- PR -

IPマスカレードさせているのに外部から内部へアクセス可能か?

1
投稿者投稿内容
PPGS
常連さん
会議室デビュー日: 2002/02/17
投稿数: 45
投稿日時: 2003-09-18 16:09
またまたNetBIOS系の攻撃が始まりそうです・・・。
そこで自宅のADSLルータをいじくっていて一つ疑問になることがありました。

自宅はLANを組んでいるので、ADSLルータはIPマスカレードさせています。そして初期設定を見たとき、メーカ側の初期設定で内向き外向き共にポート135〜139,445あたりが塞がれていました。

これ自体は「さすが」というか「あたりまえ」と思ったのですが、少し時間がたってから疑問がわいてきました。

IPマスカレードさせていた場合、外部からADSLルータのポート135〜139へのアクセスがあってもどっちにしろ入ってこれないのではないか?ということです。それならポートを塞がずに、NetBIOSを通しておいても良いのではないかと思ったのです。

ところがマニュアルを読んだところ、IPマスカレードさせていても外部から内部へアクセスする可能性は否定できないのでポート135〜139,445を塞いでいると書かれていました。そんなこと可能なのでしょうか?

Nira
会議室デビュー日: 2003/08/23
投稿数: 15
投稿日時: 2003-10-18 00:50
RPCに関してはあまり理解していませんが、もしRPC等のパケットを外部に出してしまったときそれに対して応答を返せばIPマスカレードされて内部にパケットが入り込めてしまうと思います。IPマスカレードで気を付けておかなければいけないのはIPアドレスとポート番号(レイヤ3まで)は変換されても上位レイヤは変換されないのでローカルIPや次のセッションで使用するポート番号等はまる見えになっていると思います。
基本的には余計なポートは開かない余計なパケットは出さないという事が大切だと思います。
PPGS
常連さん
会議室デビュー日: 2002/02/17
投稿数: 45
投稿日時: 2003-10-21 17:17
>もしRPC等のパケットを外部に出してしまったときそれに対して応答を返せば
>IPマスカレードされて内部にパケットが入り込めてしまうと思います。


自宅でさらに実験をしてみたところ指摘されたとおり侵入できてしまいました。

LAN側にはPC1、PC2、PC3があり、BBルータのWAN側のIPをWAN-IPと表現するとします。
またインターネット側から自宅のネットワークへアクセスするために携帯電話を使ってPC4からアクセスする環境を作りました。

WAN-IPは確認君などを使って把握しました。そしてPC4からWAN-IPのポートスキャンをするとBBルータをデフォルトにしている場合25番と110番が空いていました。ポート135〜139,445は反応しないため当然攻撃はできません。

次にBBルータのポート135〜139,445ブロックをはずしました。そしてPC4からWAN-IPのポートスキャンをしましたが、やはり25番と110番しか反応しませんでした。

ところがここでLAN側のPC1をいろいろ操作してから、もう一度PC4からWAN-IPのポートスキャンをしたところ、見事に135番ポートが空いていました。そしてNetbiosでWAN-IPへアクセスしたところ、PC1のコンピュータ名・ログオンユーザ名が取得できました。

つまり、外部から最初にアクセスするのは無理ですが、いつの間にか外部に漏れてきたNetbiosパケットに返答する形で内部へ侵入できてしまいました。


さらに調べたところ、この実験のためにパケット通信代約1000円かかっていました。
(T_T)
taka
会議室デビュー日: 2002/08/02
投稿数: 16
投稿日時: 2003-10-29 12:08
ルータデフォルトでWAN側の25,110が空いてるんですか?
また、LANからWANへのパケットでLANからの
発信ポートと同じポートがWAN側にあいてるんでしょうか?
ポート変換しないんですかね?
アドレス変換のみなんでしょうか?
PPGS
常連さん
会議室デビュー日: 2002/02/17
投稿数: 45
投稿日時: 2003-10-29 17:29
>ルータデフォルトでWAN側の25,110が空いてるんですか?

はい。別にメールサーバを立てているわけではありませんよ。最初から空いています。少なくともポートスキャンでは。

でも以前使っていたBBルータでも25番だけ空いていました。ファームウェアのアップデートで塞がれましたが。


>また、LANからWANへのパケットでLANからの
>発信ポートと同じポートがWAN側にあいてるんでしょうか?
>ポート変換しないんですかね?
>アドレス変換のみなんでしょうか?

うーん、アドレス変換だけなんでしょうね。
1

スキルアップ/キャリアアップ(JOB@IT)