Japan
サイト内の現在位置を表示しています。
HTTPサーバやtelnetサーバの外部インターネット公開に関する注意事項
はじめに
昨今、インターネットからのポートスキャンやtelnetへの不正アクセスが増加しております。
ルータのHTTPサーバ/telnetサーバが外部公開されていると、
運用者の想定しない問題が 発生する可能性があります。
これらの影響は、自らの損害にとどまらず、周囲にも多大な損失を与えてしまう可能性もあります。
主な攻撃とリスク
・パスワードアタック、ポートスキャンによるDoS攻撃にさらされる。
・パスワードを解読されて、ルータが乗っ取られる。
・ルータ設定を書き換えられ、内部ネットワークへおよびサーバへの侵入を許す。
・内外ネットワークへの攻撃踏み台として利用される。
・不正アクセスがSNSや匿名掲示板等で公開され、さらなる攻撃者を呼び込む。
WAルータにおける防御について
WAルータでは、デフォルトでは外部インターネット向けには、不要なポートは空いていませんが、
設定によりどのような運用にも対応できる製品となっております。
ネットワーク運用・ネットワーク設計者におかれましては、アクセス先を制限する
など設定することにより、攻撃リスクを低減していただきますようお願いいたします。
アクセス制限コマンドによる防御例
送信元がxx.xx.xx.xxのアドレスのみWAルータへのsshアクセスを許可し、
それ以外のアクセスは拒否します。
ssh-server ip enable
ssh-server ip permit 192.168.1.0/24
送信元がxx.xx.xx.xxのアドレスのみWAルータへのtelnetアクセスを許可し、
それ以外のアクセスは拒否します。
telnet-server ip enable
telnet-server ip permit 192.168.1.0/24
※ 現状、httpサーバではアクセス制限ができません。
IPフィルタによる防御例
LAN内のHTTPSサーバをインターネットに公開します。
それ以外のアクセスは拒否します。
ip access-list https-pass permit tcp src any dest any dport eq 443
ip access-list https-pass deny ip src any dest any
(↑暗黙のdenyで設定されるため、2行目は省略可能です)
!
interface GigaEthernet0.0
description WAN
ip address xx.xx.xx.xx/24
ip filter https-pass 100 in
no shutdown
!
interface GigaEthernet1.0
description LAN
ip address yy.yy.yy.yy/24
no shutdown
LAN内のHTTPサーバをインターネットに公開します。
それ以外のアクセスは拒否します。
ip access-list http-pass permit tcp src any dest any dport eq 80
ip access-list http-pass deny ip src any dest any
(↑暗黙のdenyで設定されるため、2行目は省略可能です)
!
interface GigaEthernet0.0
description WAN
ip address xx.xx.xx.xx/24
ip filter http-pass 100 in
no shutdown
!
interface GigaEthernet1.0
description LAN
ip address yy.yy.yy.yy/24
no shutdown
IPsecトンネル例
対向拠点(xx.xx.xx.xx)から自分拠点(yy.yy.yy.yy)の通信を許可し、
それ以外のアクセスは拒否します。
ip route default IPsec0
ip route xx.xx.xx.xx/32 GigaEthernet0.0
ip access-list flt-list permit ip src xx.xx.xx.xx/32 dest yy.yy.yy.yy/32
ip access-list flt-list deny ip src any dest any
(↑暗黙のdenyで設定されるため、4行目は省略可能です)
!
interface GigaEthernet1.0
description LAN
ip address zz.zz.zz.zz/24
no shutdown
!
interface GigaEthernet0.0
description WAN
ip address yy.yy.yy.yy/32
ip filter flt-list 100 in
no shutdown
!
interface IPsec0
ip address unnumbered
ipsec map prof
no shutdown
!
ike proposal ike_prop
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256
lifetime 28800
!
ike policy ike_pol
mode aggressive
local-id key-id 10.0.0.1/32
proposal ike_prop
pre-shared-key plain <IPsec事前共有鍵>
nat-traversal enable keepalive 691200
!
ipsec proposal ipsec_prop
protocol esp enc-algo aes256-cbc auth-algo hmac-sha2-256
lifetime 28800
!
ipsec policy ipsec_pol
rekey enable always
proposal ipsec_prop
!
ipsec profile prof
mode tunnel
ipsec policy ipsec_pol
ike policy ike_pol
source GigaEthernet0.0
peer xx.xx.xx.xx
!
NAPT利用時の不要なポートを閉じる例
NAPT機能によりアドレス変換のキャッシュがないWAN側からのアクセスを、
許可したポート番号/プロトコル以外拒否します。
telnet/sshアクセスをLAN側からでのみしか行わない場合は、閉じたままにしてください。
interface GigaEthernet0.0
description WAN
ip address xx.xx.xx.xx/24
ip napt enable
ip napt reserve udp 500
ip napt reserve esp
ip napt reserve udp 4500
no shutdown
更新履歴
2017年 12月22日 初版発行
資料請求・お問い合わせ