ルータ機器のセキュリティに関する注意喚起

ルータにグローバルIPアドレスが割り振られる場合、インターネット側からルータにアクセスできる可能性があります。そのため、セキュリティを重視した設定を行っていない場合、外部から不正アクセスができる状況となります。それにより不正行為や攻撃の踏み台に利用されるなど悪用される場合があります。
よって、不正アクセスを防止するために各製品で以下の設定を行うことを強く推奨致します。

1. ログインパスワードの変更
2. フィルタ設定の実施

 

1. ログインパスワードの変更

ログインパスワードとは、製品の設定画面にログインするためのパスワードです。このログインパスワードを第三者が推測可能な文字列(初期設定値など)に設定した場合、意図しない設定変更などの不正アクセスを受ける可能性があります。よって、製品のログインパスワードは、以下の条件を満たすような推測されにくい文字列を設定してください。

1. 英数字・記号を混ぜるとともに、英字は大文字と小文字を混ぜるようにする
2. パスワードの文字数を多くする

 

各製品のログインパスワードの設定方法は、以下からご参照ください。

• NXRシリーズ,NXR-Gシリーズ,VXRシリーズ,WXR-250
• ASシリーズ

 

2. フィルタ設定の実施

ルータにグローバルIPアドレスが割り振られる場合、ルータは常にインターネット側からの脅威にさらされています。そのため、フィルタの設定を誤った場合、外部から不正アクセスを受ける可能性が高くなります。
よって、環境に合わせて適切なフィルタ設定を行う必要があります。

適切なフィルタ設定を行うにあたり、まずフィルタの設定方針を決める必要があります。設定方針は大きく分けて以下の二つに大別されます。

1. 不要な通信は破棄し、残りは全て許可する
2. 必要な通信は許可し、残りは全て破棄する

 

1. 不要な通信は破棄し、残りは全て許可する

この設定方針の場合、原則許可になっているため簡単なように思えますが、不要な通信が何であるかを把握する必要があります。また把握していない不要な通信に対しては無防備となるため、インターネット側でのフィルタ設定としてあまり推奨できません。

 

2. 必要な通信は許可し、残りは全て破棄する

この設定方針の場合、必要な通信が何かを把握する必要はありますが、一般的に使用するサービスに必要な通信要件は各種ドキュメント等に記載されているケースが多く、把握するのは難しくありません。また許可されていない通信は、原則破棄されるため、インターネット側でのフィルタ設定として推奨できます。

 

各製品におけるインターネット側のフィルタ設定方針について

このページでは、弊社NXRシリーズ,NXR-Gシリーズ,VXRシリーズ,WXR-250(以下まとめてNXRシリーズ)とASシリーズのインターネット側のフィルタ設定方針について解説します。

 

NXRシリーズ

NXRシリーズのIPパケットフィルタには、静的フィルタと動的フィルタの二種類があります。それぞれ単独での使用だけでなく、組み合わせて使用することも可能です。

 

静的フィルタと動的フィルタの違いおよび設定

静的フィルタと動的フィルタは、それぞれ動作が異なります。
まず静的フィルタは、決めたルールに従って常に同じ動作をします。よって常に許可するか、常に破棄するかのどちらかのみになります。それに対して動的フィルタは、通信状況に応じて許可と破棄を使い分けます。またNXRシリーズの動的フィルタは、設定したインタフェースで受信したパケットは全て破棄しますが、そのインタフェースから送信されたパケットに対応する戻りパケットは許可されます。これによりWANからの不要な通信を防止することが可能です。
NXRシリーズでは、IPパケットフィルタの静的フィルタと動的フィルタは、下記コマンドで設定します。

 

• 静的フィルタ
  ip access-listコマンド(IPv4),ipv6 access-listコマンド(IPv6)
• 動的フィルタ
  ip spi-filterコマンド(IPv4),ipv6 spi-filterコマンド(IPv6)

 

静的フィルタと動的フィルタの設定方法および手順

ここでは、IPv4の静的フィルタと動的フィルタの設定方法および手順について解説します(IPv4,IPv6ともに設定方法および手順は同様です)。なおNXRシリーズの初期設定状態では、一部機種を除き原則フィルタに関する設定は入っていません。そのため、すべての通信を許可する状態となっています。ただし、インターネット接続の設定も入っていませんので、インターネット接続の設定と合わせてフィルタ設定を行って頂く必要があります。

 

• 静的フィルタ
  1. ip access-listコマンドによるルールの定義
  設定例：NATフィルタ編1-5. 通信別IPフィルタ設定
  2. インタフェースへのルールの適用
  設定例：NATフィルタ編1-1. 入力(in)フィルタ設定
  設定例：NATフィルタ編1-2. 転送(forward-in,forward-out)フィルタ設定
• 動的フィルタ
  1. インタフェースでのip spi-filterコマンドの有効化
  設定例：NATフィルタ編1-3. 動的フィルタ(ステートフルパケットインスペクション)設定

その他インターネット接続を行う設定例でも、上記フィルタ設定等を行っています。

また、一部機種ではルータ上で動作している特定のサービスに対してethernet0インタフェース以外からのアクセスを禁止するforbidden-access-wan機能に対応しています。
設定例：forbidden-access-wan設定

【対象機種】NXR-650,NXR-530,NXR-160/LW,NXR-G180/L-CA,NXR-G200シリーズ,NXR-G110シリーズ,NXR-G100シリーズ,VXR-x64(2021/2現在)
最新の対応状況は、各製品の更新履歴やユーザーズガイドをご確認ください。

 

まとめ

NXRシリーズの設定例は、インターネット接続前提の場合、原則「必要な通信は許可し、残りは全て破棄する」方針で記載されています。ここではどのようなケースで設定を組み合わせるのか紹介します。

• インターネット通信はするが、外部からの不要な通信は破棄したい
  -> インターネット接続インタフェースで動的フィルタのみ設定
• インターネット通信し、外部からの不要な通信は破棄したいが、WEBカメラなど外部から必要な通信は許可したい
  -> インターネット接続インタフェースで静的フィルタと動的フィルタを設定

 

ASシリーズ

ASシリーズ側からのインターネット通信に必要なNAT設定を行うと、 インターネット側からの受信パケットは破棄されるようになります(Web管理画面で基本設定を行うと、ASシリーズ側からのインターネット通信に必要なNAT設定(nat 47 * * * ipcp 0)が自動的に追加されます)。 このため、インターネット側からTelnetやHTTP等の通信を行う場合には、サービスで使用するポートを開放するためのNAT設定が必要になります。開放したポートに対してインターネット側からの通信を制限するにはフィルタの設定を行って頂く必要があります。

 

設定例：フィルタとNAT 5.9 インターネット側からの接続と接続制限