NTT-MEのBA8000Proを秋葉原ソフマップの中古ショップでゲットした。およそ、中古価格で7000円のルータである。
このルータは、「落ちないルータ」として定評があるPlanexのOEMである。俺がこのルータを購入したのは、Coregaの安物ルータを使っていてDoS攻撃をくらい一週間に一度程度ルータが落ちたからである。したがって、鉄板を内蔵したような強固なルータが欲しかった。しかし、最近は有線ルータがほとんど無く無線ルータの天下だ。確かに無線ルータでも有線接続が出来る機種は多いが、細かいフィルタリングの設定出来る物がないし、正直無線はいらない。このような背景から、俺好みのルータBA8000Proをやっと見つけて購入したので俺独自のセキュリティ設定の解説をしてみたい。
下の写真1が現物
1.外部公開サーバ(NAPT)
1)WAN公開サーバ一覧
用途 | 外部ポート | LAN側IP |
SSH | 22 | 192.168.255.103 |
SMTP | 25 | 192.168.255.101 |
DNS | 53 | 192.168.255.103 |
WWW | 80 | 192.168.255.103 |
POP3 | 110 | 192.168.255.101 |
NTP | 123 | 192.168.255.103 |
WWW | 7000 | 192.168.255.5(WWW2) |
2)NAPTの設定
以下、図1参照。
2.静的フィルタの設定(WAN側→LAN側)
1)ポリシー
基本的なフィルタリングの説明は、 ここ を参照の事。
ポート番号 | サービス | 動作 |
11 | systat | 破棄 |
15 | netstat | 破棄 |
20,21 | ftp | 破棄 |
23 | telnet | 破棄 |
67-70 | bootpsその他 | 破棄 |
135-139 | netbiosその他 | 破棄 |
144 | uma | 破棄 |
161,162 | snmp関係 | 破棄 |
177 | xdmcp | 破棄 |
220 | imap3 | 破棄 |
445 | msds | 破棄 |
512-520 | bifその他 | 破棄 |
540 | uucp | 破棄 |
1025 | listener | 破棄 |
2000 | openwi | 破棄 |
2049 | nfs | 破棄 |
2766 | listen | 破棄 |
TCP or UDPで用いられるポート番号の種類のひとつ。主にクライアントアプ リケーションを識別するために、通常TCPでは、送信元のポートは1025から65536のポート番号がランダムで使われる(ランダムポート)。しかし、実際にどのあたりを使うかは実装に依存する。したがって、自鯖から外部にSMTP送信するときは、自鯖のポート1025から65535と、相手鯖のSMTPのポート25との間でパケットが行き来する。このことから、1025から65535の間はpass(通過)にしておくべきだが、この間のポートへの不正アクセス及び攻撃が頻繁で有る場合は、その敵のターゲットポートのみ塞ぐような細かい設定をする。
そんなわけで、俺の場合、クラックな方々に狙われやすいポートを細かく塞いでみた。BA8000ProのWAN→LANのフィルタ設定では、動作をpass(通過)するポートを記述して、それ以外は全てdiscard(破棄)するような設定を行う。したがって、以下の図2のような設定となる。
2007年2月現在、中国圏から非常に卑劣なhttpによる大量なGETリクエストDoS攻撃を受けたため、以下の静的フィルタのID29として、WAN→LAN向きで220.181.34.160~220.181.34.190迄のホストからの全てのパケットを破棄する設定にしている。
3.静的フィルタの設定(LAN側→WAN側)
1)ポリシー
番号 | 動作 | 送信元ポート | 送信先アドレス | 送信先ポート |
① | 破棄 | 全て | 10.0.0.0/8 | 全て |
② | 破棄 | 全て | 176.16.0.0/12 | 全て |
③ | 破棄 | 全て | 192.168.0.0/16 | 全て |
④ | 破棄 | 135,445 | 全て | 全て |
⑤ | 破棄 | 全て | 全て | 135,445 |
⑥ | 破棄 | 137-139 | 全て | 全て |
⑦ | 破棄 | 全て | 全て | 137-139 |
⑧ | 上記以外全て通過 | 全て | 全て | 全て |
①~③ ローカルアドレスのWANへの流出防止。
④⑤ DCEロケーターサービスを外部流出遮断、ダイレクトホスティングSMBサービスの外部流出遮断。
⑥⑦ netbiosサービスの外部流出遮断。
設定すると、以下図3のような設定になる。その他に好みによって、以下のようなトロイの木馬系のポートを指定して破棄する。
ただし、設定でID64番は全て通過の設定が条件なので、これは変更できないようだ。
discard tcp 全て 全て 全て 1243
discard tcp 全て 全て 全て 12345
discard tcp 全て 全て 全て 27374
discard tcp 全て 全て 全て 31785
discard udp 全て 全て 全て 31789
discard udp 全て 全て 全て 3179
4.ログを取る
BA8000Proは、ログを取る事が出来る。図4のような設定により、syslogにより、IPアドレスで指定したホストの message ログへ出力される。
しかし、当然syslog.confで設定すれば指定のログファイルに書き込める。以下にその方法を記述する。
1)syslog.confの設定
[VFS-root@sub]# vi /etc/syslog.conf
省略
#
# Router
#
user.* /var/log/router
省略
2)syslogdのオプションスイッチ
[VFS-root@sub init.d]# vi syslogd
省略
# Source config
if [ -f /etc/sysconfig/syslogd ] ; then
. /etc/sysconfig/syslogd
else
SYSLOGD_OPTIONS=”-m 0″
fi
