HIEDA NET Corpration
 > これは変だよ  > こんなアクセスリストは要らない


 

これって、大阪に本社がある企業だからなのか?(関西人って「セキュリティ」より「儲かりまっか?」の方が大切なのだろうか?)。この企業の兄弟会社の東京本社の会社は毎日このサイトのページを見に来るほど勉強家が多いが、大阪本社は(これほど見つけやすいページにもかかわらず)見に来ることもない。天災は東京在住で良かったよ。
※ でも、関わりのある人たちには伝えたのだけれどね・・・。

port135を閉じていない

この話は何度も警告してきた、おととしの夏に流行したBlasterでも利用されたポートである。にも関わらず、TCP/UDPポート135を開けっ放しの設定のままWindowsで利用するポートを閉じますと信じ込ませるブロードバンドルータがいる。

Windowsの利用するTCPポート・UDPポートをチェックボックス1つで拒否設定に出来るブロードバンドルータは多い。

 ← V110Mの例

 ← BLR3-TX4の例

ご存知のようにWindowsでは、TCP/UDPポート135・137・138・139・445を利用する。これを確認するにはコマンドプロンプトでnetstatコマンドを実行すればわかる。

最近のWindowsではepmapという表示になりなんのこっちゃ?という人もいると思うが、これはWindows 2000以降のOSTCP/UDPポート445と同じである。Windowsドメイン・Windowsファイル共有として利用している。いわゆるリモートプロシジャコールである。

この用途で445を利用するようになったのはWindows 2000以降からで、Windows NT4.0Windows Me/98以前は135を利用していた。新しいOSは互換性を考慮して今でも135Listenしている。

このようなLAN内だけで利用すべきポートを

  • Microsoft Windowsで利用するポートは閉じています
と説明してその実、閉じているのはTCP/UDPポート137・138・139・445だけ、TCP/UDPポート135はインターネットに公開する仕様のフィルターセッティングで出荷されているブロードバンドルータがある。

かつての薬害AIDSや三菱ふそう・三菱自動車で、

  • 内部で報告していた人がいるにも関わらずその報告は活かされなかった
事は各種報道で有名だ。Dshieldを参考にしよう。今狙われているトップ10が判る。2005年04月15日現在、世界で2番目に狙われているポートを開けておいて、
  • Microsoft Windowsで利用するポートは閉じています
と説明するのはまずいだろ!

このブロードバンドルータがCentral Truble Unitにならない事を祈るのみ。

最後に暗黙の許可がある

Ciscoの認定講習ではないが、アクセスリストの最後に暗黙のdenyがあるのは良い。アクセスリストの最後に双方向全て暗黙のPermitだと閉じたいポートを明示的にふさぐ必要が出てくる。もちろん閉じるポートをピンポイントで指定していたらルールはすぐに消費してしまうし、ルールが多くなればCPUに負担がかかる。そこで最終行に

  • 今までのルールに引っかからなかったらdeny
というルールを明示的に用意する事になる。なんだ!これでルール2つ消費してしまうじゃないか!もったいない!

WAN→LAN方向denyLAN→WAN方向Permitというデフォルト設定のブロードバンドルーターがいた場合、そのブロードバンドルーターが環境に影響を与える懸念事項として

  • ウイルス・ワームの類
がある。LAN→WAN方向は常時Permitなのだから、LAN内のPCがウイルス・ワームに感染した場合、明示的な許可ポートを指定している場合より遥かに大きな確率で、インターネット上にウイルス・ワームをばら撒く

このブロードバンドルータがCentral Trouble Unitにならない事を祈るのみ。

お勧めリンク Jul 16 2007更新



初出 Apr 15 2005
最終更新日 Jul 16 2005


 

 (C)2003 HIEDA NET Corporation All rights reserved.