• 締切済み

IPSecのVPNにおけるポートフィルタリング

お世話になります。 以下、質問させてください。 現在、2拠点間で、ヤマハルーター、RTX1100により、IPSecのVPN接続を行っております。 回線はBフレッツ、プロバイダはOCNです。 固定IPアドレスを取得して、インターネット接続では、IPマスカレードを使用しております。 セキュリティを強化するために、不要なポートを可能な限り、さらに閉じたいと思っておりますが、 閉じすぎてしまいますと、正常な通信が、出来なくなってしまいますので、 どのポートを閉じることが出来るかを、検討しております。 WELLKNOWNポート(0~1023)については、使用するポート(DNSサーバーの53、WEBの80、443、IPSecの500、等)以外のポートは、すべて閉じます。また、使用するポートも、IPアドレスによる制御をかけます。 登録済ポート(1024~49151)、自由使用ポート(49152~65535)については、特に狙われやすいポートを閉じ、他は、開けてあります。ただし、外部からのアクセスはIPアドレスにより拒否、内部から外部のDNSサーバー、WEBサイトへのアクセスの返答は、通過させるようにしております。 ここで、ご質問させてください。 まず、内部LANから、外部インターネットに接続する場合についてです。 内部LANの端末から、DNSサーバーの53番ポートへの送信、 DNSサーバーの53番ポートから、内部LANの端末への受信、を許可していますが、 その際に、こちら側のポートは、1024番以降のポート番号が、「任意」に割り当てられる、と、文書で読みました。 このため、1024番以降で、閉じているポートが、たまたま割り当てられてしまった場合は、正常な通信が出来なくなってしまいます。 この「任意」には、何らかのルールがありますでしょうか。 例えば、1024番から順番に割り当てられるのだとしたら、内部LANの端末数が100くらいで、また、すべての端末が同時にインターネットを使用する可能性は低いので、1024~1124ぐらいまでは、開けておき、1125~65535は、閉じておきたい、と思います。 外部WEBサイトに接続する場合、やはり、送信側の「任意の」ポートから、外部WEBサイトの80、443ポートに、パケットが送られ、そこから、ESTABLISHEDパケットが、送信側の80、443ポートを通じて(この認識も正しいかどうか、確証がありません)戻ってきて、3WAYハンドシェイクにより、接続が成立する、と理解しております。 この際の「任意」にも、何らかのルールがありますでしょうか。 ルーターRTX1100のマニュアルを観ますと、IPマスカレードを使っている場合、デフォルトでは、60000~64095が割り当てられる、と書いてあるのですが、通信ログを観ますと、1024番以降の比較的若い番号も、使われているようでして。 もし、このマニュアルの記述が正しいならば、1024~59999、64096~65535は、閉じてしまいたいとも、思うのですが。 次に、IPSecについてです。 調べますと、IPSecの共通鍵(IKE)交換は、両拠点の500番ポート同士で行われる、ということなのですが、それでは、両拠点間の通信は、すべて、この500番ポート同士のみで、行われるということになりますでしょうか。それとも、1024番以降のポートも、やはり、使われる可能性がありますでしょうか。 例えば、片方の拠点のLANにある、データベースサーバー(プライベートIPアドレス、MicrosoftSQLサーバー)を、もう片方の拠点のLANでも、参照、使用しております。 ポートフィルタリングで、SQLServerが使用する、1433、1434番ポートも、閉じているのですが、2拠点間の通信は、正常に行うことが出来ております。 以上、2つ、お伺いさせて頂きます。 どうぞよろしくお願い致します。

