 ・・・ from IP address 220.132.76.194:49203(TW)
[00009] 2016-XX-XX 16:45:56 ・・・ from IP address 178.211.23.246:3925(RU)
[00010] 2016-XX-XX 16:45:45 ・・・ from IP address 220.132.76.194:48743(TW)
[00011] 2016-XX-XX 16:45:38 ・・・ from IP address 178.211.23.246:3635(RU)
[00012] 2016-XX-XX 16:45:26 ・・・ from IP address 220.132.76.194:48275(TW)
[00013] 2016-XX-XX 16:45:20 ・・・ from IP address 178.211.23.246:3367(RU)
[00014] 2016-XX-XX 16:45:07 ・・・ from IP address 220.132.76.194:47927(TW)
[00015] 2016-XX-XX 16:45:04 ・・・ from IP address 178.211.23.246:4966(RU)
[00016] 2016-XX-XX 16:44:48 ・・・ from IP address 220.132.76.194:46413(TW)
[00017] 2016-XX-XX 16:44:46 ・・・ from IP address 178.211.23.246:3951(RU)
[00018] 2016-XX-XX 16:43:47 ・・・ from IP address 220.132.76.194:44950(TW)
[00019] 2016-XX-XX 16:42:47 ・・・ from IP address 220.132.76.194:44393(TW)
[00020] 2016-XX-XX 16:42:44 ・・・ from IP address 2.187.188.20:39265(IR)
[00021] 2016-XX-XX 16:42:28 ・・・ from IP address 220.132.76.194:43984(TW)
[00022] 2016-XX-XX 16:42:09 ・・・ from IP address 220.132.76.194:43643(TW)
[00023] 2016-XX-XX 16:42:02 ・・・ from IP address 59.126.146.114:32978(TW)
[00024] 2016-XX-XX 16:41:50 ・・・ from IP address 220.132.76.194:43191(TW)
[00025] 2016-XX-XX 16:41:43 ・・・ from IP address 59.126.146.114:32811(TW)
[00026] 2016-XX-XX 16:41:24 ・・・ from IP address 59.126.146.114:60962(TW)
[00027] 2016-XX-XX 16:41:05 ・・・ from IP address 59.126.146.114:60880(TW)
[00028] 2016-XX-XX 16:40:46 ・・・ from IP address 59.126.146.114:60779(TW)
[00029] 2016-XX-XX 16:40:27 ・・・ from IP address 59.126.146.114:60484(TW)
[00030] 2016-XX-XX 16:39:41 ・・・ from IP address 1.55.74.222:41941(VN)
[00031] 2016-XX-XX 16:39:36 ・・・ from IP address 47.188.129.55:54507(US)
毎秒ではないものの、数秒に1回、どっかの国からルーターへのアクセスを試みているログになっている。ロシア・台湾・イラク・スペイン・アメリカ・ベトナム。
大抵は、rootアカウントないしadministrator/adminアカウントをブルートフォースでアタックしてきている感じだ。それも同時連続性ではない。ツールによって、同一対象に連続でコンタクトしない様になっている。
この攻撃は、現実世界でいうと玄関の鍵を色々なカギをガチャガチャ試されているような光景だ。もしも警備会社と契約してれば不審者としてすぐに自動通報され、さらに警察に通報してくれるでしょう。
しかしネット世界では通報しても解決方法にはならない。
