バケット - みる会図書館


検索対象: UNIX MAGAZINE 2000年9月号
46件見つかりました。

1. UNIX MAGAZINE 2000年9月号

個人の常時接続環境を考える ( 3 ) 図 25 ルータからインターネットへ送信する前にフィルタリング (a) RTA52i の言聢例 # # 始点アドレスが自分の IP アドレスなら通す ip filter 99 pass れ et ? 〃 07 、ん - 佖 dd 震 / m 碼ん * * * * # # ルールを適用する pp select 相手先情報番号 ip pp secure filter out 80 81 82 83 84 85 99 (b) SLII の言聢例 IP filter 17 pass out れ 07 、ん - ad 市・・ / mas ん * * * * remote * # # 始点アドレスが自分の IP アドレスなら通す filter 16 reject out * 192 . 168.0.0 / 16 * * * remote * filter 15 reject out * 172 . 16 . 0.0 / 12 * * * remote * IP filter 14 reject out * 10.0 . 0 . 0 / 8 * * * remote * filter 13 reject out 192.168.0.0 / 16 * * * * remote * IP filter 12 reJect out 172.16.0.0 / 12 * * * * remote * IP filter 11 reject out 10.0.0.0 / 8 * * * * remote * # # プライベート IP アドレスが書かれたバケットは送出しない IP IP filter 27 reJect out * * * * * remote * # # 以上のルールにマッチしないバケットは破棄する 1. 攻撃対象と踏み台ネットワークの IP アドレスを得る。 2. 攻撃対象の IP アドレスを始点アドレスとして書き込ん だ ping?S ケットを作る。 3. 踏み台となるネットワークのプロードキャスト・アドレ スに対して ping のバケットを送出する。 4. 踏み台となるネットワークに接続された計算機が p ⅲ g のバケットを受信する。 5. それぞれの言算機が p ⅲ g の施バケットを送り返す。 6. 攻撃対象に ping の応答バケットが ( 大量に ) 送り込ま れる。 この攻撃のポイントは、踏み台として利用される計算機 が ping の応答を送り返す相手か : 本当に ping を送った 計算機ではなく、偽のアドレス ( 攻撃対象 ) だという点に あります。攻撃された側からみると、送った覚えのない ping の応答バケットが見す知らすのネットワークから送 り込まれているようにみえます。おそらく、攻撃されたサ イトの管理者は「攻撃されている」と判断して「なにすん ねん ! 」と怒ってくるかもしれません。しかし、踏み台とし て利用されたほうは攻撃した覚えはないので、、怒られ損 " です。ですから、自分のネットワークを他人の攻撃に利用 されないように防御を固めておく必要があります。 RTA52i では、プロードキャスト宛のバケットを拒否 UNIX MAGAZINE 2000.9 するために、一ド記の専用ルールが用意されています。 ip filter directed—broadcast on 一方、 SLII には同様のルールはなさそうなので、次 のように特定のアドレスを拒否するフィルタを記します ( 誌面の都合上、て折り返しています。以下同様 ) 。 ip filter 8 rej ect in * 房、 0 佖 dcast - 佖 ddT 、疇 - * * * remote * 最後の、、 ISDN ルータへの不要なアクセスを拒否する " については、ほかのフィルタでアクセスの制限か夫現でき ていれば、専用のルールをしなくてもかまいません。 ルータからインターネットへの ( 外向き ) バケット LAN 型接続の場合は、端末型と同様にプライベート IP アドレスのバケットカ咄ていくのを防ぐのに加えて、始点 アドレスが自分の IP アドレス以外のバケットも出ていか ないようにします ( 図 25 ) 。 ・拒否 : 始点アドレスカワライベート IP アドレス ・拒否 : 終点アドレスかプライベート IP アドレス ・拒否 : 始点アドレスが自分の IP アドレス舅トのもの 3 番目は、はかのサイトを攻撃するための起点として利 用される ( たとえは前述の smurf など ) のを防ぐための ノレーノレて、す。 51

