タグ: RT2600ac

[Synology] Wi-Fiルーター RT2600ac/RT6600axをSoftbank Airに接続してワイヤレスAPとして使用する – 次世代ルーターRT6600についても解説 [2022/10/11]
Post Views: 366

Synology RouterとSoftbank Air

家庭で使用するには，過度と思える高度な機能を持つSynology社のWi-Fiルーターですが、blogなど自宅からの発信や出先からのNASのデータ閲覧など高度なことをする場合は外せないのがSynology社のルーターです。出先からどうしてもFree Wi-Fiを使用して自宅のローカルネットワークに繋げなければならない場合など，VPN Plusによる接続は強い味方です．

これまで、ルーター製品RT2600acが、僕の家でも活躍していましたが、2022年の春頃にRT6600ax * という新しいWi-Fi規格(結果3バンド)および2.5GbE * に対応した高速ルーターが上市されました。一時期品薄になった時に、少し高額でしたがAmazonで手に入れて2022/08から運用しています。

* RT6600axの特徴
Wi-Fi接続を複数のネットワークに分離:
例えば以下のような構成が可能です。基本的にIoT機器は、Wi-Fi接続されています。その接続で脆弱性がある場合、ネットワークが分離されていないと、すべての接続されているデバイスに脅威にさらされることになります。Wi-Fiネットワークの分離が重要であることが理解できます。

(1) ホームネットワーク :
プライマリネットワークに接続します。Safe Accessによる悪意のあるコンテンツ(例えば、シッピングサイトやアダルト)をデフォルトプロファイルに簡単に作成して、お子様のオンライン上での行動を管理することができます。

(2) ゲストネットワーク :
ゲストネットワークを簡単に分離し、ChromecastやAirplayデバイスへ接続設定が可能です。より厳しい帯域制約とウェブフィルタリング、などにより接続品質が危険なデバイスによって影響されないようにします。

(3) IoTネットワーク :
一般的にIoTデバイスは、アップデート頻度が低く脆弱性が高めです。これらデバイスをプライマリネットワークから切り離すことで、潜在的な悪意のある攻撃のバックドアになることを防止できます。一方通行ファイアウォールルールも活用します。

(4) オフィスネットワーク :
サーバーやデバイスを分離することで、ネットワークが外部のリソースをホストしている場合や同僚が遠隔地からアクセスする場合に干渉やセキュリティの問題を回避することができます。

(5) 監視ネットワーク :
IPカメラ接続ネットワークを隔離、単方向ファイアウォール、独立したトラフィック制御ルールにより、監視タスクの中断、速度低下を抑制が可能です。

* 2.5GbE(2.5 giga bit ether): 有線規格。歴史的には10baseT→100bastT→1000baseT(1Gbps: giga bit per second), 1GbE)と普及してきた。近年10GbEの普及があると思われたが、なかなか普及しなかったことからその途中を補完する2.5GbEが市場投入されてきている。

有線LANはいよいよ2.5Gbpsの時代へ！

2.5GbEカンタン導入術 – planet comm –
https://www.planex.co.jp/articles/lan/25gbe_no2/

これまで使用していたRT2600acは、「別宅」に設置しました。別宅には、Synology NAS DS918+を設置しています。Wi-FiルーターはSoftbankの「Softbank Air」です。Softbank Airの有線端末にRT2600acを接続し、RT2600acのWi-Fiにはローカル・デバイスを接続することにしました。

Softbank Airは、無線の電話回線を使用するWiFiルーターであるため設置工事が不要です。Softbank Airの前には、AU Speed Wi-Fi Homeを2週間使用していました。僕の地域ではSpeed Wi-Fiでは、その通信速度は朝では問題ありませんでしたが、夜7時を過ぎると100bpsと極端なスピード劣化が頻繁にありました。それが我慢できずに、Softbank Airに乗り換えたのでした。Softbank Airは、AU Speed Wi-Fi Homeと比較して極端な通信速度低下はなく満足しています。

というわけで、Synology NASを使用していて高度なことをしているのに、Softbank Airにネットワーク・セキュリティやローカル通信を任せてはおけないと思い、本宅からRT2600acを別宅に持ってくることにしました。

僕のネット環境ですが、RT2600ac/RT6600axおよびNASは、同じSynology製であることから、その操作性は同じでそれぞれの管理は楽です。RT2600acは2台あります。故障に備えてもう1台準備していたので、一台は別宅に設置して、もう一台は本宅に予備機として保管しておくことにしました。本宅には、blogサーバーとしてDS920+があります。ルーターにはRT6600axを置きました。RT6600axのローンチと同時にSRMもバージョンアップされました。より高いセキュリティ性や操作性を期待しています。

RT2600acのSRMバージョン: SRM 1.2.5-8227 Update 5 (2022/09/23現在),
添付のVPNクライアントのライセンス数は1ですが、追加で20(RT6600axでは増加したことを確認済み、CPUの処理能力に依存しているので妥当な数のはずですが、要確認)まで増やすことができます。今は、その追加は無料で可能です。
(Release notes)

RT6600axのSRMバージョン: SRM 1.3.1-9346 Update 1(2022/09/23現在),
添付のVPNクライアントのライセンス数は1ですが、追加で40(最大同時アカウント数)まで増やすことができます。今は、その追加は無料で可能です。
(Release notes)

工事がいらないおうちのWi-Fi – Softbank –
https://www.softbank.jp/internet/special/air/?utm_source=gkt&utm_medium=cpc&utm_campaign=air&utm_content=2_4_1_10000&gclid=Cj0KCQjwj7CZBhDHARIsAPPWv3eB62-kELQR9C5stZGksVD0IROhFTmGqrEdOBz_t211F9GOXezkiJkaAlt8EALw_wcBhttps://www.softbank.jp/internet/special/air/?utm_source=gkt&utm_medium=cpc&utm_campaign=air&utm_content=2_4_1_10000&gclid=Cj0KCQjwj7CZBhDHARIsAPPWv3eB62-kELQR9C5stZGksVD0IROhFTmGqrEdOBz_t211F9GOXezkiJkaAlt8EALw_wcB

