|
実験 第1回 ルータ内蔵の設定用サーバへのアクセスを制限するには
|
|
多くのブロードバンド・ルータは、PCからWebブラウザを通して各種の設定やステータスの監視を行えるよう設計されている。もともと、キーボードや大型のディスプレイといったリッチなユーザー・インターフェイスを持たないネットワーク機器では、シリアル・ポートやネットワークを介してPCや簡易コンソールと接続し、設定や監視のためのインターフェイスとして利用するのが一般的だ。ただ最近では、PCにWebブラウザが標準装備されたこと、また原則的にWebブラウザさえあればPC側のOSは何でもよいこと、そしてネットワーク機器のプロセッサ性能やメモリ容量などハードウェア性能が高まってきていることから、Webサーバ機能を内蔵して、設定・監視用インターフェイスとして利用するネットワーク機器が増えている。
 |
|||
| ブロードバンド・ルータの設定用Webサーバの画面 | |||
| これはルートテックのCAS2040というブロードバンド・ルータの設定画面を、Internet Explorerで参照しているところ。多くの製品では、このようにブロードバンド・ルータに割り当てられたIPアドレスをURLに指定すると、パスワードの確認が行われた後で設定画面が表示される。 | |||
|
設定用サーバでWebインターフェイスが普及する以前は、telnetやftpによるCUIがよく用いられていた(telnetは今でもWebインターフェイスとともに実装されていることがある)。Webインターフェイスのおかげで、ネットワーク機器の使い勝手は大幅に向上している。しかしその一方で、Webインターフェイスを含む設定用サーバの利用には、セキュリティに注意を払わなければならなくなってきた。今回の主題は、この設定用サーバに関するセキュリティ性能を高めることだ。
まずは設定用サーバのパスワード変更から
設定用Webサーバに関するセキュリティで注意すべきことの1つは、パスワードの管理だ。ルータの設定変更や監視といった作業を誰でも行えるようにしていると、そこがセキュリティ・ホールになり、自由にインターネットからLAN内に出入りできるようになってしまう。当然のことだが、パスワードの管理は、ルータのつながっているLANあるいはWAN管理者だけに限定されるべきだ。そのため、ルータの設定機能には、パスワードなどのアクセス制限が設けられている。
 |
| 設定用Webサーバのパスワード入力ウィンドウ |
| CAS2040のIPアドレスをWebブラウザのURLに指定してアクセスすると、まずパスワードの入力が求められる。簡単に実装できるため、CAS2040以外の市販のブロードバンド・ルータでも、こうしたパスワード入力で設定メニューへアクセスできるユーザーを制限している。 |
出荷直後あるいは初期化直後のルータには、ある特定の決まったパスワードが設定されており、付属のマニュアルなどに記載されている(一部には出荷時のパスワードが未設定の製品もあるようだ)。つまり、パスワードをデフォルトのままにしておくと、マニュアルを参照するなどして、そのルータのデフォルト・パスワードを知り得た人なら誰でもルータの設定を変更できてしまうことになる。これは非常に危険な状態だ。設定用サーバにまつわるセキュリティ対策の第一歩は、このデフォルトのパスワードを変更することだ。
 |
| パスワードを変更する設定画面 |
| CAS2040の設定メニューにて、[応用管理]−[管理]を選ぶとこの画面が表示される。ここでデフォルトから新しいパスワードに変更できる。 |
設定用サーバの存在そのものが危険!?
