2022年8月、ホームページを全面リニューアルしました! 情報を分かりやすくお伝えできるサイト作りを目指してまいります。

ルータBA8000Proのセキュリティポリシー!

NTT-MEのBA8000Proを秋葉原ソフマップの中古ショップでゲットした。およそ、中古価格で7000円のルータである。
このルータは、「落ちないルータ」として定評があるPlanexのOEMである。俺がこのルータを購入したのは、Coregaの安物ルータを使っていてDoS攻撃をくらい一週間に一度程度ルータが落ちたからである。したがって、鉄板を内蔵したような強固なルータが欲しかった。しかし、最近は有線ルータがほとんど無く無線ルータの天下だ。確かに無線ルータでも有線接続が出来る機種は多いが、細かいフィルタリングの設定出来る物がないし、正直無線はいらない。このような背景から、俺好みのルータBA8000Proをやっと見つけて購入したので俺独自のセキュリティ設定の解説をしてみたい。
下の写真1が現物

写真1

1.外部公開サーバ(NAPT)

1)WAN公開サーバ一覧

用途外部ポートLAN側IP
SSH22192.168.255.103
SMTP25192.168.255.101
DNS53192.168.255.103
WWW80192.168.255.103
POP3110192.168.255.101
NTP123192.168.255.103
WWW7000192.168.255.5(WWW2)

2)NAPTの設定

以下、図1参照。

図1

2.静的フィルタの設定(WAN側→LAN側)

1)ポリシー
基本的なフィルタリングの説明は、 ここ を参照の事。

ポート番号サービス動作
11systat破棄
15netstat破棄
20,21ftp破棄
23telnet破棄
67-70bootpsその他破棄
135-139netbiosその他破棄
144uma破棄
161,162snmp関係破棄
177xdmcp破棄
220imap3破棄
445msds破棄
512-520bifその他破棄
540uucp破棄
1025listener破棄
2000openwi破棄
2049nfs破棄
2766listen破棄

TCP or UDPで用いられるポート番号の種類のひとつ。主にクライアントアプ リケーションを識別するために、通常TCPでは、送信元のポートは1025から65536のポート番号がランダムで使われる(ランダムポート)。しかし、実際にどのあたりを使うかは実装に依存する。したがって、自鯖から外部にSMTP送信するときは、自鯖のポート1025から65535と、相手鯖のSMTPのポート25との間でパケットが行き来する。このことから、1025から65535の間はpass(通過)にしておくべきだが、この間のポートへの不正アクセス及び攻撃が頻繁で有る場合は、その敵のターゲットポートのみ塞ぐような細かい設定をする。
そんなわけで、俺の場合、クラックな方々に狙われやすいポートを細かく塞いでみた。BA8000ProのWAN→LANのフィルタ設定では、動作をpass(通過)するポートを記述して、それ以外は全てdiscard(破棄)するような設定を行う。したがって、以下の図2のような設定となる。

2007年2月現在、中国圏から非常に卑劣なhttpによる大量なGETリクエストDoS攻撃を受けたため、以下の静的フィルタのID29として、WAN→LAN向きで220.181.34.160~220.181.34.190迄のホストからの全てのパケットを破棄する設定にしている。

図2

3.静的フィルタの設定(LAN側→WAN側)

1)ポリシー

番号動作送信元ポート送信先アドレス送信先ポート
破棄全て10.0.0.0/8全て
破棄全て176.16.0.0/12全て
破棄全て192.168.0.0/16全て
破棄135,445全て全て
破棄全て全て135,445
破棄137-139全て全て
破棄全て全て137-139
上記以外全て通過全て全て全て

①~③ ローカルアドレスのWANへの流出防止。
④⑤ DCEロケーターサービスを外部流出遮断、ダイレクトホスティングSMBサービスの外部流出遮断。
⑥⑦ netbiosサービスの外部流出遮断。
設定すると、以下図3のような設定になる。その他に好みによって、以下のようなトロイの木馬系のポートを指定して破棄する。
ただし、設定でID64番は全て通過の設定が条件なので、これは変更できないようだ。

discard tcp 全て 全て 全て 1243
discard tcp 全て 全て 全て 12345
discard tcp 全て 全て 全て 27374
discard tcp 全て 全て 全て 31785
discard udp 全て 全て 全て 31789
discard udp 全て 全て 全て 3179

図3

4.ログを取る

BA8000Proは、ログを取る事が出来る。図4のような設定により、syslogにより、IPアドレスで指定したホストの message ログへ出力される。

図4

しかし、当然syslog.confで設定すれば指定のログファイルに書き込める。以下にその方法を記述する。

1)syslog.confの設定

[VFS-root@sub]# vi /etc/syslog.conf
省略

#
# Router
#
user.* /var/log/router

省略

2)syslogdのオプションスイッチ

[VFS-root@sub init.d]# vi syslogd

省略

# Source config
if [ -f /etc/sysconfig/syslogd ] ; then
. /etc/sysconfig/syslogd
else
SYSLOGD_OPTIONS=”-m 0″
fi

RETVAL=0

umask 077

start() {
if [ ! -f /var/lock/subsys/syslogd ]; then
echo -n $”Starting system logger: “
daemon syslogd -r $SYSLOGD_OPTIONS
RETVAL=$?
echo
[ $RETVAL -eq 0 ] && touch /var/lock/subsys/syslogd
return $RETVAL
fi
}

省略

[VFS-root@sub init.d]# ps -ef | grep syslogd
root 7476 1 0 14:49 ? 00:00:00 syslogd -r -m 0

