ブロードバンドルータやダイヤルアップルータでのフィルタリング設定

市販されているブロードバンド・ダイヤルアップルータは種類も多く,それぞれ設定方法も異なるが,簡易ファイヤーウォールとしてのおもな機能は,NAT/IPマスカレード機能+パケットフィルタリングというものが多い。

 NATやIPマスカレード機能は第1回でも解説したが,これを利用すればLAN側のIPアドレスをプライベートIPアドレスとできるので,インターネット側からの侵入をある程度は防げる。また,パケットフィルタリングに関しては前述した通りだが,ルータにはNAT/IPマスカレード機能があることから,内部(LAN側)から外部(WAN側)へも,パケットフィルタリングが行えるものが多い。今後導入を検討しているのであれば,事前に各ルータの設定項目を調べておき,自分の環境にあったものを選択するとよいだろう。ヤマハのRT54iNTT-MEのMN128-SOHO PAL富士通のNetVehicleNECのCOMSTARZなどは,ルータの設定デモ画面をWebサイトで公開しているので,それを利用すればよい。

 ここではごく一般的なブロードバンドルータとして,コレガの「BAR SW-4P」を使用してパケットフィルタリングの設定を行ってみる。「BAR SW-4P」は簡易ファイヤーウォール機能としてNAT/IPマスカレード機能+パケットフィルタリング機能を装備し,価格も実売で1万5千円程度と手頃なルータだ(写真4)。

写真
写真4■コレガのBAR SW-4P

 「BAR SW-4P」の設定画面から「パケットフィルタリング設定」を開くと,パケットフィルタリングの有効,無効,そしてIPルール・Portルールの設定項目がある(写真5)。「IPルール」は指定したIPアドレスへのパケットをフィルタする。つまり内部(ローカル側)から外部(インターネット側)の特定のIPアドレスへの接続を制限する。「Portルール」は外部(インターネット側)からの内部(ローカル側)の指定したポート番号への接続をフィルタする。

画面
写真5■BAR SW-4Pの設定画面(クリックすると拡大)

 たとえば,内部(ローカル側)でFTPサービスを提供していて,外部(インターネット側)からそのポートへのパケットを遮断する場合は,「FTP-ポート21」をフィルタリングすればよい(写真6)。

画面
写真6■FTPサービスを提供していて,インターネット側からのパケットを遮断するためには,FTPのポート21番を遮断する(クリックすると拡大)

 外部からWindowsファイル共有サービス(NetBIOS)へのパケットをフィルタリングする場合は,前回のnmapによるポートスキャン結果から考えると,

137/udp−netbios-ns
138/udp−netbios-dgm
139/tcp−netbios-ssn
137 UDP
138 UDP
139 TCP

をフィルタリングすることになるわけだ(写真7)。ブロードバンドルータによっては,初期設定でNetBIOSへのフィルタが施されているものや,チェックボックスをチェックするだけで設定してくれるものもあるため,事前に設定項目を確認しておこう。

画面
写真7■NetBIOSのフィルタリング設定(クリックすると拡大)

 次に,IPルールで特定のIPアドレスへの接続を拒否する場合だが,これは「210.155.143.70」などのIPアドレスを指定しておけば,ローカルから「210.155.143.70」への接続が制限される。接続させたくないサイトなどをフィルタリングする際にはここで設定しておけばよいわけだ(写真8)。

画面
写真8■特定のIPアドレスからのアクセスを防ぐ(クリックすると拡大)

●DMZ設定でインターネットに直接接続

 ブロードバンドルータの中には,ネットワーク対戦ゲームなどに対応するために,直接インターネットに接続しているように見せかける機能として,DMZ設定ができるものがある(写真9)。この場合,モデムなどで直接インターネットに接続している状態と同じとなり,そのコンピュータにはNAT/IPマスカレード機能,パケットフィルタリングといった簡易ファイヤーウォール機能は働かなくなる。つまりそのコンピュータが攻撃されるリスクを背負うことになる。できればこの設定は行わないほうが好ましい。

画面
写真9■ネットワーク対戦ゲームなどに対応するために,直接インターネットに接続しているように見せかけるDMZ設定が利用できる

OnePoint !!
DMZ(DeMilitarized Zoneー非武装地帯)
 企業などのイントラネットで公開サーバなどを設置する際の領域を指しており,「インターネット→Firewall→Webサーバ→Firewall→内部LAN」など,Webサーバに攻撃を受けた際にも,内部LANへ侵入されないような領域を作ることをいう。しかしブロードバンドルータの場合は「インターネット→DMZに設定されたコンピュータ」となるため,意味合いが違ってくる。

●ルータへのアタック

 ルータの中には外部(インターネット側)からルータ設定を変更できる機種もあるが,この設定が行われていると,外部からルータがアタックされる危険性がある。最近のブロードバンドルータであれば,外部(インターネット側)からの設定変更は初期設定でオフになっているものがほとんどだが,間違って外部からの設定変更を可能にしていないかを確認しておく必要がある。

 あたり前の話ではあるが,ルータのパスワード設定がされてなく,外部から設定変更が可能な状態では,ルータへのアタック,設定の変更は簡単だ。たいていの場合,ルータのデフォルトパスワードは「password」や「pass」など簡単なものになっているし,パスワードを再設定していたとしても,「12345」などの安易なパスワードであれば,単純な総当たり攻撃でクラックされてしまうだろう。

 古い話ではあるが,ダイアルアップルータの初期の製品では,デフォルト設定がユーザーID「ADMIN」,パスワード「無し」設定というものがあり,これを使用しているユーザーがアタックを受け,簡単にルータへ侵入されてしまった例もある。

PREV 3/4 NEXT