YAMAHAルータで学ぶネットワーク構築術 > フィルタリングで遮断すべきポート番号(その1)
当サイト概要学習環境の準備プライバシーポリシーリンクについてリンクの申込お問い合せ
◆スポンサードリンク

◆Amazon
◆フィルタリングで遮断すべきポート番号(その1)
◇スポンサードリンク

◆フィルタリングで遮断すべきポート番号(その1)

ここでは、ファイアウォールのフィルタリングで遮断すべき危険なポートとその理由を説明してゆきます。

◆プライベートIPアドレスを遮断する

 攻撃を仕掛ける場合の代表的な手法にIPアドレスの偽装(IPスプーフィング)があります。また、ウイルスに感染したり、踏み台として利用される場合や、DoS攻撃、DDoS攻撃 などを行う際に、送信元が特定されないようにするためにも利用されます。

 その際、よく偽装されるIPアドレスが、プライベートIPアドレスです。この。プライベートアドレスは、LANなどのプライベートで閉じたネットワークでしか利用されることがないアドレスです。

 このプライベートIPアドレスが書き込まれているパケットがインターネット上を流れることはありません。

 一般的には、プライベートIPアドレスが指定されたパケットを遮断するようにフィルタリングを定義します。


◆ICMPを遮断する

 ICMPを利用したPingコマンドに応答しないようにICMPパケットを遮断することで、内部のコンピュータやネットワーク機器の存在を外部(インターネット)から隠蔽することができます。

 つまり、外部から見た場合、Pingコマンドの応答がないので、コンピュータやネットワーク機器の存在の確認ができなくなるため、セキュリティが高まります。

 フィルタリングの設定で、ICMPパケットを全て遮断してしまうという手法もありますが、使い勝手がよいとはいえないケースもあります。

 それは、運用保守の観点から、ファイアウォールの内側からPingを利用したいケースがあるからです。

 その際は、ICMPメッセージのうち、ファイアウォールの内側から外側に出てゆくICMPエコー要求(タイプ8)を許可し、ファイアウォールの外側から内側に入ってくるICMPエコー応答(タイプ0)許可するようにフィルタリングの設定を行います。

 ただし、ルータによっては、ICMPがデフォルトで遮断される設定がなされている製品もあります。その際は、カスタマイズする必要があります。


◆Telnetを遮断する

 Telnetを無制限に許可していると、内部のコンピュータやネットワーク機器が悪意のある者に乗っ取られてしまうリスクが高くなります。

 乗っ取られてしまうと攻撃者の思うがままに設定を変更されてしまいます。そうなると、情報を盗まれたり、踏み台とされて、他のサイトへ攻撃を仕掛けたりと迷惑行為を助長することとなります。

そのため、必要のないTelnet接続を遮断する設定を行う必要があります。

 また、Telnet以外にも遠隔操作を行うことができるアプリケーションの存在も忘れてはなりません。SymantecのpcAnywhereなど、遠隔地のコンピュータをリモートコントロールできるアプリケーションを利用する際には、注意が必要です。

フィルタが動作する場所」 ← 前項 | 次項 → 「フィルタリングで遮断すべきポート番号(その2)



Copyright(c)2012〜 YAMAHAルータで学ぶネットワーク構築術 All rights reserved.