ルータのセキュリティの安全度について、

価格コムの満足度ランキングに入っているルータを使用しています。
セキュリティを考えて、明示的に許可していないパケットは全て破棄する設定にし、
サポートセンターに電話して教えてもらったルール設定で、現在HTTP（80）とHTTPS（443）と
DNS（53）のポートのみ限定して許可しているのですが、このセキュリティ設定で、ネット上から
攻撃・進入可能な手段があれば回避・防止方法と一緒に教えていただきたいです。

ちなみに前述した3つのポートについては、ポートスキャンを行っているサービス
（http://www.cman.jp/network/support/port.html）にスキャンを行ってもらったところ
「到達できませんでした」となり、ルータのsystemlogには各々3ポートへのパケットが破棄されている事がログとして残っています（他にもぽつぽつと他のポート番号へ送信されてきた
パケットが破棄された旨のログが見られます）。

No.1 回答者： seednyan 回答日時： 2011/03/04 21:59

＞攻撃・進入可能な手段があれば回避・防止方法と一緒に教えていただきたいです。

手段などたくさんあります。だって、壁に３箇所も穴があいてるのだから。。。
回避策もたくさんありますが、ネットでできることの一例として、ソースアドレスが逆引き出来て、確認してOKなら通過させるとかね。アプリ（Webサーバーと思いますが）ユーザー/パスワードでログインできるのを規制するとかなど。。。。

参考に@itと言うサイトを覗いてみてください。

○ポート制御だけでは、Dosとかは防ぎきれませんよ。合わせ技（ソースアドレス制御とか）でないとね。。

この回答への補足

Dos攻撃の対処について、abuse宛てにメールを送れば～とメールアドレスをXXX.XXのような感じで書いたためか、現在サポートで内容を確認中とのことです。

補足日時：2011/03/05 00:10

この回答へのお礼

回答ありがとうございます。そしてすみません。大事な事を記入せずにいたのですが、webやemailなどのサーバ用途ではなく、ホームページの閲覧のみを目的としてルータFWのルール設定を教えてもらい、設定しています。

ポートスキャンの結果通り、ルータ側でパケットを破棄しているログがあったので、サーバとしてのポートは（80、443、53）開いていないと考えているのですが、攻撃する側としては、まだ攻められる余地はあるでしょうか？

Dos攻撃の防ぎ方としては、やってくるパケット数が異常とされる閾値を越えたら、自動的に送信元IPアドレスをブロックリストに追加する、というのを調べている間に読んだ事があります。が、この機能はルータに付いてはおらず、もししつこくDos攻撃をされたらwhoisに載っているabuse@XXX.com宛てにメールを送るぐらいしか出来なさそうです。

@ITは最近になってちょくちょく読むようになっているのですが、ルータの、特にFW・パケットフィルタリングのルール設定なんかについて触れてあるページが見つからず仕舞いになってしまっています。

締め切らず、もう暫く待ってみようと思います。
回答、ありがとうございました。

お礼日時：2011/03/04 23:47

No.2 回答者： graniph2011 回答日時： 2011/03/04 23:09

質問に質問で返すのは恐縮ですが、なぜ

＞現在HTTP（80）とHTTPS（443）と
DNS（53）のポートのみ限定して許可している

のに、


＞各々3ポートへのパケットが破棄されている

のでしょうか？

この回答への補足

サポートセンターの方に聞いたルール設定ですので、何故かははっきりとしないのですが、ホームページを閲覧する目的でルール設定をしているからではないかな、と考えています。

現に今ウェブサイトを閲覧しており、80番にポートスキャンを掛けてもらいましたが、ルータのsystemlogには破棄された旨のログが残っています。

補足日時：2011/03/05 00:04

No.3 回答者： Wr5 回答日時： 2011/03/05 00:13

>価格コムの満足度ランキングに入っているルータを使用しています。

有線か無線か不明な上に、時期によって変動しますから型番など掲示された方が確実かと思いますが……。

>webやemailなどのサーバ用途ではなく、ホームページの閲覧のみを目的としてルータFWのルール設定を教えてもらい、設定しています。

ということは
>現在HTTP（80）とHTTPS（443）と
>DNS（53）のポートのみ限定して許可している
はアウトバンド…ですか？
アウトバンドのフィルタ設定を外部から確認するのは無理がある(というか不可能？)かと思われますが…。

この回答への補足

うーん、やっぱり型番を書いた方がややこしくならないですよね...使っているのは、有線接続、マイクロリサーチ社のネットジーニアスシリーズです。シリーズ全製品のオンラインマニュアルを開いてみましたが、FW設定はどれも同じだと思います。

それで、アウトバンド、というとPC -> WAN へ送信されるパケットのことだと思いますが、外部というのはブラウザから、でしょうか。とりあえずブラウザから開いて、「LANポートの設定」→「ファイアウォール設定」へ行くとIN XXX , OUT XXX,という項目があり、ここをIN LAN , OUT PPPoE（逆ももう一つ作成）、という風にして設定してありますが...

