■portscanの状況としては http://www.incidents.org/ とかを参照すると良いかとおもいます。参加しているホストから報告された 情報を元に今日のportscan活動をグラフ化してあります。(^_^; ■SMB SMB, telnet, ftp等が開いていると鴨だとおもわれて不正侵入の試みが 格段に増えます...自宅をFletsISDN化したときにWAN→LAN方向の SMBを落す設定をしていなかったら毎日のように不正アクセスを試しにきて ました。一ヵ月位してからログを見てきがついたという我ながら間抜けな 話です。LAN→WAN方向は全て叩き落していたので被害はなかったのが 不幸中のさいわいでした。ログの査収は定期的に行わないとだめだなと 痛感しました(._.; 外部からファイルを共有する必要がないなら、別のサーバを用意してDMZの外、 LAN内にSMBサーバを移すのが安心です。 DMZ上にSMBサーバを置く必要があるのなら、routerで ポート番号137-139,445 tcp/udp をWAN→LAN, LAN→WAN両方向とも叩き落すように設定します。 後、IP address spoofing(WAN側のインタフェースに到着したLANのアドレスを持つパケット)も 叩き落すように設定するとよいです。 ■「オーバーフローを待っているのでしょうか？」 portscanをかけてくる輩の手順としては、基本的に以下のようなものです。 多分まだ、ろ)の段階かと思います。 い)nmapのようなソフトであるIPアドレスの範囲に対して地引網てきにscanをかける。 ろ)その際に取得する情報としては以下の物 ・OSのバージョン、パッチレベル等 ・WAN側に開いているportの番号 ・各ポートで動作しているプログラムのバージョン は)集まった情報を元に乗っ取って踏台にするホストを探す に)既知のセキュリティホールを用いてターゲットホストに対して攻撃を加える。 ■portsentryの実行 portsentry(http://www.psionic.com/abacus/portsentry)とかを 動作させておけば不正なホストから未使用なポートにアクセスがあった時点で/etc/hosts.denyに ホストを追加するとか、ipfwが設定されている場合はルーティングで落すルールを 追加するとかも可能です。い)の時点でそのホストからのアクセスを禁止します。 に)の時点では既に探りをいれたホストからはアクセスできなくなっていますので 若干安全性が向上します。 ■MN-128sohoSL11 たしかMN128系は最後に通信したホストの任意のポートに対して 外部からアクセスできるという機能があり古いファームウェアだと デフォルトでこれが有効になっていたと記憶しています。最新の バージョンではこの機能がデフォルト設定で不可になっているはず なのでファームウェアを更新するのが良いです。 MN128のフィルターの設定方法については、 http://www.bug.co.jp/mn128/faq/sample/sec.htm が詳しいです。 ■その他 ・OpenBSD等を利用すると IPアドレスを消費せずにbridgeとして動作させつつ IPパケットのfilteringが可能です。しばらく前までMN128のフィルタリングが 今一つだったので信頼できないと言う場合は、OpenBSDベースでfirewallを設定し routerとDMZの間にいれるとよいかも。 http://www.daemonnews.org/200103/ipf_bridge.html ・DMZ上でunix系のOSを搭載したPCを別途設置しSNORT等のIDS (Intrusion Detection System)を走らせログを取得する。 内部のPCにトロイの木馬の類が侵入しても検知が可能になります。 http://www.snort.org 以上、思い付くまま書いたのでまとまりがないのですが 何かの参考になれば幸いです。