DigiLoog

分解行為は自己責任でお願いします

IoTが持て囃された時に問題となったのがIoT機器のセキュリティ強化だった。
直接アンチウイルスを導入する事が難しいので、ネットワーク層で守る必要が出てくるのだが、
ウイルスバスター for HomeNetworkはIoTもターゲットにネットワークを使って守るコンセプトとなる。

仕組は一定秒数毎にARPパケットを送りつけてデフォルトルートを曲げる様な形となっており、
自宅に相応の環境を組んでいる逸般の誤家庭だと阻害要因になるので使い物にならない。
コレが叩き売りされている現場に遭遇したので衝動買いしてみたのだが、
やはり使い道が思いつかなかった (´・ω・｀)

という事で、使い道が無いならどうなっても良いので、今回はコレを物理的に分解してみた。

BIND利用者には恒例の脆弱性注意喚起がJPCERTから先日出た
従来通り最新バージョンにアップグレードすれば良い。
ただし、ISC BIND 9.16系統を使っている場合は落とし穴があるので要注意。

この記事を書いた時点の最新バージョン9.16.12なのでアップグレードすれば良いと思うのだが、
普通にアップグレードをすると別のバグを踏み抜く可能性があった。

• Enabling new BIND option stale-answer-client-timeout can result in unexpected server termination

以前機能追加された、stale-answer-enableオプションのバグが根強く残っているらしく、
オプションを使っている状態で、CVE-2020-8625の対応で9.16.12にアップグレードすると、
バグによってBINDが落ちるケースがある。

対応する為には該当オプションを無効化する必要がある。
9.16系統を使っている様なコアな利用者なら問題無いと思うが、
知らない場合はハマりかねない落とし穴だった。

関西方面からNATしてインターネットへ出られる様に、
自宅のNWバックボーン拡張を考えているのだが、
普通にインストールするタイプの仮想ルータが結構少なく難儀している。

インストール型の仮想ルータとして、VyOSとOPNsenseを現在使っているのだが、
折角なら違う物を使いたいので物色している。
今の所の有力候補は、インターネットに接続するFirewallをOPNsenseにしつつ、
自宅までLANを延伸するのにCumulusVXを使いつつトンネリングする方法。

余っているFortigateを使うプランが今までの第1候補だったのだが、
自宅に仮想サーバホストがあるのでコレを使ってリソース活用したい所。
また、物理ルータは電気代など維持費が高く程ほどに抑えたいのも事実。
折角構築するので普段からも実用出来る物にせねば。