Ubiquiti Cloud Gateway Ultra

この記事で実現すること

UniFiの新しい小型ゲートウェイUniFi Cloud Gatewayのセットアップ、機能紹介、ホームユーザー向けのセキュリティ対策の実例を掲載しています。検証のため製品提供を受けていますのでこの記事はPR要素を含みます。

Cloud Gateway Ultra（UCG-Ultra）

3月には、UniFi初心者向けにUniFi Express（UX）の導入に関する記事を記載しました。UXはワンルームなどの比較的限られた範囲のWi-FiとUniFiゲートウェイがAll in oneとなったハードウェアですが、新しく発売されたCloud Gateway Ultraは、 Wi-Fi APやネットワークスイッチなどを追加、拡張することを想定しているゲートウェイです。Ubiquiti製品の一番人気はなんといってもアクセスポイント（Wi-Fi）ですが、複数のAPをはじめ、スイッチも拡張を想定するユーザーが購入対象となるでしょう。米国では$129と極めて廉価です。

手短にUCG-Ultraを説明すると以下の通りです。

30以上のUniFiデバイス/300以上のクライアントサポート、1 Gbps IPSルーティング、およびマルチWANロードバランシングを備えたコンパクトなCloud Gateway

日本におけるUbiquitiの知名度もだいぶ上がってきたと感じています。これからUniFiを導入したいユーザーとしては、まず通信の見える化のためにUniFiゲートウェイを導入し、随時、人気のあるAPを追加していきたいと考えられているのではないでしょうか。私個人としては、UCG-UltraはIDS/IPSも装備されているので自宅環境のセキュリティ面の強化という意味で期待ができるものと考えています。

UCG-Ultraの説明ページ

製品の説明ページは以下になります。

UCG-Ultra
https://jp.store.ui.com/jp/ja/pro/category/cloud-gateways-compact/products/ucg-ultra

• WAN:2.5GbE RJ45ポートx 1
• LAN:GbE RJ45ポートx 4
• IDS/IPSスループット1Gbps
• LTEバックアップによる追加のインターネットフェイルオーバー
• アプリケーション認識ファイアウォールルール
• シグネチャベースのIDS/IPS脅威検出
• コンテンツ、国、ドメイン、広告のフィルタリング
• VLAN/サブネットに基づくトラフィックセグメンテーション
• 完全なステートフルファイアウォール
• ワンクリックのTeleportおよびIdentity VPN

この記事でのインターネットの構成

私はauひかりホーム（10ギガ）を導入しており、貸与されたホームゲートウェイ（HGW）があります。その後ろにUCG-Ultraを配置する形式となります。

セットアップ

UCG-Ultraはスマホだけでセットアップ可能です。アプリをダウンロードし、Bluetoothで接続して行います。

製品と付属品です。本体、電源ケーブル、30cmのLANケーブルが付属します。

PortはWAN（2.5Gbps）x1、LAN（1Gbps）x4です。

さて、説明書のQRコードをiPhoneのカメラで読み込み、スマホアプリ（UniFi）をダウンロードしましょう。

Ubiquitiのアカウントを作成します。
https://account.ui.com/login

スマホアプリUniFiを起動後、UIアカウントにログインします。スマホアプリがBluetooth経由でUCG-Ultraを見つけると画面にセットアップ開始を促します。

UCG-UltraにはWi-Fiは無いので、UCG-Ultraの名前を決めたらセットアップが完了します。また、途中インターネット速度テストが行われ、さらにファームウェアのアップデートが自動で行われていきます。

WAN　Portの速度である2.5Gbpsの速度がきちんと出ています。

あっさりとセットアップ完了です。

ファームウェアの自動更新が行われます。

ここまで、全く迷うことがありません。

初期画面

さて、アプリの表記では、HGWのDHCPによって割り当てられた192.168.0.2というUCG-UltraのWAN側IPアドレス、および、LAN側のIPアドレス192.168.1.1が振られています。

