- - PR -
NAPT環境でのパケットフィルタリングについて
1
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2004-10-01 18:44
はじめまして。
ブロードバンドルータのパケットフィルタリングでポート135〜139や445をふさいでいる 方も多いと思いますが、ブロードバンドルータでIPマスカレードしている内部LANに対して、 具体的にどのような攻撃をされるおそれがあるんでしょうか? また、過去にこれらのポートをフィルタリングしていないことで共有リソースを悪用された といった例はあるんでしょうか? | ||||
|
投稿日時: 2004-10-01 23:45
こんばんわ.
愚見ですが,「守る」というより,「外に余計な packet を出さない」 という性質が強いのではないかと. masquarade や NAPT の性質だと,どちらかと言うと「外へ出て行く」場合が多いかと. 内部 ip address を static に NAT して外部へ公開する場合と, 少々事情が違うと思います. firewall でよくやるのは, 「NetBIOS 周りや DirectSMB は logging しない」ために, あえて rule を個別に書いたりしてます. 以上,ご参考までに. | ||||
|
投稿日時: 2004-10-02 00:20
井上です。
アドレス変換が入っていれば、簡単に LAN 側には入り込んでこられないだろうとは思いますが、現実問題として、ルータのログを見るとこの手のポートが叩かれまくっているのも事実。そう考えると、「保険」という意味合いもあるように思えます。もちろん、kaz さんがおっしゃる「出て行かせない」というのもあります。 うちで使っている NEC やヤマハのルータだと、インターフェイスごとに入力方向と出力方向に別々にフィルタを指定できるので、向きと目的を考えながら設定しないと、えらいことになりますね。どちらも、既定値のままで問題ないですけど。 _________________ www.kojii.net | ||||
|
投稿日時: 2004-10-02 08:30
おはようございます。
IPマスカレードは、パケットが外に出て行くときに動的に変換をかけているので 外部から内部に接続しようとしてもどのポートがどの端末になるか判らないので 基本的には、外部から内部へは無いと思われます。 でも、外部のパケットを破棄しているのはルータになるので、パケットを集中したら 外部接続の帯域をなくすことは出来るかもしれません。 また、変換されるポートについては、使用するポート範囲を指定出来る物もあるので それを使用するというのも1つの手かもしれません。 後、間違っていたらすみませんが、IPマスカレードをかけているインターフェイスには フィルタはかけれなかったと思います。 NetScreenのような内部ポリシーを設定できるものは別ですが・・。 | ||||
|
投稿日時: 2004-10-03 09:11
なるほど。
やはり、保険という要素が強いようですね。 あと、外に出さないため。 ちょっとすっきりしました。 | ||||
|
投稿日時: 2004-10-03 13:52
井上です。
「外に出さない」で思い出しましたが、NEC のルータは既知のトロイの木馬が使うポートを塞いで、通信を外に出さないようにするフィルタを標準で設定してありますね。これはなかなか面白いです。 _________________ www.kojii.net | ||||
|
投稿日時: 2004-10-03 14:58
NAPTではUDPの戻りパケットはポート番号の組み合わせと、
タイムアウトだけで判断していますよね? 送信元と送信先のポートに同じものを利用するアプリケーションの場合、 短時間ではありますが、内部のサーバが外部に公開されてしまう可能性があります。 外部のサーバにアクセスした直後に逆に内部のサーバに接続されて、 パケットのやり取りが続いたら、NAPTのテーブルから消えませんよね。。。 |
1