サイト内の現在位置を表示しています。

HTTPサーバやtelnetサーバの外部インターネット公開に関する注意事項

はじめに

昨今、インターネットからのポートスキャンやtelnetへの不正アクセスが増加しております。 
ルータのHTTPサーバ/telnetサーバが外部公開されていると、
運用者の想定しない問題が 発生する可能性があります。 
これらの影響は、自らの損害にとどまらず、周囲にも多大な損失を与えてしまう可能性もあります。

主な攻撃とリスク

・パスワードアタック、ポートスキャンによるDoS攻撃にさらされる。

・パスワードを解読されて、ルータが乗っ取られる。

・ルータ設定を書き換えられ、内部ネットワークへおよびサーバへの侵入を許す。

・内外ネットワークへの攻撃踏み台として利用される。

・不正アクセスがSNSや匿名掲示板等で公開され、さらなる攻撃者を呼び込む。

WAルータにおける防御について

WAルータでは、デフォルトでは外部インターネット向けには、不要なポートは空いていませんが、 
設定によりどのような運用にも対応できる製品となっております。

ネットワーク運用・ネットワーク設計者におかれましては、アクセス先を制限する 
など設定することにより、攻撃リスクを低減していただきますようお願いいたします。

アクセス制限コマンドによる防御例

送信元がxx.xx.xx.xxのアドレスのみWAルータへのsshアクセスを許可し、 
それ以外のアクセスは拒否します。

ssh-server ip enable
ssh-server ip permit 192.168.1.0/24

送信元がxx.xx.xx.xxのアドレスのみWAルータへのtelnetアクセスを許可し、 
それ以外のアクセスは拒否します。

telnet-server ip enable
telnet-server ip permit 192.168.1.0/24

 ※ 現状、httpサーバではアクセス制限ができません。

IPフィルタによる防御例

LAN内のHTTPSサーバをインターネットに公開します。 
それ以外のアクセスは拒否します。

ip access-list https-pass permit tcp src any dest any dport eq 443
ip access-list https-pass deny ip src any dest any
(↑暗黙のdenyで設定されるため、2行目は省略可能です)
!
interface GigaEthernet0.0
  description WAN
  ip address xx.xx.xx.xx/24
  ip filter https-pass 100 in
  no shutdown
!
interface GigaEthernet1.0
  description LAN
  ip address yy.yy.yy.yy/24
  no shutdown

LAN内のHTTPサーバをインターネットに公開します。
それ以外のアクセスは拒否します。

ip access-list http-pass permit tcp src any dest any dport eq 80
ip access-list http-pass deny ip src any dest any
(↑暗黙のdenyで設定されるため、2行目は省略可能です)
!
interface GigaEthernet0.0
  description WAN
  ip address xx.xx.xx.xx/24
  ip filter http-pass 100 in
  no shutdown
!
interface GigaEthernet1.0
  description LAN
  ip address yy.yy.yy.yy/24
  no shutdown

IPsecトンネル例

対向拠点(xx.xx.xx.xx)から自分拠点(yy.yy.yy.yy)の通信を許可し、
それ以外のアクセスは拒否します。

ip route default IPsec0
ip route xx.xx.xx.xx/32 GigaEthernet0.0
ip access-list flt-list permit ip src xx.xx.xx.xx/32 dest yy.yy.yy.yy/32
ip access-list flt-list deny ip src any dest any

(↑暗黙のdenyで設定されるため、4行目は省略可能です)
!
interface GigaEthernet1.0
  description LAN
  ip address zz.zz.zz.zz/24
  no shutdown
!
interface GigaEthernet0.0
  description WAN
  ip address yy.yy.yy.yy/32
  ip filter flt-list 100 in
  no shutdown
!
interface IPsec0
  ip address unnumbered
  ipsec map prof
  no shutdown
!
ike proposal ike_prop
  encryption-algorithm aes256-cbc
  authentication-algorithm hmac-sha2-256
  lifetime 28800
!
ike policy ike_pol
  mode aggressive
  local-id key-id 10.0.0.1/32
  proposal ike_prop
  pre-shared-key plain <IPsec事前共有鍵>
  nat-traversal enable keepalive 691200
!
ipsec proposal ipsec_prop
  protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256
  lifetime 28800
!
ipsec policy ipsec_pol
  rekey enable always
  proposal ipsec_prop
!
ipsec profile prof
  mode tunnel
  ipsec policy ipsec_pol
  ike policy ike_pol
  source GigaEthernet0.0
  peer xx.xx.xx.xx
!

NAPT利用時の不要なポートを閉じる例

NAPT機能によりアドレス変換のキャッシュがないWAN側からのアクセスを、
許可したポート番号/プロトコル以外拒否します。
telnet/sshアクセスをLAN側からでのみしか行わない場合は、閉じたままにしてください。

interface GigaEthernet0.0
  description WAN
  ip address xx.xx.xx.xx/24
  ip napt enable
  ip napt reserve udp 500
  ip napt reserve esp
  ip napt reserve udp 4500
  no shutdown

更新履歴

2017年 12月22日  初版発行

資料請求・お問い合わせ