LANのネットワーク、WANの情報が表示されています。LANはデフォルトVLANが1となっています（かつネイティブVLAN（タグ無し）。
WANにはバックアップとしてのSecondary表記があります。今回はPrimaryをauひかりに接続していますが、別の回線または公衆回線（SIMを使う無線ルーター）に接続できます。

設定から、コンソールを選択すると、コンソール管理画面が表示されます。UniFi OSはv3.2.18となっていますが、Networkアプリケーション（UNA）はUpdate可能なようです。早速Updateをタップします。

UCG-UltraのUNAはv8.2.93となりました。

今回は初回操作なので手動でアップデートすることにしましたが、毎日夜中3時に自動でアップデートチェックが行われ、自動でアップデートされます。また、Release Channelについては、”Official”(通常）、”Release Candidate”（リリース候補）、あとはUIアカウントのページから”Early Access”(ベータ版）を有効にすれば、3つのバージョンを選択できます。

UI Account
https://account.ui.com/profile

慣れるまではOfficialにしておくのがお勧めです。
Early Accessは事前確認する利用条件にある通り、守秘義務が存在します。許可なくその内容を第三者に開示してはいけません。安定しない場合も多く、広くユーザーに互換性を確認してもらうためのものです。

さて、ここまでで初期セットアップは完了です。
この段階でUCG-Ultraはインターネットへ接続可能になっているので、設定で利用したスマホアプリはUbiquitiクラウド経由でUCG-Ultraの操作が可能となっています。自宅でも外出中でもUCG-Ultraを操作できます。Cloud Gatewayという名前に相応しい基本機能です。

セットアップの補足

私の環境（auひかり）ではとても簡単にセットアップが完了しました。なお、UniFiのゲートウェイ全般は現在、Officialリリースにおいてインターネットマルチフィード社が提供するtransix IPv4接続 (DS-Lite) への対応はされていますが、その他のIPv4 over IPv6の対応は現時点でサポート外となっています。

UniFiゲートウェイに関するガイドを以下に記載します。

• ネットワークが不安定、Lineなどでやり取りができなくなる。
  以下のガイドにMSS Clampingの設定で解決するという投稿がありますので確認ください。
  Facebook Ubiquiti日本公式コミュニティ
  https://www.facebook.com/groups/uijapan/learning_content/?filter=167949146143924&post=3507234616157550
  この設定についてはUCG-Ultraにブラウザでログインし、WANのMSS Clampingの値をCustomの1414や1420等に設定する必要があります。具体的な設定はISPにより異なります。

• IPv6 IPoE transix IPv4 (DS-Lite)の設定手順｜Ubiquiti UniFi
  https://note.com/ui_japan/n/n3154ff641db5

インターネットマルチフィードのDS-Liteは以下のISPが対象となります。

• 株式会社インターネットイニシアティブ
  IIJ IPv6 FiberAccess/Fサービス タイプIPoE
• 株式会社インターネットイニシアティブ
  IIJmioひかり
• 株式会社インターネットイニシアティブ
  IIJmio FiberAccess/NF
• 株式会社インターリンク
  ZOOT NATIVE
• エキサイト株式会社
  excite MEC光
• エキサイト株式会社
  BB.excite光Fit
• エキサイト株式会社
  BB.exciteコネクトIPoE接続プラン
• スターティア株式会社
  マネージドゲート2
• メディアウェイブシステムズ株式会社
  Hybrid64 (ハイブリッド・ろくよん）
• メディアウェイブシステムズ株式会社
  メディアひかり

（引用： https://www.mfeed.ad.jp/transix/customers/）

FacebookのUbiquiti日本公式コミュニティの情報によれば、ASAHIネットなど、対応ISPを増やす対応に取り組まれているようです。なお、PPPoEやDS-Liteのデータ転送時に、MSSの調整、すなわちデータ部分を切り詰める必要が発生するのは仕方のない事です。ネットワーク機器は専用チップ（ASIC)が処理する事が基本であり、CPUがデータ処理すると、途端にパフォーマンスがダウンしてしまいます。これは一般的に考えられるよりもネットワーク機器のCPUが非力なためです。UCG-UltraはUXよりCPUが強化され、IDS/IPSが実行できるようになりましたが、それでもスマホ相当であり、小型PCと比較しても非力です。