2. UNIX MAGAZINE 2000年9月号

いつでも使えるインターネット インターネットからルータが言したバケットのフィルタリング ( 端、公開サーパーなし、 SLII) 図 17 # # 始点 / 終点アドレスがプライベート IP アドレスのバケットを拒否する 1P filter 1 reject in 10.0.0.0 / 8 * * * * remote * IP filter 2 reject in 172.16.0.0 / 12 * * * * remote * IP filter 3 reject in 192.168.0.0 / 16 * * * * remote * 1P filter 4 reject in * 10 . 0.0 . 0 / 8 * * * remote * 1P filter 5 reject in * 172.16.0.0 / 12 * * * remote * 1P filter 6 reJect in * 192.168.0.0 / 16 * * * remote * # # ICMP バケットを許可する ( 必要であれば ) filter 7 pass * * icmp * * remote * # # 外部からの TCP セッション確立要求を拒否する 1P filter 8 reJect in * * tcpest * * remote * # # 各サービスの ( 戻り ) バケットを許可する IP filter * udp 53 * remote * 0 pass わ 53 * remote * 1P filter * tcp 1 Ⅱ paSS 1P filter 80 * remote * * tcp C pass d 1P filter * tcp 443 * remote * pass 1P filter 22 * remote * * tcp 1 Ⅱ e pass 工 1P filter 25 * remote * * tcp 1 Ⅱ pass IP filter 113 * remote * * tCP 9 pass ん filter 110 * remote * * tCP pass # # 以上のルールにマッチしないバケットは破棄する 1P filter 28 reJect in * * * * * remote * 許可するサービスごとにフィルタルールを追加します ( 前 し当し、 ACK ビットのないすべてのバケットを拒否し ます。そして、その後ろに続けて許可するサーピスごとの 節の表 1 ~ 6 を参照してください ) 。図中のフィルタルール フィルタルールを追加していきます。さらに、 SLII では 番号広い・・・・は適当に割り当ててください。 どのルールにもマッチしないバケットは、、許可 " として扱 サーバーを外部に公開しない場合は、外部からの TCP われるので、一番最後にすべてのバケットを破棄するルー 接続要求を受け取る理由はありません。すこし難しい話を ルお助日する必要があります。 すると、 TCP がおこなう 3 way handshake の 1 番 目のバケット (ACK ビットなし ) を受け取る必腰はあり ルータからインターネットへの ( 外向き ) バケット ません。というよりも、積極的に拒否すべきです。一方、 インターネットから入ってくるバケットは厳しく制限 3 way handshake の 2 番目のバケット以降はかならす しますが、反対に出ていくバケットは、、デフォルト許可 " ACK ピットがセットされるので、サーピスごとのフィル の方針でよいでしよう。端末型接続の場合、 NAT や IP タルールに次のような制限を言己します。 masquerade が正しく動いているかぎり、始点アドレス ・拒否 : ACK ビットなし が異常な ( プライベート IP アドレスなどの ) バケットが ・許可 : ACK ビットあり 出ていくことはありません。したがって、 RTA52i の場合は、 ・拒否 : 終点アドレスカワライベート IP アドレス ip filter れ社 m pass * * established 53 * のものだけフィルタで落とすようにします ( 図 18 ) 。 のように established を指定します。 内部ネットワークからルータへの ( 外向き ) バケット SLI 1 の場合は、許可するサービスのル ーノレの則で、 内部ネットワークから受信するバケットをルータが処 理する前にフィルタによるチェックをおこない、インター ip filter 8 reject in * * tcpest * * remote * tn 盟肛 0 46 UNIX MAGAZINE 2000.9

