- 締切済み
IPSecのVPNにおけるポートフィルタリング
お世話になります。 以下、質問させてください。 現在、2拠点間で、ヤマハルーター、RTX1100により、IPSecのVPN接続を行っております。 回線はBフレッツ、プロバイダはOCNです。 固定IPアドレスを取得して、インターネット接続では、IPマスカレードを使用しております。 セキュリティを強化するために、不要なポートを可能な限り、さらに閉じたいと思っておりますが、 閉じすぎてしまいますと、正常な通信が、出来なくなってしまいますので、 どのポートを閉じることが出来るかを、検討しております。 WELLKNOWNポート(0~1023)については、使用するポート(DNSサーバーの53、WEBの80、443、IPSecの500、等)以外のポートは、すべて閉じます。また、使用するポートも、IPアドレスによる制御をかけます。 登録済ポート(1024~49151)、自由使用ポート(49152~65535)については、特に狙われやすいポートを閉じ、他は、開けてあります。ただし、外部からのアクセスはIPアドレスにより拒否、内部から外部のDNSサーバー、WEBサイトへのアクセスの返答は、通過させるようにしております。 ここで、ご質問させてください。 まず、内部LANから、外部インターネットに接続する場合についてです。 内部LANの端末から、DNSサーバーの53番ポートへの送信、 DNSサーバーの53番ポートから、内部LANの端末への受信、を許可していますが、 その際に、こちら側のポートは、1024番以降のポート番号が、「任意」に割り当てられる、と、文書で読みました。 このため、1024番以降で、閉じているポートが、たまたま割り当てられてしまった場合は、正常な通信が出来なくなってしまいます。 この「任意」には、何らかのルールがありますでしょうか。 例えば、1024番から順番に割り当てられるのだとしたら、内部LANの端末数が100くらいで、また、すべての端末が同時にインターネットを使用する可能性は低いので、1024~1124ぐらいまでは、開けておき、1125~65535は、閉じておきたい、と思います。 外部WEBサイトに接続する場合、やはり、送信側の「任意の」ポートから、外部WEBサイトの80、443ポートに、パケットが送られ、そこから、ESTABLISHEDパケットが、送信側の80、443ポートを通じて(この認識も正しいかどうか、確証がありません)戻ってきて、3WAYハンドシェイクにより、接続が成立する、と理解しております。 この際の「任意」にも、何らかのルールがありますでしょうか。 ルーターRTX1100のマニュアルを観ますと、IPマスカレードを使っている場合、デフォルトでは、60000~64095が割り当てられる、と書いてあるのですが、通信ログを観ますと、1024番以降の比較的若い番号も、使われているようでして。 もし、このマニュアルの記述が正しいならば、1024~59999、64096~65535は、閉じてしまいたいとも、思うのですが。 次に、IPSecについてです。 調べますと、IPSecの共通鍵(IKE)交換は、両拠点の500番ポート同士で行われる、ということなのですが、それでは、両拠点間の通信は、すべて、この500番ポート同士のみで、行われるということになりますでしょうか。それとも、1024番以降のポートも、やはり、使われる可能性がありますでしょうか。 例えば、片方の拠点のLANにある、データベースサーバー(プライベートIPアドレス、MicrosoftSQLサーバー)を、もう片方の拠点のLANでも、参照、使用しております。 ポートフィルタリングで、SQLServerが使用する、1433、1434番ポートも、閉じているのですが、2拠点間の通信は、正常に行うことが出来ております。 以上、2つ、お伺いさせて頂きます。 どうぞよろしくお願い致します。
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- maesen
- ベストアンサー率81% (646/790)
