ルータのセキュリティー・IPフィルターの適用例
インターネットの常時接続等でLAN環境を構築する場合には、ルータやマシンに対しての不正アクセスを防ぐ対策が必要です。その一つの対応策として、ルータのIPフィルターがあります。 IPフィルターはIPアドレスやtcp/udpポート番号の条件により、パケットを制御して必要のないアクセス (不正アクセス等) をできる限り防ぐために設定するものです。
セキュリティを確保するためにIPフィルターを設定しただけでは、十分ではありません。サービスプログラムのバグ (セキュリティホール) を突いて攻撃されることもありますので注意して下さい。
MN128によるIPフィルターの設定例
ブラウザの設定画面「やさしい設定」からフレッツ・ISDNの設定をすると、次のようなフィルターが自動的に追加されます。ただし、これらはセキュリティ上、必要最低限のものです。
WAN側からの不正アクセスを防止するフィルター
ip filter 50 reject in * <MN128のIPアドレス>/32 tcpest * * remote 0
ip filter 51 reject in * * tcpest * * remote 0
WAN側からの送信元IPアドレスが不正なパケットを破棄するフィルター
ip filter 52 reject in 10.0.0.0/8 * * * * remote 0
ip filter 53 reject in 172.16.0.0/12 * * * * remote 0
ip filter 54 reject in 192.168.0.0/16 * * * * remote 0
ip filter 55 reject in <MN128の属するネットワークアドレス> * * * * remote 0
送信先IPアドレスが不正なパケットがWAN側へ出るのを防止するフィルター
ip filter 56 reject out * 10.0.0.0/8 * * * remote 0
ip filter 57 reject out * 172.16.0.0/12 * * * remote 0
ip filter 58 reject out * 192.168.0.0/16 * * * remote 0
ip filter 59 reject out * <MN128の属するネットワークアドレス>* * * remote 0
Ethernet上にWindows 2000 Serverがあるときに発生する「意図しない自動接続」を防止するためのフィルター
ip filter 60 reject dns qtype 6
Ethernet上にWindows 95/98/NT/2000があるときに発生する「意図しない自動接続」を防止するためのフィルター
ip filter 61 restrict out * * tcpfin * * remote *
ip filter 62 restrict out * * * * 137-139 remote *
ip filter 63 restrict out * * * 137-139 * remote *
ip filter 64 restrict out * * udp 137 domain remote *
- * フィルター番号については各ユーザにより異なります。また、番号の小さい順に適用されます。
- * SYSLOG機能の「NOTICE」の欄をチェックすることにより、フィルタリングで破棄されたパケット情報を監視することができます。
- * Slotin、PAL、PAL FR には対応しているOSとして、Windows95 / 98 / 98SE / 2000 / Meでは、通信記録を管理するソフトウェア「syslogトリ」で不正アクセス等の監視することができます。詳しくは、http://www.ntt-me.co.jp/mn128/syslog.html を参照下さい。コンピュータ緊急対応センターによる不正アクセスに関する情報を見ることができます。
YAMAHA RTシリーズ IPフィルターの設定例
基本例
- ip filter 10 reject-log 192.168.0.0/24 * * * *
- ip filter 11 pass-nolog * 192.168.0.0/24 icmp * *
- ip filter 12 pass-nolog * 192.168.0.0/24 established * *
- ip filter 13 pass-nolog * 192.168.0.0/24 tcp,udp * domain,ident
- ip filter 14 pass-nolog * 192.168.0.0/24 tcp ftpdata *
- ip filter 15 pass-nolog * 192.168.0.0/24 udp domain *
- ip filter source-route on
- ip filter directed-broadcast on
pp select 1
ip pp secure filter in 10 11 12 13 14 15
- 1:
- 始点IPアドレスをプライベートアドレスに偽ったip spoofingやlandattack攻撃から防ぐために、内部のネットワークと同一のものを許可しない。
- 2:
- ICMPを許可する。
- 3:
- 内部からのtelnetやFTPなどのTCP接続は許可するが、外部からのTCP接続は拒否する。
- 4:
- DNSに関する問い合わせを許可する。
- 5:
- 内部のftpクライアントが外部のftpサーバに接続する際、ポート型の接続を許可する。
- 6:
- DNSサーバからの応答を許可する。
- 7:
- Source-route (始点経路制御) というオプションのついたIPパケットを許可しない。
- 8:
- ブロードキャストパケットを廃棄し、smarf attack から保護する。
外部から特定のWWWサーバ (192.168.0.2) のみアクセスを許可
ip filter 16 pass-log * 192.168.0.2/32 tcp * www
pp select 1
ip pp secure filter in 10 11 12 13 14 15 16
外部から特定のFTPサーバ (192.168.0.3) のみアクセスを許可
ip filter 17 pass-log * 192.168.0.3/32 tcp * ftp
pp select 1
ip pp secure filter in 10 11 12 13 14 15 17
LAN環境にWindowsのファイル共有によるNetBIOSの発呼を禁止する場合
ip filter 18 reject * * udp,tcp 137-139 *
ip filter 19 reject * * udp,tcp * 137-139
ip filter 100 pass * * * * *
ip lan secure filter in 18 19 100
その他
ネットワークゲームやネットワークアプリケーションを使用する場合には、対応するtcp/udpのポートについて設定を行ってください。以下にいくつかのものを記述しましたので、ご参考にして下さい。
CU-SeeMe
udp 7648/tcp 7648-7649
CU-SeeMe (リフレクタ接続の追加)
udp 7649-7652/tcp 7650-7652
ICQ
udp 4000/tcp 2000-3000
QuickTime4
udp 6970-6999/tcp 554
RealAudio
udp 6970-7170/tcp 7070
RealPlayer
udp 6970-7170/tcp 554,7070-7071
Media Player
udp 1024-5000
Net Meeting
udp 1024-65535/tcp 522,389,1503,1720,1731
- * ゲームについては、それぞれ個別のポートをあける必要があります。あける必要のあるポートについては、別途ゲームの説明書等を参考にしてください。
IPフィルターの詳しい設定方法につきましては、各メーカーのページをご参照ください
- NTT-MEのMN128を使用している方
- http://www.ntt-me.co.jp/mn128/
- YAMAHAのRTシリーズを使用している方
- http://www.rtpro.yamaha.co.jp/RT/
