PCネットワークサポートブログ
2023.08.10
ヤマハルーターのリモートVPNで多要素認証を利用する
14です。盆を前に暑い日が続きますが皆さんはいかがお過ごしでしょうか?
前回ふざけすぎたので今回は少し難しい話(興味のない方からすると長いだけの話)をします。
具体的にはヤマハルーターでVPNリモートアクセスの多要素認証を実現する話です。
この4年ぐらいはコロナ禍でVPNによるテレワークが流行りました。
VPNは自宅や出張先等から社内へ接続することができるようになり便利な反面、
ウィルス等の侵入経路ともなりセキュリティをしっかりしていないと問題になりました。
たとえばウィルスとして最近は最もメジャーなランサムウェアの被害は
実に70%がこのVPNやリモートアクセスを悪用されたものとのデータもあります。
そこでVPNを安全に利用するために多要素認証等が必要になってくるというわけです。
最近の機器はセキュリティを考慮して
多要素認証によるVPN接続ができるようになっているものも存在します。
もしこれからルーターを新しくしてVPNで接続できるようにしたいということであれば
これら考慮して購入を検討するものひとつです。
では今のルーターだと対応できないか?というとYAMAHAであればそうでもないです。
さすがはSOHOルーター国内シェアNo1(16年連続1位らしい)です。
あれYAMAHAのルーター持っているけどそんな機能なかったはずと思った方は正解です。
YAMAHAの設定でルーターリモートVPNには多要素認証は存在していません。
じゃあダメじゃんで終わらないところがYAMAHAのすごいところです。
多要素認証には対応できないものの、Lua(ルア)スクリプトに対応しているので
疑似的にGoogle認証に対応させることが可能なのです。
やり方は公式の設定例に載っていますので興味があれば詳細を確認してください。
ひとつ注意点としてはYAMAHAサポート(最近CMしているSCSKです)ではLuaスクリプトはサポートしてくれません。
公式で設定例あるにもかかわらずLuaスクリプトは一切教えてくれません。
私も聞いてみましたがLuaで組むと何でもできちゃうのでサポートしきれないよとのことでした。
そのためこの設定ネットで調べると挑戦して失敗しているかたもちょくちょく見ます。
何がダメだったのかを私がみたところ以下につきます。
キーのセットで半角の英数字のうち、AからZおよび2から7を使用した任意の16文字のルールが守られていない
この2から7が曲者でして私もやらかしたからわかるのですが
キーに0,1,8,9のいずれかの数字が含まれるとエラーになって機能してくれません。
Google認証キーには(設定できるくせに)使えないのです。(どうなってるの?Googleさん)
普通ランダムパスワード生成を作る場合はツール使うのですがほとんどのツール0,1,8,9省かないです。
頑張って作って1ユーザー目にたまたま0189が含まれないキーセットしていて動作確認も問題なしと現場ねこしてると
2ユーザー目の追加キーで0189が含まれて、追加したとたん動作しなくなるこの悲劇。
Google認証の仕様をきちんと理解してない私が悪いのですがネット見る限り仲間多かったです。
皆さんも気を付けましょう。
ひとつ注意点ですがこの認証はLuaスクリプトによる疑似認証です。
LuaによりパスワードをGoogle認証にそって変更しているだけです。
セキュリティ的にはVPNを接続するたびにメールで接続通知を送る方法で
怪しい接続がないか確認する方法(これもLuaで組めます)をお勧めします。
YAMAHAのリモートVPNで多要素認証したい場合はベンハウスまでご相談ください。