Synologyルーターを選ぶ理由

以下に示したような機能/アプリがあり、いろいろな作業が可能です。例えば、セキュリティの維持のための基本的な設定(DoS攻撃対応、ログイン回数制限など)、VPN (Virtual Private Network)によるローカール環境での作業、また、ルーター自体のiPhoneアプリによる管理の容易性、などが特徴として挙げられます。

SRMとは

SRM (Synology Router Manager) は、Synology ルーターのOSです。PCのWIndowsにあたります。Webブラウザ/アプリからアクセスして作業します。

アクセス方法は、以下の2種類が用意されています。Webブラウザでは出来ないことが、アプリではできたりと、少し挙動が異なっています。操作に悩んだ時は、切り替えて作業をしてみてください。
1. Web ブラウザにより指定のポートにてurlにアクセスしてログインする。
2. iPhoneアプリ「DS Router」を使用してログインする。
Synologyルーターを管理するために主に使用するアプリを以下に示します。

ルーター用アプリ
1. パッケージセンター:
  標準でインストールされていない機能をインストールしたり、アプリのアップデートしたりする機能があります。Synology NASのDSMにも搭載されているアプリです。
2. コントロールパネル :
  通常管理に使用する機能群が集約されています。ユーザー設定、地域設定、証明書、SRMのアップデートなど。
3. ネットワークセンター:
  特にネットワーク管理の機能が集約されています。(1)状態、(2)インターネット、(3)ポート転送、(4)ローカルネットワーク、(5)トラフィックコントロール、(6)セキュリティ、(7)操作モード、などの管理ができます。以下、選択して特記しておきます。
  1. (3)ポート転送:
    ワイヤレスAPモードのRT2600acでは使用できなくなる。因みに、RT6600axではワイヤレスAPモードが選択できない。
  2. (4)ローカルネットワーク:
    ワイヤレスAPモードのRT2600acでは使用できなくなる。使用できなくなるとRT2600acのWi-Fiに接続しているデバイスがあるのに、そのデバイス名を確認できなくなるため非常に困るが、DS Routerを使用すると下のメニューにある「デバイス」から確認できるので、今はこの方法で対応しておく。
  3. (5)トラフィックコントロール:
    ワイヤレスAPモードのRT2600acでは使用できなくなる。
  4. (6)セキュリティ:
    証明書の発行管理などの操作が可能です。
  5. (7)操作モード:
    
    (1)ワイヤレスルーター:
    Synology NASをプロバイダー経由でインターネットに繋ぎインターネットを使用する場合に使用します。
    
    (2)ワイヤレスAP:
    今回の事例のように、すでにプロバイダーに接続するルーターがあって、そのルーターにSynologyルーターを接続する場合に使用します。
    
    (3)ワイヤレスリピーター:
    Wi-Fiの距離を伸ばす場合に使用します。一般家庭では必要ありません。RT2600acではこの機能は使用可能ですが、RT6600axには搭載されていません。
4. ネットワークツール:
  pingや経路の検査ができます。脅威のあるパケットを監視するアプリ「Threat Prevention」で脅威として認識されているIPアドレスを、このツールで検査したりできます。
5. Threat Prevention:
  パケット内容を監視して脅威のレベルに応じてアラートしてくれたり、パケット自体のドロップをしてくれます。アドオン・アプリです。パッケージセンターからインストールして使用します。使用には外付けUSBメモリの接続が必要で、ログ記録に使用します。
6. VPN:
  このコロナ禍で一気に知られることになった。外部からのアクセスツールです。アドオン・アプリです。パッケージセンターからインストールして使用します。使用には外部ネットワークから接続するため、サイト(IPアドレス)に対するLet’s Encryptなどから得た「証明書」のインストールが事前準備として必要です。
つまづいたこと

iOSのWi-Fi設定で「インターネット未接続」、Windows PCで「Npcap Loopbakc Adapter」

この問題が起きた当初は、Synology NASおよびSynology RouterをSoftbank Airへの接続が原因であると思い込んでいました。ネットネーブルを抜き差しして確認しました。Synology RouterをSoftbank Airに接続し、Synology NASは未接続とすると、iOSでの「インターネット未接続」は表示されませんでした。そこで、Synology NASの設定に原因があると考え、その設定をあれこれ変更しましたが、解決しませんでした。

何気にWindows 11のSurface Pro 6の下のメニューにあるWi-Fiアイコンにマウスカーソルを持って行った時、「Npcap Loopback Adapter」の表示が出てきました。ググってみると、自分自身にpingを送る時などの検査に使用するもののようです。解決方法は、「Npcap Loopback Adapterという項目が有効になっているはずなので無効化せよ」とのことでした。結局、これを無効化することで、Windows11の「Npcap Loopback Adapter」の表示は消えましたが、iOSでの「インターネット未接続」については、若干、表示が消える時があるものの、まだ表示の継続、たまに表示が消えるなどの状態は改善できてませんでした。

しばらく様子を探った結果、Synology NASの通信の多さが原因でした。以下の項目でまとめたように、NASにはバックアップ設定をSynology Driveを使っていることで、バックアップが完了していないファイルの転送によるトラフィックが回線を占有する状態となって、iOSが、「インターネット未接続」を判断したようです。NASでのバックアップが完了した後は、この問題は解決しました。

しばらく様子を探った過程で、ルーターの接続形態(下図)は「ワイヤレスルーター」および「ワイヤレスAP」のいずれでもSoftbank Airを介したインターネット接続が可能であることを確認できました。現在は、「ワイヤレスルーター」で設定しています。この設定により、Softbank AirをDNSとてアドレスを与えられるデバイス群とSynology NASをDNSとしてアドレスを与えられるデバイス群とにローカルアドレスを分けることができました。これによって以下の設定が可能になります。
1. ホームオートメーションに使用している温度計、赤外線リモコン、スイッチなど制御関係のデバイスが接続されているネットワークをその他のネットワークから切り離す。
2. データ共有などを利用するWindowsマシン、iOS, Synology NASをホームオートメーション関連のネットワークから切り離す。
RT2600acの操作モード

RT6600axの操作モード

Figure

VPNクライアント

Synology Routerの製品別において，同時接続できるVPNクライアント数は以下の通りです．

デバイスモデルクライアント VPN アクセスライセンスの最大数
RT6600ax 40
WRX560 20
RT2600ac 20
MR2200ac 10
RT1900ac 10
クライアント VPN アクセスライセンス │ Synology VPN Plus | Synology Inc.

