ルータのセキュリティ設定での攻撃・進入の回避・防止方法
- 価格コムの満足度ランキングに入っているルータを使用しています。セキュリティを考えて、明示的に許可していないパケットは全て破棄する設定にし、HTTP(80)とHTTPS(443)とDNS(53)のポートのみ限定して許可しています。
- ポートスキャンを行った結果、ルータのsystemlogには各々3ポートへのパケットが破棄されていることが記録されています。他のポート番号へ送信されてきたパケットも破棄されています。
- 現在のセキュリティ設定では、ネット上からの攻撃・進入を回避・防止することができていると考えられます。
- ベストアンサー
ルータのセキュリティの安全度について、
価格コムの満足度ランキングに入っているルータを使用しています。 セキュリティを考えて、明示的に許可していないパケットは全て破棄する設定にし、 サポートセンターに電話して教えてもらったルール設定で、現在HTTP(80)とHTTPS(443)と DNS(53)のポートのみ限定して許可しているのですが、このセキュリティ設定で、ネット上から 攻撃・進入可能な手段があれば回避・防止方法と一緒に教えていただきたいです。 ちなみに前述した3つのポートについては、ポートスキャンを行っているサービス (http://www.cman.jp/network/support/port.html)にスキャンを行ってもらったところ 「到達できませんでした」となり、ルータのsystemlogには各々3ポートへのパケットが破棄されている事がログとして残っています(他にもぽつぽつと他のポート番号へ送信されてきた パケットが破棄された旨のログが見られます)。
- b9lwozhv
- お礼率50% (3/6)
- ネットワーク
- 回答数6
- ありがとう数3
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
No1です。 インターネット側->LAN側の通信および、その応答(LAN ->インターネット)をインバウンド通信 LAN側 ->インターネット側の通信および、その応答(インターネット->LAN)をアウトバウンド通信 として考えた場合、 ファイアウォールの設定が、アウトバウンド通信しか設定していない場合、インターネット側からのスキャンは、無理でしょう。 理由として、インターネット側からスキャンのパケットは、インバウンド通信になり、インターネット ->LAN方向のポートが空いていないので。。。。 と、思います。。。 それと、最初の回答ですが、ちょっと考え違いしてました。。(申し訳ありません。) ファイアウォールの内側にWebサーバがあると思ってしまって。。。。
その他の回答 (5)
- graniph2011
- ベストアンサー率49% (45/91)
No2で回答したものです。 根本の認識が誤っていたようですが、他の方の回答で認識が改まったようでなによりです。 まず、ルータに設定したフィルタ(port80許可等)は、LANからインターネットに出て行くパケットが対象のようですから、その設定ではインターネットからLANに入ってくることは不可能です。 つまり、基本的に進入可能な手段はありません。 もちろん、HTTPでアクセスした際にトロイ等のウィルスを踏んでしまえば別ですが。
お礼
アウトバウンド・インバウンドの正しい知識を知らず、私として恥ずかしい限りです。ですが、この質問でひとまず外部からのインバウンドアクセスは通らない事を確認できたのでとりあえずの一安心をしています。 ここから先はアウトバウンドなアクセス(PCからのHTTP接続)を待ち伏せた攻撃手段への対策、ブラウザのセキュリティの話になってくると思うので、回答を締め切り、新たに立てたいと思います。 seednyanさん、graniph2011さん、Wr5さん、k_izumoさん、回答を寄せていただき、ありがとうございました。
- k_izumo
- ベストアンサー率50% (68/134)
