Japan
サイト内の現在位置を表示しています。
ブロードバンドルータがオープンリゾルバとして機能してしまう問題
掲載番号:NV13-007
脆弱性情報識別番号:JVN#62507275
概要
いくつかのブロードバンドルータには、オープンリゾルバとして機能してしまう問題が存在します。
機器管理者が気付かないうちに、機器がDNS Amplification Attackに悪用され、DDoS攻撃に加担してしまう可能性があります。
対象製品
IP38Xシリーズ
影響の有無
影響あり
WAN側からのDNS問い合わせに応答しないようにフィルタが設定されている場合は、オープンリゾルバにはなりません。
ルータのGUIから初期設定としてプロバイダ情報の登録を行った場合には、このフィルタが自動で設定されます。またWAN側にNATが設定されており、DNS問い合わせがルータに到達しない場合も、オープンリゾルバにはなりません。
以下の条件を全て満たすルータはオープンリゾルバとなりますので、対策をお願いします。
- インターネット上からルータにアクセス可能である。
- DNSリカーシブサーバとして動作している。
- dns serviceコマンドの設定がないか、dns service recursiveの設定である。
※設定がない場合、初期値のrecursiveとして動作します。
- WAN側からのDNS問い合わせを制限していない。
- dns hostコマンドの設定がないか、dns host anyの設定である。
※設定がない場合、初期値のanyとして動作します。
- WAN側からのDNS問い合わせを破棄するフィルタがない。
- WAN側にNATの設定がないか、あるいはNATの設定がありかつDNS問い合わせに応答するための静的設定がある。
対象となる製品のバージョン
| 製品名 | リビジョン |
| IP38X/810 | 全リビジョン |
| IP38X/N500 | 全リビジョン |
| IP38X/1200 | 全リビジョン |
| IP38X/3000 | 全リビジョン |
| IP38X/1500, IP38X/1100, IP38X/107e | 全リビジョン |
| IP38X/SR100 | 全リビジョン |
| IP38X/V700 | 全リビジョン |
| IP38X/250i | 全リビジョン |
| IP38X/58i | 全リビジョン |
| IP38X/300* | 全リビジョン |
| IP38X/2000* | 全リビジョン |
| IP38X/57i* | 全リビジョン |
| IP38X/1000* | 全リビジョン |
| IP38X/105シリーズ* | 全リビジョン |
| IP38X/55i*, IP38X/52シリーズ* | 全リビジョン |
| IP38X/140シリーズ* | 全リビジョン |
| IP38X/200*, IP38X/103* | 全リビジョン |
*印は、修理対応期限(生産終了から5年間)が過ぎている機種です。
対処方法
[回避策]
ルータをDNSサーバとして使用しない場合
- DNSサーバー機能を使用しないように設定します。
(例)dns service off
ルータをDNSサーバとして使用する場合
- DNSサーバにアクセスできるインタフェースやホストを制限し、インターネット上の不特定のホストからDNSサーバにアクセスされないように設定します。
以下のいずれかの設定をお願いします。
- ルータのDNSサーバ機能にアクセスできるホストを限定します。
(例) LAN1ポート側ネットワーク内からのアクセスだけを許可する場合
dns host lan1
- WAN側からのDNS問い合わせに応答しないようにフィルタを設定します。
(例) LAN側からWAN側(pp1)への問い合わせだけを通過させる場合
ip filter dynamic 100 * * domain
ip filter 200 reject * *
ip filter 300 pass * *
pp select 1
ip pp secure filter in 200
ip pp secure filter out 300 dynamic 100
※フィルタの適用については、既存のフィルタ番号との調整等含めて、十分な検証の上でご利用ください。
- WAN側にNAT機能を設定します。
(例) LAN側からWAN側(LAN2)への問い合わせだけを通過させる場合
ip lan2 address 172.16.184.32/28
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
※IPアドレスについては、既存のネットワーク環境に合わせて変更してください。
参考情報
Japan Vulnerability Notes JVN#62507275:
複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題
JPNIC:
オープンリゾルバ(Open Resolver)に対する注意喚起
JPRS:
DNSサーバーの不適切な設定「オープンリゾルバー」について
JPCERT/CC JPCERT-AT-2013-0022:
DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起
更新情報
- 2013/09/25