3. UNIX MAGAZINE 2000年9月号

いつでも使えるインターネット クセスが発生します。そして、これらのポート番号を事前 に予測するのは不可能です。つまり、 IP masquerade を 利用するルータでインターネットに接続している場合は、 パッシプモードをサポートできないことになります。 一方、凾のモードの場合は簡単です。内向きの 21 番 ポートへのアクセスと、外向きの 20 番ポートからのアク セスを許可すればよいのです。 最後に、 FTP サーバーもクライアントに IDENT の 問合ををおこなうことが多いので、ポート 113 番の通信 も許可するように設定しておきます。この通信をフィルタ で落とすと、 FTP のコマンドチャネルの接続カ蔀寉立する までに、よぶんな時間がかかってしまいます (IDENT が タイムアウトするまで侍たされるからです。おそらく 5 ~ 6 不呈度 ) 。 FTP の通信に使用されるアドレスとポートの一覧を ロ設定例 表 6 に示します。 たいへん長らくお待たせしました。お勉強はこれで終り 端末型接続 ( 公開サーバーなし ) です。いよいよ、設定作業を始めます。 44 NATØ'I*-J で説明するようにこういった働きはありませ b)o 一方、 SLII には、末尾の「 MN128-SOHO SLII— 対に、、デフォルト許可 " の方針でもよいでしよう ( 図 16 ー バケットは捨てられる " という働きを利用できるので、反 querade を利用している場合は、、、変換テープルにない とることをお勧めします ( 図 16 ー a ) 。 RTA52i で IP mas- 本とし、許可するバケットのルールを j 助日していく去を この場所でのフィルタリングは、、デフォルト拒否 " を基 いへん重要です。 られてくることがあります。ですから、このチェックはた インターネットからは、ときに悪意のあるバケットが送 です。 かに入れるバケットと入れないバケットを選別するわけ ックをおこないます。つまり、関所の入り口で、関所のな これをルータ内部で処理する前に、フィルタによるチェ ルータがインターネットからバケットを受信したとき、 インターネットからルータへの ( 内向き ) バケット ん。したがって、かならす、、デフォルト拒否 " にする必要 があります ( 図 17 ) 。 どちらのルータを使っている場合も、次のルールはかな らす設定します。 ・拒否 : 始点アドレスカワライベート IP アドレス ・拒否 : 終点アドレスカワライベート IP アドレス そもそも、 IP バケットの始点アドレスかプライベート IP アドレスだと、返信バケットを送り返せません。このよ うなバケットは、どう考えてもありそうにないのですが、 現実には流れてくることがあります。その理由は、設定ミ ス鬪織内のプライベート・ネットワークにつないでいた ・算機を、誤ってグローバル IP アドレスのネットワーク につないでしまった ) か、攻撃 ( またはいたすら ) を意図 しているかのどちらかです。いすれにせよ、受け取るべき バケットではないので、積昀にフィルタで落とします。 2 番目の、、終点アドレスにプライベート IP アドレスが 書かれているバケット " は、響各制彳卸の観点からいって送 られてくるはすはありません。万一、このようなバケット を受け取った場合は、プロバイダのルータの糸習各テーフル に異常があります。しかし、送られてこないはすだからと いって知らんぶりを決めこむのもよくありません。これも ィ / にヨコ 0 居いワ こういろ、 む、つで UNIX MAGAZINE 2000.9

4. UNIX MAGAZINE 2000年9月号

物・個人の常時接続環境を考える ( 3 ) IP 図 27 IP IP IP IP 1P filter 7 reject in れ e れ U07 、ん一 addr / rn 佖 S ん * * * * remote * # # 始点アドレスが自分の工 P アドレスのバケットを拒否する filter 6 reject in * 192.168.0.0 / 16 * * * remote * filter 5 reject in * 172.16.0.0 / 12 * * * remote * 1P filter 4 reject in * 10 . 0.0.0 / 8 * * * remote * 1P filter 3 reject in 192.168.0.0 / 16 * * * * remote * IP filter 2 reject in 172.16.0.0 / 12 * * * * remote * IP filter 1 reject in 10 . 0 . 0.0 / 8 * * * * remote * # # 始点 / 終点アドレスがプライベート IP アドレスのバケットを拒否する # # ICMP バケットを許可する ( 必要であれば ) filter 8 reJ ect in * broadcast-addr * * * remote * # # プロードキャスト宛のバケットを拒否する # # プロードキャスト宛のバケットを拒否する filter directed—broadcast on インターネットからルータか言したバケットのフィルタリング (LAN 型売、公開サーパーあり、 SLII) filter 9 pass in * * icmp * * # # 各サービスへのバケットを許可する remote * 1P filter 1P filter IP filter filter 1P filter IP filter filter 1P filter 0 6 C d e 工 4 ん pass pass pass paSS pass pass paSS pass 1 Ⅱ 1 Ⅱ 1 取 1 取 1 Ⅱ 1 Ⅱ * ゆ佖 d 市 V32 udp * ゆ佖 d 市、 / 32 tcp * ゆ ad / 32 tcp * ゆ佖 d / 32 tcp * ゆ佖 d / 32 tcp * ゆ ad / 32 tcp * ゆ佖 d / 32 tcp * ゆ ad 市、 / 32 tcp 53 remote * 53 remote * 80 remote * * 443 remote * 22 remote * 25 remote * 113 remote * 110 remote * # DNS # DNS # HTTP # HTTPS S SH SMTP I DENT # POP # # 外部からの TCP セッション確立要求を拒否する # # 各サービスの ( 戻り ) バケットを許可する 1P filter 10 reJect in * * tcpest * * remote IP filter 1P filter 1P filter filter filter 1P filter filter filter filter ノ 4 B 1 ) E G paSS paSS pass pass paSS pass pass pass 1 Ⅱ 1 Ⅱ 1 Ⅱ 1 Ⅱ * れ et 社 ) 0 - ad 市・ / m ん udp * れ et 0 - 佖 d 市 / m 佖 s ん tcp * network-addr/mask tcp * network-addr/mask tcp * れ e カ囮 0 - 佖 d 市、 / m 碼ん tcp * れ et 社 , 07 、ん - addr / m ん tcp * れ et 囮 07 、ん - 佖 dd / rn ん tcp * れ e , 0 - addr / mas ん tcp 53 * remote * 53 * remote * 80 * remote * 443 * remote * 22 * remote * 25 * remote * 113 * remote * 110 * remote * # DNS # DNS # HTTP # HTTPS # SSH # SMTP I DENT # POP # # 以上のルールにマッチしないバケットは破棄する 28 in * * * * * remote * UNIX MAG AZIN E 2000.9 53

