セキュリティさくら #12 LT

1. おうちねっとわーく
の
セキュリティ
ゆーいちろー

2. 誰？

3. 誰？
• 18歳
• 熊本の高専3年生
• コンピュータとかネットワーク,数学とかすき
(できるとは言っていない)
• seccamp2013 NW組
• CTF: decrement++
• Twitter: @y1r96

4. 今回話すこと

5. おうちねっとわーく
を
格安で整備したので
自慢します

6. おうちNW
改修までの流れ

7. ネットワークに接続するもの
• コンピュータ
• 家族用
• 私用
• 会社用*2 (自宅が父の会社で,社員さん持ち込みのPCがある)
• ゲーム機,TV,プリンタ
• VMware vSphere Hypervisor
• CentOSのサーバ群(DNS, DHCP, DB, www, mail,
minecraft)

8. IPアドレスの割り振り
• 基本的にネットワーク全て同一ネットワークで
192.168.1.*を用いる
• 192.168.1.2∼99: DHCP
• サーバ群以外
• 192.168.1.100∼: static
• サーバ群

9. 問題なさそう？

10. ある日
iTunesを開くと…?

11. ＿人人人人人人人人人人＿
＞ ＜
＞ ＜
＞ ＜
￣Y^Y^Y^Y^Y^Y^Y^Y￣
社員さんの
iTunesライブラリが
私のiTunesに
表示されてる!!!

12. What？

13. https://support.apple.com/ja-jp/HT201779

14. ARP Spoofing

15. ARP
(Address Resolution Protocol)
• IPアドレスとMACアドレスを変換する.
• ブロードキャストして,対応するIPアドレスからの
MACアドレスの通知を待つ.
• そのReplyをARPテーブルに保存し,それを用いて
MACアドレスを調べる.

16. 偽のReplyをARPテーブルに
保存させることができる！

17. 何ができるか
• ルータのARPテーブルのWWWサーバにあたる
MACアドレスを攻撃者のMACアドレスに
書き換えれば,WWWサーバを乗っ取れる

18. ネットワーク分割
しないとまずいかも？

19. とりあえず,
ルータにいっぱいNIC刺せば,
複数NWを実現できるのでは？

20. ＿人人人人人人人人＿
＞ ＜
￣Y^Y^Y^Y^Y^Y^Y￣

21. 複数枚なんて買えない…

22. ネットワーク分割なら
VLANを使うといいので
は？

23. VLAN
(Virtual Local Area Network)
• スイッチなどのネットワーク機器の機能により、物理的な接続形態とは別
に仮想的なネットワークを構成することである。スイッチの接続ポートや
MACアドレス、プロトコルなどに応じて、端末のグループ化を実現する。
• 近年、VLANの用途は多様化しているが、最も多いVLANの用途としては
レイヤ3スイッチを用いて、スイッチをルータとしたネットワークを構成し
ているものなどがある。主にブロードキャスト・ドメインの分割による通
信帯域の有効活用を目的として利用される事が多いが、大企業などではス
イッチを用いて部門毎にVLANを設けることでネットワークを分割し、ア
クセスを制限するなどネットワークセキュリティ対策手段としての用途も
ある。
• http://ja.wikipedia.org/wiki/Virtual_Local_Area_Network

24. VLAN対応スイッチ
っておいくら？

25. http://www.netgear.jp/supportInfo/NewsList/268.html

27. NIC複数枚買うより安い?

28. そもそも,
VLAN対応スイッチだけで
複数NW組めるの?

29. 組める!

