Japan

関連リンク

関連リンク

関連リンク

関連リンク

サイト内の現在位置を表示しています。

UNIVERGE IXシリーズ 技術情報

HTTPサーバやtelnetサーバの外部インターネット公開に関する注意事項

はじめに

昨今、インターネットからのポートスキャンやtelnetへの不正アクセスが増加しております。
ルータのHTTPサーバ/telnetサーバが外部公開されていると、運用者の想定しない問題が 発生する可能性があります。
これらの影響は、自らの損害にとどまらず、周囲にも多大な損失を与えてしまう可能性もあります。

主な攻撃とリスク

  • パスワードアタック、ポートスキャンによるDoS攻撃にさらされる。
  • パスワードを解読されて、ルータが乗っ取られる。
  • ルータ設定を書き換えられ、内部ネットワークへおよびサーバへの侵入を許す。
  • 内外ネットワークへの攻撃踏み台として利用される。
  • 不正アクセスがSNSや匿名掲示板等で公開され、さらなる攻撃者を呼び込む。

IXルータにおける防御について

IXルータでは、デフォルトでは外部インターネット向けには、不要なポートは空いていませんが、設定によりどのような運用にも対応できる製品となっております。
ネットワーク運用・ネットワーク設計者におかれましては、アクセス先を制限するなど設定することにより、攻撃リスクを低減していただきますようお願いいたします。

アクセスリストによる防御例

送信元がxx.xx.xx.xxのアドレスのみIXルータへのsshアクセスを許可し、それ以外のアクセスは拒否します。

ip access-list ssh-pass permit tcp src xx.xx.xx.xx/32 dest any dport eq 22
ip access-list ssh-pass deny ip src any dest any
(↑暗黙のdenyで設定されるため、2行目は省略可能です)
!
ssh-server ip access-list ssh-pass

送信元がxx.xx.xx.xxのアドレスのみIXルータへのtelnetアクセスを許可し、それ以外のアクセスは拒否します。

ip access-list telnet-pass permit tcp src xx.xx.xx.xx/32 dest any dport eq 23
ip access-list telnet-pass deny ip src any dest any
(↑暗黙のdenyで設定されるため、2行目は省略可能です)
!
telnet-server ip access-list telnet-pass

IPフィルタによる防御例

LAN内のHTTPSサーバをインターネットに公開します。それ以外のアクセスは拒否します。

ip access-list https-pass permit tcp src any dest any dport eq 443
ip access-list https-pass deny ip src any dest any
(↑暗黙のdenyで設定されるため、2行目は省略可能です)
!
interface GigaEthernet0.1
  description WAN
  ip address xx.xx.xx.xx/32
  ip filter https-pass 100 in
  no shutdown
!
interface GigaEthernet1.0
  description LAN
  ip address yy.yy.yy.yy/24
  no shutdown

LAN内のHTTPサーバをインターネットに公開します。それ以外のアクセスは拒否します。

ip access-list http-pass permit tcp src any dest any dport eq 80
ip access-list http-pass deny ip src any dest any
(↑暗黙のdenyで設定されるため、2行目は省略可能です)
!
interface GigaEthernet0.1
  description WAN
  ip address xx.xx.xx.xx/32
  ip filter http-pass 100 in
  no shutdown
!
interface GigaEthernet1.0
  description LAN
  ip address yy.yy.yy.yy/24
  no shutdown

IPsecトンネル例

対向拠点(xx.xx.xx.xx)から自分拠点(yy.yy.yy.yy)の通信を許可し、それ以外のアクセスは拒否します。

ip route default Tunnel0.0
ip route xx.xx.xx.xx/32 GigaEthernet0.1
ip access-list flt-list permit ip src xx.xx.xx.xx/32 dest yy.yy.yy.yy/32
ip access-list flt-list deny ip src any dest any
(↑暗黙のdenyで設定されるため、4行目は省略可能です)
ip access-list sec-list permit ip src any dest any
!
ike proposal ike-prop encryption aes-256 hash sha2-512
!
ike policy ike-policy peer xx.xx.xx.xx key <IPsec事前共有鍵> ike-prop
!
ipsec autokey-proposal ipsec-prop esp-aes-256 esp-sha2-512
!
ipsec autokey-map ipsec-policy sec-list peer xx.xx.xx.xx ipsec-prop
!
interface GigaEthernet2.0
  description LAN
  ip address zz.zz.zz.zz/24
  no shutdown
!
interface GigaEthernet0.1
  description WAN
  ip address yy.yy.yy.yy/32
  ip filter flt-list 100 in
  no shutdown
!
interface Tunnel0.0
  tunnel mode ipsec
  ip unnumbered GigaEthernet2.0
  ip tcp adjust-mss auto
  ipsec policy tunnel ipsec-policy out
  no shutdown

L2TP/IPsec例

対向の端末が動的IPアドレスの環境であり、IPアドレスの特定やRADIUSサーバなどによる端末の管理が行っていない場合、Tunnelインタフェース内でtelnetサーバの有効化を行うことにより該当のインタフェース以外からのtelnetアクセスを拒否します。

ip route default GigaEthernet0.1
ip access-list sec-list permit ip src any dest any
!
ike proposal ike1 encryption aes-256 hash sha group 1024-bit
ike proposal ike2 encryption aes hash sha group 1024-bit
ike proposal ike3 encryption 3des hash sha group 1024-bit
!
ike policy ike-policy peer any key <IPsec事前共有鍵> ike1,ike2,ike3
ike nat-traversal policy ike-policy
!
ipsec autokey-proposal sec1 esp-aes-256 esp-sha
ipsec autokey-proposal sec2 esp-aes esp-sha
ipsec autokey-proposal sec3 esp-3des esp-sha
!
ipsec dynamic-map ipsec-policy sec-list sec1,sec2,sec3
!
ppp profile lns
  authentication request chap
  authentication password <VPN-NAME> <VPN-PASSWORD>
  lcp pfc
  lcp acfc
  ipcp ip-compression
!
interface GigaEthernet2.0
  description LAN
  ip address yy.yy.yy.yy/24
  ip proxy-arp
  no shutdown
!
interface GigaEthernet0.1
  description WAN
  ip address xx.xx.xx.xx/32
  ip napt enable
  ip napt static GigaEthernet0.1 udp 500
  ip napt static GigaEthernet0.1 50
  ip napt static GigaEthernet0.1 udp 4500
  no shutdown
!
interface Tunnel0.0
  ppp binding lns
  tunnel mode l2tp ipsec
  ip address yy.yy.yy.zz/24
  ipsec policy transport ipsec-policy
  telnet-server ip enable
  no shutdown
  ip napt static GigaEthernet0.1 udp 4500
  no shutdown
!
interface Tunnel0.0
  ppp binding lns
  tunnel mode l2tp ipsec
  ip address yy.yy.yy.zz/24
  ipsec policy transport ipsec-policy
  telnet-server ip enable
  no shutdown

NAPT機能によりアドレス変換のキャッシュがないWAN側からのアクセスを、許可したポート番号/プロトコル以外拒否します。telnet/sshアクセスをLAN側からでのみしか行わない場合は、閉じたままにしてください。

NAPT利用時の不要なポートを閉じる例

interface GigaEthernet0.1
  description WAN
  ip address xx.xx.xx.xx/32
  ip napt enable
  ip napt static GigaEthernet0.1 udp 500
  ip napt static GigaEthernet0.1 50
  ip napt static GigaEthernet0.1 udp 4500
  no shutdown

改版履歴

2017年12月22日
初版発行

資料請求・お問い合わせ

Escキーで閉じる 閉じる