5. UNIX MAGAZINE 2000年9月号

のフィルタルールは、「端末型接続 ( 公開サーバーなし ) 」 の場合と同様です。 LAN 型接続 ( 公開サーバーあり ) いつでも使えるインター 上記丿、タ ) 、 内部ネットワークからルータへのバケット ( 図 19 ) ・その他 # # 各サービスのバケットを許可する ( 外部のユーサーが内部のサーパーにアクセスできるように ) れ e れ vo 祕 - ad 市、 / rnas ん established 443 * ネット 今回は、 RTA52i と SLII をファイアウォールにするた ルータからインターネットへのバケット ( 図 25 ) 内部ネットワークからルータへのバケット ( 図 19 ) ・その他 のフィルタルールは、「 LAN 型接続 ( 公開サーバーなし ) 」 の場合と同様です。 ☆ サーバーを公開する場合は、外部からサーバーへのアク めの設定例を紹介しました。次回は、、、設定ガ去 " につい セスを許可するルールを追加する以外は「 LAN 型接続、 て説明します。さらに、 ISDN 以、タ ) 専用線ューサーのた 公開サーバーなし」と同じです ( 図 26 ~ 27 ) 。 めの面なファイアウォール構列も紹介する予定です。 上言び人タ ) 、 filter 11 pass * れ etwo 祕 - addt 、 / rn 佖 s ん icmp * * # # IC 齦バケットを許可する ( 必要であれば ) ( デフォルトで設定されているはす ) filter 10 reject れ et 0 祕 - addr / rn ん * * * * # # 始点アドレスが自分の IP アドレスのバケットを拒否する ( デフォルトで設定されているはす ) filter 85 reject * 192.168.0.0 / 16 * * * IP filter 84 reject * 172.16.0.0 / 12 * * * IP filter 83 reject * 10 . 0.0.0 / 8 * * * 1P filter 82 reject 192.168.0.0 / 16 * * * * 1P filter 81 reject 172.16.0.0 / 12 * * * * filter 80 reject 10.0.0.0 / 8 * * * * # # 始点 / 終点アドレスがプライベート IP アドレスのバケットを拒否する インターネットからルータが受信したバケットのフィルタリンク (LAN 型、公開サーパーあり、 RTA52i) ( しらさき・ひろお IIJ) 図 26 IP IP IP 1P 52 1P filter 1P filter 1P filter 1P filter 1P filter 1P filter filter 1P filter 0 わ C d e 9 ん paSS paSS paSS paSS paSS paSS paSS paSS * ゆ佖 d 市・ / 32 udp * * ゆ佖 d 心・ / 32 tcp * * ゆ佖 d 市、 / 32 tcp * ゆ佖 d 市・ / 32 tcp * 443 * ゆ佖 d 市・ / 32 tcp ゆ佖 d ・ / 32 tcp * * ゆ佖 d 市・ / 32 tcp * ゆ佖 d 靃 / 32 tcp * 110 113 25 22 80 53 53 # DNS # DNS # HTTP # HTTP S # SSH SMTP # IDENT # POP # # 各サービスの戻りバケットを許可する ( 内部のユーサーが外部のサーパーにアクセスできるように ) 1P filter filter 1P filter 1P filter 1P filter 1P filter filter 1P filter B ノ ) E paSS paSS paSS paSS paSS paSS paSS paSS * れ et 囮 0 - ad 市、 / mas ん established 53 * * network-addr 、 /mask udp 53 * れ e ) 0 祕ー ad 市、 / mas ん established 80 * * れ e ) 0 祕 - 佖 d 市、 / m 碼ん established 22 * れ e れ〃 0 ー ad 市、 / m 碼ん established 25 * れ etwor 、ん一 ad 市、 / mas ん established * れ e れ vo - ad 市、 / mas ん established 110 * 113 * # # ルールを適用する IP pp secure filter in 80 81 82 83 84 85 10 11 0 わ・ pp select 相手先情報番号 # DNS # DNS # HTTP # HTTPS # SSH SMTP I DENT # POP UNIX MAGAZINE 2000.9

