ルータ機器のセキュリティに関する注意喚起

お客様のネットワークの安全を確保するために、以下のセキュリティ対策を強く推奨します。これらの対策を実施することで、ルータやネットワーク全体のセキュリティを大幅に強化できます。

 

1. ログインパスワードの変更
2. 不要なサービスの停止
3. フィルタ設定の実施
4. CLI操作時のプロトコルをTELNETからSSHに変更
5. 最新ファームウェアの利用
6. サポートが終了した製品の買い替え検討

 

1. ログインパスワードの変更

ログインパスワードとは、製品の設定画面にログインするためのパスワードです。このログインパスワードは多くの製品で共通しています。このパスワードを変更しないまま使用したり、推測可能な文字列を設定した場合、第三者に簡単にアクセスされる可能性があります。よって、ログインパスワードは、以下の条件を満たすような推測されにくい文字列を設定してください。

 

1. 英数字・記号を混ぜるとともに、英字は大文字と小文字を混ぜるようにする
2. パスワードの文字数を多くする

 

各製品のログインパスワードの設定方法は、下記ページをご参照ください。

• NXR,VXRシリーズ
• ASシリーズ

 

参考ページ

• NOTICE – 推測されにくい複雑なパスワードに変更してください

 

2. 不要なサービスの停止

ルータには、さまざまなサービスや機能が搭載されていますが、すべてが必要なわけではありません。不要なサービスを無効にすることで、セキュリティリスクを減らすことができます。

 

不要なサービスの停止方法は、下記ページからダウンロードできる各製品のマニュアル（ユーザーズガイド）をご参照ください。

• NXRシリーズ,VXRシリーズダウンロードページ
• ASシリーズダウンロードページ

 

参考ページ

• NOTICE – 使用しない機能や設定は無効にしてください

 

3. フィルタ設定の実施

ルータにグローバルIPアドレスが割り振られる場合、ルータは常にインターネット側からの脅威にさらされています。そのため、フィルタの設定を誤った場合、外部から不正アクセスを受ける可能性が高くなります。
よって、環境に合わせて適切なフィルタ設定を行う必要があります。

適切なフィルタ設定を行うにあたり、まずフィルタの設定方針を決める必要があります。設定方針は大きく分けて以下の二つに大別されます。

1. 不要な通信は破棄し、残りは全て許可する
2. 必要な通信は許可し、残りは全て破棄する

 

1. 不要な通信は破棄し、残りは全て許可する

この設定方針の場合、原則許可になっているため簡単なように思えますが、不要な通信が何であるかを把握する必要があります。また、把握していない不要な通信に対しては無防備となるため、インターネット側でのフィルタ設定としてあまり推奨できません。

 

2. 必要な通信は許可し、残りは全て破棄する

この設定方針の場合、必要な通信が何かを把握する必要はありますが、一般的に使用するサービスに必要な通信要件は各種ドキュメント等に記載されているケースが多く、把握するのは難しくありません。また、許可されていない通信は原則破棄されるため、インターネット側でのフィルタ設定として推奨できます。

 

各製品におけるインターネット側のフィルタ設定方針について

このページでは、弊社FutureNet NXR,VXRシリーズとASシリーズのインターネット側のフィルタ設定方針について解説します。

 

• フィルタ設定する前に
• NXR,VXRシリーズ
• ASシリーズ

 

フィルタ設定する前に

インターネットからのアクセスに対して許可ルールを設定する際、特定の信頼されたIPアドレスまたはIPレンジからのアクセスのみを許可することで、不正アクセスなどセキュリティ上のリスクを低減することができます。

 

NXR,VXRシリーズ

NXR,VXRシリーズのIPパケットフィルタには、静的フィルタと動的フィルタの二種類があります。それぞれ単独での使用だけでなく、組み合わせて使用することも可能です。

 

静的フィルタと動的フィルタの違いおよび設定

静的フィルタと動的フィルタは、それぞれ動作が異なります。
まず、静的フィルタは決めたルールに従って常に同じ動作をします。よって、常に許可するか、常に破棄するかのどちらかのみになります。それに対して、動的フィルタは通信状況に応じて許可と破棄を使い分けます。また、NXR,VXRシリーズの動的フィルタは設定したインタフェースで受信したパケットを全て破棄しますが、そのインタフェースから送信されたパケットに対応する戻りパケットは許可されます。これによりWANからの不要な通信を防止することが可能です。
NXR,VXRシリーズでは、IPパケットフィルタの静的フィルタと動的フィルタは、下記コマンドで設定します。

 

• 静的フィルタ
  ip access-listコマンド（IPv4）,ipv6 access-listコマンド（IPv6）
• 動的フィルタ
  ip spi-filterコマンド（IPv4）,ipv6 spi-filterコマンド（IPv6）

 

静的フィルタと動的フィルタの設定方法および手順

ここでは、IPv4の静的フィルタと動的フィルタの設定方法および手順について解説します（IPv4,IPv6ともに設定方法および手順は同様です）。なお、NXR,VXRシリーズの初期設定状態では、一部機種を除き原則フィルタに関する設定は入っていません。そのため、すべての通信を許可する状態となっています。ただし、インターネット接続の設定も入っていませんので、インターネット接続の設定と合わせてフィルタ設定を行って頂く必要があります。

 

