投稿日:2004年12月26日 作成鷹の巣

No.17995 ルーターのセキュリティーチェックの結果についてアドバイスをください。



ルーターのセキュリティーチェックの結果についてアドバイスをください。

No.17995 投稿時間:2004年12月26日(Sun) 11:31 投稿者名:ゆき URL:

現在サーバーは公開していないのですが、使っているルーター機能付きのADSLモ
デムのセキュリティーチェック行ってみました。
その結果について、ご意見を伺いたく書き込みを致しました。よろしくお願いします。


こちらのサイトの手順C.サービスポートの確認
http://sakaguch.com/ServicePort.html に書いてある
Sygate Online Service http://scan.sygatetech.com/ のQuick Scanを実施し
てみました。

結果は、
BLOCKEDと表示されるのが次の二つだけでした。
-TELNET(23番)
-WEB(80番)
OPENと表示されるのが
-ICMP(8番)
これ以外は、全てCLOSEDと表示されました。

なお使っているADSLモデムは富士通のFC3521RA1で、フィルターの設定はデフォ
ルト状態です。
http://www.acca.ne.jp/support/modem/f_adslmodem/index.html


この結果についてお伺いしたいのですが、一般的に445,512-513(TCP/UDP)などの
ポートは閉じておくように言われていますが、今回のQuick Scanの結果からは閉
じられていなくてルーターを素通りしている様に見えます。

この状態で問題はないのでしょうか。

例えばパケットがルーターを素通りしているが、ルーターのポートフォワード機
能でパケットの行き先が指定されていないのから自然消滅しているので問題なし、
と判断してもよいものでしょうか。

一般論でもOKですので何かコメントを頂ければうれしいです。


一般論ですが。

No.17997 投稿時間:2004年12月26日(Sun) 17:56 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

> こちらのサイトの手順C.サービスポートの確認
> http://sakaguch.com/ServicePort.html に書いてある
> Sygate Online Service http://scan.sygatetech.com/ のQuick Scanを実施し
> てみました。
>
> 結果は、
> BLOCKEDと表示されるのが次の二つだけでした。
> -TELNET(23番)
> -WEB(80番)
> OPENと表示されるのが
> -ICMP(8番)
> これ以外は、全てCLOSEDと表示されました。
>
> なお使っているADSLモデムは富士通のFC3521RA1で、フィルターの設定はデフォ
> ルト状態です。
> http://www.acca.ne.jp/support/modem/f_adslmodem/index.html
>
>
> この結果についてお伺いしたいのですが、一般的に445,512-513(TCP/UDP)などの
> ポートは閉じておくように言われていますが、今回のQuick Scanの結果からは閉
> じられていなくてルーターを素通りしている様に見えます。
>
> この状態で問題はないのでしょうか。
>
> 例えばパケットがルーターを素通りしているが、ルーターのポートフォワード機
> 能でパケットの行き先が指定されていないのから自然消滅しているので問題なし、
> と判断してもよいものでしょうか。

一般的な話ですが、ポートフォワードしてない限り、WANから始まる通信はNAPTできない(行き先が決まらない)ので入り口で廃棄されます。セキュリティ上ルータを入れる最大のメリットです。
Sygate Online Service http://scan.sygatetech.com/ のQuick Scanは、well known port の中でもさらに限定したポートのみテストしているので表示されたポート以外は試験されていません。
非常に時間がかかりますが、TCP/UDP SCANをすれば全て洗えますが、一般的には不要です。因みに、512-513?ではなく、137-139の間違いでは?
(http://www.vwnet.jp/mura/tcpip-port.htm)

因みに状態は以下のとおりで、OPENでなければどちらでも問題はないです。ルータの作りでBLOCKEDになったりCLOSEDになったりします。なお、必要性がないならICMPに反応しないようにしたほうがいいと、個人的には思います。最近のワームはICMPで相手の存在確認してから感染を試みるものがあり、ICMPに反応するとアタックがものすごく増えます。

BLOCKED:ポートスキャンに対して無反応な状態。(応答のタイムアウトで見ているのでネットワークが混んでいる場合にこうなる場合もある。)
CLOSED:ポートスキャンに対して応答はあるが拒否している状態。
OPEN:ポートスキャンに対して応答している状態。(サーバ等が動作している等)


ありがとうございました。

No.18000 投稿時間:2004年12月27日(Mon) 22:38 投稿者名:ゆき URL:

おやじ様
ご教示いただきありがとうございました。もやもやがスッキリしました。

>因みに、512-513?ではなく、137-139の間違いでは?

確かにそうですね。なにを考えていたのか・・・。


>なお、必要性がないならICMPに反応しないようにしたほうがいいと、個人的には思います。
>最近のワームはICMPで相手の存在確認してから感染を試みるものがあり、ICMPに反応するとアタックがものすごく増えます。

その後、使っているルーター付きADSLモデムのマニュアルを読んだのですが、入ってきたICMPを破棄する方法についての記載がありませんでした。
あまり細かなフィルタリングの設定は出来ないみたいです。


現在は、ルーターが手に入ったので、ADSLモデムをブリッジモードにして、その後にこのルーターを接続して使っています。このルーターならばフィルタリングの設定も任意に設定できるのでICMPに反応しないように設定をしておきました。

ありがとうございました。


|目次|掲示板|過去ログ目次|▲頁先頭|