6. UNIX MAGAZINE 2000年9月号

個人の常時接続環境を考える ( 3 ) 図 18 ルータからインターネットへ送信する前のフィルタリング ( 端末型売、公開サーバーなし ) (a) RTA52i の言聢例 # # すべて許可するルール ( デフォルトで設定されているはず ) ip filter 100 pass * * * * * # # ルールを適用する pp select 相手先情報番号 ip pp secure filter out 83 84 85 100 (b) SLII の言聢例 # # プライベート IP アドレスが書かれたバケットは送出しない ip filter 9 reject out * 10.0 . 0.0 / 8 * * * remote * ip filter 10 reject out * 172.16.0.0 / 12 * * * remote * ip filter 11 reject out * 192.168.0.0 / 16 * * * remote * 図 19 内部ネットワークからルータか言したバケットのフィルタリング ( 端末型宀、公開サーパーなし ) (a) RTA52i の言聢例 # # NetB 工 OS を拒否する ( デフォルトで設定されているはず ) ip filter 1 reject * * udp,tcp netbios_ns—netbios_ssn * ip filter 2 reject * * udp,tcp * netbios_ns—netbios_ssn # 図 16 で設定したルールを参照てきる ip la れ secure filter in 1 2 100 (b) SLII の言諚例 # # NetBIOS を拒否する ip filter 18 reject in * * * 137 ー 139 * 10Ca1 ip filter 19 reject in * * * * 137 ー 139 10Ca1 ネットーく用意なバケットを出さないためのフィルタを設 定します。こちらのフィルタの方針も、デフォルト許可で よいでしよう ( 図 19 ) 。 ・拒否 : 始点ポートが 137 ~ 139 番 ・拒否 : 終点ポートが 137 ~ 139 番 このフィルタの設定は、本来は送るべきでないバケット がインターネットへ送られるのを防ぐためのものなので、 上で説明した「ルータからインターネットへの ( 外向き ) バケット」のところで書けばよいような気がします。しか し、ルータによけいな NAT や IP masquerade の変換 テープルを増やすよりも、入り口て捨ててしまうほうがよ いので、ここでフィルタリングします。 こで NetBIOS だけをフィルタリングするの UNIX MAGAZINE 2000.9 外からも NetBIOS でアクセスされることになり、嬉し クセスか変換テープルに登録されてしまいます。すると、 ことがあります。そして、このとき NetBIOS によるア なぜか IP バケットと同時に NetBIOS も外に出ていく が、 Windows NT でインターネットにアクセスすると、 でしようか。私は NetBIOS に詳しいわけではありません くありません。そこで、ルータに届いた時点で NetBIOS をフィルタリングするわけです。 そ也 RTA52i を使用している場合は、 source route オプシ ョンの付いた IP バケットを拒否するために、次のルール を設定します。 ip filter source—route on 私か調べたかぎりでは、 SLII に同等の機能はないよう です。 端末型接続 ( 公開サーバーあり ) サーバーを公開する場合は、前述したように ISDN ル ータの IP masquerade 機能を有効にします。さらに、変 換テープルに青勺なルールを設定します。たとえば、図 10 のような構成で Web サーバーを公開していて、次のよう に IP アドレスを割り当てているとします。 ISDN ルータ Web サーバー ファイアウォール 192.168.0.1 192.168.0.2 192.168.0.3 47