みんなの回答

  • maesen
  • ベストアンサー率81% (646/790)
回答No.2

>この「任意」には、何らかのルールがありますでしょうか。 >例えば、1024番から順番に割り当てられるのだとしたら、内部LANの端末数が100くらいで、また、すべての端末が同時にインターネットを使用する可能性は低いので、1024~1124ぐらいまでは、開けておき、1125~65535は、閉じておきたい、と思います。 任意についてはOSの実装によるので決まりは無いと考えたほうがいいと思います。 ちょっと勘違いがあるように思いますが、任意のポートはPCごとに実装に従い決まるので端末台数には依存しません。 例えば PC-A ポート1024 PC-B ポート1024 PC-C ポート1024 という場合もあります。 また、任意のポートはPCが一つのポートを使い続けるのではありません。 1つ目の通信は1024、2つ目の通信は1025というように変化していきます。 だから、一台のPCだけでも1024から使用した場合でも1125を超えるポートを使用することはあります。 >外部WEBサイトに接続する場合、やはり、送信側の「任意の」ポートから、外部WEBサイトの80、443ポートに、パケットが送られ、そこから、ESTABLISHEDパケットが、送信側の80、443ポートを通じて(この認識も正しいかどうか、確証がありません)戻ってきて、3WAYハンドシェイクにより、接続が成立する、と理解しております。 >この際の「任意」にも、何らかのルールがありますでしょうか。 通信がTCPとUDPの違いがありますが、こちらの任意も上記と同じです。 >ルーターRTX1100のマニュアルを観ますと、IPマスカレードを使っている場合、デフォルトでは、60000~64095が割り当てられる、と書いてあるのですが、通信ログを観ますと、1024番以降の比較的若い番号も、使われているようでして。 IPマスカレードなのでルータから外に出るときにポート番号を変換するので、変換される元がログに載っているだけです。 実際に変換された後のポート番号(60000~64095)の通信が見たければWAN側の通信をキャプチャするなりしないと見えません ルータ上でどのポートに変換されているか見るならば、NATエントリのステータス情報を見ればわかると思います。 >例えば、片方の拠点のLANにある、データベースサーバー(プライベートIPアドレス、MicrosoftSQLサーバー)を、もう片方の拠点のLANでも、参照、使用しております。 これはVPN内の話ではないかな。 tunnelインターフェースにフィルタをしていなければ通信は通るでしょう。 全体的な話としてフィルタがどこでどのように適用されるかが不明確なように思います。 Yamahaルータのホームページにそれらの説明がありますので確認してはいかがでしょうか。 また、静的フィルタだけで考えられているような感じなので、動的フィルタの使用も考えたほうが設定がすっきりするように思います。

ERUERI
質問者

お礼

maesen様 ありがとうございます^^。 >任意についてはOSの実装によるので決まりは無いと考えたほうがいいと思います。 そうなのですね。 >ちょっと勘違いがあるように思いますが、任意のポートはPCごとに実装に従い決まるので端末台数には依存しませ>ん。 >例えば >PC-A ポート1024 >PC-B ポート1024 >PC-C ポート1024 >という場合もあります。 >また、任意のポートはPCが一つのポートを使い続けるのではありません。 >1つ目の通信は1024、2つ目の通信は1025というように変化していきます。 >だから、一台のPCだけでも1024から使用した場合でも1125を超えるポートを使用することはあります。 よく分かりました。 >通信がTCPとUDPの違いがありますが、こちらの任意も上記と同じです。 承知しました。 >ルーターRTX1100のマニュアルを観ますと、IPマスカレードを使っている場合、デフォルトでは、60000~64095が割り当てられる、と書いてあるのですが、通信ログを観ますと、1024番以降の比較的若い番号も、使われているようでして。 >IPマスカレードなのでルータから外に出るときにポート番号を変換するので、変換される元がログに載っているだ>けです。 >実際に変換された後のポート番号(60000~64095)の通信が見たければWAN側の通信をキャプチャするなりしな>いと見えません >ルータ上でどのポートに変換されているか見るならば、NATエントリのステータス情報を見ればわかると思います。 ありがとうございます。 >これはVPN内の話ではないかな。 >tunnelインターフェースにフィルタをしていなければ通信は通るでしょう。 ありがとうございます。 >全体的な話としてフィルタがどこでどのように適用されるかが不明確なように思います。 >Yamahaルータのホームページにそれらの説明がありますので確認してはいかがでしょうか。 >また、静的フィルタだけで考えられているような感じなので、動的フィルタの使用も考えたほうが設定がすっきり>するように思います。 フィルタの場所、動的フィルタについて、理解が深くありませんでした。 この点をよく調べてみます。 ありがとうございました^^。

