「設定変更してもISDN回線が切断されない方へ」
(2003/09/03) 初版
(2004/02/02) FITELnet-F100(BRIオプション付き) recvidletimer サポートにより追記
Blasterワームの亜種の中には、ランダムなIPアドレス宛にICMP通信(ping)を試み応答のあったIPアドレスに対して、MSBlaster ワームと同様の脆弱性を悪用してTCP/135ポート宛に攻撃を行うものが確認されております。
このため、Blasterワームの対策を行っていてもISDN回線が自動切断しない現象が発生しています。
(フレッツISDNなどの定額接続ではなく)接続時間に応じた従量課金によるダイヤルアップ接続を行っている場合には、予期せぬ異常課金となることがありますのでご注意ください。
【原因と対策方法】
ワームに感染しているPCからのデータを受信し続けることになりますので、このトラフィックのため無通信状態とならず、ISDN回線が自動切断しない現象が発生しています。
この問題を回避するためには、以下の方法があります。
- 設定により回避する方法
- 回線接続切断を手動にて実施する方法
【設定による方法】
filtering、及び NAT+スタティック、無通信監視タイマーの設定を実施します。
- MUCHO-Eシリーズ・FITELnet-Eシリーズの場合
- filtering設定によりTCP/UDPのみを通信させます。
- コマンドによる設定
conf#iprouting filtering=on … フィルタリングを有効にします
conf#ipfiltering -f delete all … defaultの設定を無効にします
conf#ipfiltering -f add dst=0.0.0.0,0.0.0.0 src=0.0.0.0,0.0.0.0 prot=tcp/udp
- WEBによる設定
「ルータの便利な設定」の「IPパケットフィルタイリング」で、「IPパケットフィルタリング機能」を「ON」にします。
「中継するIPパケットの登録を行う」を選び、defaultで全てのパケットを中継する設定が入っている『1』を選択します。
- 「パケット発行元の指定」の
- 「IPアドレス」→「0.0.0.0」
- 「アドレスマスク」→「0.0.0.0」
- 「ポート番号」→「0」〜「65535」
- 「パケット受け取り先の指定」の
- 「IPアドレス」→「0.0.0.0」
- 「アドレスマスク」→「0.0.0.0」
- 「ポート番号」→「0」〜「65535」
- プロトコルの指定→「tcp/udp」
- インタフェースの指定
- ルータ宛にきたTCP/135ポート宛のパケットを、実際に存在するLANアドレスの使用していないポート宛へ中継させます。
また、受信パケットを無通信監視タイマーの対象外とするために「recvidletimer」の設定を行います。
- コマンドによる設定
conf#isdn -1 recvidletimer=on
conf#natplusstatictable add virtual=,135 local=192.168.1.xxx,yyy
※「192.168.1.xxx」はルータのLAN側のネットワーク上で実際に使用されている任意のホストアドレス
「yyy」はこのホストで実際には使用されていないポート番号
【注意】「yyy」は、必ず使用していないポートを指定してください。(これがワームパケットの送り先になります)
誤って「135」を指定してしまうと、該当するIPアドレスのPCの状況によっては、ワームに感染する恐れがあります。
- WEBによる設定
1)「便利な設定」→「ISDN回線の接続について 」→「データ受信は無通信とするか」で「はい」にチェックする。
2)「便利な設定」→「NAT+機能」→「NAT+スタティック登録 」→「新規登録」
LAN上の端末指定:
- IPアドレス 「192.168.1.***」(ルータのLAN側のネットワーク上で実際に使用されている任意のホストアドレス)
- ポート番号 「yyy」(上記IPアドレスで実際には使用されていないポート番号)
外部に見えるIPアドレスとポート番号:
- IPアドレス 「接続先より割り付けられる値を使用する」
- ポート番号 「135」
- FITELnet-F100(BRIオプション付き)の場合
- filtering設定によりTCP/UDPのみを通信させます。
- コマンドによる設定
Router(config)#access-list 100 permit tcp any any
Router(config)#access-list 100 permit udp any any
Router(config)#access-list 110 deny ip any any
Router(config)#interface dialer 1
Router(config-if dialer 1)#ip access-group 100 in
Router(config-if dialer 1)#ip access-group 110 in
Router(config-if dialer 1)#exit
- WEBによる設定
「ファイヤーウォールの設定」の「IPパケットフィルタリング」で、「DIALER1インタフェース」「受信」を選択します。
パケットの登録画面で以下を設定します。
- tcp許可
- 「アクセスリスト番号→「100」
- 「中継/遮断」→「中継」
- 「プロトコル」→「tcp」
- 「パケットの送信元指定」→「すべてのアドレス」「ポート番号=指定なし」
- 「パケットの受信先指定」→「すべてのアドレス」「ポート番号=指定なし」
- udp許可
- 「アクセスリスト番号→「100」
- 「中継/遮断」→「中継」
- 「プロトコル」→「udp」
- 「パケットの送信元指定」→「すべてのアドレス」「ポート番号=指定なし」
- 「パケットの受信先指定」→「すべてのアドレス」「ポート番号=指定なし」
- その他不許可
- 「アクセスリスト番号→「110」
- 「中継/遮断」→「遮断」
- 「プロトコル」→「ip」
- 「パケットの送信元指定」→「すべてのアドレス」「ポート番号=指定なし」
- 「パケットの受信先指定」→「すべてのアドレス」「ポート番号=指定なし」
- ルータ宛にきたTCP/135ポート宛のパケットを、実際に存在するLANアドレスの使用していないポート宛へ中継させます。
また、受信パケットを無通信監視タイマーの対象外とするために「recvidletimer」の設定を行います。
- コマンドによる設定
Router(config)#interface bri 1
Router(config-if bri 1)#recvidletimer on
Router(config-if bri 1)#exit
- WEBによる設定
「ダイヤルアップ関連」→「ISDNに関する設定 」→「受信データの無通信監視」で「無通信状態とみなす」にチェックする。
【手動で回線を操作する方法】
回線接続・切断をマニュアルにて行う設定を実施し、使用する都度、回線の接続・切断を行います。
- MUCHO-Eシリーズ・FITELnet-Eシリーズの場合
- 自動接続しないように設定変更を行います。
- コマンドによる設定
conf#isdn -1 mode=manual … 設定により“isdn -2”も実施してください。
- WEBによる設定
「便利な設定」→「ISDN回線の接続について 」→「接続方法」で「手動接続」にチェックします。
- 手動で回線接続・切断を行います。
- コマンドによる操作
#connect -1 ***** … 接続方法 *****は接続先名(target名)
#disconnect … 切断方法 接続している接続先名を選択すると、回線が切断されます。
- WEBによる操作
1)回線接続
「ダイヤルアップ回線制御」→「回線の接続を行う 」→「接続先」を選択
2)回線切断
「ダイヤルアップ回線制御」→「接続されている回線を切断する 」→「切断する回線」を選択
- FITELnet-F100(BRIオプション付き)の場合
- 自動接続しないように設定変更を行います。
- コマンドによる設定
Router(config-if bri 1)#auto connect off
- WEBによる設定
「ダイヤルアップ関連」→「ISDNに関する設定」→「自動発呼の設定」で「発呼しない」にチェックします。
- 手動で回線接続・切断を行います。
- コマンドによる操作
Router#call dialer 1 … 接続方法
Router#disconnect bri 1 … 切断方法
- WEBによる操作
「ダイヤルアップ関連」→「ダイヤルアップ回線制御」→「ダイアラー番号」を指定して「接続」、または「切断」を選択します。
All Rights
Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2004
古河電工のHomeへ