Npcap Loopback Adapter -ボッチSEのパドリングブログ-
https://paddling-blog.com/1910-2

まとめ

別宅にRT2600acを導入しました。RT2600acは最も外部にあるSoftbank Airに有線で接続しています。RT2600acには、NASやPCおよびiPadなどをWi-Fiで接続しました。

ローカルネット内は、RT2600acを経由させることで、PC、iPadなどの間で行うファイル転送が高速になると期待できます。おそらくSoftbank AirはRT2600acと比較してそれほど高性能ではないと考えられるためです。

以上

編集履歴
```
2022/09/23 Mr.Harikiri
2022/09/24 追記: RT6600axの特徴
2022/09/29 追記: iOSの「インターネット未接続」とWindows 11の「Npcap Loopbakc Adapter」の問題について。
2022/10/11 追記: (1)iOS「インターネット未接続」問題の解決したことについて、(2)Softbank AirとSynology Routerの共存設定(ワイヤレスルーター、ワイヤレスAP)。
2023/04/10 追記: Router別の同時接続可能なVPNクライアント数
```
2022年9月23日

デバイスモデル	クライアント VPN アクセスライセンスの最大数
RT6600ax	40
WRX560	20
RT2600ac	20
MR2200ac	10
RT1900ac	10

[Synology] 高速WiFiルーター RT2600ac – 独自VPN Plus Server – 海外からのアクセスには独自のSSL VPNが高速、19のライセンスを無償で追加 [2022/06/16]

Post Views: 427

はじめに

VPN clientでVPN serverに接続すると、そのVPN serverで設定されたローカルのIPアドレスが与えられます。そうすることで、Internetにアクセスする場合、そのローカルIPからルーターのグローバルIPを窓口としてアクセスすることになります。すなわち、ローカル環境を手に入れたことになる訳です。

VPN提供業者のサービスでは、仮装ロケーション、位置情報の隠蔽などが可能と謳っていますが、この原理は、VPN接続したクライアントのIPアドレスが、サーバーのIPアドレスになるためです。VPNサーバーがアメリカにあれば、そのアメリカのIPアドレスがクライアントのIPアドレスになります。複数の国にVPN serverを持っているVPN提供業社では、それに応じたグローバルIPアドレスの取得が可能なようです。

SynologyのVPN Plus Serverは、L2TPやOpen VPNなどに対応していますが、やはり、VPN Plus独自のSSL VPNは、L2TPよりも通信速度は高速でした。

SSL VPNの使用をお勧めします。

因みに、VPN提供業者の評価は、以下のリンクが参考になります。

2022年のベストVPN – TOP10VPN –
https://www.top10vpn.com/japan/v/asia/?bsid=c0jpse1kw005&gclid=CjwKCAjwloCSBhAeEiwA3hVo_TtrjkTThBdk9NnkZ9cm1orW3ZQhSPOEpOmR3EH6rN_QluEOXBgYzhoCqhkQAvD_BwE

いろいろなプロトコル

vpnのプロトコルについて以下の表に示しました．古い順にしめしてあります．最も新しいのがOpenVPNです．

プロトコル	説明
PPTP	古いプロトコル．macOS/iOSに非対応
L2TP/IPsec	PPTP互換，速度遅い，ファイアウォールにブロックされることがある．
SSTP	Windows向け
IKEv2	モバイル向き
OpenVPN	開発進行中．オーブソース．

VPN対応ルーターとは? 初心者が知っておくべき選び方・注意点 ~ ITトレンド
https://it-trend.jp/vpn/article/48-0068

Synology VPN Plus

Synology RT2600ac ルーターは、パッケージセンターにあるVPN Plus Serverを導入することで、手軽にVPNサーバーを構築できます。

iOSのiPadやiPhoneでは、クライアントアプリから手軽にVPN接続することが可能です。

Windowsでは、ブラウザからVPNに接続すれば、クライアントのダウンロード/インストールが催促されます。一回、インストールすれば、この催促は表示されなくなり、ブラウザからVPNに接続できるようになります(前掲のリンクをご参照ください)。

インターネットからの接続の場合、証明書がエクスパイアしていて接続できない等、いざと言う時には、ローカル環境が必要な場面があります。その他、ID/PWによるログインにより、不運にも何度も失敗しアカウントが自動ブロックされた場合です。攻撃者であるなら、そのまま永遠にブロックリストに登録(等)されていてもいいのですが、自分自信の場合は、ブロックリストから解除しなければなりません。しかし、アクセスとして外部IPアドレスを許す設定はセキュリティ的には低くなるため、許可するIPアドレスとしてローカルのみを設定しています。そうすると、もしもの時には、自宅に帰ってローカル環境でブロックリストにアクセスすれば良いのですが、どうしても出先にいる場合は、VPNに接続して擬似的にローカル環境で作業を行う訳です。

RT2600ac

ハードウェアインストールに関する取扱説明書は、以下のリンクからご参照ください。

Synology Router RT2600ac

ハードウェア行くストールガイド
https://global.download.synology.com/download/Document/Hardware/HIG/Router/17-year/RT2600ac/jpn/Syno_HIG_RouterRT2600ac_jpn.pdf

出先からRT2600acにアクセスするには

不正にログインすることを防御するには、Two Factorを使うことが有効です。一方、通信途中の傍受(盗聴、改ざん)については、通信内容の暗号化技術の導入が有効です。それが、VPN (Virtual Private Network)です。