  • hirasaku
  • ベストアンサー率65% (106/163)
回答No.1

こんにちは。 hirasaku です。 誰も、レスがなかったもので。。。 まず、 フィルタをかける場所と方向によって動きが変わります。 例えば、 >このため、1024番以降で、閉じているポートが、たまたま割り当てられてしまった場合は、正常な通信が出来なくなってしまいます。 これはどのインターフェースにどの方向にかけた場合のことを言ってますか? >この「任意」には、何らかのルールがありますでしょうか ないのでは。 OSに乗っかっているアプリケーションが使っていないポートをランダム(規則性がない)に割り当てるので。 >外部WEBサイトに接続する場合、やはり、送信側の「任意の」ポートから、外部WEBサイトの80、443ポートに、パケットが送られ、そこから、ESTABLISHEDパケットが ・・・・・ これは、送信元クライアントが50001ポート使ってあて先Webサーバ80ポートにアクセスした場合、サーバーからの返しの通信は、送信元80ポート、あて先50001に返す動きだと思うが。 >ルーターRTX1100のマニュアルを観ますと、IPマスカレードを使っている場合、デフォルトでは、60000~64095が割り当てられる ・・・・・ これは、LAN側端末が50001ポートを掴んでも、WAN側にIPカスカレードした場合WAN側で使うためのポート変換範囲。 >もし、このマニュアルの記述が正しいならば、1024~59999、64096~65535は、閉じてしまいたいとも、思うのですが。 これも、どのインターフェースのどの方向で閉じようと考えているのでしょうか? 例えば、 PPインターフェースのOUT側に 送信元アドレス、LAN側IP:ポート1024~59999 あて先アドレス、すべて などというフィルタですかね? >調べますと、IPSecの共通鍵(IKE)交換は、両拠点の500番ポート同士で行われる ・・・・・ 拠点間の通信路を確保と考えたほうがいいかも。 実際はトンネルの中を実データ(アプリケーションとのやり取り)をカプセル化して通して、トンネル抜けたときに普通のデータに戻ると考えればイメージわくでしょうか? なので、拠点間SQLとの通信はできるということで。 >ポートフィルタリングで、SQLServerが使用する、1433、1434番ポートも、閉じているのですが ・・・・・ これもどこのインターフェースのどの方向を塞いでいるのでしょうか? ということで。

ERUERI
質問者

お礼

hirasakuさま ありがとうございます^^。 ポートフィルタリングのインターフェースにつきましては、すべて、PCの外~ルーターの範囲ではなく、ルーターから外部へ、外部からルーターへの部分でのフィルタで、双方向です。 >OSに乗っかっているアプリケーションが使っていないポートをランダム(規則性がない)に割り当てる。 PCにおけるOSは、そのような動きを行うのですね。 >送信元クライアントが50001ポート使ってあて先Webサーバ80ポートにアクセスした場合、サーバーからの返しの通信は、送信元80ポート、あて先50001に返す動きだと思う。 ありがとうございます。 >LAN側端末が50001ポートを掴んでも、WAN側にIPカスカレードした場合WAN側で使うためのポート変換範囲。 そういうことですね。 >もし、このマニュアルの記述が正しいならば、1024~59999、64096~65535は、閉じてしまい>たいとも、思うのですが。 >これも、どのインターフェースのどの方向で閉じようと考えているのでしょうか? これも、WAN側の双方向です。 >調べますと、IPSecの共通鍵(IKE)交換は、両拠点の500番ポート同士で行われる ・・・・・ >拠点間の通信路を確保と考えたほうがいいかも。 >実際はトンネルの中を実データ(アプリケーションとのやり取り)をカプセル化して通して、トンネル抜けたとき>に普通のデータに戻ると考えればイメージわくでしょうか? >なので、拠点間SQLとの通信はできるということで。 ありがとうございます。 >ポートフィルタリングで、SQLServerが使用する、1433、1434番ポートも、閉じているのですが > ・・・・・ >これもどこのインターフェースのどの方向を塞いでいるのでしょうか? これも、WAN側の双方向でした。 ポートにも、PC(LAN端末)のインターフェース、WANのインターフェースがある、ということですね。 ここを、区別して、考えてみます。 ありがとうございます^^。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • IPsec-VPNについて

