ルータを超えられてしまう？パケットの不正侵入はどうして起こるのか

2005/12/09 17:59

このQ&Aのポイント

OSはW2ksp4, パーソナルファイアウォールはoutpost free 1.0, ルータはYAMAHART54i。outpostにはAttack Detectionという機能があり、インターネット上の別のPCからポートスキャンを受けていました。
ルータではネット側からの通信要求はすべて弾くように設定しているが、LAN内のPCまでパケットが届いてしまった理由が不明。8080番ポートでWebサーバーを起動しており、静的NATを設定している。
ルータの問題や静的NAT以外の要因により、LAN内に不正なパケットが届く可能性もある。ルータの動作確認やセキュリティ設定の見直しを検討する必要がある。

許可していないパケットにルータを超えられてしまう?

OSはW2ksp4,パーソナルファイアウォールはoutpost free 1.0,ルータはYAMAHART54iです。 outpostにはAttack Detectionという機能があって、不正なパケットを検知してくれます。その機能のログによると、インターネット上の別のPCからこちらのPCの3336番ポートや3239番ポートへTCPのポートスキャンを受けていました。ログの形式は、日付、攻撃タイプ、IPアドレス、ポートスキャンの詳細という項目が記録されており、上記のポートスキャンについては、攻撃タイプが「通信の要求」 IPアドレスが「スキャンをしてきた相手のアドレス」ポートスキャンの詳細が「TCP(3336)」などとなっています。ルータではネット側からの通信要求はすべてルータで弾くように設定していて、 (許可していないものについては暗黙のDenyで弾かれるはずです) どうしてLAN内のPCまで上記のようなパケットが届いてしまったのか理解できません。また、仮にルータではパケットが弾かれなかったとしても、静的NATを設定しているわけでもないのに、どうしてLAN内の特定のPCまでパケットが届いてしまうのでしょうか? そのPCでは8080番ポートでWebサーバーを起動していて、そこへ向けて、静的NATを張っています。ですのでAttack Detectionのログにも8080番ポートへのポートスキャンの形跡が残ることもありますが、しかしどうしてそれ以外のポートにまでポートスキャンが及んでいるのか理解できません。ひょっとしてルータが壊れているかどうかして静的NATで指定した以外のものもLAN内へ運んでいるのかもしれませんが、そんなことあるのでしょうか？

tochanx
お礼率80% (738/912)

ネットワーク
回答数2
ありがとう数3

みんなの回答 （2）
専門家の回答

質問者が選んだベストアンサー

ベストアンサー

qaaq
ベストアンサー率36% (146/404)

2005/12/10 13:00 回答No.2

>ひょっとしてルータが壊れているか・・・・可能性はバグを含めて０(ゼロ)ではないです。情報のポインタを紹介します。取り合えず、ルータのファームウェアのアップデートをして最新にしてから様子を見ることをおすすめします。 http://netvolante.jp/download/firmware/ 疑問があれば、メーカサイトの方が確実でしょう。 http://www.yamaha.co.jp/support/index.html また、ヤマハ関連ルータのユーザML(rt100i-users)は活発かつ有益な情報がとても多いです。このMLでも有益な情報が得られるかも知れません。ただ、 >rt100i-users はヤマハの正式なサポート窓口ではありません。 >ヤマハの関係者が発言することもありますが、それは単にとっても詳しいユーザとしての発言です。なので、表現に注意した方がいいですね。 http://www.rtpro.yamaha.co.jp/RT/users.html

質問者

お礼 2005/12/10 21:36

ポインタをありがとうございます。もう少しまとめてみて、サポートにメールをしてみようと思います。

ログインすると、全ての回答が全文表示されます。

その他の回答 (1)

2531kbps
ベストアンサー率13% (183/1333)

2005/12/09 18:04 回答No.1

> ルータではネット側からの通信要求はすべてルータで弾くように設定していて、というのが間違っているのではないかと思います。そんなときは、自分で判断した結果ではなく、具体的に、どこの項目をどうやってどんなふうに設定した。と書いた方がよいです。「質問の仕方」参考URL http://www.linux.or.jp/beginners/question.html もしかしたら、設定方法の勘違いかもしれないですしね。

質問者

補足 2005/12/09 18:56

回答ありがとうございます。すみません。説明不足でした。ルータでのパケットフィルタリングの設定について書きます。私が使っているYAMAHART54iというルータでは明示的に許可していないパケットについてはすべて拒否されます。ルータを超える許可がされているのは、TCPのEstablished状態のもの、つまりルータの内側のLAN内のPCを起点としたパケットと、その応答パケットはルータを超えられます。それとDNSの応答パケットを通すために(UDPにはEstablishedという概念自体がないので上のEstablished許可ルールではこれに対処できないため)、インターネット側を起点としたルータのUDPの53番ポートへ向けたものも許可されています。ここまでの二つはルータのデフォルト設定です。また、WebサーバーをLAN内のあるPCで実験的に公開しているため、インターネット側を起点としたルータのTCP8080番ポートへ向けたパケットも許可しています。このパケットについては、静的NATとしてルータの8080番ポートへ到着したパケットはWebサーバーを公開しているPCの8080番ポートに届くように設定しています。ルータで許可されたパケットは上記の三つのみで、これ以外のパケットはすべて拒否されるはずです。ですので、Webサーバーを公開しているPCでのoutpostのAttack Detectionのログに、インターネット側を起点とした、Webサーバー機のTCP3336番ポートへのものが残るはずがないのです。このパケットは、まずルータで拒否されるはずで、もしフィルタリングの設定ミスで拒否されなかっとしても、 TCP3336番ポートへ向けたパケットの静的NATは設定されていないため、 LAN内へは届かないはずなのです。ですので、パケットに対して何らかの細工をすることでルータを超えることが可能なのかと思い質問した次第でした。

ログインすると、全ての回答が全文表示されます。