Japan
サイト内の現在位置を表示しています。
UNIVERGE IXシリーズ 技術情報
HTTPサーバやtelnetサーバの外部インターネット公開に関する注意事項
はじめに
昨今、インターネットからのポートスキャンやtelnetへの不正アクセスが増加しております。
ルータのHTTPサーバ/telnetサーバが外部公開されていると、運用者の想定しない問題が 発生する可能性があります。
これらの影響は、自らの損害にとどまらず、周囲にも多大な損失を与えてしまう可能性もあります。
主な攻撃とリスク
- パスワードアタック、ポートスキャンによるDoS攻撃にさらされる。
- パスワードを解読されて、ルータが乗っ取られる。
- ルータ設定を書き換えられ、内部ネットワークへおよびサーバへの侵入を許す。
- 内外ネットワークへの攻撃踏み台として利用される。
- 不正アクセスがSNSや匿名掲示板等で公開され、さらなる攻撃者を呼び込む。
IXルータにおける防御について
IXルータでは、デフォルトでは外部インターネット向けには、不要なポートは空いていませんが、設定によりどのような運用にも対応できる製品となっております。
ネットワーク運用・ネットワーク設計者におかれましては、アクセス先を制限するなど設定することにより、攻撃リスクを低減していただきますようお願いいたします。
アクセスリストによる防御例
送信元がxx.xx.xx.xxのアドレスのみIXルータへのsshアクセスを許可し、それ以外のアクセスは拒否します。
ip access-list ssh-pass permit tcp src xx.xx.xx.xx/32 dest any dport eq 22
ip access-list ssh-pass deny ip src any dest any
(↑暗黙のdenyで設定されるため、2行目は省略可能です)
!
ssh-server ip access-list ssh-pass
送信元がxx.xx.xx.xxのアドレスのみIXルータへのtelnetアクセスを許可し、それ以外のアクセスは拒否します。
ip access-list telnet-pass permit tcp src xx.xx.xx.xx/32 dest any dport eq 23
ip access-list telnet-pass deny ip src any dest any
(↑暗黙のdenyで設定されるため、2行目は省略可能です)
!
telnet-server ip access-list telnet-pass
IPフィルタによる防御例
LAN内のHTTPSサーバをインターネットに公開します。それ以外のアクセスは拒否します。
ip access-list https-pass permit tcp src any dest any dport eq 443
ip access-list https-pass deny ip src any dest any
(↑暗黙のdenyで設定されるため、2行目は省略可能です)
!
interface GigaEthernet0.1
description WAN
ip address xx.xx.xx.xx/32
ip filter https-pass 100 in
no shutdown
!
interface GigaEthernet1.0
description LAN
ip address yy.yy.yy.yy/24
no shutdown
LAN内のHTTPサーバをインターネットに公開します。それ以外のアクセスは拒否します。
ip access-list http-pass permit tcp src any dest any dport eq 80
ip access-list http-pass deny ip src any dest any
(↑暗黙のdenyで設定されるため、2行目は省略可能です)
!
interface GigaEthernet0.1
description WAN
ip address xx.xx.xx.xx/32
ip filter http-pass 100 in
no shutdown
!
interface GigaEthernet1.0
description LAN
ip address yy.yy.yy.yy/24
no shutdown
IPsecトンネル例
対向拠点(xx.xx.xx.xx)から自分拠点(yy.yy.yy.yy)の通信を許可し、それ以外のアクセスは拒否します。
ip route default Tunnel0.0
ip route xx.xx.xx.xx/32 GigaEthernet0.1
ip access-list flt-list permit ip src xx.xx.xx.xx/32 dest yy.yy.yy.yy/32
ip access-list flt-list deny ip src any dest any
(↑暗黙のdenyで設定されるため、4行目は省略可能です)
ip access-list sec-list permit ip src any dest any
!
ike proposal ike-prop encryption aes-256 hash sha2-512
!
ike policy ike-policy peer xx.xx.xx.xx key <IPsec事前共有鍵> ike-prop
!
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-512
!
ipsec autokey-map ipsec-policy sec-list peer xx.xx.xx.xx ipsec-prop
!
interface GigaEthernet2.0
description LAN
ip address zz.zz.zz.zz/24
no shutdown
!
interface GigaEthernet0.1
description WAN
ip address yy.yy.yy.yy/32
ip filter flt-list 100 in
no shutdown
!
interface Tunnel0.0
tunnel mode ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy tunnel ipsec-policy out
no shutdown
L2TP/IPsec例
対向の端末が動的IPアドレスの環境であり、IPアドレスの特定やRADIUSサーバなどによる端末の管理が行っていない場合、Tunnelインタフェース内でtelnetサーバの有効化を行うことにより該当のインタフェース以外からのtelnetアクセスを拒否します。
ip route default GigaEthernet0.1
ip access-list sec-list permit ip src any dest any
!
ike proposal ike1 encryption aes-256 hash sha group 1024-bit
ike proposal ike2 encryption aes hash sha group 1024-bit
ike proposal ike3 encryption 3des hash sha group 1024-bit
!
ike policy ike-policy peer any key <IPsec事前共有鍵> ike1,ike2,ike3
ike nat-traversal policy ike-policy
!
ipsec autokey-proposal sec1 esp-aes-256 esp-sha
ipsec autokey-proposal sec2 esp-aes esp-sha
ipsec autokey-proposal sec3 esp-3des esp-sha
!
ipsec dynamic-map ipsec-policy sec-list sec1,sec2,sec3
!
ppp profile lns
authentication request chap
authentication password <VPN-NAME> <VPN-PASSWORD>
lcp pfc
lcp acfc
ipcp ip-compression
!
interface GigaEthernet2.0
description LAN
ip address yy.yy.yy.yy/24
ip proxy-arp
no shutdown
!
interface GigaEthernet0.1
description WAN
ip address xx.xx.xx.xx/32
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 4500
no shutdown
!
interface Tunnel0.0
ppp binding lns
tunnel mode l2tp ipsec
ip address yy.yy.yy.zz/24
ipsec policy transport ipsec-policy
telnet-server ip enable
no shutdown
ip napt static GigaEthernet0.1 udp 4500
no shutdown
!
interface Tunnel0.0
ppp binding lns
tunnel mode l2tp ipsec
ip address yy.yy.yy.zz/24
ipsec policy transport ipsec-policy
telnet-server ip enable
no shutdown
NAPT機能によりアドレス変換のキャッシュがないWAN側からのアクセスを、許可したポート番号/プロトコル以外拒否します。telnet/sshアクセスをLAN側からでのみしか行わない場合は、閉じたままにしてください。
NAPT利用時の不要なポートを閉じる例
interface GigaEthernet0.1
description WAN
ip address xx.xx.xx.xx/32
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 4500
no shutdown
改版履歴
- 2017年12月22日
-
初版発行
資料請求・お問い合わせ