先ず、自宅のネットワークやSynology機器のDSMなどにアクセスする方法として、Internetからhttpsで入る方法があります。更にセキュリティを上げるには、追加で暗号化されたVPNを通じて入る方法があります。

Synology RouterのRT2600acに対して出先からアクセスする場合、DS routerというアプリを使用できます。DS router アプリは機能制限があるので、設定が必要な場合は、ブラウザからRT2600acにアクセスする必要があります。

VPN Plus Server – Synology –
https://kb.synology.com/ja-jp/SRM/help/VPNPlusServer/vpnplus_server_desc?version=1_2

VPN プロトコルの種類

SynologyのVPN Plus serverが提供するVPNは以下の通りです。

Synologyが提供するVPN server
- Synology VPN
  - SSL VPN : ライセンス数1 (同時アクセスできるユーザー数)、19の優勝クライアントライセンスは、2021/09に無償化された。
  - WebVPN : ライセンス数1
標準VPN
- SSTP VPN : ライセンス数1
- OpenVPN : ライセンスフリー (複数設定可能)
- L2TP/IPSec VPN : ライセンスフリー (複数設定可能)
- PPTP VPN : ライセンスフリー　(複数設定可能)

記事を書いた当時(2020)はL2TP以外のVPN接続を確認できていませんでしたが、Synology SSL VPNの接続も確認できました(2021/01/05)。

iOSは、SystemとしてL2TPに対応していますし、Synology SSL VNPへの接続には、接続アプリが提供されています。VPN Plusをアプリストアから探してインストールしてください。L2TPよりは、SSL VPNを使った方が接続は安定しています。

設定概要

共通の設定(ここでは、詳細な説明はしません)
- Internetからのアクセスには、DDNSによるドメイン名の取得が必要
- RT2600acでSRMのポートを開放 (L2TPでは必要ではない)
- iPhoneへのDS routerアプリのインストール (ネット管理のため)
- iPad/iPhoneのファイルブラウザアプリ (FileBrowser Biz)のインストール　(ローカルアドレスによるファイルにアクセスするために使用しています)
VPN経由
- VPN接続までの経路では、httpsのSSLで通信内容は暗号化されます。
- VPN接続後の通信内容は、VPNにより暗号化され、その後のInternetへのアクセスは、1つ余分なVPNを経由します。これによってローカル環境を取得できます。具体的な接続のイメージは、
  Client → VPN (Server) → Internet、です。
- 効率性 : 追加したVPNでの暗号化・複合化があるためレスポンスが低下はやむを得ないですが、RT2600acの性能次第です。2022上半期にSynologyは新しいルーター製品を販売開始するとアナウンスされています。性能がアップされているようなので、手に入れた際には性能比較をする予定です。
- 設定概要
  - RT2600acへのVPN Plus Serverのインストール
  - iOSでの設定
    - L2TPでは : iPad/iPhoneの設定 → 「VPN構成を追加」にて設定
    - VPN Plus アプリ内で設定して接続
  - Wondowsでの設定
    - WebブラウザでRT2600acのVPN Plus Serverにアクセスして接続
  - 管理
    - ローカルネットの管理は、接続しているVPNのローカル環境からDS RouterアプリでRT2600acに接続にて行います。
    - VPNの管理は、接続しているVPNのローカル環境からRT2600acにログインし、VPN Plus Servrから、接続状況、ログなどで確認になります。
Internetのみの経由 (VPN接続との違い)
- 端末からのローカル環境は利用できない。

VPNによる暗号化

VPNの暗号化通信には、RouterにVPN ServerとClient側の設定が必要です。以下の「VPNのインストールと設定」を行ってください。

VPNサーバー

下図は、RT2600acのデスクトップです。

下図は、パッケージセンターにあるパッケージです。VPN Plus Severをインストールします。

左上の窓アイコンから、使用できるアプリが表示されます。VN Plus Severを起動して設定してきます。

SSL VPN

SSL VPNサーバの設定

クライアントIPの範囲
- Local Networkに設定してください。この設定は、もしもの時に、Local Networkからはアクセスを許可する設定にしているため、外からVPNに入ってローカルIPアドレスを取得することで、外からローカルIPアドレスによりアクセスが可能とするためです。
- NASの「コントロールパネル → アカウント → ホワイト/ブロックリスト」のホワイトリストには、ローカルIPアドレスを設定していることが前提です。
ポート
- 以降に解説しているL2TPの場合とは異なり、ポート番号が必要です。重要な事は、ポート番号は、その他のサービスと重ならない番号を設定することです。重ならないポート番号を設定することで、そのポート番号を使ったコールは、本RT2600acルーターのサービスとみなされ、SLL VPNサーバーをコールすることができます。
- 割り当てられている「ポート番号」は、「ネットワークセンター → 転送」にて確認してください。

SSL VPN クライアント

DDNS名とポート番号(<your DDNS name>:<port no>)とUI/PWを入力して接続します。2ファクターを設定していれば、認証番号の入力を求めてきます。入力して接続します。

接続できれば、ローカル環境と同様に作業が可能です。NASの接続IPアドレスも、ローカルIPアドレスで可能になっています。

どのVPNを使うか

以下に示したL2TPの記事を書いたのは2020/7でした。最近、海外に行くことになり、海外からの接続をしたのですが、iPhoneからのL2TP接続では、そのネット速度が非常に遅く使い物になりませんでした。

Synology独自のSSL VPNでは、VPNを接続していない時と比べて速度は当然落ちますが、使用に耐えうるものでした。

SSL VPNの使用をお勧めします。

SSL VPN

SSL VPNサーバの設定

デフォルト設定でOKです。ただし、ルーター経由の内外の転送ボートは確認してください。

クライアント

iOSのクライアントは、App Storeから取得し、随時接続を実行します。

Windowsクライアントは、ブラウザからの最初の接続時にクライアントの導入が促されるので、それをダウンロード/インストールしてください。その後、接続のクライアントは、最初と同様ブラウザからの接続ですみます。クライアントの導入が促さ素れることは無くなっているはずです。

