SSブログ

NURO光へ変えたお話 [ネットワーク]

私は長年、So-net のADSL接続サービスを利用してインターネットへ接続してきた。

そしてこれまで大した不自由もなくインターネットを利用して来たが、この度So-netのADSL接続サービスが2021年9月いっぱいで終了という事で、回線の変更を余儀なくされる事に。

そこで選んだのがNURO光。

私の住所は永くNURO光のサービス圏外だったが、タイミング良く?圏内に入ったようなので候補に挙がり、光回線がNTTとは別の独自回線という事で、昨今のコロナ騒ぎで遅くなったNTT回線を回避するという理由からの選択であった。
※首都圏など都会では、そんな事はないらしい。

だが一つ、大きな懸念が。

それは光回線によるインターネットへの接続に絶対必要な、ONU(光回線終端装置)というデバイスが中国企業のZTEやHuaweiのONUであるという事。

最近は台湾企業のSercomm製やSONY製の端末もあるらしいが、NURO光は普通に契約するとONUを選べないうえに、例外的に選択出来るSONY製ONUは私にとって不要なサービスの契約を強要されるため選ぶ事が出来ず、「運が良ければSercomm製ONUかも?」という状況でNURO光を契約せざるを得なかった。

そして結果、私の元に届いたONUは運悪く“HuaweiのHG8045Q”となった。


さて。

セキュリティの観点で言えばHuaweiのONUなど論外である。

だが交換は不可能でないにしろ、正当な理由をもってかつゴネる必要があるようで、その行為自体私には許容できない事だった。

となるとHuaweiのONUを使いつつセキュリティの確保を目指さなければならない。

幸い先人達が公表してくださっている情報が豊富にあり、私の懸念を回避する策もあるようだった。

以下はその“HuaweiのONUを使わざるを得ない私がどうやってセキュリティを確保したのか”を記すものである。


光回線の場合、光ケーブルから入って来る信号はONUによって一般的な銅線によるLANの信号に変換される。

そしてその信号はONUからルーターに引き渡され、ルーターによって各デバイスのIPアドレスに対して送信、という事になる。

ここでNURO光のONUが厄介なのは、ONUとルーターが一体化されている事。

昨今はNTTなどでもONUとルーターは一体になっているが、本来ONUとルーターは別のモノなので、NTTの場合必要であればONUとルーターを別にしているし、ルーター一体のONUでもルーター機能をOFFに出来るのが普通だ。

しかしNURO光のONUはルーター機能をOFFに出来ない。

HG8045Qの場合、過去に管理者用のIDとパスワードが解析され、それを用いる事でルーター機能をOFFに出来たようだが、その後のファームウェアアップデートによって管理者用のIDとパスワードは変更されてしまったため、今はもう出来ない。

そこで残るルーター機能を回避する手段が、DMZを経由したネットワーク信号の横流しだ。

DMZというのは本来戦争用語で「武装衝突を避けるための緩衝地帯」を指すが、ネットワーク用語としては「インターネット(WAN)とローカルエリアネットワーク(LAN)の間に置く緩衝地帯」という意味で用いられる。

一般にはこのDMZにネットワークの通信を制御するサーバーを置いて通信を制限する事で、外部からの攻撃を防ぐ事になる。

このDMZに自前で用意したルーターを指定してやれば、“屋内のLAN内からは見かけ上 HG8045Qは存在しない”事になり、自前のルーターがインターネットとの通信制御を担う事になる。

ちなみに、これは所謂“二重ルーター”というヤツで、トラブルや通信の遅延の原因になるため推奨されないのだが、適切な設定でトラブルは起きないし、ルーターの性能が高ければ遅延は無視出来るため、今回セキュリティを重視して二重ルーターにする事にした。


という事で、HG8045Qの設定は以下のように行った。

まずHG8045Qの電源を入れてLEDの点灯でインターネットに接続されている事を確認し、LANポートに有線でパソコンを接続して「192.168.1.1」にアクセス、管理画面にログインする。(この時初めて設定画面にアクセスするのであればパスワードの設定を要求されるので、パスワードも設定する)

