RTXルータのログをサーバに転送していたが[INSPECT]UDP port scan、TCP port scanログが膨大すぎて追えなくなってきた(-_-;)
UNIVERGE IX2015ルータのフィルタリングを強化して運用することにした。
Windows10クライアントPCには、シリアルポート(RS232C DSUB 9pinコネクタ)が無い(-"-)
Amazonで「USB RJ45 シリアル コンソールケーブル」をゲットした。
これをIX2015のCONSOLEポートに繋いで設定してみる。
FTDI Chip develops サイトからドライバをダウンロードした。
デバイスマネージャーで確認
COM3ポート指定でTeraTarmでログイン!
かなり厳重にフィルタリングを設定した。
※NAPTの詳細、PPPoEの設定は割愛する。
▼タイムゾーン日本時間に設定
timezone +09 00
▼ntpサーバー有効にする
ntp ip enable
▼ntpサーバーのIPアドレス
ntp server 192.168.0.XXX
▼ロギングバッファ(指定サイズ分の文字数をメモリへ保存)
logging buffered 4096
▼ロギングレベルを”warn”指定
logging subsystem all warn
▼タイムスタンプのパラメータ(時刻)設定
logging timestamp timeofday
▼syslogサーバー設定
syslog ip host 192.168.0.XXX
▼デフォルトのI/F
ip route default FastEthernet0/0.1
▼フィルタリング設定
ip access-list in_out-block deny tcp src any sport any dest any dport eq 135
ip access-list in_out-block deny udp src any sport any dest any dport eq 135
ip access-list in_out-block deny tcp src any sport any dest any dport eq 137
ip access-list in_out-block deny udp src any sport any dest any dport eq 137
ip access-list in_out-block deny udp src any sport any dest any dport eq 138
ip access-list in_out-block deny tcp src any sport any dest any dport eq 139
ip access-list in_out-block deny tcp src any sport any dest any dport eq 445
ip access-list in_out-block deny udp src any sport any dest any dport eq 445
・TCPMUX遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 1
ip access-list svr-block deny udp src any sport any dest any dport eq 1
・サーバのシステム情報を隠蔽するため遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 11
ip access-list svr-block deny udp src any sport any dest any dport eq 11
ip access-list svr-block deny tcp src any sport any dest any dport eq 15
ip access-list svr-block deny udp src any sport any dest any dport eq 15
・FTPサービス遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 20
ip access-list svr-block deny udp src any sport any dest any dport eq 20
ip access-list svr-block deny tcp src any sport any dest any dport eq 21
ip access-list svr-block deny udp src any sport any dest any dport eq 21
・TELNETサービス遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 23
ip access-list svr-block deny udp src any sport any dest any dport eq 23
・BOOTstrap Protocol遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 67
ip access-list svr-block deny udp src any sport any dest any dport eq 67
ip access-list svr-block deny tcp src any sport any dest any sport eq 68
ip access-list svr-block deny udp src any sport any dest any dport eq 68
・Trivial File Transfer Protocol遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 69
ip access-list svr-block deny udp src any sport any dest any dport eq 69
・Gopher遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 70
ip access-list svr-block deny udp src any sport any dest any dport eq 70
・Fingerプロトコル遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 79
ip access-list svr-block deny udp src any sport any dest any dport eq 79
・any Private terminal link遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 87
ip access-list svr-block deny udp src any sport any dest any dport eq 87
・supdup(TELNETを拡張)プロトコル遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 95
ip access-list svr-block deny udp src any sport any dest any dport eq 95
・SUN Remote Procedure Call遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 111
ip access-list svr-block deny udp src any sport any dest any dport eq 111
・Universal Management Architecture遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 144
ip access-list svr-block deny udp src any sport any dest any dport eq 144
・SNMPモニタリングは外部からは不用なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 161
ip access-list str-block deny udp src any sport any dest any dport eq 161
・SNMPTRAPモニタリングは外部からは不用なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 162
ip access-list svr-block deny udp src any sport any dest any dport eq 162
・X Display Manager Control Protocol遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 177
ip access-list svr-block deny udp src any sport any dest any dport eq 177
・Interactive Mail Access Protocol v3遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 220
ip access-list svr-block deny udp src any sport any dest any dport eq 220
・exec 遠隔コマンド実行プロトコル遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 512
ip access-list svr-block deny udp src any sport any dest any dport eq 512
・login 遠隔ログインプロトコル遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 513
ip access-list svr-block deny udp src any sport any dest any dport eq 513
・shell 遠隔から実行ファイルを実行するためのプロトコル遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 514
ip access-list svr-block deny udp src any sport any dest any dport eq 514
・printer 外部からのプリンター関連のサービス遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 515
ip access-list svr-block deny udp src any sport any dest any dport eq 515
・talk 遠隔からコネクションするためのプロトコル遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 517
ip access-list svr-block deny udp src any sport any dest any dport eq 517
・ntalk 遠隔のマシンとのコミュニケーションプロトコル遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 518
ip access-list svr-block deny udp src any sport any dest any dport eq 518
・router 外部に公開不用なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 520
ip access-list svr-block deny udp src any sport any dest any dport eq 520
・tcp 遠隔のマシンのコネクションプロトコル遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 540
ip access-list svr-block deny udp src any sport any dest any dport eq 540
・network blackjack 遠隔より管理可能プロトコル遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 1025
ip access-list svr-block deny udp src any sport any dest any dport eq 1025
・CALLBOOK 名前解決用だが使用しないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 2000
ip access-list svr-block deny udp src any sport any dest any dport eq 2000
・nfs Network File System遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 2049
ip access-list svr-block deny udp src any sport any dest any dport eq 2049
・compaq-scp遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 2766
ip access-list svr-block deny udp src any sport any dest any dport eq 2766
・X Window System遮断
ip access-list svr-block deny tcp src any sport any dest any dport range 6000 6063
ip access-list svr-block deny udp src any sport any dest any dport range 6000 6063
・WinMX遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 6257
ip access-list svr-block deny udp src any sport any dest any dport eq 6257
・ircu遮断
ip access-list svr-block deny tcp src any sport any dest any dport range 6665 6669
ip access-list svr-block deny udp src any sport any dest any dport range 6665 6669
・Napster遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 6699
ip access-list svr-block deny udp src any sport any dest any dport eq 6699
・SSTP Sakura Script Transfer Protocol遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 7743
ip access-list svr-block deny udp src any sport any dest any dport eq 7743
・NetBus remote administration tool遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 12345
ip access-list svr-block deny udp src any sport any dest any dport eq 12345
▼プライベートアドレスを外部に送出しない(踏み台防止)
ip access-list r-list1 deny ip src 10.0.0.0/8 dest any
ip access-list r-list1 deny ip src 172.16.0.0/12 dest any
ip access-list r-list1 deny ip src 192.168.0.0/16 dest any
▼ローカル内からはmynetworkの通過を許可
ip access-list mynetwork permit ip src 192.168.0.0/24 dest any
▼ローカル内からはフィルターの条件以外の全てのIPの通過を許可
ip access-list all-pass permit ip src any dest any
ip filter forced-reassembly
▼UFS(Unified Forwarding Service)キャッシュを有効
ip ufs-cache enable
▼ProxyDNS for IPv4 を有効
proxy-dns ip enable
▼NAPTを有効
ip napt enable
管理画面で確認
しばらくこれで運用してみます。
以上