ルータを使うということは外部からLANへの侵入の可能性があることである。
ルータやFirewallを正しく設定しさえすれば
インターネットに直接つないでるPCより危険性を減らせるってことでもあります。
IP詐称(IP Spoofing)に対する侵入の手口防ぐためのもの
| 始点IPアドレス/マスク | プロトコル | 方向や設定について |
| 10.0.0.0/8 | すべて | 外部からのローカルアドレスはおかしいので排除するべき |
| 172.16.0.0/12 | すべて | 外部からのローカルアドレスはおかしいので排除するべき |
| 192.168.0.0/16 | すべて | 外部からのローカルアドレスはおかしいから排除するべき |
| 127.0.0.0/24 | すべて | 外部からのループバックはおかしいから排除するべき |
NetBIOS over TCP/IP
Windowsを使っていると知らないうちにNetBIOS over TCP/IPが
インターネットに向けて発信されてることがあります。
これを使った攻撃の手口もあるため、他のサーバーの管理者に無用な誤解を受けないように
インターネット→LAN、LAN→インターネットの両方で排除すべき。
また、マイクロソフトのOSの場合特に注意すべきものについても
補足説明に記しています。
| 送信元ポート番号 | 終点ポート番号 | 方向や設定について |
| 137-139 | すべて | すべての始点IPアドレス、終点IPアドレスにおいて入ってくるのも出るのも捨てるべき |
| すべて | 137-139 | すべての始点IPアドレス、終点IPアドレスにおいて入ってくるのも出るのも捨てるべき |
| 重要な補足説明 135-139すべて閉鎖したほうがよい。 135はNTの有名なセキュリティホールであるから。 また、Windows2000を利用している人は445も閉じたほうがよい。 UPnPを装備しているOSの場合は1900と5000も閉じたほうがよい。 SAMBAを使ってる場合、901も閉じてください。 |
||
また、外部から勝手に接続されたりしないために、
LAN方向からの接続要求に対して
帰りのパケット(確立後の承諾要求SYN1+ACK1)のみ
受け入れるようにすること。
すなわち、インターネット側からの
接続要求(コネクションの確立要求SYN1+ACK0)は排除するべき。
ルータを導入し、NAT+IPマスカレード環境では
外部からの接続要求に対しては排除できるが
ポートフォワーディング等をしてる限りはその限りではない。
以下にフィルタリングしたほうがいいと思われるポート番号をあげる。
| ポート | プロトコル | サービス名 |
| 1 | UDP,TCP | TCPMUX |
| 7 | UDP,TCP | echo |
| 11 | UDP,TCP | systat |
| 15 | TCP | netstat |
| 23 | UDP,TCP | telnet |
| 43 | UDP,TCP | nicname(whois) |
| 67 | UDP,TCP | bootp |
| 69 | UDP,TCP | TFTP |
| 70 | UDP,TCP | gopher |
| 79 | UDP,TCP | finger |
| 87 | UDP,TCP | link |
| 95 | UDP,TCP | supdup |
| 109 | UDP,TCP | pop2 |
| 110 | UDP,TCP | pop3 |
| 111 | UDP,TCP | sunrpc |
| 135 | UDP,TCP | epmap (NTのセキュリティホールとして有名) |
| 143 | UDP,TCP | imap |
| 144 | UDP,TCP | NeWS |
| 161-162 | UDP,TCP | SNMP (これを使ってる人は外部から絶対に利用されないように) |
| 177 | UDP,TCP | xdmcp |
| 220 | UDP,TCP | imap3 |
| 512 | TCP | exec |
| 512 | UDP | biff |
| 513 | TCP | login |
| 513 | UDP | who |
| 514 | TCP | shell |
| 514 | UDP | syslog (外部に絶対出すべきじゃない) |
| 517 | UDP,TCP | talk |
| 518 | UDP,TCP | ntalk |
| 520 | UDP | route |
| 540 | UDP,TCP | uucp |
| 1025 | UDP,TCP | listner |
| 2000 | UDP,TCP | openwin |
| 2049 | UDP,TCP | nfs |
| 2766 | TCP | listner |
| 6000-6063 | UDP,TCP | x11 |
| 6667 | UDP,TCP | IRC |
| 5631-5632 | UDP,TCP | シマンテックのpcANYWHEREで使われてるポート |
| 31337 | UDP | MSのBackOffice系のバックドア(裏技)開ける為に使われること多い |
 メール |
 トップ |