CPU	CPU Mark
ARM Cortex-A53 4 Core 1512 MHz※UCG-Ultra	472
Intel Celeron J1900 @ 1.99GHz	1,150
Intel N100	5,552

Passmark software
https://www.cpubenchmark.net/cpu_list.php

日本は世界の中でも通信速度においては先進的であり、日本のユーザーの目線が高いのは事実です。PPPoEが存在するのは日本に限った話ではありませんが、PPPoEとIDS/IPSとを併用するとCPUパワーも必要になりパフォーマンスの問題は発生しやすいようです。
UCG-Ultraの技術仕様のIDS/IPSの項には「ISP の実装によって PPPoEでは性能が低下する可能性があります。」と記載されています。

私が利用しているauひかりは、PPPoEやDS-Liteを使わず1,500バイトをLAN同様に転送できますので、パフォーマンスの問題は発生しません。他にもCATVなどもこういった問題にはあまり関わる事がありません。一方、DS-LiteなどではIPv6の複数サブネットの配布（Prefix Delegation）は魅力的なのも事実でありISPの選定は悩ましいものがあります。

なお、ここではIPv6の説明は割愛しますが、auひかりのホームゲートウェイ（HGW）からUXにPrefix DelegationでIPv6サブネットを1つ割り振る設定を以下の記事で記載しています。その他、通知機能やSSH、プライベートDNS、VPNなどの基本設定についても記載しています。

• UniFi Express

• Ubiquiti日本公式コミュニティ
  https://www.facebook.com/groups/uijapan

初期セットアップは終了し、Windows PCをUCG-Ultraに繋いで、IPv4、IPv6の割り当てが確認できました。

Windowsは以下のようにIPアドレスが振られています。

Windows IP 構成


イーサネット アダプター イーサネット:

   接続固有の DNS サフィックス . . . . .: localdomain
   IPv6 アドレス . . . . . . . . . . . .: 240f:103:xxxx:3:17f7:xxxx:xxxx:4c40
   一時 IPv6 アドレス. . . . . . . . . .: 240f:103:xxxx:3:2594:xxxx:xxxx:e4c7
   リンクローカル IPv6 アドレス. . . . .: fe80::7baf:af2:aa9:55a0%18
   IPv4 アドレス . . . . . . . . . . . .: 192.168.1.170
   サブネット マスク . . . . . . . . . .: 255.255.255.0
   デフォルト ゲートウェイ . . . . . . .: fe80::xxxx:xxff:fexx:xxxx%18
                                          192.168.1.1

UCG-Ultraを利用したセキュリティ強化

UCG-Ultraは何が出来るのか

セキュリティに関しては話をシンプルにするため、一旦IPv4のみ割り当てが行われた状態で確認していきます。

ジオロケーション

IPアドレスによる国別の認識が出来ています。

トラフィック識別

IDS/IPSの設定をしていない初期設定状態でもトラフィックの識別はできています。この状態でのPCのスピードテストはワイヤレート（下り947Mbps/上り942Mbps）の速度が出ています。

IDS/IPS

IDS/IPSの説明は以下の通りです。

略称	名称	動作
IDS	Intrusion Detection System	アラートのみ
IPS	Intrusion Prevension System	防御（当該通信をReset）

一般的にブラウザで利用するトラフィックは一般的に9割以上がhttps通信と言われており、SSL/TLSにより暗号化されています。暗号化されている通信はその間にUCG-Ultraが入り込んでも情報を奪取できません。それでもトラフィック識別ができているのは、接続先のIPアドレスに加え、SSL/TLSによるハンドシェイク時にリクエストされるSNI（Server Name Indicator）が平文で相手のFQDNをリクエストするため、どんなアプリケーションを利用しているのか判定する事が可能になっています。例えば、Appleのサイトにhttps接続する場合に最初のハンドシェイク時にSNIの情報が確認できます。

