ブロードバンドルーターでパケットフィルタリング
ネットワーク・セキュリティー
|
powered by
ぽんこつWEBサーバー構築 |
ここではブロードバンドルーターやルーター によるパケットフィルタリングについて紹介します。
インターネットを利用するうえで、セキュリティー対策は重要です。 特にサーバーを公開する場合は細心の注意を払う必要があります。 トロイの木馬などの多くのウィルスやワームはTCPポート やUDPポートを悪用します。 PC本体でポートを閉じると同時に、ルーターやファイアウォールで パケットをブロックすることも重要です。
ここではブロードバンドルーターでのパケットフィルタリングを紹介していますが、 ファイアウォールとの最大の違いは、一言で言うと『ファイアウォールの方が頭が良い』ということです。 ファイアウォールは、各サービスのやり取り(トランザクション)の向きを理解することができます。
例えばFTPの場合、クライアントからサーバーの20番ポートに対して要求を出します。 この際、クライアントもPCから自動で割り当てられるポートを一時的に開けています。 ファイアウォールはこのやり取りを理解することができるため、クライアント側の 全ポートへの要求を拒否する設定にしていても、FTPのために一時的に開けたポートへの 応答パケットだけを通過させることができます。 一方、ルーターはこのやり取りの向きを理解できないため、全ポートへの要求を拒否する設定に すると、FTPの応答パケットも破棄されてしまいます。
話を戻しますが、セキュリティー対策で一番の基本は『不要なポートは全て閉じる』ことです。 当たり前ですが全てのポートが閉じていれば悪用もなにもありません。 ただ、インターネット利用やサーバー公開のためには、やはりポートを開ける必要があります。
では、開ける必要があるポートについて見ていきます。
<動的ポート>
インターネットでのサイト閲覧やFTPサーバーに接続するためには、
クライアント(要求側)のTCPポートを一時的に開けます。
これは動的ポートなどと呼ばれますが、ブラウザを立ち上げる度にPCから自動的に割り当てられます。
その範囲はTCPポートの1024番〜65535番です。これを閉じてしまうとサービスが利用できません。
ただし、トロイの木馬のように特定のポートを悪用する(勝手に開けてしまう)ものがあるため、
そのポートを閉じておいた方が良いでしょう。たまたまサイト閲覧時にそのポートが割り振られた場合は
あきらめて、もう一回開けばよいでしょう。
<サーバー>
サーバーを公開するには、それぞれ決められたポートを開けておく必要があります。
主なサービスの種類と開けるべきポートは以下の通りです。
| サービス | ポート番号 |
| FTP | 20,21 |
| TELNET | 23 |
| SMTP | 25 |
| DNS | 53 |
| DHCP | 67 |
| HTTP | 80 |
| POP3 | 110 |
| NTP | 123 |
| HTTPS | 443 |
<クライアント>
一部のサービスでは、クライアントのポートも決められています。
これらのポートを閉じてしまうと、サービスが利用できません。
| サービス | ポート番号 |
| FTP(PASVモード) | 20,21 |
| DHCP | 68 |
| NTP | 123 |
以上を踏まえて、
・クライアントとしてHTTP,FTP,DHCP,NTPを利用
・サーバーとしてHTTPを利用
・トロイの木馬の使用ポートを遮断(更紗さんのサイトを参考にさせて頂きました。現在閉鎖中)
という要件でブロードバンドルーター「Buffalo BBR-4HG」
の設定をした場合の例です。
| インターフェイス | 動作 | 宛先IPアドレス | 送信元IPアドレス | プロトコル | 備考 |
| WAN | 無視 | ALL | ALL | TCPポート 1-79 | HTTP以外のウェルノウンポート(TCP)を閉じる |
| WAN | 無視 | ALL | ALL | TCPポート 81-1023 | |
| WAN | 無視 | ALL | ALL | TCPポート 1080 | トロイの木馬の使用するTCPポートを閉じる |
| WAN | 無視 | ALL | ALL | TCPポート 1243 | |
| WAN | 無視 | ALL | ALL | TCPポート 2049 | |
| WAN | 無視 | ALL | ALL | TCPポート 4000 | |
| WAN | 無視 | ALL | ALL | TCPポート 4444 | |
| WAN | 無視 | ALL | ALL | TCPポート 6000-6063 | |
| WAN | 無視 | ALL | ALL | TCPポート 7070 | |
| WAN | 無視 | ALL | ALL | TCPポート 8080 | |
| WAN | 無視 | ALL | ALL | TCPポート 12345 | |
| WAN | 無視 | ALL | ALL | TCPポート 26000 | |
| WAN | 無視 | ALL | ALL | TCPポート 27374 | |
| WAN | 無視 | ALL | ALL | TCPポート 27573 | |
| WAN | 無視 | ALL | ALL | TCPポート 27910 | |
| WAN | 無視 | ALL | ALL | TCPポート 31785-31792 | |
| WAN | 無視 | ALL | ALL | UDPポート 1-67 | NTP,DHCP以外のUDPポートを閉じる |
| WAN | 無視 | ALL | ALL | UDPポート 69-122 | |
| WAN | 無視 | ALL | ALL | UDPポート 124-65535 |
以上のパケットフィルタリング設定は、管理人がいろいろつまづきながら辿り着いた設定です。 今後、新たな問題が発覚した場合などは予告なく変更することもありますのでご了承ください。 また、『そのポートを閉じると○○ができない』というような場合は、 ご指摘頂けると嬉しいです。
こちらは管理人のおすすめです。もしよかったらご覧ください。
トップページ
★姉妹サイト
マウスコンピューターフリーク・・・激安パソコン紹介
【HP・WEB収入】課題達成型アフィリエイト・・・ホームページで広告収入