7. UNIX MAGAZINE 2000年9月号

個人の常時接続環境を考える ( 3 ) 図 16 インターネットからルータか言したバケットのフィルタリング ( 端末型売、公開サーパーなし、 RTA52i) (a) NAT 使用時 ( テフォルト拒否 ) # # 始点 / 終点アドレスがプライベート IP アドレスのバケットを拒否する IP filter 85 reject * 192.168.0.0 / 16 * * * 1P filter 84 reject * 172.16.0.0 / 12 * * * filter 83 reject * 10.0 . 0.0 / 8 * * * IP filter 82 reject 192.168.0.0 / 16 * * * * IP filter 81 reject 172 . 16 . 0.0 / 12 * * * * IP filter 80 reject 10.0 .0.0 / 8 * * * * IP # # 各サービスの ( 戻り ) バケットを許可する IP filter 86 pass * * icmp * * # # 工 CMP バケットを許可する ( 必要であれば ) 1P filter 1P filter filter filter 1P filter 1P filter 1P filter 1P filter 佖 わ C d e 工 4 ん paSS paSS pass paSS pass pass paSS paSS established 53 * udp 53 * established 80 * established 443 * established 22 * established 25 * established established 110 * 113 * # DNS # DNS # HTTP # HTTP S # SSH # SMTP IDENT # POP # # ルールを適用する pp select 相手先情報番号 IP pp secure filter in 80 81 82 83 84 85 86 0 わ・ (b) IP masquerade 使用時 ( デフォルト許可 ) # # 始点 / 終点アドレスがプライベート工 P アドレスのバケットを拒否する IP pp secure filter in 80 81 82 83 84 85 100 pp select 相手先情報番号 # # ルールを適用する filter 100 pass * * * * * # # 残りはすべて許可する ( デフォルトで設定されているはず ) # # その他、拒否したいバケットがあればここに追加する IP filter 85 reject * 192.168.0.0 / 16 * * * IP filter 84 reject * 172.16.0.0 / 12 * * * IP filter 83 reject * 10.0 . 0.0 / 8 * * * IP filter 82 reject 192.168.0.0 / 16 * * * * filter 81 reject 172.16.0.0 / 12 * * * * IP f ilter 80 rej ect 10 . 0.0 . 0 / 8 * * * * IP IP 受け取るべきバケットではないので、積極的にフィルタで 落とします。 可能であれは、 ・拒否 : 始点アドレスが自分の IP アドレス もフィルタリングします。自分が送った覚えのないバケッ トがインターネットから送られてくるということは、ルー タか夢遊病にならないかぎりありえません。さらに、始点 アドレスと終点アドレスに自分の IP アドレスか書かれて UNIX MAGAZINE 2000.9 いる場合は、 - 一時期マスコミをにぎわせた ( 騒いでいたの はマスコミだけだったような気がしますか ) 、 land 攻撃の 可帽生があります。 ところが、接続するたびに異なる IP アドレスを割り当 てられる端末型接続の場合には、このようなフィルタは書 けないようです。書けないものは仕方がないので、素直に あきらめましよう ( 私が試したかぎりでは、 RTA52i も SLII も land 攻撃を受けても間題はなさそうです ) 。 フィルタの方針をデフォルト拒否にする場合は、続けて 45

8. UNIX MAGAZINE 2000年9月号

いつでも使えるインターネット インターネットからルータが言したバケットのフィルタリンク ( 端末型売、公開サーパーあり、 図 20 SLII) # # 始点 / 終点アドレスがプライベート工 P アドレスのバケットを拒否する 1P filter 1 reject in 10 . 0.0.0 / 8 * * * * remote * IP filter 2 reJect in 172.16.0.0 / 12 * * * * remote * IP filter 3 reject in 192.168.0.0 / 16 * * * * remote * 1P filter 4 reject in * 10 . 0.0 . 0 / 8 * * * remote * 1P filter 5 reject in * 172.16.0.0 / 12 * * * remote * IP filter 6 reject in * 192.168.0.0 / 16 * * * remote * # # ICMP バケットを許可する ( 必要であれば ) IP filter 7 pass in * * icmp * remote * # # 各サービスへのバケットを許可する 1P filter 53 remote * * udp 1 Ⅱ 佖 pass 6 1P filter 53 remote * * tcp 1 Ⅱ paSS 1P filter 80 remote * * tcp 1 Ⅱ C paSS d IP filter * tcp * 443 remote * 1 Ⅱ paSS filter 22 remote * 1 Ⅱ * tcp e paSS filter 25 remote * * tcp 1 Ⅱ paSS 1P filter 113 remote * * tcp * 1 Ⅱ 9 pass ん 1P filter 110 remote * * tcp paSS # # 外部からの TCP セッション確立要求を拒否する IP filter 8 reject in * * tcpest * * remote # # 各サービスの ( 戻り ) バケットを許可する pass 1P filter in * * udp 53 * remote * B pass filter in * * tcp 53 * remote * C pass filter in * * tcp 80 * remote * D pass 1P filter in * * tcp 443 * remote * E pass 1P filter in * * tcp 22 * remote * F pass 1P filter in * * tcp 25 * remote * G pass 1P filter in * * tcp 113 * remote * 丑 pass filter in * * tcp 110 * remote * # # 以上のルールにマッチしないバケットは破棄する ip filter 28 reJ ect in * * * * * remote * # DNS # DNS # HTTP # HTTPS # SSH # SMTP IDENT # POP 肛 0 この場合は、以下のように設定します。 設定を追加した点でサーバーへのアクセスか許可される ので、図 16 ー b と同し設定でかまいません。 ・ RTA52i の設定 一方、 SLII では、 TCP によるコネクションを拒否す nat use on るルールの前に、公開サーバーへのアクセスを許可するル nat masquerade on nat masquerade static 1 192.168.0. 2 tcp 80 ールを追加します ( 図 20 ) 。 ・ SLII の設定 内部ネットワークからルータへの ( 外向き ) バケット ip nat 1 192 .168 . 0.2 / tcp / 80 IPCP ip nat 2 * / * / * ipcp 「端末型接続 ( 公開サーバーなし ) 」の設定に加えて、サー バーに侵入されたときに、ルータの設定を変更されるのを インターネットからルータへの ( 内向き ) バケット 防ぐために、 フィルタのルールは基本的には「端末型接続 ( 公開サー ・拒否 : サーバーからルータへの telnet と HTTP バーなし ) 」の場合と同しですが、サーバーを公開するの をフィルタて落とすようにします ( 図 21 ) 。 であれは、外部からサーバーへのアクセスを許可するルー 以下のフィルタルールの言己は、「端末型接続 ( 公開サー ルを追加する必要があります俵 1 ~ 6 を参照してくださ バーなし ) 」の場合と同様です。 い ) 。ただし、 RTA52i では、上記の IP masquerade の 48 UNIX MAGAZINE 2000.9