3)ログローテーション

[VFS-root@sub init.d]# vi /etc/logrotate.d/syslogd
/var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/
cron /var/log/router
{
sharedscripts
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript
}

4)ログの書き込みテスト
ログファイルへ書き込めるかをテストする。

[VFS-root@sub init.d]# logger -p user.notice test
[VFS-root@sub init.d]# more /var/log/router
Apr 20 21:19:09 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:65.96.182.125,30762,WAN – Destination:203.141.144.180,1026,LAN
Apr 20 21:19:09 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[65.96.182.125] | Port:[1026] | [Blocked]
Apr 22 14:50:25 sub mity: test

5)実際のログ

[VFS-root@sub ~]# more /var/log/router
Apr 20 21:19:09 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:65.96.182.125,30762,WAN – Destination:203.141.144.180,1026,LAN
Apr 20 21:19:09 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[65.96.182.125] | Port:[1026] | [Blocked]
Apr 22 14:57:57 router Jan 1 00:00:00ba8000pro TCP connection dropped – Source:222.168.124.30,36998,WAN – Destination:203.141.144.180,8080,LAN
Apr 22 14:57:57 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[222.168.124.30] | Port:[8080] | [Blocked]
Apr 22 14:57:57 router Jan 1 00:00:00ba8000pro TCP connection dropped – Source:222.168.124.30,36999,WAN – Destination:203.141.144.180,3128,LAN
Apr 22 14:57:57 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[222.168.124.30] | Port:[3128] | [Blocked]
Apr 22 14:59:11 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:151.29.80.148,1274,WAN – Destination:203.141.144.180,1434,LAN
Apr 22 14:59:11 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[151.29.80.148] | Port:[1434] | [Blocked]
Apr 22 15:05:40 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:204.16.208.75,54738,WAN – Destination:203.141.144.180,1026,LAN
Apr 22 15:05:40 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[204.16.208.75] | Port:[1026] | [Blocked]
Apr 22 15:05:40 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:204.16.208.75,54738,WAN – Destination:203.141.144.180,1027,LAN
Apr 22 15:05:40 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[204.16.208.75] | Port:[1027] | [Blocked]
Apr 22 15:19:12 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | [192.168.255.2] | [liveupdate.symantecliveupdate.com] | [Forward]
Apr 22 15:21:32 router Jan 1 00:00:00ba8000pro TCP connection dropped – Source:61.130.100.226,41648,WAN – Destination:203.141.144.180,4899,LAN
Apr 22 15:21:32 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[61.130.100.226] | Port:[4899] | [Blocked]
Apr 22 15:23:15 router Jan 1 00:00:00ba8000pro TCP connection dropped – Source:70.77.86.95,2194,WAN – Destination:203.141.144.180,135,LAN
Apr 22 15:23:15 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[70.77.86.95] | Port:[135] | [Blocked]
Apr 22 15:30:51 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:203.101.26.252,1105
6,WAN – Destination:203.141.144.180,137,LAN
Apr 22 15:30:51 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[203.101.26.252] | Port:[137] | [Blocked]
Apr 22 15:35:34 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:61.186.97.134,4583,WAN – Destination:203.141.144.180,1025,LAN
Apr 22 15:35:34 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[61.186.97.134] | Port:[1025] | [Blocked]
Apr 22 15:35:34 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:61.186.97.134,4583,WAN – Destination:203.141.144.180,1028,LAN
Apr 22 15:35:34 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[61.186.97.134] | Port:[1028] | [Blocked]
Apr 22 15:35:34 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:61.186.97.134,4583,
WAN – Destination:203.141.144.180,1029,LAN
Apr 22 15:35:34 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[61.186.97.134] | Port:[1029] | [Blocked]
Apr 22 15:43:29 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | [192.168.255.2] | [download.windowsupdate.com] | [Forward]
Apr 22 15:43:29 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | [192.168.255.2] | [update.microsoft.com] | [Forward]
Apr 22 15:51:07 router Jan 1 00:00:00ba8000pro TCP connection dropped – Source:220.134.125.153,64269,WAN – Destination:203.141.144.180,4899,LAN
Apr 22 15:51:07 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[220.134.125.153] | Port:[4899] | [Blocked]
Apr 22 16:02:10 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:204.16.208.61,36798,WAN – Destination:203.141.144.180,1026,LAN
Apr 22 16:02:10 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[204.16.208.61] | Port:[1026] | [Blocked]
Apr 22 16:08:56 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:194.224.160.3,0,WAN- Destination:203.141.144.180,1025,LAN
Apr 22 16:08:56 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[194.224.160.3] | Port:[1025] | [Blocked]

5.実際に使ってみて

1)購入当初
思えば3ヶ月前は、CregaのルータBARFX2を使っていて毎週のように落とされていたが、BA8000Proに取り替えてからは一度も落ちていない。ただし、BA8000Proは熱にはかなり弱いみたいである。設置場所は、周りが囲まれていないオープンスペースへの設置がよいだろう。

2)2006年9月
夏も終わって秋になった。今年の夏は蒸し暑い夏だった。湿度が高く天気が曇りのある日ルータがフリーズした。
ルータの設置場所は、周りが狭いところではなく割合開放的な所なのだが、弱い!とりわけ熱に・・・・。特に湿度が高い環境では非常に弱い。ケースを改造して小型のファンでも取り付けたいぐらいだ。(~ペ)ウーン、改造するべきか~ぁ。

以上

コメント