バッファロー【BBR-4HG/4MG 統合スレッド】 その20
BBR-4HGのバグ
Ver 1.33(Ver.1.33 Release 0003)とVer 1.40β(Ver.1.40 Release 0001)で確認しました。
バグ1
セキュリティレベルを『高』にすることで「WAN側からのパケットを全て無視する
不可視のパケットフィルタ」が既存エントリの末尾に追加されるようだが、
パケットフィルタの『ルールを初期化』を実行すると、このフィルタも削除されてしまう。
バグ2
「WAN側ネットワーク設定」の「WEB設定のポート番号」を設定することで
「指定したポート番号宛ての、WAN側からのTCPパケットを通過させる不可視の
パケットフィルタ」が既存エントリの先頭に追加されるようだが、このフィルタの
対象となる宛先IPアドレスは4HGのWAN側IPアドレスに限定されておらず
全てのIPアドレスが対象となっている。
(「WAN側からのPING」に「応答する」を選択した際に設定されるフィルタと同じ条件)
このフィルタはユーザーが定義できるフィルタエントリより優先するため、
パケットフィルタで閉じる事ができない。
バグ3(仕様かも?)
WAN側からのパケットを無視するフィルタを設定していない場合、
アドレス変換機能とアタックブロック機能を「使用する」にしていても、
「LAN内のIPアドレスを宛先IPアドレスとするパケット」がWAN側から届くと、
LAN内へルーティングしてしまう。
WAN→LANはローカルルータのごとくにルーティングされ、それに対する
LAN→WANの応答パケットはアドレス変換機能により動的NAPTされて
WAN側の端末へ到達する。
Ver 1.33(Ver.1.33 Release 0003)とVer 1.40β(Ver.1.40 Release 0001)で確認しました。
バグ1
セキュリティレベルを『高』にすることで「WAN側からのパケットを全て無視する
不可視のパケットフィルタ」が既存エントリの末尾に追加されるようだが、
パケットフィルタの『ルールを初期化』を実行すると、このフィルタも削除されてしまう。
バグ2
「WAN側ネットワーク設定」の「WEB設定のポート番号」を設定することで
「指定したポート番号宛ての、WAN側からのTCPパケットを通過させる不可視の
パケットフィルタ」が既存エントリの先頭に追加されるようだが、このフィルタの
対象となる宛先IPアドレスは4HGのWAN側IPアドレスに限定されておらず
全てのIPアドレスが対象となっている。
(「WAN側からのPING」に「応答する」を選択した際に設定されるフィルタと同じ条件)
このフィルタはユーザーが定義できるフィルタエントリより優先するため、
パケットフィルタで閉じる事ができない。
バグ3(仕様かも?)
WAN側からのパケットを無視するフィルタを設定していない場合、
アドレス変換機能とアタックブロック機能を「使用する」にしていても、
「LAN内のIPアドレスを宛先IPアドレスとするパケット」がWAN側から届くと、
LAN内へルーティングしてしまう。
WAN→LANはローカルルータのごとくにルーティングされ、それに対する
LAN→WANの応答パケットはアドレス変換機能により動的NAPTされて
WAN側の端末へ到達する。
|
|
|
実験環境
[PC]─[4HG]─[サーバ]
4HGのWANポートにPCを接続。4HGのLANポートにサーバを接続。
※以下の設定中のサブネットマスクは全て255.255.255.0(/24)です。
・4HGの設定
LAN側IPアドレス:192.168.11.1、WAN側IPアドレス:192.168.12.1
デフォルトゲートウェイ:空欄
フレッツIPv6サービス対応機能:使用しない
DMZのアドレスとアドレス変換テーブルは設定なし。
アタックブロック機能:使用する
UPnP機能:使用しない
・PCの設定
IPアドレス:192.168.12.3、デフォルトゲートウェイ:192.168.12.1、DNSサーバ:設定なし
・サーバの設定
IPアドレス:192.168.11.2、デフォルトゲートウェイ:192.168.11.1
HTTPサーバ(TCP80番)とTELNETサーバ(TCP23番)が稼動。シスログ有効。
[PC]─[4HG]─[サーバ]
4HGのWANポートにPCを接続。4HGのLANポートにサーバを接続。
※以下の設定中のサブネットマスクは全て255.255.255.0(/24)です。
・4HGの設定
LAN側IPアドレス:192.168.11.1、WAN側IPアドレス:192.168.12.1
デフォルトゲートウェイ:空欄
フレッツIPv6サービス対応機能:使用しない
DMZのアドレスとアドレス変換テーブルは設定なし。
アタックブロック機能:使用する
UPnP機能:使用しない
・PCの設定
IPアドレス:192.168.12.3、デフォルトゲートウェイ:192.168.12.1、DNSサーバ:設定なし
・サーバの設定
IPアドレス:192.168.11.2、デフォルトゲートウェイ:192.168.11.1
HTTPサーバ(TCP80番)とTELNETサーバ(TCP23番)が稼動。シスログ有効。
何を言ってるのか、さっぱり分からん初心者だけど、
・PCの設定
IPアドレス:192.168.12.3、デフォルトゲートウェイ:192.168.12.1
のデフォルトゲートウェイは4HGの192.168.11.1じゃなくていいの?
