『設定について』のクチコミ掲示板

お世話になります。この度ルーターを導入し、記事Ｎｏ[1627449]
のげっちゅるさんの書き込みを参考にして設定を終え順調に
稼働しています。
そこで質問なのですが、今市販のファイヤーウォールソフトを
入れていますが、これはそのままで良いのでしょうか？
またその場合何か不都合がありますでしょうか

もう一つ質問です。ログ機能を以下で設定したのですが
方法　F-mail,　　　　www設定画面
syslogレベル　　　　notice
メール送信トリガー　DoS攻撃検出時
ログを手動でメール送信にするとログは送られますが自動で送信
されない事イコールDoSの攻撃は無いと言うこ判断でよろしいのでしょうか
ログを見ても意味が全くわかりません。
何か参考になる本等あるのでしょうか

お解りの方にはくだらない質問だと思いますがどうかご指導下さい。

書込番号：1746921

>今市販のファイヤーウォールソフトを
>入れていますが、これはそのままで良いのでしょうか？

問題ないと思いますよ。
うちのは、ファイアウォールソフトも不正侵入検知ソフトも
パソコン上で動いていますが、これといって問題は発生していません。

ログについては、まだ、何か書いてあるのを見たことがないのと、
メールで送信というのは設定していないので、コメントなしですが、

検出時に送信という設定をしていて送られてこないのは、
検出されていないと考えるので素直なのではないでしょうか？

>DoS攻撃

youwakaranさんの利用環境ではわかりませんが、
そんなにあるものなんでしょうかね？

インターネットはWebサイトの閲覧程度の利用ですが、
少なくともここ3年はまだ一度も出会ったことがないです。

書込番号：1747055

>検出されていないと考えるので素直
検出されていないと考えるのが素直

書込番号：1747059

DoS攻撃 （Denial of Service attack）
http://www.atmarkit.co.jp/icd/root/73/46122573.html

書込番号：1747070

>インターネットはWebサイトの閲覧程度の利用ですが、
>少なくともここ3年はまだ一度も出会ったことがないです。

つい先日まで違うルータを使用していて、
そのルータには、ログをとる機能がなかったので、
実際のところ「ここ3年はまだ一度も出会ったことがない」
というのが正しいかどうかわかりませんが、
日に5回、10回、20回IPアドレスが変わるクライアント相手に
DOS攻撃はないように思います。（うちの場合ですが）

書込番号：1747153

ぞうさんありがとうございました。
参考になりました。

又何かありましたらお願いします。

書込番号：1747216

>ログについては、まだ、何か書いてあるのを見たことがない

ごめんなさい。syslogレベルにチェックが入ってなかったです。

破棄した通信が書いてあるようです。ちょこっとですが、「notice」にチェックを入れて確認してみました。

Thu, 2003-07-10 18:50:24 - UDP packet dropped - Source:xx.xxx.43.141,1025,
WAN - Destination:61.126.aaa.bbb,137,LAN

Thu, 2003-07-10 18:52:19 - TCP connection dropped - Source:xx.xxx.233.47,4965,WAN - Destination:61.126.aaa.bbb,80,LAN

Thu, 2003-07-10 18:53:35 - TCP connection dropped - Source:xx.xx.42.113,3920,WAN - Destination:61.126.aaa.bbb,17300,LAN

Thu, 2003-07-10 18:59:50 - TCP connection dropped - Source:xx.xxx.66.147,1292,WAN - Destination:61.126.aaa.bbb,445,LAN

曜日、日付、時間、破棄した内容、発信元情報（IPアドレス、ポート情報、
WAN側/LAN側の別）、目的先（IPアドレス、ポート情報、WAN側/LAN側の別）が
書いてあるようです。「61.126.aaa.bbb」というのはOCNから割り当てられた
私の所のIPアドレスです。

プロバイダから割り当てられた自分のIPアドレスは、

診断くん
http://taruo.net/e/

で、相手のIPアドレスや自分のIPアドレスに関する情報は、

IPドメインSEARCH
http://www.mse.co.jp/ip_domain/index.shtml
（一番上の入力欄に調べたいIPアドレスを入れて、「IPドメインSEARCH」をクリックです）

で調べることができます。

書込番号：1747378

ご丁寧にありがとうございます。
もう一つ良いですか、これは何が原因で通信が遮断されるのでしょうか
ＤＯＳの攻撃とかではないですよね？

私のログのＩＰアドレスから見ると、楽天などからの物が遮断されていますが特別な事は無いのでしょうか

書込番号：1747879

>これは何が原因で通信が遮断されるのでしょうか

うちの上のは多分すべてルータのNAPT（NAT/IPマスカレード）機能によるもの
だと思います。（こちらから要求したものが戻ってきたのではない、
インターネットからの一方的な通信[アクセス]は、ルータが破棄します）
その他、ログに書き出す設定にしていれば、「静的IPフィルタリング」で
破棄や透過の設定をしているものも書き出されていると思います。

ブロードバンドアクセスルーターの役割
〜複数台のパソコンをインターネットにつなげる「NAT/IPマスカレード」機能〜
http://www.corega.co.jp/product/navi/router.htm

NAT/IPマスカレードとDMZの違い
http://koro.plala.jp/archi/www/nat_dmz.php
（二つ目の「NAT/IPマスカレードの仕組み」という箇所を参考に）

