CodeRedワームに関する対策について(2001/9/19) 【内容が更新されていますのでご一読ください】 |
||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||||
MUCHO-Eシリーズでインターネットに接続している場合,エラーリセットを繰り返してしまう現象が多発しています。
Code Red ワームによるアタックが原因である可能性が高いと考えられます。 Code Red ワームとはマイクロソフト社の Internet Information Server (IIS) を使用しているサーバに感染するウィルスで(ルータ自体に感染するわけではあ りません),感染したサーバは,ランダムな IP アドレスの WWW サービス (TCP/80) に対してアタックを仕掛けます。このアタックにより,MUCHO等の機器 でエラーリセットが発生しています。 WEB設定機能を持っているものであれば,発生する可能性があります。 MUCHO-Eシリーズのほかに,INFONET-VP100,FITELnet-Eシリーズでも発生します。 これを防ぐための方法として,対策ファームウェアへバージョンアップをお願い致します。また、ファームウェアのバージョンアップができない場合は、下記の「設定による回避方法」をご参照の上、設定を行ってください。 |
||||||||||||||||
Code RedワームによるWWWサービス(TCP/80)へのアタックを受けた場合にエラーリセットをするという問題点を改修したファームウェアです。 | ||||||||||||||||
|
||||||||||||||||
設定による回避方法として,以下のいずれかの方法で対応をお願いいたします。 | ||||||||||||||||
|
||||||||||||||||
(1)「リモートアクセス禁止スイッチ」をONにしてください。 | ||||||||||||||||
MUCHO-Eシリーズの背面にディップスイッチがあります。このスイッチの6番が
「リモートアクセス禁止スイッチ」で,ルータ自身へのFTP,telnet,HTTPのア
クセスを強制的に禁止することができます。
ルータの電源を落とし,6番スイッチをONにし,再びルータの電源を入れてくだ
さい。
このスイッチをONにすると,WAN側,LAN側からのルータへのリモートアクセスができなくなります。 ルータのメンテナンスを行う場合は,コンソールをご利用ください。 | ||||||||||||||||
(2)ルータ自身のIPアドレス(210.xxx.xxx.1)でポート80をフィルタリングしてください。
| ||||||||||||||||
【コマンドによる設定】
・telnetもしくはコンソールでルータにログインし,コンフィグレーションモー ドで下記の設定を行ってください。 conf#iprouting filtering=on conf#ipfiltering -f add dst=0.0.0.0,0.0.0.0 src=0.0.0.0,0.0.0.0 conf#ipfiltering -d add dst=210.xxx.xxx.1,255.255.255.255 src=0.0.0.0,0.0.0.0 dstport=80,80 prot=tcp【WEBブラウザによる設定】 ・WEB設定画面で下記の設定を行ってください。
|
||||||||||||||||
(3)設定ダイヤルでリモートアクセスを禁止してください。 | ||||||||||||||||
設定ダイヤルを回転させ、「ログインロック」が表示されたら2回押下します。 さらに回転させ「http」が表示されたら2回押下します。 さらに回転させ「キンシ」が表示されたら2回押下します。 |
||||||||||||||||
MUCHO-ST,MUCHO-TLなどは、WEB設定画面を有さないため、直接アタックを受けることはありません。
ただし,OCNエコノミーなどで複数のグローバルアドレスを取得して,ルータでNAT機能を使用し,ルータ以外ではグローバルアドレスを使用していない場合、未使用のグローバルアドレス宛のアタックを受けるとNATテーブルがあふれてしまい通信不可の状態になることがあります。 この場合は、使用していない範囲のグローバルアドレス(ネットワークアドレス、ブロードキャストアドレスも含む)をすべてフィルタリングして下さい。 |
||||||||||||||||
・telnetもしくはコンソールでログインし、コンフィグレーションモードで下記の設定を行ってください。
グローバルアドレス 210.***.***.0/29(8個) MUCHOのWAN側アドレス 210.***.***.1 の場合の設定は以下の通りです。 conf#iprouting filtering=on conf#ipfiltering -f add dst=0.0.0.0,0.0.0.0 src=0.0.0.0,0.0.0.0 conf#ipf -d add dst=210.***.***.0,255.255.255.255 src=0.0.0.0,0.0.0.0 conf#ipf -d add dst=210.***.***.2,255.255.255.255 src=0.0.0.0,0.0.0.0 conf#ipf -d add dst=210.***.***.3,255.255.255.255 src=0.0.0.0,0.0.0.0 conf#ipf -d add dst=210.***.***.4,255.255.255.255 src=0.0.0.0,0.0.0.0 conf#ipf -d add dst=210.***.***.5,255.255.255.255 src=0.0.0.0,0.0.0.0 conf#ipf -d add dst=210.***.***.6,255.255.255.255 src=0.0.0.0,0.0.0.0 conf#ipf -d add dst=210.***.***.7,255.255.255.255 src=0.0.0.0,0.0.0.0 |
||||||||||||||||
|
||||||||||||||||
このような現象が発生した場合は,以下の設定で回避できます。 NAT+スタティック登録によりルータ宛てにきた80番ポート宛てのパケットを実際に存在するLANアドレスの使用していないポート宛へ中継させます。これによりルータは外部からのパケットに応答しません。 また受信パケットを無通信監視タイマーの対象外とするために「recvidletimer」 の設定を行います。 【コマンドによる設定】 ・telnetもしくはコンソールでルータにログインし,コンフィグレーションモー ドで下記の設定を行ってください。 conf#isdn -1 recvidletimer=on conf#natplusstatictable add virtual=,80 local=192.168.1.xxx,yyy※「192.168.1.xxx」はルータのLAN側のネットワーク上で実際に使用されている任意のホストアドレス,「yyy」はこのホストで実際には使用されていないポート番号 【WEB設定】 ・WEB設定画面で下記の設定を行ってください。 1. 「便利な設定」→「ISDN回線の接続について 」→「データ受信は無通信とす るか」で「はい」にチェックする。 2. 「便利な設定」→「NAT+機能」→「NAT+スタティック登録 」→「新規登録」
|
||||||||||||||||
| ||||||||||||||||
Code Red ワームに関しては、以下のページをご参照ください。 http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html |