えと まずネットワークですが LAN内からインターネットは閲覧できますか? 出来るのであればPAT設定が有効である可能性が非常に高いです。 3つのサービスへのあて先FQDN(またはIPアドレス)へのpingは可能ですか? ルータの機種がわからないので何とも言えませんが インターネットからグローバルIP宛て通信が来た時に 内部のDNSとかHTTPサーバにNATしないと通信は確率できません。 外部からの通信許可は設定済みたいですが 戻り通信の許可はどうでしょう? Firewallでinspectionされるのであれば問題ありませんが・・・ そしてサービスですがWindowsかLinux系か HTTP(apacheとかIIS)やDNS(bindとかnamed)またはHTTPSは起動してますか? ルータがいても応答を返すのはこの機械(サーバ)なので起動してないと無応答になります。 当然ここまで構築できてる前提ですよね? > ネット上から攻撃・進入可能な手段があれば回避・防止方法と一緒に教えていただきたいです。 一番の解決策は全てのサービスポートを閉じることです 公開しては「ここにサーバがあるよ~」って世界中に言ってるようなもんです。 私の感覚だと、HTTP(ポート80)が空いてる時点で いくらでも進入できます 回避方法 ・HTTPだろうとBASIC認証を掛ける ・HTTPSの証明書をCA証明書機関の物を使う ・DDOS検知したいならNetFlow計測を実行する この内、特定のIP・ポートからシーケンシャルな通信が来た場合 ルータからのあて先をNULL宛てに変更させる(IP SLA) ・ウィルス検知したいならIDSを導入する ・進入検知(防御)したいならIPSを導入する などなど 思いつく限りです。
補足
質問内容が足りずにすみません。 >当然ここまで構築できてる前提ですよね? サーバは全く何も構築していないのです。少しずつ分かってきたことですが、アウトバウンド通信の80、443、53ポートを許可して、通信をホームページの閲覧のみに限定している、という状況です。FTPなどは現状要りません。 (サーバーの話でなくなっていますが...) 一番の解決策について全てのサービスポートを閉じるとよい、と言われていますが、今Windows7ProSP1を使っており、netstat -aでLISTENINGしていた137、138、139、445ポート(LAN内でのファイル共有は現状必要ないです)をOS側から消滅(しているといいのですが)させていますが、135番も消滅させてよいのでしょうか?(http://www3.ocn.ne.jp/~koshino/winport.htmlを参考に手順を踏んで消しました) サーバ関係の話でなくなっていると思いますが、よろしくお願いします。
- Wr5
- ベストアンサー率53% (2177/4070)
>価格コムの満足度ランキングに入っているルータを使用しています。 有線か無線か不明な上に、時期によって変動しますから型番など掲示された方が確実かと思いますが……。 >webやemailなどのサーバ用途ではなく、ホームページの閲覧のみを目的としてルータFWのルール設定を教えてもらい、設定しています。 ということは >現在HTTP(80)とHTTPS(443)と >DNS(53)のポートのみ限定して許可している はアウトバンド…ですか? アウトバンドのフィルタ設定を外部から確認するのは無理がある(というか不可能?)かと思われますが…。
補足
うーん、やっぱり型番を書いた方がややこしくならないですよね...使っているのは、有線接続、マイクロリサーチ社のネットジーニアスシリーズです。シリーズ全製品のオンラインマニュアルを開いてみましたが、FW設定はどれも同じだと思います。 それで、アウトバンド、というとPC -> WAN へ送信されるパケットのことだと思いますが、外部というのはブラウザから、でしょうか。とりあえずブラウザから開いて、「LANポートの設定」→「ファイアウォール設定」へ行くとIN XXX , OUT XXX,という項目があり、ここをIN LAN , OUT PPPoE(逆ももう一つ作成)、という風にして設定してありますが... アウトバウンドは単純に外向けの通信としか理解していないので、たぶんこれがアウトバンドだと思うのですが、どうなのでしょうか。よろしくお願いします。
- graniph2011
- ベストアンサー率49% (45/91)
質問に質問で返すのは恐縮ですが、なぜ >現在HTTP(80)とHTTPS(443)と DNS(53)のポートのみ限定して許可している のに、 >各々3ポートへのパケットが破棄されている のでしょうか?
