セキュリティポリシーでもあるIPパケットフィルタのポリシーを紹介したいと思う。
IPパケットフィルタリングは、ゲートウェイサーバを構築する際など大変重要になる機能である。
セキュリティを考慮するには、各自セキュリティポリシーを計画してIPフィルタを設定すべきである。
早く言えば、”安全のために不要なポートは塞いで置くように心がけよう!”と言うことである。
しかし、あまり塞ぎすぎて気がつかないうちに”必要なサービスが動かない”なんていう事も有るのでそこは気をつけよう!
ここでは、そのセキュリティポリシーに乗っ取り一般的に危険とされているポートを紹介する。(あくまでも俺の所見的執筆なので参考までに・・・・いわゆる自前のセキュリティポリシーだ)
1.ブロードバンドルータのIPフィルタリング機能の勘違い
よく間違えることは、ブロードバンドルータのIPフィルタ機能である。
最近のブロードバンドルータは、WAN側からLAN側のポートは全て遮断してある(特に安価なルーターはそのようである)。
つまり、サーバを公開する場合はNATやNAPT機能(各メーカで固有の名前の場合もある)を用いてWAN側から公開するポートを手動で設定するわけである。
したがって、ルータにIPフィルタリングを設定してもLAN側→WAN側へ遮断する為のフィルタリングになってしまう場合があるので特に注意されたい。
調子に乗って必要なポートをふさいでしまうと当然WAN側へアクセスできなくなる(ポート毎の通信ができなくなる)。
もっと気を付けてほしいのは、IPアドレスを指定してフィルタリングするルータである。
このルータの場合はやはりLAN側→WAN側、早い話がLAN側のホストを制限するための機能と言っても過言ではない。
ローカルドメイン内でWAN側へ出したくないホストが有る場合には設定を行うと効果的ではあるが、無意識に設定するとローカルドメインのユーザからクレームが来るので気を付けなければならない。
しかしこれらの機能もルータのLAN側→WAN側の不要なポートを遮断することで完全に内部通信状態を隠蔽することはできるのでまるっきり効果がないと言うことはない。
それでは以上に気をつけながら以下を参考にされたい。
2.俺のセキュリティポリシーの実際
以下は、遮断するポートを列記する。
| ポート番号 | サービス | 宛先 | (プロトコル) | コメント |
| 11 | systat | LAN側→WAN側 | (TCP/UDP) | 自サーバのシステム情報を隠蔽するなら遮断したほうがいい |
| 15 | netstat | LAN側→WAN側 | (TCP) | 同上 |
| 23 | telnet | LAN側→WAN側 | (TCP/UDP) | telnetサービスを使ってなければ遮断したほうがいい |
| 67 | bootps | LAN側→WAN側 | (TCP/UDP) | 必要以上に情報を与えてしまうので遮断したほうがいい |
| 68 | bootpc | LAN側→WAN側 | (TCP/UDP) | 同上 |
| 69 | tftp | LAN側→WAN側 | (TCP/UDP) | 結構危険なので遮断したほうがいい |
| 70 | gopher | LAN側→WAN側 | (TCP/UDP) | gopherサービスを使ってなければ遮断したほうがいい |
| 79 | finger | LAN側→WAN側 | (TCP/UDP) | fingerサービスを使っていなければ遮断したほうがいい |
| 87 | link | LAN側→WAN側 | (TCP/UDP) | 結構危険なので遮断したほうがいい |
| 95 | supdup | LAN側→WAN側 | (TCP/UDP) | 同上 |
| 111 | sunrpc | LAN側→WAN側 | (TCP/UDP) | 同上 |
| 135 | DCE RPC | LAN側←→WAN側 | (TCP/UDP) | 同上(だいぶ古い話だがBlasterワームでの脆弱性発覚のため) |
| 137〜139 | netbios | LAN側←→WAN側 | (TCP/UDP) | WindowsネットワークSAMBAを使うのであれば外部からは遮断したほうがいい |
| 144 | uma | LAN側→WAN側 | (TCP/UDP) | 結構危険なので遮断したほうがいい |
| 161 | snmp | LAN側→WAN側 | (TCP/UDP) | ネットワーク監視サービスなので外部からは遮断したほうがいい |