RETVAL=0
umask 077
start() {
if [ ! -f /var/lock/subsys/syslogd ]; then
echo -n $”Starting system logger: “
daemon syslogd -r $SYSLOGD_OPTIONS
RETVAL=$?
echo
[ $RETVAL -eq 0 ] && touch /var/lock/subsys/syslogd
return $RETVAL
fi
}
省略
[VFS-root@sub init.d]# ps -ef | grep syslogd
root 7476 1 0 14:49 ? 00:00:00 syslogd -r -m 0
3)ログローテーション
[VFS-root@sub init.d]# vi /etc/logrotate.d/syslogd
/var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/
cron /var/log/router
{
sharedscripts
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript
}
4)ログの書き込みテスト
ログファイルへ書き込めるかをテストする。
[VFS-root@sub init.d]# logger -p user.notice test
[VFS-root@sub init.d]# more /var/log/router
Apr 20 21:19:09 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:65.96.182.125,30762,WAN – Destination:203.141.144.180,1026,LAN
Apr 20 21:19:09 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[65.96.182.125] | Port:[1026] | [Blocked]
Apr 22 14:50:25 sub mity: test
5)実際のログ
[VFS-root@sub ~]# more /var/log/router
Apr 20 21:19:09 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:65.96.182.125,30762,WAN – Destination:203.141.144.180,1026,LAN
Apr 20 21:19:09 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[65.96.182.125] | Port:[1026] | [Blocked]
Apr 22 14:57:57 router Jan 1 00:00:00ba8000pro TCP connection dropped – Source:222.168.124.30,36998,WAN – Destination:203.141.144.180,8080,LAN
Apr 22 14:57:57 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[222.168.124.30] | Port:[8080] | [Blocked]
Apr 22 14:57:57 router Jan 1 00:00:00ba8000pro TCP connection dropped – Source:222.168.124.30,36999,WAN – Destination:203.141.144.180,3128,LAN
Apr 22 14:57:57 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[222.168.124.30] | Port:[3128] | [Blocked]
Apr 22 14:59:11 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:151.29.80.148,1274,WAN – Destination:203.141.144.180,1434,LAN
Apr 22 14:59:11 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[151.29.80.148] | Port:[1434] | [Blocked]
Apr 22 15:05:40 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:204.16.208.75,54738,WAN – Destination:203.141.144.180,1026,LAN
Apr 22 15:05:40 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[204.16.208.75] | Port:[1026] | [Blocked]
Apr 22 15:05:40 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:204.16.208.75,54738,WAN – Destination:203.141.144.180,1027,LAN
Apr 22 15:05:40 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[204.16.208.75] | Port:[1027] | [Blocked]
Apr 22 15:19:12 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | [192.168.255.2] | [liveupdate.symantecliveupdate.com] | [Forward]
Apr 22 15:21:32 router Jan 1 00:00:00ba8000pro TCP connection dropped – Source:61.130.100.226,41648,WAN – Destination:203.141.144.180,4899,LAN