しかし、パスワードの変更だけでは不十分な場合もある。それは、設定用サーバがWAN側からアクセスできてしまう場合だ。
ブロードバンド・ルータには通常、LANとWANそれぞれのネットワークを接続するためのネットワーク・インターフェイス(10BASE-Tか100BASE-TX対応のイーサネット・ポート)が設けられている。ルータ内蔵の設定用サーバには、この2つの経路からのアクセスが考えられるわけだ。しかし多くの場合、ブロードバンド・ルータのWAN側はインターネットから直接アクセスできる(グローバルIPアドレスが割り当てられる)ような環境で運用されるため、WAN側から設定用サーバへのアクセスを許すと、インターネット経由で不特定多数の人からのアクセス(あるいは攻撃)を受ける可能性が高くなる。
|
ルータ内蔵の設定用サーバに対する「攻撃」とは? 「攻撃」の1つは、第三者にパスワードをクラックされて設定用サーバにアクセスされる、すなわちルータを乗っ取られるというものだ。前述のようにパスワードが出荷状態のデフォルトのままだと、非常に危険なのはいうまでもない。しかし、たとえパスワードをデフォルトから変更しても、電子辞書などを使ってパスワードのマッチングを図るクラッキング・ツールも存在するため、パスワード自体もよく考えなければならない。具体的なクラッキング・ツールの動作は、プログラムで自動的にパスワード候補の文字列を生成して繰り返し照合を行い、正しいパスワードを導き出す、といったものだ。ルータに設定できるパスワードは6〜8文字までと短いことが多く、類推しやすい(しかもユーザー名の指定は不要なものもある)。つまり、パスワードで保護していても、100%安全ということはないのだ。 もう1つ、最近注目されているのが、設定用サーバの「隙」をついてルータをハングアップさせてしまう攻撃だ。代表的なのは、2001年夏に猛威をふるったワーム「Code Red」が使ったバッファ・オーバーフロー攻撃だ(詳細はWindows 2000 Insiderの「Insider's Eye:Code Redワームの正体とその対策」を参照)。Code Redは本来、マイクロソフトのInternet Information Server(IIS)にある脆弱性を狙ったワームだが、攻撃の手段として不正に長いHTTP要求をインターネット上のWebサーバに送りつける。バッファ・オーバーフロー対策がなされていないWebサーバでは、この不正なHTTP要求の処理中にエラーが生じ、Webサーバが異常終了したり、機器そのものがハングアップしたりしてしまう。ルータに内蔵の設定用Webサーバも例外ではなく、実際、ベンダによっては自社のルータのファームウェアをアップデートして、Code Redによるバッファ・オーバーフロー攻撃の対策を施したところもあった。 こうした攻撃からルータを守るには、やはりWAN側から設定用サーバへのアクセスを禁止するのが最良といえる。 |
その一方で、用途によってはWAN側からルータの設定を変更したい場合もある。例えば、分散している複数の事務所に対して中央の組織からネットワーク機器を集中管理するといった状況だ。この場合は、管理者が遠隔地の事務所にあるルータをリモート管理する必要があるため、WAN側から設定用サーバをアクセスすることになる。そのため、ルータによっては、設定用サーバにWAN側からアクセスできるようにするための設定メニューが設けられていることもある。
 |
| WAN側からのルータ設定を許可/禁止する設定メニュー |
| CAS2040の場合、赤く囲った部分「インターネットからの管理を可能にする」をチェックすると、WAN側から設定用Webサーバにアクセスできるようになってしまう。通常はチェックがオフになっていることを確認しておく。 |
どうしてもリモート管理が必要というのでなければ、このような設定メニューを調べて、WAN側からの設定用サーバへのアクセスがきちんと禁止されていることを確認したほうがよい。
WAN側から設定用サーバへのアクセスを禁止する
WAN側からの設定用サーバへのアクセスを禁止するには、上記画面のような設定メニューを操作すればよい。ただ、設定方法はルータによって若干異なる。前述のCAS2040のようにチェック・ボックスをオフにするだけの単純な設定で済むものが多いが、特定のIPアドレスからしかアクセスを許さないなど、よりきめ細かくアクセス制限を設定できる製品もある。さらに高機能な製品になると、Webインターフェイスだけではなくtelnetでも設定可能なものがある。この場合、もちろん設定用telnetサーバについてもWAN側からのアクセスを制限する必要があるので忘れないようにしたい。
また、こうしたアクセス制限は、パケットフィルタリングで禁止するという手段もあるが、この場合には、WAN側ポートに入力するパケットに対してフィルタを設定できる機能がルータに必要となる(パケットフィルタリングについては第2回以降で詳細に扱う予定)。
WAN側からのアクセス禁止を確認するには