IPアドレスの確認

VPN接続ができていれば、IPアドレスは、VPN Serverが繋がっているグローバルIPアドレスに変わっているはずです。

「確認くん」、「nordVPN」などを使用して、IPアドレス/住所などを確認してください。

L2TP

L2TPサーバの設定

iOSはL2TPに対応しています。
- でも、iOS用に　Synology アプリとしてVPN Plusがあるので、上記に示したSSL VPNを使う方が素直です。
VPN Plus Serverの標準VPN → L2TP、を開く
クライアントIPの範囲 → (Local Network)にセットすること
事前共有鍵 : 最下の2カ所を入力
[適用]

iPhoneの設定 (クライアント)

iOSでのクライアントの設定手順は、設定 → VPN → VPN構成を追加に進みます。
- タイプ : L2TP
- 説明 : 任意の説明
- サーバ : ドメイン名(インターネットからアクセスできる名前)
- アカウント : ローカルのユーザーID
- パスワード : 上記ユーザーIDのパスワード
- シークレット : VPN Plus サーバの管理画面で設定したパスワード
- プロキシ

まとめ

VPNを活用すると、出先からでも暗号化された通信が可能となり、割り当てられるIPアドレスをローカルのIPアドレスになるよう設定していれば、ローカル環境を享受できます。これにより、ローカル環境でしかできない作業でも、VPNによりリモートで作業ができます。

セキュリティ面のメリットだけでは無いことを理解して、是非、活用してください。

編集履歴
2020/07/15 Mr.HARIKIRI
2021/01/05 追記 (SSL VPNの設定、まとめ)
2022/03/27 追記 (VPN提供業者について、その他追記)
2022/04/08 追記 (VPN PlusのSSL VPNクライアントライセンスを無償で追加)
2022/04/10 文言整備
2022/6/16 追記(VPNプロトコルのいろいろ)

2020年7月15日

[Synology] NAS/Router ログ・センターは、毎日1回は見るべし – サーバーへの総当たり攻撃を発見、システムのログイン制限の適切な設定と自動ブロック- [2021/08/01]
Post Views: 1,147

ID16720

はじめに

この2021/07/27から8/1にかけて「brute-force attack」によるUID/PW情報を破る試行行為が静かに行われていました。Synology NASおよびRouter製品のセキュリティの話です。

前回、2020/06に気が付いたケースでは、Mail Serverへのattackを3ヶ月間、もしかすると半年間許してしまったことに焦りを感じました。それ以来、Log Centerの確認は1日に1回は無理でも1週間に数日は確認するようにしていたため、このコロナ禍の7/30には、そのattack (DSMへのログイン試行)を認識することができました。数日後の8/1まで対策に時間を要したのは、対策方法を見つけるまで時間がかかったためです

Warning Logの内容は以下の通りです。
```
User [admin] from [xxx.xxx.xxx.xxx]failed to log in via [DSM] due to authorization failure.
```
以下、今回のケースの対策方法についても、この記事にまとめておきたいと思います。

前回(半年以上のアタックを受けていたケース)の対策を施してからは、Log Centerの日常な監視を強化して、追加の設定等により、その有効性を高めていたつもりでした。Log Centerの確認では、表示したいグループを、接続(Connection)にして、黄色で表示されるWarning情報に記録されている怪しいIPアドレスはブロックリストに登録し、更に、効果的な自動ブロックはアクセス制限の設定値を熟慮して設定しています。

NASやRouterには、必要なセキュリティ機能が装備されています。ローカルネットワークの外からのアクセスを許可している場合は、適切に設定しておかなければ、不正アクセスの踏み台になったり、データを失ったりすることもあり得ます。NAS/Routerには、それぞれで、何らかのサーバーが構築されているはずです。これらのサーバーへのattackを受け難くするために、Synology製のNAS/Routerには、不正ログインやアタックを阻止する強化された機能があるので、適切に設定することでよりセキュリティを高めることが可能です。

前回のケースは、MailPlus Serverに対する不正ログイン試行 (frute-force-attach)を偶然に発見しました。その日まで半年の間、四六時中、ログイン試行を許していたのでした。

以下に紹介した方法は、外部からのアクセスを許しているサーバー全般に対して、ログイン試行 (brute-force-attack)を共通に自動ブロックして阻止することができます。この自動ブロックは、特定のIPアドレスに対してのものであり、一定期間で解除される仕組みとなっています。しかし、今回のように、Synology DSMに対して、特定のポート番号を知られて、毎回、IPアドレスを変更してくるattackには完全に遮断することができておらず、Log Centerの記録に警告(warning)として残ることになりました。このケースの場合、基本設定というよりは、対処療法となります。その都度対処することが対応策の基本ということです。

今回のケースではDSMへのLog in試行でしたが、IDは[admin]固定でIPアドレスを変化させながら、また、PWは色々と試行していると考えられます。以下に解説している基本設定のままでは、警告「ログインの失敗」(failure to log in)が4分おきに記録されていました。この状態を良しとしておいてもしばらくは良いと思いますが、その内、ヒットされる危険性もあります。でもadminは無効にしておけば、ヒットされることはありませんが。でも、ログに残ってくるattackは鬱陶しいですね。

ログセンターをまだインストールしていない場合は、パッケージセンターからインストールを済ませておきます。インストールできていれば、下図のように「ロクセンター」が表示されるはずです。

Mr.Harikirの環境の場合、Routerのログは、NASに転送して一元管理しています。RouterとNASにLog Centerをインストールしてあり、ログが集まってくるNASのLog Centerを定期的に確認しています。