    2拠点間のVPN接続について教えて頂ければと思い質問いたしました。 本店-出張所間のLAN接続を行いたいと思います。 本店にはSSG5というVPNルータが既に入っていて、他の営業所とは 固定IP契約にて(ルータ機種は様々)IPsec-VPNで繋いでいます。 今回、出張所とつなぎたいのですが、出張所はすでに光回線で インターネット接続しているのですが、生憎、固定IPの契約とはなっては おりません。なお、出張所に置く予定のルータ機種は検討中です。 このような状況で、本店-出張所間をIPsec-VPNで繋ぎたいと思うのですが、 可能なのでしょうか? 人づてでお聞きした情報ですと、片方が固定IPでもう片方が動的IPでも IPsec-VPN接続は可能、とお聞きしたのですが、どういった設定なのか、 また設置するVPNルータがどういう機種になるのか、までは判りませんでした。 お手数でございますが、 こういったことが実際可能なのかどうか、また実績の情報や、推奨機種や 情報ソースなどをご教授いただけましたらありがたいです。 よろしくお願いいたします。

  • VPN IPSEC接続に関して

    恐れ入りますがIPSEC_VPNに関してご教授ください。 IPSEC対応ルーター「NTT_Webcaster7000」を導入してのVPNを検討しています。 WAN側は固定グローバルIPでサイトToポイントでの運用を考えています。 クライアントは必要時にWindowsのクライアント機能を使ってIPSECにて接続をすることを考えています。拠点間での接続は考えていません。 そこでですがPPTPでの構成時はPPTPサーバへのアクセスのたびにWindows仮想 プライベートネットワークを使用してダイアルアップ接続の要領で接続をしていましたがIPSECの場合も同様の手順での接続ができると考えてよろしいのでしょうか? 恐れ入りますがよろしくお願いいたします。 ※PPTPでの運用は考えておりません。

  • WEBアクセスする際の53、80、443ポート。

    お世話になります。 LANのPC端末から、ルーターを通して、インターネットに接続します。 ルーターにおけるポートフィルタリングを考えております。 通常、インターネットに接続する際のポート番号は、80、443と言われ、 そのために必要なDNSサーバーのポート番号は、53と言われます。 これらのポート番号は、サーバー側のポート番号だと認識しております。 LANのPC端末側においては、1024~65535番のポートが割り当てられると認識しております(OSによりその中の範囲が異なる)。 つまり、LANのPC端末の1024~65535と、外部のDNSサーバー53、WEBサーバー80、443とのやりとりになると、認識しております。 また、LAN側には、公開している自社DNSサーバー、WEBサーバーはないとします。 この場合、ルーターにおけるポートフィルタリングで、 53、80、443への送信、53、80、443からの受信は通し、 53、80、443からの送信、53、80、443への受信は拒絶しても、よいように思うのですが、 いかがでしょうか。 あるいは、LANのPC端末で、インターネットを使用するということにより、 53、80、443からの送信、53、80、443への受信も、 許可しておいた方がよろしいでしょうか。 どうぞよろしくお願いします。

