Web Caster V110Mが来た！

電源アダプターを見るとOKI製であることが判る。

V110Mはweb画面で設定する。状態表示のページにはSIPサーバ登録状態という欄がある。現時点では未登録との表示。04月04日にここが登録済と表示になるのか、IPアドレスが表示されるのか、興味あるところだ。

• 遠隔保守を許可します 許可しない 許可する

なんて欄がある。このような機能はまず許可しないである。

V110MはWAN側をNTT網に接続していなくてもweb設定画面に接続できる事から、ISPのIDやPWは、V110Mのなかに設定されるものと解釈できる。

※　ここを読んでそんなの当たり前ジャンと思う人が大勢であろう。しかし、世の中には、インターネット接続設定なんか出来ない人の為、つまりユーザの利便性という理由で、
  「親切な土管業者がISPの設定までやってあげますよ。」
というサービスもある。

ISPのIDやPWは、ISPがユーザに割り当てる。これはユーザとISPしか知りえない。そしてPWはユーザが変更するとISPは知ることが無い。

この遠隔保守を許可するにした時に個人情報であるISPのIDやPWを土管業者に教える事になるならば私は許可しない。土管業者がすべからく善人とは限らない。悪気がなくてもウイルス感染してインターネットに意図しない情報発信する土管業者も現実にいる。意図しなくても悪気がなくても顧客情報をインターネットからアクセスできる場所に置いていた土管業者もいた事は記憶に新しい。

最新ファームウェアの有無やひかり電話のSIP情報程度が、NTT網からユーザ宅内のV110Mに落ちてくるのならば良い。しかしユーザがV110Mに設定した

• ISPのIDやPW
• フィルター設定情報

がV110MからNTT網内のどこかに対して発信することになるのなら許可しない事である。

遠隔保守を許可しない設定なのにも関わらず、V110MからNTT網内のどこかに対して最新ファームウェアの有無やひかり電話のSIP情報以外の何らかの送信がない事を信じるのみ

心持ち、インターネットWebブラウズが速く感じる。FletsSQで速度測定してみると、ここ最近20Mbps程度であったところが40Mbps程度になった。
※　しばらくぶりで本日測ってみたら50Mbpsも出る。MACアドレスのメーカーコードでNTTブランドだと帯域制御を緩める、なんてことしていたりして…。

で、必要な機器のページ：http://www.ntt-east.co.jp/t/use/router.htmlにスペックが載っているのだが、ここに書いてあるステートフル・パケット・インスペクション機能、これが効いているのか/いないのか判らないのである。ON/OFFが無いのである。常時効いているというのだろうか？

IPフィルター機能でフィルタールールの追加は再起動をしなくてもよい。デフォルト拒否ルールを選択すると、Ciscoのアクセスリストのように、最後にdeny any anyが付く。そこで明示的に任意の宛先ポートを許可にしておかないとそのポートを利用するトラフィックは通過しないことが判明した。ステートフル・パケット・インスペクション機能が常時効いていると考えると、

• LAN発のトラフィックであっても明示的にポートを許可しないと廃棄
• 明示的にポートを許可してもそのポートを利用していないときには閉じられている

というポリシーでステートフル・パケット・インスペクション機能を実装したと思われる。


どこかのCentral truble Unitは、スパイウェアやワーム・ウィルスが外に向かって発信するパケットを許可してしまう

• LAN発のトラフィックならば明示的に許可ルールがなくてもポートが開く

という実装であった。ステートフル・パケット・インスペクション機能が常時効いているならば、V110Mのほうが遥かに社会福祉に貢献しているし、世の中に親切である。
※　ステートフル・パケット・インスペクション機能を実装している、と書かれていながらその実、機能していないという可能性が無いとはいえない。この場合、許可したポートは開きっぱなし。
※　LAN発のパケットの戻りのポートを指定しなくてもインターネット通信が出来る事を確認した。ステートフル・パケット・インスペクション機能は常時ONである。

ログが貧弱

ログは二種類しかない。

• 障害ログ
• 通話ログ

つまり、アタックされたときのフィルタログとか、接続したときのPPPoE接続ログなんてものが無い。設定記録ログもない。今通信中のホストのアドレスとポート番号なんてのの表示も出来ない。駄目だな。