DSM

図1. ログセンターは毎日確認

Log Center

Log Centerが少しトリッキーなので、少し注意点と簡単な使用方法を以下に示しておきます。
1. 注意点、概要とログのタグページがありますが、表示内容がなぜか一致していない。概要ページのログには記録されているログインの失敗情報がログページで接続(connection)表示させても、その情報が無い場合がある。
2. 使い方、表示を一般から接続(connection)にして警告(warning)を確認する。
3. 今回のケースでは、DSMへのログインの失敗が約4分間隔で記録されていた。以下に開設している今日までの設定では、Mail Serverへのattackには効果がありました。しかし、DSMへのattackに対しては、attack自体を許しており、そのため記録が残っている。
これまで2回のattackに対する設定概要
1. 前回のケースであるMail Serverへのattackの対策は、以下の「基本設定」以降に詳しく解説しています。
2. 今回のケースであるDSMへのLog in attackの対策は、追加事項として、ここに示しておきます。
  1. DSMへのログイン(log in)では、ポート番号が知られてしまっているため、attackを許していると考えて以下の対策で解決しました
  1. コントロールパネル→ネットワーク設定→DSM設定
  2. ポート番号の変更と適用。モグラ叩き的な対策ですが有効な対策の一つです(2021/08/01)。
  3. DSMのポート番号は、PhotoStationやCalenderなどに使われているので、クライアントからの接続設定も更新しておく必要もあります。
基本設定

前回のケースでは、attackを受けたのはMail Serverであったため、Mail Serverへのattackが無くなるように設定されています。今回の対応により、その設定内容の変更はありません。今回のDSMへのログイン試行の対処療法として設定すべき項目は、DSMのポート番号の変更のみです。

前回、MailPlus Serverへのattackを受けた時の状況

これまで、Log Center (ログセンター)のログは、時折確認していました。しかし、Warningに関しては、重要視していませんでした。

たまたま、今日(2020/06/05)、Warningをしっかり見てみたところ、3分間隔で、MailPlus Serverに対するログイン試行を繰り返していることに気づきました。しかも、3日間に渡ってです。Logを遡って見てみると、以下のことがわかりました。
- 一回の攻撃は、約3日間をひとまとまりとして行われていた
- その約3日間が数日間の間隔を置いて、同様の攻撃が行われていました
- これを大きな「かたまり」として1つと勘定すると、まとまった攻撃の回数は半年間で、5回を確認できました
- 3日間でのやり口は、約3分間隔でログインの試行をユーザー名を色々と変えながら行っていました。
  - ユーザーIDは、home、ad, user, user0など、よく使われるものでした(図1)
この攻撃を許していたことに冷や汗です。

図1. MailPlus Serverへのログイン試行ログ

基本設定による対策

DS918+のアクセス制限の適切な設定

アクセス回数によるログインの制限を、以下のような考え方によって適切に設定します。
- 3分間隔のログイン間隔を前提にします
- 3回のログイン・ミスが生じた場合にブロックするようにします
- 3 x 3 =9 分間で、3回のミスが生じた場合をブロックできれば良いことになります
- 時間に余裕を持たせて例えば、12分を設定します
- 回数は、3回を設定します
コントロールパネル→セキュリティ→アカウント

図2. ログイン制限の設定

設定例

当初の設定では、時間の設定を1分にしていました。早めに検知できた方が良いと直感的に考えたからでしたが、その設定は間違いでした。1分以内で実行できるログイン試行数は、それほど多くありません。時間は、10分から60分程度が、検知するには必要です。更に、自分がログインしてすることと、不正アクセス者がログイン試行することを考えると、60分の時間内でのログイン試行数が設定の鍵になります。

例1

12分間の間で、3回~(最大4回)のログインを試行して失敗した場合、自動的にブロックします。4分間隔以下を検出できます。この場合、12分間で3回間違えるとブロックされます。自分がログインする場合も同様なので、少ない回数の3回については注意が必要です。
- ログイン試行回数(Login Attempts) : 3 回
- その時間範囲 (Within) : 12 分
例2

例1は、4分間隔のログイン思考を前提にしましたが、不正アクセス者は検知をさせるためには、間隔を更に長くすることも考えられます。

そこで修正して、各値を約3倍にを考えてみます。60分間の間で、10回のログイン試行のブロックを考えます。この場合、60分間以内に、10回ミスするとブロックできます。自分がアクセスする場合、10もミスはしないと思います。また、不正アクセス者が、10回の限られた回数でID/PWを破れるとは考えられません。妥当な設定だと思います。ただし、この設定では、不正ログイン試行を6分に1以上のアタックに対しては、自動ブロックができません。

この自動ブロックができない状態がそのまま続いたとして24時間経過後には、240回のログイン試行がおこなわれてしまいます。
- ログイン試行回数(Login Attempts) : 10 回
- その時間範囲 (Within) : 60分
- 自動ブロックができない最悪のケースでは、24時間後には、240回のログイン試行を許してしまう
例3

例2の、10回、60分の設定では、最悪の場合、24時間後には、240回のログイン試行を許します。

そこで、10回のミスは、自分もあり得ると許容して、時間をもう少し考えます。24時間以内に10回ミスしたら、自動ブロックするようにすればどうでしょうか。

自分がログインする時、1日の内に連続して10回もミスはしません。10回、24 x 60 =1440分の設定を最終案として考えてみましょう。

不正ログイン試行が、この設定を最悪逃れられた場合、1日(24時間、1440分)で10回を許すことになります。1日で10回ということは、1週間で70回の試行回数になります。

Log Centerの確認を毎日行えば、10回の試行回数で発見できます。1週間毎の確認であれば、70回の試行回数で発見できることになります。なかなか、リーズナブルな設定値になってきました。これを最終提案とします。
- ログイン試行回数(Login Attempts) : 10 回
- その時間範囲 (Within) : 1440分
- 自動ブロックができない最悪のケースでは、24時間後には10回、1週間では70回ののログイン試行を許してしまいますが、それ以外は自動ブロックできます。
- 妥当な設定であると判断しました。
設定の効果

ログイン制限の設定は、12分-3回に設定してみました。今、まだ、不正ログイン施工を実行中(bot)ですが、以下の様に、3回のログイン試行により、自動的にブロックされたことが、Log Centerのログから確認できました。