  • RTX1200でLAN1/3でお互いVPN通信

    RTX1200において LAN1/LAN3 でそれぞれVPN通信を使用したいのですが。 NATの関係なのか うまく通信できてません。 ステータス確認するも正常っぽくでてるのですがpingで通信確認取れない状態です。 filterやファイアウォールも、していないのでその辺ではなさそうなのですが。 現状 自拠点(RTX1200)LAN1:192.168.48.10 → 拠点1:192.168.28.10(RTX1200) → PING:○ 自拠点(RTX1200)LAN3:172.31.48.10 → 拠点2:172.31.28.10(RTX1200)  → PING:× -----コンフィグ------ ip route default gateway pp 1 ip route 10.10.1.1 gateway pp 2(NTT-VPNサービス拠点2向け) ip route 172.31.28.0/24 gateway tunnel 2(拠点2向け) ip route 192.168.28.0/24 gateway tunnel 1(拠点1向け) ip lan1 address 192.168.48.10/24(LAN1:IP→拠点1と通信) ip lan3 address 172.31.48.10/24(LAN2:IP→拠点2と通信) pp select 1(ステータスは正常) pp keepalive use lcp-echo pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname xxxx@xxxx ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp nat descriptor 1 netvolante-dns use pp server=1 auto netvolante-dns hostname host pp server=1 hostname.aa0.netvolante.jp pp enable 1 pp select 2(ステータス正常) pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname NTT-VPNワイドサービス@xxx.xxx ppp lcp mru on 1454 ppp ipcp msext on ppp ccp type none ip pp address 10.20.13.1/32(自拠点IP/NTT-VPNワイドサービス) pp enable 2 tunnel select 1(ステータス正常) ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc sha-hmac ipsec ike hash 1 sha ipsec ike keepalive log 1 off ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.48.10(拠点1向け) ipsec ike pre-shared-key 1 text xxxxxxxxx ipsec ike remote address 1 hostname.aa2.netvolante.jp tunnel enable 1 tunnel select 2(ステータス正常) tunnel encapsulation ipip tunnel endpoint address 10.10.44.1 10.10.1.1(拠点2向け) ip tunnel tcp mss limit auto tunnel enable 2 nat descriptor type 1 masquerade  nat descriptor masquerade static 1 1 192.168.48.10 udp 500 nat descriptor masquerade static 1 2 192.168.48.10 esp ipsec auto refresh on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.48.20-192.168.48.40/24 dhcp scope 2 172.31.48.101-172.31.48.199/24 dns server DNSサーバIP dns private address spoof on 末筆で恐縮ですが、お分かりの方ご教授のほどお願いします。

  • VPNで拠点間を接続したい

    いつも参考にさせていただいています。 VPNルータも安価になってきていますので、インターネット上で 拠点間をVPNで接続したいと考えております。 業務用の拠点ではなく複数の家庭用(個人的な)LANです。 少々VPNルータ選びに困っていまして、皆様にアドバイスを いただければと思い、質問しました。 接続する拠点は 1.中心拠点のLAN 2.中心拠点に接続したいLANが2拠点 3.その他のLAN内のVPN端末(WindowsXP,Linux) 基本的にメジャーなIPSecでいこうと思っていますが、 PPTPとのメリットデメリットがいまいち把握できていません。 ◆各拠点ルー他の必須機能 メーカーによって製品仕様の用語がまちまちなのが、質問の根本なのですが、 1.中心拠点のルータは「VPNゲートウェイ(IPSec)」とか「IPSecサーバ」 2.クライアントになる拠点のルータは「VPNクライアント(IPSec)」や「IPSecクライアント」 3.VPNパススルー(IPSec)とあればOK と思っているのですが、間違いないでしょうか? ◆他社ルータを選択できるか? LAN同士をVPNでつなぐ場合は同じルータでそろえるのが鉄則ですか? ◆お勧めのルータ 皆様のお勧めの安価なルータを教えていただけますか?

  • VPNのポート開放のやり方

    Windows7_StarterでVPN接続をするときは、なにかポート開放のやり方があるのでしょうか? 1:最初に、普通にabc.exeを起動するために、FWに許可を与えてルータのポート55667番を開放して、うまく動きました。 2:その後、VPNを利用するために IPsec の設定して、ブラウザ等でインターネットに接続できることとIPアドレスが変わっていることを確認して、abc.exeを起動したところ、「ポートが開放されていません」というエラーが出ました。 2の状態では、ポート80番は開放されているようですので、ひょっとすると「VPN接続(IPsec)はウェルノウンポート以外は開放していない」「自分で開放する必要がある」のではないか、と思いました。 もしその場合は、どのようにしたらポートの開放ができるでしょうか。もしくはabc.exeを正常に動かすには、何か別な方法が必要でしょうか? ご面倒ですが、よろしくお願いいたします。