補足
サポートセンターの方に聞いたルール設定ですので、何故かははっきりとしないのですが、ホームページを閲覧する目的でルール設定をしているからではないかな、と考えています。 現に今ウェブサイトを閲覧しており、80番にポートスキャンを掛けてもらいましたが、ルータのsystemlogには破棄された旨のログが残っています。
- seednyan
- ベストアンサー率28% (448/1568)
>攻撃・進入可能な手段があれば回避・防止方法と一緒に教えていただきたいです。 手段などたくさんあります。だって、壁に3箇所も穴があいてるのだから。。。 回避策もたくさんありますが、ネットでできることの一例として、ソースアドレスが逆引き出来て、確認してOKなら通過させるとかね。アプリ(Webサーバーと思いますが)ユーザー/パスワードでログインできるのを規制するとかなど。。。。 参考に@itと言うサイトを覗いてみてください。 ○ポート制御だけでは、Dosとかは防ぎきれませんよ。合わせ技(ソースアドレス制御とか)でないとね。。
お礼
回答ありがとうございます。そしてすみません。大事な事を記入せずにいたのですが、webやemailなどのサーバ用途ではなく、ホームページの閲覧のみを目的としてルータFWのルール設定を教えてもらい、設定しています。 ポートスキャンの結果通り、ルータ側でパケットを破棄しているログがあったので、サーバとしてのポートは(80、443、53)開いていないと考えているのですが、攻撃する側としては、まだ攻められる余地はあるでしょうか? Dos攻撃の防ぎ方としては、やってくるパケット数が異常とされる閾値を越えたら、自動的に送信元IPアドレスをブロックリストに追加する、というのを調べている間に読んだ事があります。が、この機能はルータに付いてはおらず、もししつこくDos攻撃をされたらwhoisに載っているabuse@XXX.com宛てにメールを送るぐらいしか出来なさそうです。 @ITは最近になってちょくちょく読むようになっているのですが、ルータの、特にFW・パケットフィルタリングのルール設定なんかについて触れてあるページが見つからず仕舞いになってしまっています。 締め切らず、もう暫く待ってみようと思います。 回答、ありがとうございました。
補足
Dos攻撃の対処について、abuse宛てにメールを送れば~とメールアドレスをXXX.XXのような感じで書いたためか、現在サポートで内容を確認中とのことです。
関連するQ&A
- 許可していないパケットにルータを超えられてしまう?
OSはW2ksp4,パーソナルファイアウォールはoutpost free 1.0,ルータはYAMAHART54iです。 outpostにはAttack Detectionという機能があって、不正なパケットを検知してくれます。 その機能のログによると、インターネット上の別のPCからこちらのPCの3336番ポートや3239番ポートへTCPのポートスキャンを受けていました。 ログの形式は、 日付、攻撃タイプ、IPアドレス、ポートスキャンの詳細 という項目が記録されており、上記のポートスキャンについては、 攻撃タイプが「通信の要求」 IPアドレスが「スキャンをしてきた相手のアドレス」 ポートスキャンの詳細が「TCP(3336)」 などとなっています。 ルータではネット側からの通信要求はすべてルータで弾くように設定していて、 (許可していないものについては暗黙のDenyで弾かれるはずです) どうしてLAN内のPCまで上記のようなパケットが届いてしまったのか理解できません。 また、仮にルータではパケットが弾かれなかったとしても、静的NATを設定しているわけでもないのに、 どうしてLAN内の特定のPCまでパケットが届いてしまうのでしょうか? そのPCでは8080番ポートでWebサーバーを起動していて、そこへ向けて、静的NATを張っています。 ですのでAttack Detectionのログにも8080番ポートへのポートスキャンの形跡が残ることもありますが、 しかしどうしてそれ以外のポートにまでポートスキャンが及んでいるのか理解できません。 ひょっとしてルータが壊れているかどうかして静的NATで指定した以外のものもLAN内へ運んでいるのかもしれませんが、そんなことあるのでしょうか?
- ベストアンサー
- ネットワーク
- ブロードバンドルーターのセキュリティについて
会社でブロードバンドルーターのセキュリティの設定をするように指示されました。 理由は、ネットワークを通じて情報漏洩をしないように対策をする為です。 それでパケットフィルターの設定を実施しました。 設定では、まず全ポートを閉じ、WEB閲覧とメール用のポートを開ける設定にしました。 上司に「たしかに限られたポートしか開いていないので、前よりセキュリティは強化されたと思うが、フィルターの設定だけでいいのか?もし開いているポートに攻撃されたらどうするんだ?」という質問をされました。セキュリティに付いては素人で、回答が出来ませんでした。そこで皆様に質問です。 質問(1) 外部からの攻撃によるセキュリティでやるべきことは ・ルーターのフィルターの設定 ・各PCのウイルスソフトのインストール ・各ソフトウェアのパッチ当てをきちんと行う。 だけで問題ありませんでしょうか。100%防ぐことは無理だとしても これだけはやったいほうがいい!というものがあればご教示頂けますでしょうか。 質問(2) ・開けたポートへの攻撃への対処は、アクセスログの確認、ソフトのパッチ当てしか対処出来ません、と上司に伝えたのですが、間違っていますか? 以上、何卒、皆様のお知恵をお貸しください。 よろしくお願い致します。
- ベストアンサー
- ネットワーク
- ルータがVPN以外の通信を全て遮断するようにしたい
とある匿名掲示板にあったのですが、日々ルータにはTCPやUDPのパケットが投げられていて、ルータをすり抜けて配下のデバイスに届いているらしく、こととタイミング次第によっては侵入も許していることもあるようです。 そこで、ルータの方でVPNによる通信をするよう設定してしまい、VPNに関わるポートだけを限定的に許可し、それ以外のポートは明示的にDenyにしたら、80/443/53(DNSが一番危険なのではと思っています)の通信はシャットダウンできてセキュリティが向上するのではないかと思うのですが、そのような方法を解説しているサイトなどありませんでしょうか?