図3. 自動ブロックされたことを確認

メール通知

NASシステムの通知方法として、メールアドレスを設定しているなら、前述の設定で、自動ブロックされた時には、メールで通知がきます。

図4. 自動ブロックされたると携帯に通知がくる

永遠にブロックする

自分がブロックされることもあると思います。そこで、自動ブロック期間は、1日にしています。

自動ブロックの通知が届いた場合は、自分に関係しないIPアドレスは，設定から永遠にブロックしておきます。

コントロールパネル → セキュリティ→ アカウント→ブロックリスト

ブロックリストには、自動的にブロックしたIPアドレスがリストされていので、そのIPアドレスを控えておき、作成したブロックリストを改めて作成します。上書きするか聞いてきますが、気にせず上書きして、永遠にブロックします。

自動ブロックの通知が届いた場合は、設定から永遠にブロックしておきます。

図5. ブロックリストに永遠にリストしておく

まとめ

1回目の「Brute-force-attack」と思われる不正アクセスの心込みについは、新型コロナウイルスのため、自宅待機していたことで気が付けましたが、これまでの少なくとも6ヶ月間、不正アタックを放置していたことになります。

ざっくり計算してみると，3日間で3分間隔の不正ログイン試行では、その総試行回数は、3 × 24 × 60 ÷ 3 = 1,440回です。

それをこの半年間で、少なくとも5回行われていたので、1,440 x 5 = 7,200回の不正ログイン試行を許してしまったことになります。

Log Centerは、週に2回は見ていましたが、今思えば、なんの基準もなく漫然と見ていました。今回は、それでも偶然見つけた訳ですが、大事になる前で良かったと思います。

Log Centerは、最初に設定した時や設定を変更した時には、しばらくは、できれば毎日見た方が良いですし、今回の教訓から特にWarningは、文字通り注意して見る必要があります。特に，同じIPアドレスが何度も記録されていることは要注意です。

前述した「例3」の設定では、24時間で10回以上、または、1週間で70回以上のログイン試行を同じIPアドレスからされた場合に自動ブロックできます。

もしも、自動ブロックが出来ない間隔で不正ログイン試行をされた場合でも、毎週1回のLog Centerの確認によリ、最悪でも70未満の試行回数で発見できます。もちろん、毎日のLog Centerの確認により、10回未満の試行回数で発見できます。

勿論、少ない回数で鍵を開けられない程度の複雑なPW設定を前提にしています。攻撃者に対して、決して、宝くじの当たる確率を上げないように運用していきたいものです。

Synology Routerの設定

以上の設定は、Synology Routerにも同様に設定できるので、それぞれがターゲットとなっても大事に至らないよう、同様に設定しておきます。
- ネットワークセンター → セキュリティ → 自動プロック
まとめ

レンタルサーバーを使わず、自前のマシンを使っってBlogをしたり、ホームサーバーとして構築していたとしても、外部からのアクセスを許して運用している御同輩の皆さんは、一般ユーザーとは異なり、私もそうですが、茨の道を進んでいるのです。

防御能力は攻撃能力よりも重要です。しっかり「マイホーム」を守れるように日々精進したいと思います。

以上

編集履歴
```
2020/06/05 はりきり(Mr)
2020/06/06 追記(例3)
2021/01/22 文言整備、図の追加
2022/11/20 文言整備
```
2020年6月5日
[Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは
Post Views: 357

RT2600ac

NASとRouter

Synology社のRT2600acは、協力なセキュリティ機能を持つ高速ルーターです。パッケージセンターに、無料のセキュリティソフト「Threat Prevention」があります。導入することをお勧めします。

RT2600ac

RT2600acハードウェアインストールガイド

RT2600acユーザーガイド(SRM 1.2)

もしも、ローカルネットワークにNASを立ち上げて、インターネットからNASにアクセスしたり、WordPressを立ち上げている場合には、不正がアクセスが増加します。是非、「Threat Prevention」をインスートルして下さい。
- NASを構築している場合
- Blogサイトを構築している場合
当サイトでは、Synology社のDSシリーズNASにWordPressを導入しています。
- Synology DS918+
  - ホームサーバー
- Synology DS920+
  - WordPress
SynologyのNASでのポートに関わる設定は、同社のルーター製品への連携機能により社の製品であるため自動で設定できます。具体的には、ネットワークのポート番号の設定では、NASのツールから設定すれば、rt2600acのルーターのポート転送に反映されます。

Threat Preventionは、不正なアクセスからローカルネットワークを強力に守ってくれます。

Threat Prevention

インストール

Synology Router「RT2600ac」にログインして、パッケージセンターからThreat Preventionをインストールします。

RT2600ac

Threat Preventionをインストールした初期状態でも、セキュリティとして重大性が「大」ものは、自動判定して「ドロップ」してくれます。

RT2600ac

設定により、重大性が「中」、「小」についてもドロップの設定も可能です。

Threat Preventionが、怪しいアクセスを察知してドロップした時には、指定したE-mailアドレスに知らせてくれるように設定することも可能です。

「侵入を試みる」ログ

Threat Preventionを運用していて，以下のようなログが残っていることがよくあります．

ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Referer

RT2600ac

ESSHOP?

ECSHOPというのは，e-コマースショップということで，電子商取引のことを意味するようです．要するにWeb Shopのことですね．

どうやら、Web Shopに向けた攻撃のようです。

WordPressのセキュリティ関連をネットで調べてみると、WordPressに実装されているデータベースが、攻撃の標的になりやすいとの事でした。

あと、Web Shopでメンバーシップを構築するために、パスワードで管理されたページを作れるプラグイン「Ultimate Member」があるのですが、数年前に不正攻撃の標的として結構な数があったと、ある記事にありました。

WordPressの稼働数は全世界的であり、最も多いサイトのサーバーです。当然、絶対数が多ければ標的になる数が多くなるのは仕方がないことだと思います。

話はもどって。

Referer? / Injection?