9. UNIX MAGAZINE 2000年9月号

個人の常時接続環境を考える ( 3 ) ー・澱第第物第載第第物物第第物第第第第を第第鋼第・・鋼第・・第第爾第第・物第第第第第・第物第・第第第載第・第物第澱・第鋼第第第第物第・物 図 21 内部ネットワークからルータが言したバケットのフィルタリング ( 端末型、公開サーパーあり ) (a) RTA52i の言聢例 # # NetBIOS を拒否する ( デフォルトで設定されているはす ) IP filter 1 reject * * udp,tcp netbios_ns—netbios_ssn * IP filter 2 reject * * udp,tcp * netbios_ns—netbios_ssn # # サーパーからルータの設定を変更できないようにする IP filter 86 reject 192.168.0.2 / 32 192.168.0.1 tcp * 23 , 80 1P lan secure filter in 1 2 86 100 (b) SLII の言聢例 # # NetB 工 OS を拒否する IP filter 18 reject in * * * 137 ー 139 * 10Ca1 IP filter 19 reJect in * * * * 137 ー 139 10Ca1 # # サーバーからルータの設定を変更できないようにする IP filter 20 reject in 192.168.0.2 / 32 192 .168.0.1 tcp * 23 10Ca1 IP filter 21 reject in 192 .168.0.2 / 32 192.168.0.1 tcp * 80 10Ca1 図 22 インターネットからルータが言したバケットのフィルタリング ( LAN 型売、公開サーバーなし、 RTA52i) # # 始点 / 終点アドレスかプライベート IP アドレスのバケットを拒否する IP filter 80 reject 10.0.0.0 / 8 * * * * IP filter 81 reject 172.16.0.0 / 12 * * * * IP filter 82 reject 192.168.0.0 / 16 * * * * IP filter 83 reject * 10 . 0.0.0 / 8 * * * IP filter 84 reject * 172.16.0.0 / 12 * * * IP filter 85 reject * 192.168.0.0 / 16 * * * # # 始点アドレスが自分の IP アドレスのバケットを拒否する ( デフォルトで設定されているはす ) IP filter 10 reject れ et 0 ー佖 ddr / m ん * * * * # # ICMP'€ケットを許可する ( 必要であれば ) ( デフォルトで設定されているはず ) 1P filter 11 pass * れ et 0 ー ad 市、 / m 佖 s ん icmp * * # # 各サービスの ( 戻り ) バケットを許可する れ 0 祕ー ad 市、 / m 佖 s ん established 53 * 1P filter 佖 pass 6 れ e れ vo 祕ー ad 市、 / m 佖 s ん udp 53 * 1P filter paSS * れ 30 ー ad 市、 / rn 佖 s ん established 80 * 1P filter C pass d * れ et 囮 07 、ん一 ad 市、 / rn ん established 443 * 1P filter pass * れet囮07 、 k-addr/mask established 22 * 1P filter e paSS * れ e , 07 、ん - ad 市、 / m 佖 s ん established 25 * filter paSS * れ e , 0 祕ー d 市、 / m 佖 s ん established 1P filter 113 * 9 pass ん * れ et 0 祕ー佖 d 市、 / m 佖 s ん established 1P filter 110 * paSS # # ルールを適用する pp select 相手先情報番号 IP pp secure filter in 80 81 82 83 84 85 10 11 佖 6 ・ # # プロードキャスト宛のバケットを拒否する filter directed—broadcast 0 Ⅱ LAN 型接続 ( 公開サーパーなし ) インターネットからルータへの ( 内向き ) バケット LAN 型接続では、プロバイダから複数の IP アドレス ・ルータからインターネットへのバケット ( 図 18 ) 内部ネットワークからルータへのバケット ( 図 19 ) ・その他 49 UNIX MAGAZINE 2000.9