設定が済んだら、アクセス制限が有効になっていることを確認してみよう。それには実際にWAN側からWebブラウザでルータに割り当てられたIPアドレスをURLに指定して、その反応を調べればよい。何もページが表示されなければ、WAN側からのアクセスが正しく制限されていることになる。ルータのWAN側IPアドレスは、ルータのステータス表示画面で調べよう。
 |
| WAN側のステータス表示画面 |
| WAN側IPアドレスなどは、ネットワークを管理するうえで非常に重要な情報だ。そのため、どのブロードバンド・ルータでも赤く囲った部分のようなステータス表示機能がある。このCAS2040の場合、[ネットワークステータス]−[WAN IPステータス]を選ぶとこの画面が現れる。ここではWAN側IPアドレスやサブネットマスク、DNSサーバのほか、PPPoEの利用状況などが分かる。 |
もしルータのWAN側ポートにグローバルIPアドレスが割り当てられている環境なら、別の回線(アナログ電話回線やISDN、PHSなど)でPCをインターネットに接続し、ルータのWAN側IPアドレスにWebブラウザでアクセスするとよい。
これに対し、ルータのWAN側ポートにプライベートIPアドレスが割り当てられている場合*1は、インターネット側から直接ルータを指定してアクセスできない。そこで、ルータと確認用PCをLANやWANから物理的に切り離して、ルータのWAN側ポートとPCを直結して確認する、という面倒な手順が必要となる。しかも、ルータとPCの両方にIPアドレスを手動設定し、確認が済んだら元の設定に戻さなければならない。厄介だが、セキュリティ関連のテストを実行するには、このように運用中のLANやWANから切り離さなければならない場合も多いのだ。
| *1 一部のCATVインターネット接続サービスでは、各ユーザー宅にあるケーブルモデム(あるいはモデムに接続されたPC)にプライベートIPアドレスを割り当てている場合がある。インターネット側からは、プライベートIPが割り当てられたネットワーク機器にはアクセスできないが、同じネットワーク・アドレスを持つ機器からはアクセス可能なこともある(これはサービス提供側のネットワーク設定に依存する)。つまり、同じ接続サービスを利用しているほかのユーザーからは、何らかの攻撃を受ける可能性があるので、グローバルIPアドレスの場合と同様に、セキュリティ対策は必須である。 |
確認作業で注意したいのは、ルータのLAN側ポートにつながっているPCから、ルータのWAN側IPアドレスにアクセスしても意味がないことである。ルータによっては、ルータのWAN側IPアドレス宛のパケットがLAN側から届いたら、WAN側のアクセス制限に関係なく設定用Webサーバに転送してしまうからだ。実際、CAS2040では、WAN側からのアクセスを禁止している状態でも、このとおりの挙動を示した。
■
今回は、ブロードバンド・ルータの各種設定を他人に操作できないようにするための設定を紹介した。設定作業そのものは簡単であるし、何より基礎中の基礎といえるセキュリティ対策なので、ぜひ実践していただきたい。次回は、ブロードバンド・ルータのセキュリティ設定における最重要ポイント「パケット・フィルタリング」を取り扱う予定だ。
| 関連リンク | |
| Insider's Eye:Code Redワームの正体とその対策 | |
| ルートテクロノジー製Luno CAS2040の動作確認情報 | |
| ゼロ円でできるブロードバンド・ルータ 2 1FD Linuxで作る高機能ルータ [インストール編] |
|
| ゼロ円でできるブロードバンド・ルータ 2 1FD Linuxで作る高機能ルータ [設定・運用編] |
|
 |
 |
| INDEX | ||
| [実験]ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座 | ||
 |
第1回 ルータ内蔵の設定用サーバへのアクセスを制限するには | |
| 第2回 Windowsのファイル共有サービスをブロックする | ||
 |
||
 |
「PC Insiderの実験」 |
- Intelと互換プロセッサとの戦いの歴史を振り返る (2017/6/28)
Intelのx86が誕生して約40年たつという。x86プロセッサは、互換プロセッサとの戦いでもあった。その歴史を簡単に振り返ってみよう - 第204回 人工知能がFPGAに恋する理由 (2017/5/25)
最近、人工知能(AI)のアクセラレータとしてFPGAを活用する動きがある。なぜCPUやGPUに加えて、FPGAが人工知能に活用されるのだろうか。その理由は? - IoT実用化への号砲は鳴った (2017/4/27)
スタートの号砲が鳴ったようだ。多くのベンダーからIoTを使った実証実験の発表が相次いでいる。あと半年もすれば、実用化へのゴールも見えてくるのだろうか? - スパコンの新しい潮流は人工知能にあり? (2017/3/29)
スパコン関連の発表が続いている。多くが「人工知能」をターゲットにしているようだ。人工知能向けのスパコンとはどのようなものなのか、最近の発表から見ていこう
 |
|
|
|
|