| 162 | snmp-trap | LAN側→WAN側 | (TCP/UDP) | 同上 |
| 177 | xdmcp | LAN側→WAN側 | (TCP/UDP) | 結構危険なので遮断したほうがいい |
| 220 | imap3 | LAN側→WAN側 | (TCP/UDP) | imap3のサービスを使っていなければ遮断したほうがいい |
| 512 | exec | LAN側→WAN側 | (TCP) | 結構危険なので遮断したほうがいい |
| 512 | bif | LAN側→WAN側 | (UDP) | 同上 |
| 513 | login | LAN側→WAN側 |
(TCP) |
同上 |
| 513 | who | LAN側→WAN側 | (UDP) | 同上 |
| 514 | shell | LAN側→WAN側 | (TCP) | 同上 |
| 514 | syslog | LAN側→WAN側 | (UDP) | syslogが攻撃されたら、logがめちゃくちゃになるので遮断したほうがいい |
| 515 | printer | LAN側→WAN側 | (TCP/UDP) | 当たり前だが、WAN側にプリンタをオープンにする必要はないので遮断したほうがいい |
| 517 | talk | LAN側→WAN側 | (TCP/UDP) | 使わないので遮断したほうがいい |
| 518 | ntalk | LAN側→WAN側 | (TCP/UDP) | 同上 |
| 520 | router | LAN側→WAN側 | (TCP/UDP) | LAN側のルーティングだがWAN側にオープンする必要はないので遮断したほうがいい |
| 540 | uucp | LAN側→WAN側 | (TCP/UDP) | 結構危険なので遮断したほうがいい |
| 1025 | listener | LAN側→WAN側 | (TCP/UDP) | 同上 |
| 2000 | openwin | LAN側→WAN側 | (TCP/UDP) | 同上 |
| 2049 | nfs | LAN側→WAN側 | (TCP/UDP) | 同上 |
| 2766 | listen | LAN側→WAN側 | (TCP/UDP) | 同上 |
| 6000〜6063 | x11 | LAN側→WAN側 | (TCP/UDP) | 同上 |
| 6257 | WinMx | LAN側→WAN側 | (TCP/UDP) | WinMX(P2Pファイル共有)使っていなければ遮断したほうがいい |
| 6665〜6669 | IRCU | LAN側→WAN側 | (TCP/UDP) | IRCUを使っていなければ遮断したほうがいい |
| 6699 | napster | LAN側→WAN側 | (TCP/UDP) | napster(P2Pファイル共有)使っていなければ遮断したほうがいい |
| 7743 | Winny | LAN側→WAN側 | (TCP/UDP) | Winny(P2Pファイル共有)使っていなければ遮断したほうがいい |
| 12345 | Netbus | LAN側→WAN側 | (TCP/UDP) | Netbus(トロイの木馬)のサービスポート危険なので遮断したほうがいい |
以上だが、IRCUを使っていなければ、6000〜6999迄一挙に遮断してもかまわないと思う。
3.その他(是非遮断を検討してください)
| ポート番号 | サービス | 宛先 | (プロトコル) | |
| 1 | tcpmux | LAN側→WAN側 | (TCP/UDP) | マルチプレクサTCPポートは通常使わないので遮断を検討しても良いかも知れない |
| 7 | echo | LAN側→WAN側 | (TCP/UDP) | エコー、悪いやつから姿を眩ますのには都合がよいので遮断を検討しても良いかも知れない |
| 445 | msds | LAN側←→WAN側 | (TCP/UDP) | マイクロソフト・ダイレクトホスティングSMBサービス、これは昨今大変危険なポートであるため是非遮断を検討するのが望ましい |
4.プライベートアドレスをWAN側へ送出しない及びLAN側には受信しない
プライベートアドレスはLAN内だけのIPアドレスであるためWAN側へ送信したり、LAN側で受信したりできないように破棄するべきである。
以下、遮断したいネットワークアドレス(TCP/UDP)
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
以上