「ネットワークのセキュリティ」というと,サーバーおよびクライアント・マシンのOSやアプリケーションにばかり目が行きがちである。しかし,それらをつなぐネットワーク機器に対しても,十分な対策が必要であることを,前回のコラムではお話した。今回はネットワーク機器の代表格であるルーターに焦点を当てて,具体的に,どのような設定をすればよいのかを見ていきたい。

 ルーターはネットワークの中継点に配置され,あて先のネットワークへパケットを届けるのに,どの道筋で送るのかを決定(ルーティング)している機器である。

 社内LANと社外ネットワーク(インターネット)をつなぐ位置にあるルーターは,ファイアウオール越しの社内LANへのアクセスが,ある程度許可されている場合が多い。そのため,もしそのルーターへ侵入されると,(1)社内のネットワークに関する大切な情報(ルーティング・テーブル等)を見られる,および(2)ルーターから,社内LANへ侵入される恐れがある。

 そのような事態を防ぐための,セキュリティを考慮したルーター設定の,6つのポイントを以下に示す。

【1】シリアル経由で設定変更する

 一般的に,ルーターの設定方法には,(1)シリアル・ケーブル経由,(2)イーサネットからTelnetでログイン,(3)Webブラウザから,の3種類がある。Webブラウザからの設定は,利便性には優れているが,不正アクセスされる危険性が他の方法よりも高い。そのため,セキュリティを重視して,使用不可にしておこう。

 ルーターの設定を変更する頻度は比較的少ない。その点を考慮すると,より安全性が高い,(1)の「シリアル経由」をお勧めしたい。Telnetを使用したい場合には,後述のフィルタリングで,ログインできるホスト(マシン)を限定しておこう。

【2】パスワードは必ず設定する

 管理用やコンソール用など,何種類かのパスワードがある場合,必ずすべてのパスワードを設定しておく。この際,出荷時に設定されているデフォルトのパスワードは使わないようにする。また,SNMP(Simple Network Mangement Protocol)の機能を使う際に,コミュニティ名の設定がある場合,デフォルトの「public」から変更しておく。

【3】最低限のパケット・フィルタリングを

 セキュリティも大切であるが,本来の仕事であるルーティングの性能を低下させてはならない。そのため,ルーターでのフィルタリングは,最低限の設定を心掛けたい。同種の設定がファイアウオールで可能であるならば,そちらに任せるのも手である。

 以下に,最低限のフィルタリング設定を挙げる。

  • ネットワーク・アドレスやブロードキャスト・アドレスが送信先となっているパケットは通さない。これは,「smarf攻撃(*1)」対策である

  • 自分と同じネットワーク・アドレス,あるいはプライベート・アドレスが送信元のパケットは通さない。これは,「IP spoofing(*2)」対策である

  • 送信元,送信先アドレスが同じパケットは通さない。これは「land攻撃(*3)」対策である

  • TelnetやTFTPを使って設定変更などを行う場合には,接続先を制限する

【4】NATはファイアウオールで

 ルーティングの性能を低下させないために,パケット・フィルタリングと同様に,可能ならばファイアウオールで行うことが望ましい。

【5】TFTPの利用には注意

 複雑な設定やファームウエアの更新に,TFTPサーバーを用いる選択肢もある。しかし,TFTPは認証を行わないので,注意が必要である。【3】でも述べたように,最低でもフィルタリングなどで,接続先に制限をかけておく必要がある。

【6】ファームウエアにも注意

 設定だけではなく,ファームウエアに対する注意も怠らないようにしよう。セキュリティ・ホールなどの問題が発見された場合には,迅速にアップグレードなどの対策を行う必要がある。問題が起きた場合に,すぐに情報をつかめるように,メーカーのアドバイザリ・メーリングリストなどは目を通しておきたい。

 今までは,一般ユーザーがこれらの機器に触れる機会はそれほど多くなかった。しかし,ネットワークの拡大に伴って,今後その機会は確実に増えていくと考えられる。また,十分なトレーニングを受けていないユーザーが,思いがけず管理者になることもあるだろう。今回のコラムを参考にして,「ルーターのセキュリティ」について知ってほしい。

 また,組織内でも対策を怠っている場合があるかもしれない。このコラムを参考に,対策を実施しておきたい。

◇ ◇ ◇ ◇ ◇ ◇

 今回は,一般的な「ルーターのセキュリティ」について解説した。より詳細な設定は,ルーターの配置場所(使い方)や製品によって異なる。要望があれば,それらについても解説していきたい。


*1 smarf攻撃:DoS(サービス不能)攻撃の一種。送信先にブロードキャスト・アドレスやネットワーク・アドレス,送信元を攻撃対象マシンのアドレスに偽造したping要求のパケットを第三者のネットワークへ送信する。ping要求を受けたそれぞれのマシンは,pingの応答パケットを攻撃対象マシンへ一斉に送信するので,対象マシンはDoS状態に陥る。

*2 IP spoofing:他人のIPアドレスを偽ること。IPアドレスのなりすまし。なりすましたIPアドレスで攻撃すれば,アドレスからは攻撃元を突き止められない。社内LANのアドレスやプライベート・アドレスで,社外から社内へアクセスしてくる場合には,IP spoofingの可能性が高い。

*3 land攻撃:送信先と送信元の両方に攻撃対象マシンのIPアドレスを指定したパケットを送信する攻撃。TCPコネクションを確立できず,対象マシンがハングアップする。


斎藤松彦(SAITO Matsuhiko)
株式会社ラック 不正アクセス対策事業本部
m_saitoh@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。