ASUSルーターのパケットフィルタについて

ASUSUのRT-AC65Uという無線ルーターをずっとAPモードで使用していましたが、この度ルーターモードで使用することにしました。

そこで念のためにパケットフィルターの項目を見たところ、添付画像のような状態でリストに一切の記述が無く驚きました。

今まで関わったルーターでは例外なくTCP/UDP　135,137,138,139,445などは最初から設定してありましたがここの製品はそれも全部自分でやらねばならないのでしょうか？

WAN/LAN IN/OUT 項目もありませんしどう設定したらいいのか困っています。

メーカーに尋ねましたが、言葉もうまく通じていないようで要領を得ません。

何も設定しないまま接続してもいいものなのでしょうか？

No.3 ベストアンサー 回答者： blue_plus 回答日時： 2021/05/14 01:22

あらためてASUSのRT-AC65Uを調べてみました・・・が

ASUSの公式webサイトに日本語マニュアルが公開されていたので見てみると

・ASUS RT-AC65U user's manual in Japanese
　https://dlcdnets.asus.com/pub/ASUS/wireless/RT-A …

セキュリティに関する事となると、P.70で記述されているDoS (Denial ofService) 攻撃からネットワークを保護する機能の有効/無効を設定する(デフォルトで有効になっている)以外は

・web閲覧を制限する「URLフィルター」「キーワードフィルター」
・LAN側からWAN側へのパケット交換、およびTelnetやFTPといった特定のWebサービスに対してのアクセスを制限するだけの「ネットワークサービスフィルター」

くらいしか存在していませんね。

135・137・138・139番ポート(NetBIOS on TCP/IPのTCPプロトコル及びUDPプロトコル)を遮断とか445番ポート(Microsoft-DSのTCPプロトコル及びUDPプロトコル)を遮断とかはやっていない模様ですね。

更にWAN側からルータに対して53番ポートを遮断してDNSオープンリゾルバ対策をするとか、WAN側からLAN側及びLAN側からWAN側への不正なIPフレームを遮断してIPアドレス スプーフィング(なりすまし)を防止したりとかは一切考慮していない様です。

ネットワークフィルターで曜日毎に設定を変更出来る様子から見ると、セキュリティというよりはwebを閲覧できる時間帯を決めるとかの家庭内でのルールを構築させるような代物にも見えてしまいますが。

ASUSが売りにしているトレンドマイクロ社から提携されているセキュリティ技術のAiProtectionに関しては、ルータ側が勝手にデータベースサーバにアクセスをして判断する様ですので、ユーザー側で細かなルールを設定する事が出来ない様です。

・ASUS FAQ：AiProtectionのメカニズム
　https://www.asus.com/jp/support/FAQ/1030831

ASUS側としてはユーザーに細かなセキュリティ設定をさせずに、メーカーで用意したモノだけで運用してほしいみたいな・・・何があってもASUSとしては保証はしないけれどもセキュリティに関しては慎重にならないで外部からのアクセスも気にしないでその代わり無線LANの性能は高いからみたいな、そんな意図も感じ取れますけどね(笑)

そういえば、NTT-MEが世に出したMN128SOHOはダイアルアップルータとしてはかなり高性能でフィルタリング設定とかもかなり細かく行えた様な記憶が・・・あの機器と今どきの安っぽい無線LANルータを比較するのはちょっと可哀そうな気もしますが。

この回答へのお礼

ご回答ありがとうございました。

やはりやるなら自分するしかないということですね。

フィルターをどの場所でかけるかが、マニュアルにも載っていないというのはおかしな話ですが、WAN側でOUT方向と考えるのが自然なんでしょうか。
入ろうとしているものに対して何もできないというのはどうかと思うのですが。

可能性をひとつひとつ気にし始めたら際限がないでしょうし、もっと基本的なところで危ないことをしている可能性も高いとは思いますが、別にコスト増大につながらない範囲ではできることはやっておいて欲しいものです。

お礼日時：2021/05/16 09:56

No.2 回答者： blue_plus 回答日時： 2021/05/11 00:17

＞今まで関わったルーターでは例外なくTCP/UDP　135,137,138,139,445などは最初から設定してありましたが

とありますが、今までかかわったルータとはYAMAHAとかの半ばセミプロが使う様なルータだったのでしょうか？

BUFFALOを始めとする家庭向けの無線LANルータは、パケットフィルタ機能が極めて雑に作り込まれていて、中にはメーカーが勝手に決めたフィルタリングルールが強制的に適用されていて設定変更が全く出来ない機種もあればフィルタリングを全くやっていない素通しの機種も存在します。

セキュリティの強化を目的とするのであれば、無線LANルータはあくまでもブリッジ(AP)モードで運用しておくのが最善なのではないでしょうか・・・管理する機器が増えてしまって手間になってしまうのですが。

この回答へのお礼

ご回答ありがとうございました。

>半ばセミプロが使う様なルータだったのでしょうか？

いいえ、ど素人ですからごく普通の物ばかりです。
MN128SOHOが最初で、その後ルーター機能付きADSLモデムやＴＡ、自分で購入したルーター（まさにそのBUFFALO）など結構な数を見てきましたが、このような作りは初めてです。

何も考えずに設置、接続する人も存在するでしょうから、強制適用してくれるぐらいの方が間違いがなくていいようにも思うのですが。

このルーターのマニュアルには設定例はおろか、設定項目の意味や方向などの記載も一切無いため、間違えると厄介です。
そもそも適用する曜日や時間の指定ができるあたり、セキュリティが目的とは思えません。
どうなっているんでしょうかね。

>フィルタリングを全くやっていない素通しの機種も存在します。

それで販売されているというのなら何もしなくてもいいということなんですね。
ハッキリ分からないまま設定をしたところで実際にフィルタリングされているかどうか確認方法がないため、しない方がマシかもしれません。

お礼日時：2021/05/13 06:44

No.1 回答者： shiroshirochan 回答日時： 2021/05/10 11:34

機種は異なりますが、同様に「AiProtection」を搭載したRT-AX56Uの価格.comのレビューに「IPフィルタの弱さが致命的」という評価がありますね。

価格.com｜RT-AX56U
https://review.kakaku.com/review/K0001252008/Rev …

この回答へのお礼

ご回答ありがとうございました。

リンク先を見ましたが、完全には理解できないです。

お礼日時：2021/05/13 06:30