管理画面に入ったらHG8045QのIPアドレスを「192.168.100.1」など、左から3つめを自前ルーターで使わない数に設定。(初期値の192.168.1.xxx が自前ルーターで使わないアドレスであればそのままでOK)

次にHG8045QのLANポート(黄色のWANポートではない)から有線で自前ルーターのWANポートに接続し、自前ルーターを起動させる。

しばらく待つとHG8045Qが自前ルーターを認識するため、「転送ルール」のタブを開いてDMZの設定を行う。

ホストアドレス項目の右側にあるドロップダウンリストを開くと自前ルーターのMACアドレスがあるので、これを選択してチェックボックスをチェック、その後適用ボタンをクリック。

HG8045Q_dmz.png
DMZの設定画面。こんな感じに設定してあげれば良い。

最後に「WLAN」のタブを開いて無線LAN機能を全てOFFにする。

あとは全てのデバイスを自前ルーターに接続するようにすれば、インターネットの通信は自前ルーターによって管理される。

これでHG8045Qにセキュリティの穴が存在したとしても、自前ルーターより内側は守られるという寸法だ。


また、忘れてはならないのがDNSの設定。

DNSとは、例えばあひる先生のサイトを見る場合「https://duckduckgo.com/」というようなURLをブラウザに入力する。

この“URL”はインターネット上の住所のようなものだが、これはあくまで人間にわかりやすく表記したものであり、実際の住所は「40.89.244.232」という10進数の羅列となっている。(IPv4の例。今後主流のIPv6では 0123:4567:89ab:cdef という感じの16進数の羅列になるが、あひる先生はIPv6の住所を持っていないようだ。なお厳密にはIPv4が32桁、IPv6は128桁の二進数が本当のIPアドレス)

すると「https://duckduckgo.com/」と入力された住所は、誰かが本来の住所である「40.89.244.232」に変換しなければ通信が届かない。

その変換を担うのがDNS(Domain name System)という仕組み。

一般にWindowsパソコンの場合、ルーター本体のIPアドレスが自動的に設定される。

恐らくルーターは内部に設定されたインターネット上のDNSサーバーに名前解決の要求を投げるだけだと思われるが、ルーターに設定された初期値のままだと接続先のDNSサーバーがどんなものかもわからないし、もしそのDNSサーバーが犯罪者に乗っ取られていたりすれば本来の住所と通信が出来ない。

そんな事ってあり得るのか?と思うかもしれないが、DNSサーバーの内容が書き換えられて犯罪に利用された例は実際にある。

従ってルーターには必ず信頼の置けるDNSサーバーのアドレスに設定し、初期値のままにしてはいけない。

今回私は、自前ルーターへの設定は当然として、念のためルーターとして利用していないHG8045Qも設定を行った。

なお、私がお勧めするDNSサーバーのアドレスは「9.9.9.9」だ。

「quad9」と命名されたそのDNSサービスは、「IBM Security」「Packet Clearing House」「Global Cyber Alliance」の3つの組織によって始められたサービスであり、悪質なWebサイトへのアクセスを自動的にブロックする機能を持っている。

