WAN側ポートを開いてしまうプロトコル等について

ルーターを使用していれば、WAN側からのアクセスはブロックされるので安全だと思い込んでいました。

しかし

UPnP
http://oshiete.goo.ne.jp/qa/8104974.html

Teredo
http://www.computerworld.jp/topics/563/206620?pa …

のようにルーター配下のパソコンでプロトコルやサービスを有効にすると、影響はそのパソコン内部にとどまらず、ルータにまで影響を与えて、ルータのポートを開いてWAN側からのアクセスを通してしまうことがあることを知りました。


ネット上に接続・探索していくサービスやプロトコルの中に、LAN内からWANへアクセスできるようにするだけではなくて、ルーターのWAN側ポートを勝手に開いてルーター配下のパソコンにネット上からアクセスできるようにするものがいくつか含まれているのではないかと心配です。


個人的に可能性として思いつくのは、

iSCSI,WMI,PNRP,WS-D,SSDP,LLMNR,ICMPv6,SMB,GRE,Link-Layer Topology,NAP,pnp-x ip bus enumerator,SNMP,Network Connections,Network List Service,Network Location Awareness,Network Store Interface Service,Performance Logs & Alerts,Remote Access Auto Connection Manager,Remote Access Connection Manager,WebClient,Workstation

などです。


ルーター配下のパソコン上で有効にすると、ルーターのWAN側ポートを勝手に開けて侵入を許してしまうプロトコルやサービスについて、皆様、思いつくままに片っ端から教えていただけないでしょうか？

どうかよろしくお願い致します m(＿ ＿)m

No.5 回答者： wormhole 回答日時： 2013/05/30 21:55

>WAN側からのアクセスはルーターの初期設定のフィルタリングでブロックされるようになってはいます。

ルーターにもよるのでしょうが私が使用しているモバイルルーターの初期設定はWAN側からのアクセスに対するフィルタリングほとんどありませんが。
初期設定を過信せずにきちんと把握された方がよろしいのではないでしょうか。

>ルーター配下のパソコンが原因で、ルーターのWAN側ポートを開いてしまう、あるいは、ポートフォワーディングの設定がなされるのはルーターのUPnPさえ無効にしておけばブロックできるということでよいでしょうか？

それでいいはずです。
ルーターがUPnPをサポートしてる理由はほぼそのためですから。

http://jvn.jp//cert/JVNVU347812/

No.4 回答者： wormhole 回答日時： 2013/05/27 20:25

ふだん私自身気にとめてないので忘れていましたけど

>ルーターを使用していれば、WAN側からのアクセスはブロックされるので安全だと思い込んでいました。

この「WAN側からのアクセスはブロックされるので」というのがNAT頼みでしたら、そもそもNAT(Network Address Translation)はその名前の通りIPアドレスの変換を行うことが本来の機能なので、WAN側からのアクセスをそれでブロックしようとするのは本来の機能からは外れています。NATの仕組み上たまたまファイアーウォールぽい事ができる程度の事ですから。
本当にWAN側からのアクセスをブロックするつもりでしたらフィルタリング機能の方を使う事をお勧めします。

この回答への補足

WAN側からのアクセスはルーターの初期設定のフィルタリングでブロックされるようになってはいます。

気になるのはそうした状況にも関わらず、ルーター配下のパソコンで用意されているプロトコル・サービスが原因でルーターのWAN側ポートを開いてしまう、あるいはポートフォワーディングの設定がなされることです。

ルーター配下のパソコンが原因で、ルーターのWAN側ポートを開いてしまう、あるいは、ポートフォワーディングの設定がなされるのはルーターのUPnPさえ無効にしておけばブロックできるということでよいでしょうか？

もちろんルーター配下のパソコンは、ルーターへログインしての設定変更は出来ないようになっていますし、ルーターの設定を変更するルーター用のアプリケーションもインストールされてはいません。

ただパソコンの持っているプロトコルやサービスによっては、ルーターを通過してしまう=WANからのアクセスを許可する設定もなされてしまうことがあるかもしれないと心配しています。

補足日時：2013/05/28 15:09

No.3 回答者： wormhole 回答日時： 2013/05/26 16:32

>ルーター配下のパソコンで用意されているプロトコル・サービスが原因でルータのWAN側ポートを開いてしまうケースのほとんどすべてにおいて、ルーターのUPnP機能が関与しているということでしょうか？

何か微妙にずれてる気がしますが。
ルーターのポートフォワード関連の設定が行われるのは、ルーターの設定で直接行うか、UPnPを使ってルーターに要求して行うかくらいしかありません。
なのでルーターがUPnPの要求を受け付けないようにすれば、後はルーターの設定で直接行うしかありません。
ルーターの設定を行うようなアプリケーションを導入されていればそのアプリケーションから行われることはあるでしょうが、それは導入した本人が把握してるはずです。

No.2 回答者： lbn0915 回答日時： 2013/05/26 13:43

＞ルーターを使用していれば、WAN側からのアクセスはブロックされるので安全だと思い込んでいました。

安全ですよ？　ただし、「ちゃんと設定していれば」という条件が付きますけど。

こういうのは、
・使う機能だけ有効化する
・使うポートだけ開ける
……という、ホワイトリスト方式が当然だと思います。

＞ルーターのWAN側ポートを勝手に開けて侵入を許してしまうプロトコルやサービスについて
課題に対する解法がずれている気が。
昨今のネットワーク犯罪などを鑑みるに、一番利用されているのはHTTPでしょうか。
しかしそんな物をあげつらって全部サービスを落としたところで、ネットに繋がらなくなるだけで意味はありません。

いくらBBルータをカマしてあっても、クライアントPCから（例えばウィルスからの操作で）アクセスを掛ければどうとでもなります。
・不用意にDMZは使わない
・クライアントPCには適切なセキュリティソフトを適用する
・たまにBBルータの設定画面を覗く
この３点で現実的には問題の無いレベルのセキュリティが確保出来ると思います。

No.1 回答者： wormhole 回答日時： 2013/05/26 11:46

そんなに心配でしたらルーターのUPnPサポートをオフにすればいいだけだと思うのですが・・・

この回答への補足

ルーター配下のパソコンで用意されているプロトコル・サービスが原因でルータのWAN側ポートを開いてしまうケースのほとんどすべてにおいて、ルーターのUPnP機能が関与しているということでしょうか？

補足日時：2013/05/26 15:15