アウトバウンドは単純に外向けの通信としか理解していないので、たぶんこれがアウトバンドだと思うのですが、どうなのでしょうか。よろしくお願いします。

補足日時：2011/03/05 01:07

No.4 ベストアンサー 回答者： seednyan 回答日時： 2011/03/05 02:16

No1です。

インターネット側->LAN側の通信および、その応答（LAN ->インターネット)をインバウンド通信
LAN側 ->インターネット側の通信および、その応答（インターネット->LAN)をアウトバウンド通信　として考えた場合、

ファイアウォールの設定が、アウトバウンド通信しか設定していない場合、インターネット側からのスキャンは、無理でしょう。
理由として、インターネット側からスキャンのパケットは、インバウンド通信になり、インターネット ->LAN方向のポートが空いていないので。。。。

と、思います。。。

それと、最初の回答ですが、ちょっと考え違いしてました。。（申し訳ありません。）
ファイアウォールの内側にWebサーバがあると思ってしまって。。。。

この回答へのお礼

こちらこそ、質問内容が書き足りずすみませんでした...80、443、53ポートというとやはり、webサーバを想起すると思います。

インバウンド・アウトバウンドは、送信というかリクエストに加えて、そのリクエストに返される応答もセットになった通信の事だったのですね。今までずっと、一方向のみへ向けられた通信だと勘違いしていました。

となると...seednyanさんの言葉を借りると、

>インバウンド通信になり、インターネット ->LAN方向のポートが空いていないので。。。。

スキャンをすることは出来ず、たとえLAN内PCのサービスがLISTNING（待ちうけ状態？）状態で、そのサービスが使われているポート番号が分かっていたとしても、ルータ側でインバウンド通信のパケットは全て破棄されるので、インターネット側からの攻撃は成立しない。...ということになるのでしょうか、とても勉強になります。

では、攻撃する側としては相手のアウトバウンド通信がやってくるのを待つしかないわけで、私のケースだとホームページの閲覧のみに制限しているので、サイトに何らかの罠を仕掛けることになるのだと思いますが...そこからはブラウザのセキュリティ設定の話になるので、改めて質問を立てる事にします。

もうしばらく待って、補足・回答を受け付けたいと思います。
回答を、ありがとうございました。

お礼日時：2011/03/05 03:12

No.5 回答者： k_izumo 回答日時： 2011/03/05 03:04

えと

まずネットワークですが
LAN内からインターネットは閲覧できますか？
出来るのであればPAT設定が有効である可能性が非常に高いです。


3つのサービスへのあて先FQDN(またはIPアドレス)へのpingは可能ですか？
ルータの機種がわからないので何とも言えませんが
インターネットからグローバルIP宛て通信が来た時に
内部のDNSとかHTTPサーバにNATしないと通信は確率できません。
外部からの通信許可は設定済みたいですが
戻り通信の許可はどうでしょう？
Firewallでinspectionされるのであれば問題ありませんが・・・

そしてサービスですがWindowsかLinux系か
HTTP(apacheとかIIS)やDNS(bindとかnamed)またはHTTPSは起動してますか？
ルータがいても応答を返すのはこの機械(サーバ)なので起動してないと無応答になります。


当然ここまで構築できてる前提ですよね？



> ネット上から攻撃・進入可能な手段があれば回避・防止方法と一緒に教えていただきたいです。

一番の解決策は全てのサービスポートを閉じることです
公開しては「ここにサーバがあるよ～」って世界中に言ってるようなもんです。

私の感覚だと、HTTP(ポート80)が空いてる時点で
いくらでも進入できます
　回避方法
　・HTTPだろうとBASIC認証を掛ける
　・HTTPSの証明書をCA証明書機関の物を使う
　・DDOS検知したいならNetFlow計測を実行する
　　　この内、特定のIP・ポートからシーケンシャルな通信が来た場合
　　　ルータからのあて先をNULL宛てに変更させる(IP SLA)
　・ウィルス検知したいならIDSを導入する
　・進入検知(防御)したいならIPSを導入する


などなど
思いつく限りです。

この回答への補足

質問内容が足りずにすみません。

>当然ここまで構築できてる前提ですよね？

サーバは全く何も構築していないのです。少しずつ分かってきたことですが、アウトバウンド通信の80、443、53ポートを許可して、通信をホームページの閲覧のみに限定している、という状況です。FTPなどは現状要りません。

（サーバーの話でなくなっていますが...）
一番の解決策について全てのサービスポートを閉じるとよい、と言われていますが、今Windows7ProSP1を使っており、netstat -aでLISTENINGしていた137、138、139、445ポート（LAN内でのファイル共有は現状必要ないです）をOS側から消滅（しているといいのですが）させていますが、135番も消滅させてよいのでしょうか？（http://www3.ocn.ne.jp/~koshino/winport.htmlを参考に手順を踏んで消しました）

サーバ関係の話でなくなっていると思いますが、よろしくお願いします。

補足日時：2011/03/05 03:46

No.6 回答者： graniph2011 回答日時： 2011/03/05 20:09

No2で回答したものです。

根本の認識が誤っていたようですが、他の方の回答で認識が改まったようでなによりです。

まず、ルータに設定したフィルタ（port80許可等）は、LANからインターネットに出て行くパケットが対象のようですから、その設定ではインターネットからLANに入ってくることは不可能です。

つまり、基本的に進入可能な手段はありません。

もちろん、HTTPでアクセスした際にトロイ等のウィルスを踏んでしまえば別ですが。

この回答へのお礼

アウトバウンド・インバウンドの正しい知識を知らず、私として恥ずかしい限りです。ですが、この質問でひとまず外部からのインバウンドアクセスは通らない事を確認できたのでとりあえずの一安心をしています。

ここから先はアウトバウンドなアクセス（PCからのHTTP接続）を待ち伏せた攻撃手段への対策、ブラウザのセキュリティの話になってくると思うので、回答を締め切り、新たに立てたいと思います。

seednyanさん、graniph2011さん、Wr5さん、k_izumoさん、回答を寄せていただき、ありがとうございました。

お礼日時：2011/03/06 03:10