このquad9をDNSに設定するには、DNSのアドレスを以下のようにする。

IPv4の場合
優先 DNS サーバー:9.9.9.9 代替 DNS サーバー:149.112.112.112

IPv6の場合
優先 DNS サーバー:2620:fe::fe 代替 DNS サーバー:2620:fe::9

なおDNSの設定はルーターの機種により違うので説明書を読んで書かれている通りに行う。

HG8045Q_dns.png
DNSの設定はこんな感じ。

以上、ここまでやっても不安は拭えないが、何もしない場合よりもはるかにマシになるだろう。


ちなみに、NURO光が何故中国企業のONUばかり採用しているのか理由を考えてみたが。

これはNURO光の持つ高速回線に答えがありそうだ。

どういう事かというと、NTTなどが持つ光回線はGE-PONという技術が使われているため、ONUも当然にGE-PONに対応する物が使われている。

一方でNURO光はGE-PONの2倍速いGPONという技術を使う光回線を独自に構築している。

当然GE-PONとGPONに互換性はなく、NTTの光回線を利用する業者が採用するNEC製などの光回線の器材はNURO光の回線では使えない。

日本国内の企業が開発する光回線の器材はGE-PON対応なので、NURO光の回線で必要なGPONに対応する器材はNECなどの国内企業から調達する事が出来ないのだ。

一方、NURO光のGPONは世界で標準的に使われている技術で、これに対応する器材は当然に中国企業も持っている。

また、HuaweiやZTEといった通信機器を扱う中国企業は日本国内で強い影響力を持つ。

実際日本国内はインターネットの基幹回線から端末のスマートフォンまで、中国企業の持つシェアは高い。

そのうえ、中国製器材は安くて高性能と来れば、営利企業として採用しないという選択肢は無いだろう。

こうした背景があって、NURO光もHuaweiやZTEのONUを採用したのだと思われる。

以上の事を短くまとめると

「NURO光が中国製のONUを使う理由は、日本国内の光ネットワーク関連企業が高コストで性能が低いモノしか扱っていないので、2Gbpsという高速回線を実現するためには光回線の構築に中国製の器材を使う以外の選択肢が無いから」

と私は考えている。


最後に、“HG8045Q”の使用は危険ではあるが、使ってもいますぐ問題が起きるわけではないと思う。

ただファームウェアの更新が完全自動かつ強制である上、中国には「中華人民共和国国家情報法」という法律が存在する。

なので、拒否が不可能なファームウェアのアップデートを通じて後から“仕込む”事は簡単に出来るし、法的根拠があるためそうしない理由が存在しない。

さらに、バレたら信用問題になるからそんな事は出来ないという考えを持つ人は多いと思うが、ネットワーク機器やサービスなどで過去にセキュリティの問題を起こして信用問題になった例を私は知らない。

過去の例では全てが「ごめんなさい」で許されているし、問題が発覚した後に「対策したから良いでしょ」となっていて、その後もこうした企業は新製品やサービスが売れ続けている。

最近の大きな例はLINE社で管理していた個人情報が中国国内の下請企業で自由に閲覧出来た問題。その後LINEのサービスが信用問題で利用されなくなったか?実際はまったく変わらず日本国民に愛され続けているではないか。

なので、中国製のルーターがバックドアなどを最初から仕込んでいて、バレたらごめんなさい、対策しました、で済ました上で、対策された新しいファームウェアには新しいバックドアが仕込まれている可能性が非常に高い。

中国製の機器を採用する国内企業も全てを管理するなど不可能だし、そもそもそういった業務をアウトソーシングしていて請負先が中国企業、場合によってはLINE社のように偽装して日本企業のフリをしている外国企業、である事も考えられる。

それにNURO光のONU一体ルーターは、設定があまり細かく出来ないように機能が封印されている事も気になる。

心配な人はNURO光と契約しない事が最善であると私は思うが、止む無くNURO光と契約する場合、自前ルーターを自力で設定して使う事をお勧めする。


参考

超高速インターネット接続サービス「NURO 光」(以下略)
https://atmarkit.itmedia.co.jp/ait/articles/2011/16/news001.html

ご提供する機器に関して
https://www.nuro.jp/device.html

NURO光のルーター(HG8045Q)の設定&調査
http://www.tobiusa.jp/it/dev/2021/1200/

NURO光以外の光回線も危険!? セキュリティに問題あり 安全に使う方法は?
https://xn--nuro-ec4c955q3ibyw2bgf2b038c.jp/nuro-ipv6-fw-security/

TikTokの脆弱性について思う事
https://17inch.blog.ss-blog.jp/2021-01-27



nice!(0)  コメント(0) 
共通テーマ:パソコン・インターネット

nice! 0

コメント 0

コメントを書く

お名前:
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。