インターネット接続のセキュリティを高めるためにYAMAHA ルータ RTX810を導入しました

※当記事の想定している読者は、YAMAHAルータを設定し利用した事のある方を対象としています。

eo光ネットサービスを申込みインターネットが開通する際に、eo光の多機能ルータ(eo-RT100(N1))では、PPPoEの設定内容を確認できず、トラブルシューティングにおいて原因の切り分けが出来ない懸念が発生しました。
懸念を解消するために、ネットワーク構成を検討し対策を行います。
今回は、設定を行う準備として方針を決めます。

1.前提

インターネット接続サービスは、eo光ネット【ホームタイプ】 1ギガコースを利用しており、オプションサービスのeo光多機能ルータ無線ルータ機能を契約しています。IP電話を利用しておりeo光電話も契約しています。

インターネット接続サービス契約内容

インターネット
　･ eo光ネット【ホームタイプ】 1ギガコース
　オプションサービス：
　　　･ eo光多機能ルータ機能（eo-RT100(N1)のレンタル）
IP電話
　･ eo光電話
　･ eo光電話アダプター利用
　オプションサービス：
　　　･ 発信者番号通知
　　　･ eo光電話パック3

2.目的

eo光の多機能ルータ利用による懸念の解消に合わせて、インターネット接続におけるセキュリティリスクの低減を目指します。目的とする効果は、ローカルネットワーク内で感染したとしてもインターネットへ対しての感染被害拡大を防ぐことです。

3.方針

①インターネット接続ルータにYAMAHA RTX810を利用

eo光の多機能ルータ(eo-RT100(N1))の設定内容を一部確認できない問題に対応する為、替わりに全設定内容をテキストで確認できるルータの導入を検討し、過去に利用実績のあったRTX810ルータを採用します。
eo光の多機能ルータは、eo光電話を利用するためにモデム機能が必要なので引き続き利用します。

eo光多機能ルータ(eo-RT100(N1))と比較した場合のRTX810ルータのメリット

･ ルータの設定内容を全て把握できることにより、問題となる設定を特定しやすい（show config コマンドで全設定内容がテキストで確認できる）
･ ルータのコマンドにて 問題発生時の状況や状態を把握できる
･ 事後調査に利用する為に、必要な通信ログを取得できる

②インターネット接続において最低限必要な通信のみ許可する

インターネット接続し、ブラウザによるサイト閲覧やメールの利用を行うため、RTX810ルータのフィルタ設定にて下記の通信を許可するように設定します。

･ Appleへの通信
･ ubuntuへの通信
･ Googleへの通信
･ DNS名前解決の通信（GoogleのDNSサーバへの通信のみ）
･ 時刻同期のための通信（NTP通信）※今後実装予定。
･ ブラウザでの閲覧（HTTPS通信のみ）
･ メールの送受信（SMTP AUTH通信, IMAP通信のみ）※今後実装予定。
･ PING通信（ローカルネットワークからインターネットに向けてのみ）

インターネット接続において推奨されていない為、HTTP通信を許可しない。

･ ブラウザでの閲覧（HTTP通信）

Googleが、2018年7月に「フレンドリーなサイト制作・運営に関するウェブマスター向け公式情報」を発表し、ChromeでHTTPSで暗号化されていないサイトに警告を表示するよう対応を開始したことを受けて、HTTP通信を許可しない。

③リスクとなり得るRTX810ルータの不要な機能は停止する

RTX810ルータの設定作業は、ルータにssh接続しCLIにて作業を行うので、利用しない管理用WEB画面は停止します。また、LUAスクリプトは、便利な機能ではあるが、多機能なゆえ脆弱になり得るので利用せずに停止します。

RTX810ルータにて停止する機能

･ 管理用WEB画面（httpdサービス）
･ telnetdサービス　※現在未停止。ルータ設定手段をsshに変更後に停止予定。
･ LUAスクリプト機能

④トラブルが発生した際、調査しやすいように最低限必要な通信ログを取得する
インターネット接続時の通信ログや疎通調査の通信ログを、RTX810のフィルタ設定にて下記ログを出力するように設定します。

･ DNS名前解決の通信ログ
･ HTTPS通信ログ
･ PING通信ログ

【ご注意】

本記事は、あくまで個人利用の範囲において記載したものです。当記事を参考にされたことにより被害を被ったとしても当方は責任を負いません。
ご利用いただく際には、十分に評価・検証を実施してください。