• 静的フィルタ
  1. ip access-listコマンドによるルールの定義
  設定例：NATフィルタ編1-5. 通信別IPフィルタ設定
  2. インタフェースへのルールの適用
  設定例：NATフィルタ編1-1. 入力(in)フィルタ設定
  設定例：NATフィルタ編1-2. 転送(forward-in,forward-out)フィルタ設定
• 動的フィルタ
  1. インタフェースでのip spi-filterコマンドの有効化
  設定例：NATフィルタ編1-3. 動的フィルタ(ステートフルパケットインスペクション)設定

その他インターネット接続を行う設定例でも、上記フィルタ設定等を行っています。

また、一部機種ではルータ上で動作している特定のサービスに対してethernet0インタフェース以外からのアクセスを禁止するforbidden-access-wan機能に対応しています。
設定例：NATフィルタ編1-9. forbidden-access-wan設定

【 forbidden-access-wan対応機種 】
NXR-1300シリーズ,NXR-650,NXR-610Xシリーズ,NXR-530,NXR-350/C,NXR-230/C,NXR-160/LW,NXR-G200シリーズ,NXR-G180/L-CA,NXR-G120シリーズ,NXR-G110シリーズ,NXR-G100シリーズ,NXR-G060シリーズ,NXR-G050シリーズ,VXR-x64（2024/06現在）
最新の対応状況は、各製品の更新履歴やユーザーズガイドをご確認ください。

 

まとめ

NXR,VXRシリーズの設定例は、インターネット接続前提の場合、原則「必要な通信は許可し、残りは全て破棄する」方針で記載されています。ここではどのようなケースで設定を組み合わせるのか紹介します。

• インターネット通信はするが、外部からの不要な通信は破棄したい
  -> インターネット接続インタフェースで動的フィルタのみ設定
• インターネット通信し、外部からの不要な通信は破棄したいが、WEBカメラなど外部から必要な通信は許可したい
  -> インターネット接続インタフェースで静的フィルタと動的フィルタを設定

 

ASシリーズ

ASシリーズ側からのインターネット通信に必要なNAT設定を行うと、 インターネット側からの受信パケットは破棄されるようになります(Web管理画面で基本設定を行うと、ASシリーズ側からのインターネット通信に必要なNAT設定(nat 47 * * * ipcp 0)が自動的に追加されます)。 このため、インターネット側からTelnetやHTTP等の通信を行う場合には、サービスで使用するポートを開放するためのNAT設定が必要になります。開放したポートに対してインターネット側からの通信を制限するにはフィルタの設定を行って頂く必要があります。

 

設定例：フィルタとNAT 5.9 インターネット側からの接続と接続制限

 

4. CLI操作時のプロトコルをTELNETからSSHに変更

TELNETは通信が暗号化されていないため、パスワードなどの情報が盗聴されやすいです。SSH（Secure Shell）を使用することで、通信を暗号化し、より安全にルータの管理を行うことができます。また、SSHのポート番号はデフォルトの22番から変更することも可能ですので、セキュリティをさらに強化できます。

 

• NXR,VXRシリーズ
• ASシリーズ

 

NXR,VXRシリーズ

SSHサーバの設定方法は、下記ページをご参照ください。

• 運用管理編13-2. SSHサーバ設定

 

(☞) 一部ファームウェアバージョンからTELNETサーバの工場出荷時設定を「無効」、SSHサーバ機能の工場出荷時設定を「有効」に変更しています。詳細は各製品のファームウェアの更新履歴をご参照ください。

• NXR,VXRシリーズダウンロードページ

 

ASシリーズ

SSHサーバの設定方法は、下記ページをご参照ください。

• 運用管理 8.4 SSHサーバ機能 

 

(☞) ファームウェア v2.x 以前では、SSHサーバ機能はありません。ファームウェア v3.x以降のSSHサーバ機能の工場出荷時設定は「有効」です。

 

5. 最新ファームウェアの利用

製品のセキュリティを維持するために、常に最新のファームウェアを利用することを推奨いたします。最新のファームウェアには、機能追加や不具合修正、そしてセキュリティの脆弱性を修正するためのアップデートが含まれています。

最新のファームウェアは、ダウンロードページよりダウンロードいただき、製品に適用してください。

• NXR,VXRシリーズダウンロードページ
• ASシリーズダウンロードページ

 

各製品のファームウェア更新方法は、下記ページをご参照ください。

• NXR,VXRシリーズ本体ファームウェア更新手順
• ASシリーズファームウェア更新方法

 

参考ページ

• NOTICE – ファームウェアが最新版でない場合はアップデートしてください

 

6. サポートが終了した製品の買い替え検討

サポート期間が終了した製品は、新たなファームウェアが提供されません。そのため、新たな脆弱性が発見されてもセキュリティアップデートが提供されなくなり、新たな脆弱性に対して無防備になります。サポート期間が終了した製品を使用している場合は、サポート期間が有効な新しいルータへの買い替えを検討してください。

 

製品の販売終息日およびサポート終了日については、下記ページをご参照ください。

• 製品情報（販売終息製品）

 

参考ページ

• NOTICE – サポートが終了したルーターやネットワークカメラは買い替えをご検討ください

 

補足. NOTICEについて

NOTICEとは、総務省・国立研究開発法人情報通信研究機構（NICT）・インターネットサービスプロバイダ（ISP）が連携し、IoT機器のセキュリティ対策向上を推進することにより、サイバー攻撃の発生や、その被害を未然に防ぐためのプロジェクトです。また、IoT機器の安全な管理方法の広報や、危険性があるIoT機器の利用者への注意喚起を行っています。IoT機器のセキュリティリスクの啓発と対策習慣の浸透やセキュリティ対策に関する情報提供を行っていますので、ぜひ参考にしてください。