ちなみにこの手の攻撃は今フィーバーしている訳でもなく、昔から日常的に行われている。特に海外でVPNルーターを設置・構築した際の攻撃量には当時は驚いた。特定の対応方法を採ってはいるが、これがもしも脆弱性を突いた攻撃ともなると、こうも穏やかにはいかなくなる。
ルーターといえども、ネットワーク機器はそもそもはPCと同じくオペレーティングシステムが動いている訳で(言わんでもわかっとる話ですまん)、昨今では開発工数コスト削減やら効率化のために、フルスクラッチでOSを作ったりしないので、動いている内容にある程度の汎用性がある。その為、たとえば、Linuxの何かしらの脆弱性がネットワーク機器にも及ぶことがある。独自OS系で市場利用が少なければ、それを突く為のプログラムは中々開発されないが、汎用化されたものは攻撃者も汎用品を相手にしやすいという事になってしまう。
まままぁそれでも今まではサイバーテロによって流出やらで被害はあっても人命がその時に失われることは無かったと思う(社会的抹殺はあるかもだけど)。
でも今は、IoTだの自動運転だのAIだのって市場をわかしているやない?
ドローンをハックされたり自動運転車を乗っ取られたりしたらどうなるんだろうね。
サイバー攻撃で直接人命を奪う時代が来るかもしれない。
乗っ取られなくたってもいいんだよ。自動運転の邪魔とかするだけでも暴走したら無人のカチコミになっちゃう。
世界を少しだけ点々と出張してインターネットに関わって分かったのは、なんだかんだで日本は光ファイバーが破格で広帯域な国。それなのに広帯域高速化の歯止めは無く・・・スピード追及はよいのだけど・・・今度は5Gでそ?
もう何年もDDoSの脅威に勝てない状況だっていうのにさ。DDoSを受け入れやすくしている環境でもある・・・ふぅーむ。coldsweats01
https://www.npa.go.jp/cyberpolice/server/rd_env/pdf/DDoS_Inspection.pdf
DDoSについては、根本対策がなく、性能勝負をするしかない点が課題で、エンタープライズでも軽減策はあっても抵抗量となる性能が上回れなければ勝てない。
IoTによって今までネットに繋がっていなかったものが、なんでもネットに繋がる時代になる。それらが全て、IDSを搭載できるわけでもないし、脆弱を無くせる訳でもないと。
結局何が言いたかったのかというと、クラウド基盤でなんでもフルスタックに扱える時代が来て、インフラ屋は廃業だなぁ~と思っていたのに、IoTによってインフラ屋は美味くもない飯を食い続けなあかん時代が来てるんではないかとcoldsweats01
少なくとも私は、今までそこまで神経をとがらせてインフラ構築やデバイスの運用をしていたわけではないし、ウィルスリスクはクライアントとともにある・クライアント(ユーザー)が引き金になるのが最大のリスクとして対応を考えてきたが、IPをもつデバイス全てに気を使わなければならないかと思うとかなりゾッとするweep
私は昔からインターネットを「毒の海」と表現してたのだけど、いよいよ「腐海」となる時が来たんじゃないかと思ってます。
インターネットの中の人達が何処まで頑張れるかになりますが、あっしらは加害者にならんように・・・取りあえず、やれるところから見直し・手直しだな・・・。
しばらくは・・・製造主としての責任と利用者としての責任がどうなるのか。責任分界点も難しくなっていきそうだ。
長い長い愚痴でございましたm(_ _)m

«Cisco Meraki MXシリーズでログをみたい!

IT

  • 小泉 耕二: 2時間でわかる 図解「IoT」ビジネス入門
  • 日経コンピュータ: すぐわかるIoTビジネス200
  • Massimo Banzi: Arduinoをはじめよう 第3版
  • みやた ひろし: インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門
  • 板垣 政樹、 小坂 貴志: プレゼンを100%成功させる!! ITエンジニアの英語
  • 渡辺和彦: ネットワーク仮想化 基礎からすっきりわかる入門書

ITな機器

  • OSOYOO: B00UKXHKXC Arduinoをはじめよう 互換キット UNO R3対応互換ボード 初心者専用実験キット 基本部品セット20 in 1 Arduino sidekick basic kit
  • Juniper Networks: Juniper SRX100H
  • ヤマハ: ヤマハ スマートL2スイッチ 24ポート SWX2200-24G
  • ヤマハ(YAMAHA): ヤマハ ギガアクセスVPNルーター RTX1210

Amazon

2016年12月
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

最近のトラックバック

無料ブログはココログ