>この「任意」には、何らかのルールがありますでしょうか。 >例えば、1024番から順番に割り当てられるのだとしたら、内部LANの端末数が100くらいで、また、すべての端末が同時にインターネットを使用する可能性は低いので、1024~1124ぐらいまでは、開けておき、1125~65535は、閉じておきたい、と思います。 任意についてはOSの実装によるので決まりは無いと考えたほうがいいと思います。 ちょっと勘違いがあるように思いますが、任意のポートはPCごとに実装に従い決まるので端末台数には依存しません。 例えば PC-A ポート1024 PC-B ポート1024 PC-C ポート1024 という場合もあります。 また、任意のポートはPCが一つのポートを使い続けるのではありません。 1つ目の通信は1024、2つ目の通信は1025というように変化していきます。 だから、一台のPCだけでも1024から使用した場合でも1125を超えるポートを使用することはあります。 >外部WEBサイトに接続する場合、やはり、送信側の「任意の」ポートから、外部WEBサイトの80、443ポートに、パケットが送られ、そこから、ESTABLISHEDパケットが、送信側の80、443ポートを通じて(この認識も正しいかどうか、確証がありません)戻ってきて、3WAYハンドシェイクにより、接続が成立する、と理解しております。 >この際の「任意」にも、何らかのルールがありますでしょうか。 通信がTCPとUDPの違いがありますが、こちらの任意も上記と同じです。 >ルーターRTX1100のマニュアルを観ますと、IPマスカレードを使っている場合、デフォルトでは、60000~64095が割り当てられる、と書いてあるのですが、通信ログを観ますと、1024番以降の比較的若い番号も、使われているようでして。 IPマスカレードなのでルータから外に出るときにポート番号を変換するので、変換される元がログに載っているだけです。 実際に変換された後のポート番号(60000~64095)の通信が見たければWAN側の通信をキャプチャするなりしないと見えません ルータ上でどのポートに変換されているか見るならば、NATエントリのステータス情報を見ればわかると思います。 >例えば、片方の拠点のLANにある、データベースサーバー(プライベートIPアドレス、MicrosoftSQLサーバー)を、もう片方の拠点のLANでも、参照、使用しております。 これはVPN内の話ではないかな。 tunnelインターフェースにフィルタをしていなければ通信は通るでしょう。 全体的な話としてフィルタがどこでどのように適用されるかが不明確なように思います。 Yamahaルータのホームページにそれらの説明がありますので確認してはいかがでしょうか。 また、静的フィルタだけで考えられているような感じなので、動的フィルタの使用も考えたほうが設定がすっきりするように思います。
- hirasaku
- ベストアンサー率65% (106/163)
こんにちは。 hirasaku です。 誰も、レスがなかったもので。。。 まず、 フィルタをかける場所と方向によって動きが変わります。 例えば、 >このため、1024番以降で、閉じているポートが、たまたま割り当てられてしまった場合は、正常な通信が出来なくなってしまいます。 これはどのインターフェースにどの方向にかけた場合のことを言ってますか? >この「任意」には、何らかのルールがありますでしょうか ないのでは。 OSに乗っかっているアプリケーションが使っていないポートをランダム(規則性がない)に割り当てるので。 >外部WEBサイトに接続する場合、やはり、送信側の「任意の」ポートから、外部WEBサイトの80、443ポートに、パケットが送られ、そこから、ESTABLISHEDパケットが ・・・・・ これは、送信元クライアントが50001ポート使ってあて先Webサーバ80ポートにアクセスした場合、サーバーからの返しの通信は、送信元80ポート、あて先50001に返す動きだと思うが。 >ルーターRTX1100のマニュアルを観ますと、IPマスカレードを使っている場合、デフォルトでは、60000~64095が割り当てられる ・・・・・ これは、LAN側端末が50001ポートを掴んでも、WAN側にIPカスカレードした場合WAN側で使うためのポート変換範囲。 >もし、このマニュアルの記述が正しいならば、1024~59999、64096~65535は、閉じてしまいたいとも、思うのですが。 これも、どのインターフェースのどの方向で閉じようと考えているのでしょうか? 例えば、 PPインターフェースのOUT側に 送信元アドレス、LAN側IP:ポート1024~59999 あて先アドレス、すべて などというフィルタですかね? >調べますと、IPSecの共通鍵(IKE)交換は、両拠点の500番ポート同士で行われる ・・・・・ 拠点間の通信路を確保と考えたほうがいいかも。 実際はトンネルの中を実データ(アプリケーションとのやり取り)をカプセル化して通して、トンネル抜けたときに普通のデータに戻ると考えればイメージわくでしょうか? なので、拠点間SQLとの通信はできるということで。 >ポートフィルタリングで、SQLServerが使用する、1433、1434番ポートも、閉じているのですが ・・・・・ これもどこのインターフェースのどの方向を塞いでいるのでしょうか? ということで。