俺も3年くらい前からセキュリティーレベル高 WANからの呼びかけは全て無視
UPnPオフにして使っているけど、意味無かったのか?
その割にはセキュリティーソフトのFWが反応したことないけど、ヤバイならバッファローに対応してもらってください。
・PCの設定
IPアドレス:192.168.12.3、デフォルトゲートウェイ:192.168.12.1
のデフォルトゲートウェイは4HGの192.168.11.1じゃなくていいの?
俺も3年くらい前からセキュリティーレベル高 WANからの呼びかけは全て無視
UPnPオフにして使っているけど、意味無かったのか?
その割にはセキュリティーソフトのFWが反応したことないけど、ヤバイならバッファローに対応してもらってください。
>>213
> のデフォルトゲートウェイは4HGの192.168.11.1じゃなくていいの?
うん。>>211は4HGのWAN側からLAN側へアクセスした時の挙動を調べる実験だから、
PCは4HGのWANポートに繋いだんだよ。
4HGのWAN側IPアドレスは手動設定で192.168.12.1を割り当てた。
これがPCのゲートウェイ。
> 意味無かったのか?
>>211のバグ1は、セキュリティーレベル高の状態でパケットフィルタの
「ルールを初期化」すると、実質的にセキュリティーレベル中+アタックブロックONと
同等になってしまう不具合。表示上は変化しないから判別は難しい。
回避策は、「WAN側からのパケットを全て無視するパケットフィルタ」を手動で設定すること。
> のデフォルトゲートウェイは4HGの192.168.11.1じゃなくていいの?
うん。>>211は4HGのWAN側からLAN側へアクセスした時の挙動を調べる実験だから、
PCは4HGのWANポートに繋いだんだよ。
4HGのWAN側IPアドレスは手動設定で192.168.12.1を割り当てた。
これがPCのゲートウェイ。
> 意味無かったのか?
>>211のバグ1は、セキュリティーレベル高の状態でパケットフィルタの
「ルールを初期化」すると、実質的にセキュリティーレベル中+アタックブロックONと
同等になってしまう不具合。表示上は変化しないから判別は難しい。
回避策は、「WAN側からのパケットを全て無視するパケットフィルタ」を手動で設定すること。
>214
ああ、そういうことか。
ここでのPCは攻撃者役なわけね。
>回避策は、「WAN側からのパケットを全て無視するパケットフィルタ」を手動で設定すること。
気分的に、わざわざ手動で設定していたのが、結果的によかったのか・・・。
初期化したら、セキュリティーレベル高→中→高へ戻すか、手動で無視設定にすればいいのかな?
バグ3は
攻撃者のパケットがLAN内サーバーの192.168.11.2へ届いたってこと?
あと、攻撃者のIPアドレスが192.168から始まるプライベートアドレスってのは考えなくていいの?
俺はサブネットマスクとかいう言葉だけで、イヤになるんだが、
やっぱり、ちゃんと勉強しなくちゃダメそうだな。
ああ、そういうことか。
ここでのPCは攻撃者役なわけね。
>回避策は、「WAN側からのパケットを全て無視するパケットフィルタ」を手動で設定すること。
気分的に、わざわざ手動で設定していたのが、結果的によかったのか・・・。
初期化したら、セキュリティーレベル高→中→高へ戻すか、手動で無視設定にすればいいのかな?
バグ3は
攻撃者のパケットがLAN内サーバーの192.168.11.2へ届いたってこと?
あと、攻撃者のIPアドレスが192.168から始まるプライベートアドレスってのは考えなくていいの?
俺はサブネットマスクとかいう言葉だけで、イヤになるんだが、
やっぱり、ちゃんと勉強しなくちゃダメそうだな。
>>215
高→中→高と変更しなくても高のまま「設定」をクリックすれば再設定されるみたい。
現在の状態が画面上ではわからないってのが怖いから、手動で無視設定するのが確実だね。
> 攻撃者のパケットがLAN内サーバーの192.168.11.2へ届いたってこと?