UCG-Ultraで識別が不能な場合は、UniFiのトラフィック識別においてSSL/TLSで一括りとなっています。またhttps通信をTCPではなくUDPを使い高速化したQUICプロトコルもあります。セキュリティレベルの高い事業者では、このQUICを認めないなどもある一方でGoogle系サービス（Gmail、Youtube）や国内の大手報道機関ではQUICプロトコルが採用されています。正直、SSL/TLS、QUICが通信の大半と予想されます。

ユーザーとしては疑わしい通信は排除するIPSが一般的に使われます。しかしながら前述の通り暗号化された通信が大半である環境下において、IPSがシグネチャベースで検出する能力を持っていても、暗号化されたパケットは検査できません。これを実現するならばSSL/TLSインスペクションといったSSL/TLS解析の仕組みが必要ですが、大量のCPUリソースを使うことや端末毎にCA証明書のインストールが必要であるため個人向けには一般的ではありません。

マルウェアやウィルスが配布されるような危険なサーバーに接続しようとしたところでDNSやIPS（SNIによる接続先検証）で防御することがまずはホームユーザー向けの対策と言えるでしょう。

広告ブロック

UNAの設定（歯車アイコン）から、セキュリティを選択します。
ここでは広告ブロックにチェックしておきます。他に追加の設定は不要です。
DNSシールドはDNSによる名前解決時にDoH（DNS over HTTPS）を使い、GoogleまたはCloudflareで名前解決するものです。TLS/SSLで暗号化されているので、プロバイダや途中の経路において、どこにアクセスしているのか判らないようにする目的があります。日本のISPはDDoS対策のために独自のDNSフィルタを実施していることや、その情報を売却するなどの行為が厳しいために日本においてはDNSシールドの重要性はあまり無いものと考えられます。
なお、このDNSフィルタを使っていても、広告ブロックは有効です。

UCG-Ultraを使ったセキュリティの高め方

UCG-Ultraを使ってどのようにセキュリティを高めるかという観点では、使える機能は使うべきということになるでしょう。利用することで特にデメリットとなることはパフォーマンスに関する観点くらいだと考えられます。

• IoT機器をお持ちであれば、PCなど多くのInternetとやり取りする機器とはネットワークを分離する。同様にリモートワークで使う会社貸与のPCなども自分が所有するPCとは分離することをお勧めします。これはタグVLANを設定し実現します。UniFiのAPを使うことでさらにSSID毎に属するVLANを変えられます。
• 広告フィルタを行う。これは広告サイトが必ずしも安全とは言えないこと、不要なトラフィックが減らせます。
• IPSでリスクのあるサイトをブロックする。不要なVPNサイトが止められリスクを軽減できます。
• 国別フィルタを使って不要国を止める。米国から一定量の攻撃がある事からも米国を止めるのは現実的でありませんが、普段アクセスしない国が明確なのであれば停止すべきでしょう。

国別フィルタ、IPSの具体例

設定はとても簡単です。一例としては以下の通りです。

フィルタリングは通知とブロック（IPS相当）とし、検出感度は高めに設定してあります。
さらに、ネットワーク（LAN）の画面からコンテンツフィルタを有効にします。

コンテンツフィルタリングは仕事、家族と選択できますが、家族にしておけばVPNを止められます。

国別フィルタは、フィルタをすり抜ける可能性もあります。中国のメーカーであっても、サーバーをAkamai（セキュリティベンダー）上に構築していたり、コンテンツデリバリネットワーク（CDN）やCloudflareにあれば同様に判定が難しくなります。