10. UNIX MAGAZINE 2000年9月号

いつでも使えるインターネット インターネットからルータが言したバケットのフィルタリング (LAN 型、公開サーパーなし、 SLII) 図 23 # # 始点 / 終点アドレスがプライベート IP アドレスのバケットを拒否する 1P filter 1 reject in 10.0.0.0 / 8 * * * * remote * 1P filter 2 reject in 172.16.0.0 / 12 * * * * remote * IP filter 3 reject in 192.168.0.0 / 16 * * * * remote * IP filter 4 reject in * 10.0.0.0 / 8 * * * remote * IP filter 5 reject in * 172.16.0.0 / 12 * * * remote * IP filter 6 reject in * 192.168.0.0 / 16 * * * remote * # # 始点アドレスが自分の IP アドレスのバケットを拒否する filter 7 reject in れ e vo ん一 addT 、 / 7 〃佖 s ん * * * * remote * # # プロードキャスト宛のバケットを拒否する IP filter 8 reject in * わ 7 、 0 佖 dc 佖 s 仁佖 ddT 、 * * * remote * # # ICMP'€ケットを許可する ( 必要であれば ) IP filter 9 pass in * れ et 囮 07 、ん一 ad 市、 / rn 佖 s ん icmp * * remote * # # 外部からの TCP セッション確立要求を拒否する IP filter 10 reject in * * tcpest * * remote # # 各サービスの ( 戻り ) バケットを許可する 0 pass in * れ e U07 夫 - ad 市、 / m ん udp 1P filter 53 * remote * 6 pass in * れ e れ vo - ad 市・ / m 碼ん tcp 1P filter 53 * remote * c pass in * れ e れ vo - “ d 市、 / m 碼ん tcp 1P filter 80 * remote * d pass in * 〃 e れ vo - ad 市、 / 碼ん tcp 1P filter 443 * remote * e pass in * れ et 囮 0 - ad 市・ / mas ん tcp 1P filter 22 * remote * 工 pass in * れ 0 - ad 市・ / m 碼ん tcp 1P filter 25 * remote * 9 pass in * れ e れ U07 、ん - 佖 d 市、 / mas ん tcp filter 113 * remote * ん pass in * れ et 07 、ん - 佖 d 市、 / m 碼ん tcp 1P filter 110 * remote * # # 以上のルールにマッチしないバケットは破棄する 1P filter 28 * * * * * remote * 図 24 smurf 攻撃 か割り当てられます。このとき、これらの IP アドレスを 内部の計算機に 1 っすっ固定して割り当てるか、それとも ISDN ルータで NAT を利用するかの 2 通りのパターンが 考えられます。どちらの場合も、フィルタの書き方は基本 的に端末型と同しです ( 図 22 ~ 23 ) 。ただし、 LAN 型接 続では、とくに次の 3 つのポイントに注意してください。 始点アドレスが自分の ()P spoofing された ) IP アド レスのバケットを拒否する。 ・ smurf 攻撃の踏み台に利用されないようにする。 ・ ISDN ルータへのイなアクセスを拒否する。 端末型接続では接続のたびに IP アドレスが変化する ので、 1 番目のルールは言当できませんでした。しかし、 LAN 型接続では IP アドレスか周定されているので、簡 単に書けるはすです。 smurf 攻撃とは、攻撃対象に大阯のバケットを送り込 み、相手の言算機をあっふあつぶさせたり、ネットワー クを埋めつくしてインターネットと通信できないようにす Z Z E--* tn Q 0 cock 君へ お手紙、 つ ありがとう こんにちは cock より つ COCk bandit ↓ : インターネット る DoS ( サービス不能 ) 型の攻撃の 1 つです。この攻撃 の手口を簡単に説明すると、次のようになります ( 図 24 ) 。 50 UNIX MAGAZINE 2000.9