Apr 22 15:21:32 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[61.130.100.226] | Port:[4899] | [Blocked]
Apr 22 15:23:15 router Jan 1 00:00:00ba8000pro TCP connection dropped – Source:70.77.86.95,2194,WAN – Destination:203.141.144.180,135,LAN
Apr 22 15:23:15 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[70.77.86.95] | Port:[135] | [Blocked]
Apr 22 15:30:51 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:203.101.26.252,1105
6,WAN – Destination:203.141.144.180,137,LAN
Apr 22 15:30:51 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[203.101.26.252] | Port:[137] | [Blocked]
Apr 22 15:35:34 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:61.186.97.134,4583,WAN – Destination:203.141.144.180,1025,LAN
Apr 22 15:35:34 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[61.186.97.134] | Port:[1025] | [Blocked]
Apr 22 15:35:34 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:61.186.97.134,4583,WAN – Destination:203.141.144.180,1028,LAN
Apr 22 15:35:34 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[61.186.97.134] | Port:[1028] | [Blocked]
Apr 22 15:35:34 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:61.186.97.134,4583,
WAN – Destination:203.141.144.180,1029,LAN
Apr 22 15:35:34 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[61.186.97.134] | Port:[1029] | [Blocked]
Apr 22 15:43:29 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | [192.168.255.2] | [download.windowsupdate.com] | [Forward]
Apr 22 15:43:29 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | [192.168.255.2] | [update.microsoft.com] | [Forward]
Apr 22 15:51:07 router Jan 1 00:00:00ba8000pro TCP connection dropped – Source:220.134.125.153,64269,WAN – Destination:203.141.144.180,4899,LAN
Apr 22 15:51:07 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[220.134.125.153] | Port:[4899] | [Blocked]
Apr 22 16:02:10 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:204.16.208.61,36798,WAN – Destination:203.141.144.180,1026,LAN
Apr 22 16:02:10 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[204.16.208.61] | Port:[1026] | [Blocked]
Apr 22 16:08:56 router Jan 1 00:00:00ba8000pro UDP packet dropped – Source:194.224.160.3,0,WAN- Destination:203.141.144.180,1025,LAN
Apr 22 16:08:56 router Jan 1 00:00:00ba8000pro [2002-01-01 00:00:00] | From:[194.224.160.3] | Port:[1025] | [Blocked]
5.実際に使ってみて
1)購入当初
思えば3ヶ月前は、CregaのルータBARFX2を使っていて毎週のように落とされていたが、BA8000Proに取り替えてからは一度も落ちていない。ただし、BA8000Proは熱にはかなり弱いみたいである。設置場所は、周りが囲まれていないオープンスペースへの設置がよいだろう。
2)2006年9月
夏も終わって秋になった。今年の夏は蒸し暑い夏だった。湿度が高く天気が曇りのある日、ルータがフリーズした。
ルータの設置場所は、周りが狭いところではなく割合開放的な所なのだが、弱い!とりわけ熱に・・・・。特に湿度が高い環境では非常に弱い。ケースを改造して小型のファンでも取り付けたいぐらいだ。(~ペ)ウーン、改造するべきか~ぁ。
以上
コメント