- ベストアンサー
- セキュリティ対策
- ルータでPCのセキュリティはどの程度確保できるか
セキュリティソフトを使用せず、ルータ(AtermBL172HV)のパケットフィルタ設定やポートマッピング設定などを組み合わせた外部アクセス制限を用いることにより、PCのセキュリティはどの程度確保できるのでしょうか。
- ベストアンサー
- ネットトラブル
- 普通のルータ付きのモデムに、セキュリティタイプのルータを・・
こんにちは。よろしくお願いいたします。 自宅にセキュリティ対応のルータがあります。DOS攻撃やポートスキャンなどに対応していてパケットフィルタなど、パソコン、ネットワークセキュリティ初心者の自分にとって強い見方でした。 今回あるプロバイダさんから電話があり「電話帳見て掛けてきたみたいです」インターネットの乗り換えをすすめられたのですが、聞くとそこのプロバイダさんのモデムはルータ機能が元から付いているそうなのですが、いま自宅にある自分のルータほどはセキュリティ機能がないようなんです。 別に誰かに狙われてるとかそんなこと全くない普通の家庭ですのでいいかなとも思うのですが、せっかく高セキュリティ機能のルータ買ったのでもったいなく思います。 基本的な質問で多分駄目だとは思うのですが、もともとルータ機能つきモデムに(セキュリティ機能を使いたいので)自分のルータをつなげることは可能なのでしょうか? 物理的に出来合い事なのでしょうか?プロバイダのモデム→いまあるルータ→パソコンとなるとおもうのですが。 よろしくお願いいたします。
- ベストアンサー
- ルーター・ネットワーク機器
- ルータが外部に通信しようとします
次のような環境で、ADSLでインターネットに接続しています。 【ルータ兼ADSLモデム】 NEC Aterm DR202C 【ルータのLAN側IPアドレス】 192.168.0.1 【PCのLAN側IPアドレス】 192.168.0.2 ※PC1台でネットに接続しています ルータのパケットフィルタリングの設定において、localhost/255.255.255.0から任意の宛先IPアドレスに対して、宛先ポートが次に該当しない場合は、通信を拒否するように設定しています。 【通信可能な宛先ポート】 20,21,53,80,110,123,443,587 ルータのログを確認したところ、次の内容がありました。 2008/01/06 10:27:50 IP_Filter REJECT TCP 192.168.0.1:22 > 190.24.145.50:44792 (IP-PORT=6) ログの内容としては、ルータ(192.168.0.1)が(190.24.145.50)のTCP44792番ポートにアクセスしようとして、パケットフィルタリングの設定により、パケットが廃棄されたものだと思います。 なぜ、ルータがこのような通信をしようとしたのか、分かりません。 ルータには時刻合わせの機能がありますが、自動設定(工場出荷時の設定により、NTPサーバに接続)ではなく、手動設定でNTPサーバを指定したため、時刻合わせで上記の通信が発生するとは考えられません。 PCのウイルスチェックを実施しましたが、感染は見つかりませんでした。 このような通信が発生した原因として考えられることを教えてください。
- ベストアンサー
- ネットワーク
- UDPポート110(POP3)の使われ方??