侵入しようとしてるハッカーは，Refererというヘッダーに記載された内容で注入(Injection)することで，ターゲットのサイトの脆弱性(OSのコマンドをPHP経由で実施できるかどうか)を検査しているようです．

ログによれば、このパケットを「Threat Prevention」が感知した訳です．

用語の解説は，以下サイトにあったので参考にさせて頂きました．
ペネトレ検証-ECサイトに侵入 – Shooting!!!より

侵入される原理がよくわからないので，直接的な対策はよくわからないのですが，完全にお任せしてよいです。だだし、重大性が「中」のものは、「ドロップ」設定にした方がよいと、少なくとも「Threat Prevention」はログにアラートを残しているので、定期的にログを確認して、そのIPアドレスを「ドロップ」に設定にしておきます。

実は、重要性「中」及び「小」についても、運用後、2年ほどになりますが、「ドロップ」設定には余りしたことがありません。

というのも、「中」のログでも、結構な数になかるらです。重要度「大」のドロップで必要十分かも知れません。

まとめ

まあ、何が起こるがわからないので、定期的なログの確認は行いましょう。

以上
```
編集履歴
2020/03/05 追記 WordPressのデータベースが標的になりやすいこと、数年前にUltimate Memberプラグインが標的になったこと。
2020/04/17 追記　定期的なログの確認について
2023/07/11 文言整備
```
2019年12月2日
[Synology] Router / SRM 1.2.3-8017 Update 3にUpdateされた時から、RT2600acを守っているThreat Preventionからの警告e-mail連絡がなくなった件

Post Views: 227

RT2600ac

RT2600acのアプリケーションパッケージである「Threat Prevention」は、ネットワークに対する悪意のあるアクセスを、その悪意のレベルに応じてブロックしてくれます。

悪意のレベルは、「大」「中」「小」にThreat Preventionがグルーピングされていて、これらによるパケットがあったときにe-mailでしらせる設定が可能となっています。

こららの悪意のあるアクセスの情報は、Synologyが持っているのではなく、あるサーバーで統合(データベース)されているようです。日々、そのデータは更新されており、そのデータベースの更新の設定は、Threat Preventionの設定画面にあります。

アラートが来なくなった

e-mailへの連絡を設定したいたレベル「大」の連絡が、9/30を境に来なくなっていることに気付いた。

RT2600acにLoginして、溜まっているはずのメッセージを眺めていた。Threat Preventionの”ブロック”に関するログがない。9/30以降のブロック等のアラートが無い。どうやら、Threat Preventionは、9/30以降、停止状態になっていたようだ。

原因

Synology Router Manager (SRM)の自動アップデートがあったことを思い出し、ログセンターを覗いてみた。

Synology Router Manager
https://www.synology.com/ja-jp/knowledgebase/SRM/tutorial/General_Setup

ネットワーキング体験の革命的な変化 – Synology Web site –
Synology Router Manager (SRM) は、Synology Router の威力を高めてくれるオペレーティングシステムです。クラス随一のユーザーインターフェイスにより、ネットワークで何が起きているかを詳しく把握することができ、接続されているデバイスすべてを迫り来る驚異から守るきっかけになります。
https://www.synology.com/ja-jp/srm

9/30にDownload task for [SRM 1.2.3-8017 Update 3] finished.

とあり、記憶にないが、管理者権限でUpdateしたか、もしくは、自動でUpdateしたかで、現在は、[SRM 1.2.3-8017 Update 3] となっている。その際に、Threat Preventionが停止、再起動した際に、起動しなかったと考えられる。

結論

たまには、システムの状態を見ないといけないね。こうゆうことが、システム管理というのでしょう。これから頑張って管理していきたいと思います。

編集履歴

2019/11/02 はりきり(Mr)

2019年11月2日
[Synology] NASのネットワークツールからWOLを発信してと思ったが、ルーターはRT2600acなので、iPhone用のアプリDS ROUTERの wake on LAN から自宅のPC/ビデオレコーダー等を起動する [2021/06/19]
Post Views: 653

概要

出先から、自宅のルーターにスマホからアクセスして、ルーターが持つWOL(wakeup on LAN)の機能を使って、目的のMACアドレスのPCを起動する

条件
- ルーター : RT2600ac
- ローカルネットワークにPC、その他機器
- モバイルは、iPhone/iPadなど
目的

出先から以下の操作を可能にすることが目的です。
- iPhone/iPadなどのMobile端末を使ってPCをWake Onして、PCのデータの参照
- ビデオレコーダーに撮りためた番組を出先から見たい時に、その電源のON
- ローカルLANにある機器の電源のON/OFF状態を知りたい時の確認
方法
1. Internet経由で、iPhoneのアプリからPCをWake Upする
2. VPN経由を追加して、同様にWake Upする
PCの設定

出先からPCをWake Upするには、先ず、前提として、Wake Upが可能となるようPCのBIOS、ネットワークドライバを設定しておきます。その他の前提は以下の通りです。
- DDNSによるドメイン名を持っていること
- PCのBIOS, ネットワークドライバの設定がされていおり、ローカルでWake Upができていること
- PCのネットワークカードの「MACアドレス」を調べておく
iPhoneにツールをインストール
- SynologyサイトのDS routerの説明 source
- iOSアプリlink
出先からのアクセス
- DS routerを起動
- ドメイン名を使ってログイン (2 factor認証にも対応している)
- メニューの「Wake Up」を選択
- 新規に追加するには、MACアドレスを登録する
- 表示されている名前(MACアドレスも含む)をクリックして、Wake Upさせる
ブラウザから

ブラウザでRT2600acに接続して「ネットワークツール」を起動、Wake-on-LAN」タグを開く。
- デバイスの選択または、MACアドレスで追加すれば、下のデバイス・リストに追加される
```
編集履歴
2019/07/28 はりきり(Mr)
2020/04/16 大幅修正
2020/04/24 追記 (関連記事)
2020/06/25 文言整備
2020/08/09 追記(DS routerのSynologyサイトのリンク、iOSアプリのリンク)
2021/06/19,追記(Webブラウザからのコントロール、目的の追加)
```
2019年7月28日