そう。特に攻撃パケットを送信したわけじゃなくて
ごく普通にブラウザやtelnet、pingで192.168.11.2へアクセスしただけなんだけどね。
> あと、攻撃者のIPアドレスが192.168から始まるプライベートアドレスってのは考えなくていいの?
パケット内の送信元IPアドレスは偽装できるんだよ。
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-spoofing-filter.html
それにルータが使われる箇所はインターネットとの接続点だけとは限らない。
LANとLANとを繋ぐローカルルータという使い方もある。
「このバグを利用してインターネット経由で攻撃を成立させてみろ」と
言われても俺にはできないけどね。
ネットマスクの計算は俺も苦手。
高→中→高と変更しなくても高のまま「設定」をクリックすれば再設定されるみたい。
現在の状態が画面上ではわからないってのが怖いから、手動で無視設定するのが確実だね。
> 攻撃者のパケットがLAN内サーバーの192.168.11.2へ届いたってこと?
そう。特に攻撃パケットを送信したわけじゃなくて
ごく普通にブラウザやtelnet、pingで192.168.11.2へアクセスしただけなんだけどね。
> あと、攻撃者のIPアドレスが192.168から始まるプライベートアドレスってのは考えなくていいの?
パケット内の送信元IPアドレスは偽装できるんだよ。
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-spoofing-filter.html
それにルータが使われる箇所はインターネットとの接続点だけとは限らない。
LANとLANとを繋ぐローカルルータという使い方もある。
「このバグを利用してインターネット経由で攻撃を成立させてみろ」と
言われても俺にはできないけどね。
ネットマスクの計算は俺も苦手。
低にして使ってないIPアドレスをDMZにするのが最強じゃなかったのか?
俺もそれを信じてるがどうなの?
>211-212
分かりづらいんだが
通常はLAN側IPをデフォルトゲートウェイにするんだが
いんたーねっつからWAN側IPをデフォルトゲートウェイにするとLAN側のIP指定すればアクセス可能ってことだろ
他の機種でも存在するっぽい不具合だな
分かりづらいんだが
通常はLAN側IPをデフォルトゲートウェイにするんだが
いんたーねっつからWAN側IPをデフォルトゲートウェイにするとLAN側のIP指定すればアクセス可能ってことだろ
他の機種でも存在するっぽい不具合だな
>>217-218
DMZのアドレス欄に、LAN内では使っていない192.168.11.254を入れたけど
パケットフィルタを設定していない状態では、DMZの設定とは無関係にパケットが届いたよ。
DMZの設定で転送されるのは、
「4HGのWAN側IPアドレスを宛先IPアドレスとするパケット」だけだからね。
WAN側からの不要なパケットを遮断するには
DMZは設定せず、セキュリティレベルを「中」か「高」にしたうえで、
パケットフィルタの設定で
動作:「WAN(インターネット)」側からのパケットを「無視」する
宛先IPアドレス:空欄、送信元IPアドレス:空欄、プロトコル:全て
を追加するのが正解。
明示的に↑を設定する理由は、>>211のバグ1を回避するため。
>>219
そそ。
始めに「LAN側とWAN側を繋ぐローカルルータ」として設定しておいて、
それをNAPT有効(アドレス変換を使用するに設定)に切り替えただけの構成。
冷静に考えると>>211のバグ3はバグじゃなくて「ルータとしての仕様」だね。
本来は自分でフィルタを設定して落とすものだもんね。
DMZのアドレス欄に、LAN内では使っていない192.168.11.254を入れたけど
パケットフィルタを設定していない状態では、DMZの設定とは無関係にパケットが届いたよ。
DMZの設定で転送されるのは、
「4HGのWAN側IPアドレスを宛先IPアドレスとするパケット」だけだからね。
WAN側からの不要なパケットを遮断するには
DMZは設定せず、セキュリティレベルを「中」か「高」にしたうえで、
パケットフィルタの設定で
動作:「WAN(インターネット)」側からのパケットを「無視」する
宛先IPアドレス:空欄、送信元IPアドレス:空欄、プロトコル:全て
を追加するのが正解。
明示的に↑を設定する理由は、>>211のバグ1を回避するため。
>>219
そそ。
始めに「LAN側とWAN側を繋ぐローカルルータ」として設定しておいて、
それをNAPT有効(アドレス変換を使用するに設定)に切り替えただけの構成。
冷静に考えると>>211のバグ3はバグじゃなくて「ルータとしての仕様」だね。
本来は自分でフィルタを設定して落とすものだもんね。