また、危険なサイトに関する情報についてはIPv4に関しては情報共有は積極的に行われるものの、IPv6についてはその情報共有が少ないのが実情です。今後、IPv6のコンテンツフィルタ機能が拡充されたとしても、IPv4だけのネットワークの方がセキュリティ上は安全ともいえるジレンマを抱えることになります。

UCG-Ultraではロシアや中国企業のWebサイトでアクセスできない（パケットは拒否される）事を確認できています。フィッシングの手口ではこれらの国はよく使われるため、これらの抑止策はフェールセーフとして期待できます。

私の環境ではこの設定を行った上でのInternet速度テストは以下の通りでした。

ダウンロードが947Mbpsから925Mbpsに下がりましたが、殆ど誤差でしょう。私の環境だと、パフォーマンスを意識してセキュリティレベルを下げる必要は無さそうです。

(2024-06-27追記)
なお、UCG-Ultraのスペックシートでは、IPS利用時に1Gbpsのルーティング機能とある通り、LANからWANへのスループットはクライアントを2台同時に利用した場合、上限はスペック通り合計で1Gbps程度です。セットアップ時は特に気にしていなかったのですが、IPSを外してみた場合のクライアント2台でもやはり1Gbps。運用としてはIPSを使う事が前提となるので結果は変わらないのでしょうが、WAN Portが2.5Gbpsであるにも関わらずLAN-WANのスループットが1Gbpsというのは少し疑問が残りました。前述した通り、UCG-Ultra本体からのスピードテストは2.5Gbpsワイヤレートしっかりと出ているのですが。

アプリケーションのブロックとFirewallのブロック

UniFiゲートウェイには、アプリケーションタイプでの制御（許可、ブロック）と従来型のFirewallのネットワーク、Port単位の制御の2通りがあります。Ubiquitiはそれぞれ、シンプル、高度なと分かれています。シンプルの方がアクセス統計のアプリから止められるため直感的で簡単です。ネットワークに慣れている方は従来のIPネットワーク、Portで止める方法もあります。ただ、自宅でサーバーを立てる時にPort8443などでWebサーバーを立てる事が多いように、必ずしもSSL/TLSがPort443とは限りません。そういう意味ではアプリケーションで止めていく方が時代の流れには沿っていると考えられます。

シンプルのルール表示の例です。

高度なルール表示の例です。

シンプルなルールでInternetに出ていくアプリケーションのうち、DNS(53/TCP,UDP)、DoT（DNS over TLS(853/TCP)）、DoH（DNS over HTTPS(443/TCP)）とを止めるルールです。基本的にDNSはUCG-UltraがInternetに名前解決を問い合わせするため、クライアントがInternetとDNSで直接セッションを張る必要はないとして、ブロックするルールです（ユーザーの考え方次第でこのルールが多くの人に適合するというわけではありません）。

従来型のファイアウォール設定、つまり高度なルールの設定です。Port 53/TCP,UDPをInternetに出ていくものをブロックする設定を保険的に明示しています。

高度なルールでDoTはPort853を指定して止める方法はありますが、DoHは暗号化されているのでファイアウォールでは検出不可能です。しかし、UCG-UltraはDoHの接続先（SNI)を見てブロックしているものと考えられ、シンプルなルールを使うことで簡単にアクセス制御ができます。

最近はサイバーの脅威保護にDNSを使って情報資産を保護する取り組みは多い一方、ブラウザを提供しているITベンダーは広告を回避されたくないためユーザーが指定したDNSを参照せず、ベンダーが提供するDNSを（DoHを使って）参照しようとします。DoHでユーザーが用意したDNSの広告ブロックをバイパスするためです。ただこれがサイバー対策を迂回されてしまうリスクにもなります。

SSL/TLSインスペクションを使ったとしても完璧ではなく、最終的にはセキュリティ機器がどれだけ早く脅威情報を取り込めるかどうかに掛かっています。個人に対するサイバー攻撃で一番多いのはフィッシング詐欺です。このような仕組みでセキュリティを高めることに加え、多要素認証などを組み合わせる事でフィッシングの脅威から保護する事が重要です。