「NAT/IPマスカレード」「NAT/IPマスカレード ファイアウォール（または、
簡易ファイアウォール）」で検索されれば、いろいろと出てくると思います。


>私のログのＩＰアドレスから見ると、楽天などからの物が遮断されていますが
>特別な事は無いのでしょうか

問題なくサイトを利用できているのでしたら心配ないと思いますよ。

書込番号：1748062

>ＤＯＳの攻撃とかではないですよね？

うちの上のは違うと思います。
受けたことがないのでわかりませんが、もしそうした攻撃があれば、
破棄の内容が出るところ（UDP packet droppedやTCP connection dropped
とある場所）に、
具体的に攻撃の種類がわかる形で、攻撃内容を表す名前が出るのではないでしょうか？
http://www.ntt-me.co.jp/bar/ba8kp_faq.html#0605

書込番号：1748100

うちのは9割以上がUDP packet droppedで、うちのUDPの137番宛てでした。
共有とかネットワーク関連のことは詳しくないので、googleで
検索してみると、以下のようなページがありました。参考まで。

ルータで収集した不正アクセスログ
http://acorn.zive.net/~oyaji/router/router_log.htm

実験　
ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座
第2回　Windowsのファイル共有サービスをブロックする（2）
http://www.atmarkit.co.jp/fpc/experiments/008bbrouter_sec/block_share_02.html

TCPの445番宛てについては、

ポート445（ダイレクト・ホスティングSMBサービス）に注意
http://www.atmarkit.co.jp/fwin2k/win2ktips/088directhostedsmb/088directhostedsmb.html

書込番号：1748483

>受けたことがないのでわかりませんが、もしそうした攻撃があれば、
>破棄の内容が出るところ（UDP packet droppedやTCP connection dropped
>とある場所）に、
>具体的に攻撃の種類がわかる形で、攻撃内容を表す名前が出るのではないでしょうか？

ステートフル・パケット・インスペクション機能を有効にしていれば。


その他、

TCPの17300番は、「トロイの木馬へのアクセスにも利用されている」
ということなので、感染しているパソコンでも探しているんでしょうか？
（広い範囲で）

TCP/17300番ポートに対するアクセスの急増について
http://www.cyberpolice.go.jp/important/20030425_185131.html

TCPの80番へのアクセスは、Webサーバをインストールしているかどうか、
あるいはWebサーバをインストールしているパソコンを、（広い範囲で）
調べてるんだと思います。

ポートスキャン
http://www.ipa.go.jp/security/fy14/contents/soho/html/chap1/scan.html

書込番号：1749161

>（広い範囲で）調べてるんだと思います。
（広い範囲で）探してるんだと思います。

書込番号：1749170

本当にありがとうございました。
本来であれば自分で調べるようなことまで教わり感謝致しております。

何を調べればいいかわからない状態でしたので
助かりました。

書込番号：1749681

念のため、
もし135番ポートのフィルタ設定がまだでしたら、これも忘れずに。
（設定の仕方は下のガイドに書いてあります）

BA8000Pro 静的IPフィルタリング設定ガイド(PDF 373KB)
http://www.ntt-me.co.jp/bar/ftp/ba8kp_g_sf.pdf
(設定ガイド　http://www.ntt-me.co.jp/bar/ba8kp_guide.html)

実験　
ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座
第2回　Windowsのファイル共有サービスをブロックする（2）
http://www.atmarkit.co.jp/fpc/experiments/008bbrouter_sec/block_share_02.html


>今市販のファイヤーウォールソフトを入れていますが、
>これはそのままで良いのでしょうか？

ルータはLAN側のパソコンから発信したものは、基本的に通してしまいますので、
ファイアウォールソフトを入れていない場合、ソフト（プログラム）ごとに、
通信の許可を与える、与えない、毎回確認の画面を出す、といった便利さや
安全性（安心）が失われることになります。

ファイアウォールソフト自体が、ウイルスにやられて機能停止しなければ、
たとえば、パソコンがなにかウイルスに感染して、ウイルスが外部に情報を
送ろうとしたり、外部と交信を行おうとしても、パーソナルファイアウォール
ソフトがそれを発見して警告画面等で知らせてくれ、その外部との通信を阻止
できる可能性が高いです。
自分が意図しないコンピュータウイルス以外のプログラムについても、同様です。

書込番号：1749901

攻撃検知の機能が働くのは、NAPT部分を通過できたパケットに対してだけです。マニュアルにもそう書いてあったような気がします。

したがって、たとえXmas ScanのようなスキャンパケットやSpoofingなどが来ても、普通はNAPT段階で破棄されるので、単なる「dropped」のログが出るだけで、警告メールが来ることは殆どないと思います。

どうしてもどうしても、攻撃名が書いてあるログを見たかったり、警告メールを貰いたければ、静的マスカレードですべてのパケットをパソコンに転送する設定をしてみてください。
１日数回から、多いときは20回以上、警告メールや普通とは違うログを拝むことができるようです。（ちゃんとSpoofingとかの名前入りです。）

書込番号：1752138

>攻撃検知の機能が働くのは、NAPT部分を通過できたパケットに対してだけです。
>マニュアルにもそう書いてあったような気がします。

げっちゅるさん、ありがとうございます。
あまり目を通してなかったので、他の部分の含めて今度しっかり読んでみます。

書込番号：1752856

げっちゅるさん、ぞうさんありがとうございます。
かなり理解することができました。

あまり神経質にならずにやってみます。
又何かありましたら是非よろしくお願いいたします。

書込番号：1753681

とぉーうっ！！

書込番号：1848684