Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

ブロードバンドルータがオープンリゾルバとして機能してしまう問題

掲載番号:NV13-007
脆弱性情報識別番号:JVN#62507275

概要

いくつかのブロードバンドルータには、オープンリゾルバとして機能してしまう問題が存在します。
機器管理者が気付かないうちに、機器がDNS Amplification Attackに悪用され、DDoS攻撃に加担してしまう可能性があります。

対象製品

IP38Xシリーズ

影響の有無

影響あり

WAN側からのDNS問い合わせに応答しないようにフィルタが設定されている場合は、オープンリゾルバにはなりません。
ルータのGUIから初期設定としてプロバイダ情報の登録を行った場合には、このフィルタが自動で設定されます。またWAN側にNATが設定されており、DNS問い合わせがルータに到達しない場合も、オープンリゾルバにはなりません。

以下の条件を全て満たすルータはオープンリゾルバとなりますので、対策をお願いします。

  • インターネット上からルータにアクセス可能である。

  • DNSリカーシブサーバとして動作している。

- dns serviceコマンドの設定がないか、dns service recursiveの設定である。
※設定がない場合、初期値のrecursiveとして動作します。

  • WAN側からのDNS問い合わせを制限していない。

- dns hostコマンドの設定がないか、dns host anyの設定である。
※設定がない場合、初期値のanyとして動作します。

- WAN側からのDNS問い合わせを破棄するフィルタがない。

  • WAN側にNATの設定がないか、あるいはNATの設定がありかつDNS問い合わせに応答するための静的設定がある。

対象となる製品のバージョン
 
製品名 リビジョン
IP38X/810 全リビジョン
IP38X/N500 全リビジョン
IP38X/1200 全リビジョン
IP38X/3000 全リビジョン
IP38X/1500, IP38X/1100, IP38X/107e 全リビジョン
IP38X/SR100 全リビジョン
IP38X/V700 全リビジョン
IP38X/250i 全リビジョン
IP38X/58i 全リビジョン
IP38X/300* 全リビジョン
IP38X/2000* 全リビジョン
IP38X/57i* 全リビジョン
IP38X/1000* 全リビジョン
IP38X/105シリーズ* 全リビジョン
IP38X/55i*, IP38X/52シリーズ* 全リビジョン
IP38X/140シリーズ* 全リビジョン
IP38X/200*, IP38X/103* 全リビジョン

*印は、修理対応期限(生産終了から5年間)が過ぎている機種です。

対処方法

[回避策]
ルータをDNSサーバとして使用しない場合

  • DNSサーバー機能を使用しないように設定します。
(例)dns service off

ルータをDNSサーバとして使用する場合

  • DNSサーバにアクセスできるインタフェースやホストを制限し、インターネット上の不特定のホストからDNSサーバにアクセスされないように設定します。

以下のいずれかの設定をお願いします。

- ルータのDNSサーバ機能にアクセスできるホストを限定します。
(例) LAN1ポート側ネットワーク内からのアクセスだけを許可する場合
dns host lan1

- WAN側からのDNS問い合わせに応答しないようにフィルタを設定します。
(例) LAN側からWAN側(pp1)への問い合わせだけを通過させる場合
ip filter dynamic 100 * * domain
ip filter 200 reject * *
ip filter 300 pass * *
pp select 1
ip pp secure filter in 200
ip pp secure filter out 300 dynamic 100

※フィルタの適用については、既存のフィルタ番号との調整等含めて、十分な検証の上でご利用ください。

  • WAN側にNAT機能を設定します。
(例) LAN側からWAN側(LAN2)への問い合わせだけを通過させる場合
ip lan2 address 172.16.184.32/28
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary

※IPアドレスについては、既存のネットワーク環境に合わせて変更してください。

参考情報

Japan Vulnerability Notes JVN#62507275:
複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題

JPNIC:
オープンリゾルバ(Open Resolver)に対する注意喚起

JPRS:
DNSサーバーの不適切な設定「オープンリゾルバー」について

JPCERT/CC JPCERT-AT-2013-0022:
DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起

更新情報

2013/09/25
IP38Xシリーズを登録しました。