Ubiquiti Deep Dive into Advanced Firewall Rules
https://help.ui.com/hc/en-us/articles/115003173168-Deep-Dive-into-Advanced-Firewall-Rules

仮想ネットワーク（VLAN）

前述した通り、IoT機器などのために、普段使うネットワークと分離するために新しいネットワークを作成できます。私の場合、ChromebookやAmazon Echo、Amazon FireTVなどは全てゲストネットワークとして、PCやスマホで普段使うネットワークとは分離しています。
UniFiでは「仮想ネットワーク」としてVLANを定義しています。ネットワークの設定から「新しい仮想ネットワーク」を選択します。

ここでの例はGuestという名前を付けました。ネットワークアドレスは192.168.10.0/24、IPアドレスの第3オクテットに合わせてVLAN IDは10としています。ネットワーク分離を有効にし、Defaultネットワークとはお互いにルーティングできないようにしつつもInternetへのアクセスは可能としています。DHCPも有効になります。

続いてPortマネージャーから、UCG-Ultraのポートを設定変更します。ここでは単一の端末を接続できるための設定をします。

ネイティブVLANネットワークはguestを選択します。つまりタグ10のVLANをネイティブ（タグ無し）として設定します。さらに他のネットワーク（Default)のパケットがタグ付きで外に出て行かないように、タグ付きVLAN管理の項目はすべてをブロックにチェックを付けておきます。

この2か所の設定で、Port2に端末を接続することで上記で作成したネットワーク（VLAN=10)のIPアドレスが割り当てられます。
以下はUCG-UltraのPort2に接続したChromebookの画面です。

これでIoTはインターネットにはアクセスできますが、自宅の重要な機器とは分離されます。PCがマルウェアに感染し、やがてセキュリティ上脆弱なIoTに感染してしまうということを防止できます。その逆も然りです。

NASやサーバーがある場合、Default、ゲストだけでなく、サーバー用のVLANを作成し、Defaultとサーバーとは高度なファイアウォールを使用し、最低限度のプロトコルを通すなどすればよりセキュアな環境が整います。

また、今回は詳細の説明を割愛しますが、ルーティング機能も業務レベルの機能が用意されています。

特定のドメインや地域などでルーティング先を変えるポリシーベースのルーティングやOSPF、L3スイッチなどを追加した場合の静的ルーティングに加え、DNSのカスタム設定（Aレコードだけではなく、MX、CNAME）などネットワーク機器としてはかなり多機能です。

まとめ

今回は、Cloud Gateway Ultraをセキュリティの観点から検証してみました。今後APやネットワークスイッチを導入する小型ネットワークを敷設される場合には候補になるプロダクトであると考えられます。

UI Japan Store Cloud Gateway Ultra
https://jp.store.ui.com/jp/ja/pro/category/cloud-gateways-compact/products/ucg-ultra

価格は23,899円です。

Interop24

6月12日〜14日の幕張で行われたInterop24でUbiquiti製品が紹介されていましたので、写真を撮ってきました。

UXG-LiteとUCG-Ultra（これだとサイズ感が分からないですね。。。）

PoEスイッチ　Switch Ultra

UCG-UltraはPoEを持っていないので、UniFi APを接続する際は、別途PoEアダプタが必要となります。このSwitch UltraはPoEによる電源供給ができるのでAPや監視カメラなどを将来的に拡張していくのにちょうど良いスイッチかもしれません。

Switch Ultra
https://jp.store.ui.com/jp/ja/pro/category/switching-utility/collections/pro-ultra

補足説明

Ubiquiti Japan ホームページ
https://note.com/ui_japan

Ubiquiti コミュニティ（日本）
https://www.facebook.com/groups/uijapan

Ubiquiti Community（米国中心）
https://community.ui.com/

（製品提供：Ubiquiti Japan株式会社）