    • 締切済み
    • VPN
  • RTX1200 VPNでのポートフィルタについて

    RTX1200同士でIPsecを使い、2拠点を接続しました。 LAN側はLAN1、WAN側はLAN2のLANポートを使用しています。 下記の解決方法は会ってますでしょうか。 セキュリティの観点から少々不安です。 やりたいことは、2点です。 1 拠点から本店のファイルサーバー(linux)に接続 2 本部から拠点の共有フォルダ(Windows8.1)に接続 現象 ルーティング設定は、出来ている pingは、お互い通る ファイルサーバーのGUIを開くことが出来る ただし、やりたい事が2点出来ない 解決方法 本部、拠点ともにLAN1の IN 側のパケットフィルタ(静的)を下記の設定にしました。 reject * * udp,tcp 135 * reject * * udp,tcp * 135 reject * * udp,tcp 445 * reject * * udp,tcp * 445 上記を全て削除 懸念点 元々、削除したreject内容がデフォルトだった為にセキュリティ的にどのようなリスクがあるのかが不安です。 LAN1側なのでそこまで神経質にならなくてもよいでしょうか。 ちなみにLAN2は、IN OUTともにreject の設定です。 以上よろしくお願いします。

  • リモートデスクトップで接続したサーバからのVPN

    Windows Azure上にWindows Server 2012を立て、そこから外部サーバにIPsecで接続を試みています。 [ローカルPC] - (rdp) - [Windows Server on Azure] - (IPsec) - [外部サーバ] の構成です。rdpは正常に接続できますが、その後IPsecで外部サーバに接続を試みると、おそらく接続が完了したタイミングで必ずrdpのセッションが切れてしまいます。 Azure上でIPsec接続に必要となるポート、Windows Serverのファイアウォール設定は解放しています。 IPsecのパスフレーズをわざと間違えて入力すると認証エラーで返ってくるので、接続先やポートなどの設定は間違っていないと思われます。 どうすればrdpつないだままIPsec接続できるのでしょうか。

  • VPN+VNCでの開放ポート

    よろしくお願いします。 現在、LinuxサーバにOpenVPNを導入し、VPN経由で内部WindowsクライアントのVNCサービスに外部のWindowsクライアントからrealVNCで接続しての操作を行っております。 ここでひとつ確認なのですが、上記の場合、ルータの開放ポートとしては、VPN用のポートと、VNC用のポートの2つの設定が必要ですよね? ところが、先日ルータの設定を確認したところ、VNC用ポートが、両方向開放の設定はされているものの、LAN側、WAN側の指定をする箇所にチェックが入っておらず、どうも、正常に開放されていないのではないかという疑問が出てきました。 もし開放されていないとなると、VPN経由での接続中はVNCのポートを開放する必要がない、ということになってしまうのですが、そんなことがありえるのか、非常に悩んでおります。 ちなみに、VNC自体は、外部から接続するときは、VPNによって割り振られたIP(10.6.x.x)で接続し、グローバルIPやホスト名でのアクセスはしておりません。 またVNCには、セキュリティ上、内部ローカルIP(192.168.x.0/255.255.255.0)およびVPN用IP(10.6.x.0/255.255.255.0)以外の接続は、拒否する設定を施しております。 詳しい方がおられましたら、ぜひともご教授お願いいたします。

  • 1台だけ外部と通信させたい

    閉じたネットワークで1台だけ外部と通信させたく、以下のようなネットワークを構築しましたが、 考え方は正しいでしょうか?端末AのDNSだけ異なるので、内部の通信がおかしくなりそうな予感がして……(汗) --- IP:192.168.0.xxx/24で全端末ドメインに参加。 サーバ(ドメインコントローラ)  IP:192.168.0.1 その他端末:  IP:192.168.0.2~100 DNS:192.168.0.1 外部と通信させたい端末A  IP:192.168.0.101 ゲート:192.168.0.254 DNS:8.8.8.8 ルーター  IP:192.168 .0.254

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する