30. IEEE 802.1Q
• IEEE 802.1 ワーキンググループが策定したネットワーク規
格であり、ブリッジで連結された複数のネットワークで情
報を漏洩させることなく同じネットワークリンクを透過的
に共有する方式である。一般にイーサネットのネットワー
クでのカプセル化プロトコルを使った実装を指す。
http://ja.wikipedia.org/wiki/IEEE_802.1Q

31. • TPID (Tag Protocol Identifier)
• IEEE 802.1Q によるタグ付きフレームであることを示すため、0x8100 という値を置く16ビットのフィールド。
• PCP (Priority Code Point)
• IEEE 802.1p で定義された優先度を指定する3ビットのフィールド。フレームの優先度を0(最低)から7(最高)で示し、各種ト
ラフィック(音声、動画、データなど)の優先順位付けに利用できる。
• CFI (Canonical Format Indicator)
• 1ビットのフィールドで、1であればMACアドレスは正規フォーマットではないことを示す。0であれば、MACアドレスは正
規フォーマットである。イーサネットの場合は常に0である。これはイーサネットとトークンリングの相互接続時に使われる。
イーサネットポートでCFIが1のフレームを受信した場合、そのフレームはタグ付けされていないポートへはブリッジされな
い。
• VID (VLAN Identifier)
• 12ビットのフィールドで、そのフレームが属するVLANを指定する。0の場合、どのVLANにも属していないことを意味し、
そのような802.1Qタグは単なる優先度タグ (priority tag) として使われていることになる。0xFFFという値は実装で使用す
るために予約されている。それら以外の全ての値はVLANの識別子として使われるので、最大4094個のVLANを扱える。ブ
リッジでは、1番 (0x001) を管理用に予約していることが多い。
• http://ja.wikipedia.org/wiki/IEEE_802.1Q
IEEE 802.1Q

32. IEEE 802.1Q

34. つまりこれ
格安でNICになるのでは!?

35. 最終的に
• 192.168.A.*: サーバ群
• 192.168.B.*: 自宅ネットワーク
• 全サーバとインターネットへのルーティングを行う
• 192.168.C.*: 会社ネットワーク
• 一部サーバとインターネットへのルーティングを行う
• 192.168.D.*: 来客向けネットワーク
• インターネットへのルーティング
• 192.168.E.*: VPN接続クライアント
• 全サーバとインターネットへのルーティング

36. 現状の問題
イメージスキャナがスキャン時に
ブロードキャストを必要とするので
同一ネットワークでしか動かない！！！

37. VLAN対応スイッチを
NIC代わりにするデメリット

38. 全ネットワーク間のトラフィックが
スイッチとルータ間を通る

39. ＿人人人人人人人人＿
＞ ボトルネック ＜
￣Y^Y^Y^Y^Y^Y^Y￣

40. Linux ルータってなんか難しそう…

41. どうやって設定するの…

42. ＿人人人人人＿
＞ わかる ＜
￣Y^Y^Y^Y￣

43. そんなあなたに…

45. VyOS
• VyOSは、Vyattaから派生したオープンソースのネットワーク・オペレー
ティング・システムで、ソフトウェアベースのルーティング、ファイア
ウォール、VPNなどの機能を提供します。
• 物理環境、仮想環境双方で動作します
• 仮想環境用の準仮想化ドライバおよび統合パッケージをサポートします
• 完全にフリーかつオープンソースです
• http://wiki.vyos-users.jp/
%E3%83%A1%E3%82%A4%E3%83%B3%E3%83%9A
%E3%83%BC%E3%82%B8

46. 例えば
どんなふうに設定するの?

47. eth0にVLANを設定する場合
$ configure
設定モードに切り替え
# set interfaces ethernet eth0 vif 1
eth0にVLAN ID 1としてNICを追加
# set interfaces ethernet eth0 vif 1 address 192.168.1.1/24
そのNICのIPアドレスを192.168.1.1に設定
# commit
反映
# save
保存
# exit

48. eth1にPPPoEを設定する場合
$ configure
設定モードに切り替え
# set interfaces ethernet eth1 pppoe 0
eth1にPPPoEトンネル終端のNICを作成する
# set interfaces ethernet eth1 pppoe 0 user-id hogehoge@example.com
PPPoE接続ユーザIDを設定
# set interfaces ethernet eth1 pppoe 0 password foobar
PPPoE接続パスワードを設定
# commit
反映
# save
保存
# exit

49. ね、簡単でしょ?

50. まとめ
• ネットワーク構築,自宅でやってみませんか！
• VLAN使えば分離されたNWが格安で作れます！
• VyOSでルータ,めっちゃ簡単なのでおすすめ！