お礼
hirasakuさま ありがとうございます^^。 ポートフィルタリングのインターフェースにつきましては、すべて、PCの外~ルーターの範囲ではなく、ルーターから外部へ、外部からルーターへの部分でのフィルタで、双方向です。 >OSに乗っかっているアプリケーションが使っていないポートをランダム(規則性がない)に割り当てる。 PCにおけるOSは、そのような動きを行うのですね。 >送信元クライアントが50001ポート使ってあて先Webサーバ80ポートにアクセスした場合、サーバーからの返しの通信は、送信元80ポート、あて先50001に返す動きだと思う。 ありがとうございます。 >LAN側端末が50001ポートを掴んでも、WAN側にIPカスカレードした場合WAN側で使うためのポート変換範囲。 そういうことですね。 >もし、このマニュアルの記述が正しいならば、1024~59999、64096~65535は、閉じてしまい>たいとも、思うのですが。 >これも、どのインターフェースのどの方向で閉じようと考えているのでしょうか? これも、WAN側の双方向です。 >調べますと、IPSecの共通鍵(IKE)交換は、両拠点の500番ポート同士で行われる ・・・・・ >拠点間の通信路を確保と考えたほうがいいかも。 >実際はトンネルの中を実データ(アプリケーションとのやり取り)をカプセル化して通して、トンネル抜けたとき>に普通のデータに戻ると考えればイメージわくでしょうか? >なので、拠点間SQLとの通信はできるということで。 ありがとうございます。 >ポートフィルタリングで、SQLServerが使用する、1433、1434番ポートも、閉じているのですが > ・・・・・ >これもどこのインターフェースのどの方向を塞いでいるのでしょうか? これも、WAN側の双方向でした。 ポートにも、PC(LAN端末)のインターフェース、WANのインターフェースがある、ということですね。 ここを、区別して、考えてみます。 ありがとうございます^^。
お礼
maesen様 ありがとうございます^^。 >任意についてはOSの実装によるので決まりは無いと考えたほうがいいと思います。 そうなのですね。 >ちょっと勘違いがあるように思いますが、任意のポートはPCごとに実装に従い決まるので端末台数には依存しませ>ん。 >例えば >PC-A ポート1024 >PC-B ポート1024 >PC-C ポート1024 >という場合もあります。 >また、任意のポートはPCが一つのポートを使い続けるのではありません。 >1つ目の通信は1024、2つ目の通信は1025というように変化していきます。 >だから、一台のPCだけでも1024から使用した場合でも1125を超えるポートを使用することはあります。 よく分かりました。 >通信がTCPとUDPの違いがありますが、こちらの任意も上記と同じです。 承知しました。 >ルーターRTX1100のマニュアルを観ますと、IPマスカレードを使っている場合、デフォルトでは、60000~64095が割り当てられる、と書いてあるのですが、通信ログを観ますと、1024番以降の比較的若い番号も、使われているようでして。 >IPマスカレードなのでルータから外に出るときにポート番号を変換するので、変換される元がログに載っているだ>けです。 >実際に変換された後のポート番号(60000~64095)の通信が見たければWAN側の通信をキャプチャするなりしな>いと見えません >ルータ上でどのポートに変換されているか見るならば、NATエントリのステータス情報を見ればわかると思います。 ありがとうございます。 >これはVPN内の話ではないかな。 >tunnelインターフェースにフィルタをしていなければ通信は通るでしょう。 ありがとうございます。 >全体的な話としてフィルタがどこでどのように適用されるかが不明確なように思います。 >Yamahaルータのホームページにそれらの説明がありますので確認してはいかがでしょうか。 >また、静的フィルタだけで考えられているような感じなので、動的フィルタの使用も考えたほうが設定がすっきり>するように思います。 フィルタの場所、動的フィルタについて、理解が深くありませんでした。 この点をよく調べてみます。 ありがとうございました^^。