ファイアウォールの設定をやっているのですがパケットフィルタリングの設定でPOP3を許可したところポートスキャンを行うとTCPだけではなくUDPも開いていることがわかりました。 私の認識ではPOP3はTCPだけを使っていると思っていたのですがUDPも何かに使用しているのでしょうか?ご存知の方がいたら使用目的等をご教授願えないでしょうか? ちなみに他のポートは使用されているプロトコルのみしかポートは開きません。例えばHTTPやHTTPS、SMTPなどを許可するとそれぞれTCPだけしか開いてませんでした。 設定を行っているのはFortigateです。 よろしくお願いします。
- 締切済み
- ネットワーク
- 有線ルーターの紹介(依頼)
いつも御世話になります。 現在,あるプロバイダと契約し,そこから送られてきたNEC有線ルーターを使用しています。これは市販されているものではなく,いわゆるプロバイダ専用に量産した簡易版です。 また取説ではVISTAまでしか説明が無いので古い製品と思われます。 一方,ウイルスソフトウェアは,大手のものを使用しています。しかし,著名な無料動画プレーヤを導入した際に附属してくる”ウイルス(ネット上で削除方法あり)”を感知することはできませんでした。 そこで質問サイトを眺めていると,ある質問に対し次のような書き込みがありました。 回答:ルータを準備し、内部から外部への通信全てを許可しないように設定、破棄パケットのログを取る様にして、PCをインターネットに繋ぎ、暫時放置します。 破棄パケットに怪しいものがないか(通信先のアドレスがセキュリティソフト会社など以外か)をチェックすれば、全てのチェッカーで検索漏れしていたとしても、問題があれば見つかる可能性があります。 この点についてプロバイダに設定方法を問いあわせたところ,そこまでのサービスは行っていないこと,パケットフィルタリングが必用とのことでした。 パケットフィルタリングが可能で,回答 にあるような設定が可能な,最新の脅威に十分対応しているルーターをご紹介ください。 ついでに,パケットフィルタリングについてググってみましたが情報が多く,回答 にすぐ対応できる項目を見つけることはできませんでした。よろしければ,回答 の設定が可能なサイトをも併せてお教え戴ければ助かります。さらに,パケットフィルタリングに関する質問にも可能な限り回答くださるメーカーであればなお助かります。 よろしく回答くださいますようお願いいたします。
- ベストアンサー
- ルーター・ネットワーク機器
- ブロードバンドルータのセキュリティ設定について。
お世話になります。 ルータのセキュリティ設定を<高>にしてます。<高>だとWANからのパケットをすべて無視すると説明に書いていますが、アドレス変換をしない場合にパケットを無視するとも書かれています。 セキュリティのためにルータを買ったので<高>で出来れば使いたいと思っています、ルータの設定で<アドレス変換をしない>にしてみるとネットに接続できなくなります。パソコンに詳しくないのですがネットに接続するっていうのはアドレス変換をしないとだめなんですよね。自信はあまりないですが・・・ 説明書きのアドレス変換をしない場合にパケットを無視する、というのはどういう意味なのでしょう? どうぞよろしくお願いいたします。
- ベストアンサー
- その他(PCパーツ・周辺機器)
- ポートスキャンを平気で繰り返す奴に制裁をするには
ADSLからFTTHに換えてからポートスキャンをされる頻度が高くなりました。 一応Firewall付きのルータを使ってますが、いつ何時越えてくるかもしれません。やってくるIPもWhoisで調べてみると、悪名高い中国系のISPでログには毎日毎回同じIPで Port scan attempt 60.11.125.44 と警告ログをはき出しています。それも執拗に短時間で20回程度のスキャンをしてます。また60.11.nnn.nnn のアドレスの違うマシンからもやってきてます。 こういう奴らに制裁を加える方法はないですかね。 私のPCに進入出来なくても絶対に他の穴を見つけて悪いことに使おうとしている連中ですから。 日本人のセキュリティの甘さを笑っているようで、懲らしめてやりたいのです。Whoisで調べてISPにも連絡をメールでしましたが返答はなしでした。
- 締切済み
- ネットワーク
お礼
こちらこそ、質問内容が書き足りずすみませんでした...80、443、53ポートというとやはり、webサーバを想起すると思います。 インバウンド・アウトバウンドは、送信というかリクエストに加えて、そのリクエストに返される応答もセットになった通信の事だったのですね。今までずっと、一方向のみへ向けられた通信だと勘違いしていました。 となると...seednyanさんの言葉を借りると、 >インバウンド通信になり、インターネット ->LAN方向のポートが空いていないので。。。。 スキャンをすることは出来ず、たとえLAN内PCのサービスがLISTNING(待ちうけ状態?)状態で、そのサービスが使われているポート番号が分かっていたとしても、ルータ側でインバウンド通信のパケットは全て破棄されるので、インターネット側からの攻撃は成立しない。...ということになるのでしょうか、とても勉強になります。 では、攻撃する側としては相手のアウトバウンド通信がやってくるのを待つしかないわけで、私のケースだとホームページの閲覧のみに制限しているので、サイトに何らかの罠を仕掛けることになるのだと思いますが...そこからはブラウザのセキュリティ設定の話になるので、改めて質問を立てる事にします。 もうしばらく待って、補足・回答を受け付けたいと思います。 回答を、ありがとうございました。