ヤマハルーターシリーズのセキュリティに関するFAQ
オープンリゾルバー(Open Resolver)に対する注意喚起について
最終変更日 | 2023/Aug/25 |
文書サイズ | 33KB |
オープンリゾルバー(Open Resolver)に対する注意喚起について
[ 目次 ]
不特定のホストからのDNS問い合わせに応答するサーバーやネットワーク機器は、オープンリゾルバーと呼ばれています。最近、適切な対策が施されていないオープンリゾルバーが踏み台として利用され、 国内外のサーバーに対する大規模なDDoS攻撃が行われていることが報告されています。以下ご参照ください。
DDoS攻撃に悪用されないためにも、ご利用のヤマハルーターがオープンリゾルバーではないか、ご確認ください。
WAN側からのDNS問い合わせに応答しないようにフィルターが設定されている場合は、オープンリゾルバーにはなりません。 ルーターのGUIから初期設定としてプロバイダー情報の登録を行った場合には、このフィルターが自動で設定されます。またWAN側にNATが設定されており、DNS問い合わせがルーターに到達しない場合も、オープンリゾルバーにはなりません。
以下の条件を全て満たすルーターはオープンリゾルバーとなりますので、対策をお願いします。
機種 | 該当ファームウェア |
vRX | 全リビジョン |
RTX3510 | |
RTX1300 | |
RTX1220 | |
NVR510 | |
NVR700W | |
RTX1210 | |
RTX5000, RTX3500 | |
FWX120 | |
RTX830 | |
RTX810 | |
NVR500 | |
RTX1200 | |
SRT100 | |
RT58i | |
RTX3000 | |
RTX1500, RTX1100, RT107e | |
RT250i | |
RTV700 | |
RTX2000 | |
RT300i | |
RTX1000* | |
RT57i* | |
RT105シリーズ* | |
RT140シリーズ* | |
RTW65i*, RTW65b*, RT60w* | |
RT56v* | |
RTA55i*, RTA54i*, RTA52i*, RTA50i* | |
RT200i*, RT103i*, RT102i*, RT100i*, RT80i* |
*印は、修理対応期限(生産終了から5年間)が過ぎている機種です。
オープンリゾルバーのルーターに関しては、以下のいずれかの対策をお願いします。
DNSリカーシブサーバーにアクセスできるインターフェースやホストを制限し、インターネット上の不特定のホストからDNSリカーシブサーバーにアクセスされないように設定します。
以下の1〜3の内、いずれかの設定をお願いします。
dns host lan1
ip filter dynamic 100 * * domain ip filter 200 reject * * ip filter 300 pass * * pp select 1 ip pp secure filter in 200 ip pp secure filter out 300 dynamic 100
※ IPフィルターの適用については、既存のIPフィルター番号との調整等含めて、十分な検証の上でご利用ください。
ip lan2 address 172.16.184.32/28 ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 primary
※ IPアドレスについては、既存のネットワーク環境に合わせて変更してください。
「ルーターをDNSリカーシブサーバーとして運用中の場合」と同じ対策を実施してください。
すでに対策済みのため、対応不要です。
ルーターをDNSリカーシブサーバーとして動作しないように設定します。
dns service off
なお、対策を行う際は以下の点に注意してください。
ご利用のヤマハルーターがオープンリゾルバーとなっているか、セキュリティレベルおよび静的IPマスカレードの設定から確認します。
【IPv4で接続している場合】
【IPv6で接続している場合】
プロバイダの初期登録方法によって確認方法が異なります。以下の項目をご確認ください。
⇒フィルターが自動的に適用されるため、オープンリゾルバーにはなりません。
ただし、初期状態からフィルター設定を変更した場合はオープンリゾルバーとなっている可能性があります。詳細な設定をconfigから確認してください。
以下の項目を確認してください。
⇒オープンリゾルバーの可能性があります。
詳細な設定をconfigから確認してください。また、フィルター設定を変更した場合もオープンリゾルバーとなっている可能性があります。
(※IPv6のセキュリティレベルは2段階の選択となっています。)
※configから確認を行う場合、IPv6はNAT機能に対応していないためNAT設定を除く項目をご確認ください。
以下の項目を確認し、全てに該当する場合は対策を実施してください。
⇒オープンリゾルバーの可能性があります。
ルーターをDNSリカーシブサーバーとして使用しない場合は対策を実施してください。そうでない場合は「DNSホスト設定の確認」に進んでください。
⇒オープンリゾルバーの可能性があります。
DNSリカーシブサーバーへの問い合わせがLAN内からのみである場合は対策を実施してください。そうでない場合は「NAT設定の確認」に進んでください。
nat descriptor static 1 1 172.16.184.32=192.168.100.1 1 nat descriptor masquerade static 1 1 192.168.100.2 udp domain nat descriptor masquerade static 1 2 192.168.100.2 tcp domain |
⇒オープンリゾルバーの可能性があります。
次の手順に進んでください。
⇒オープンリゾルバーの可能性があります。
「フィルター設定の確認」に進んでください。
⇒オープンリゾルバーの可能性があります。
「フィルター設定の確認」に進んでください。
※NAT設定の詳細についてはYAMAHA RTシリーズのFAQ / NATとIPマスカレードをご参照ください。
【IPv4で接続している場合】
# PP configuration pp select 1 ip pp secure filter in 200034 200035 ip pp secure filter out 200099 dynamic 200099 # IP filter configuration ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain ip filter 200035 pass * 192.168.100.0/24 udp domain * ip filter 200099 pass * * * * * # IP dynamic filter configuration ip filter dynamic 200099 * * udp |
⇒オープンリゾルバーとなっています。
対策を実施してください。
# LAN configuration ip lan2 secure filter in 200034 200035 ip lan2 secure filter out 200099 dynamic 200099 # IP filter configuration ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain ip filter 200035 pass * 192.168.100.0/24 udp domain * ip filter 200099 pass * * * * * # IP dynamic filter configuration ip filter dynamic 200099 * * udp |
⇒オープンリゾルバーとなっています。
対策を実施してください。
【IPv6で接続している場合】
# PP configuration pp select 1 ipv6 pp secure filter in 101034 101035 ipv6 pp secure filter out 101099 dynamic 101099 # IPv6 filter configuration ipv6 filter 101034 pass * * tcp,udp * domain ipv6 filter 101035 pass * * udp domain * ipv6 filter 101099 pass * * * * * # IPv6 dynamic filter configuration ipv6 filter dynamic 101099 * * udp |
⇒オープンリゾルバーとなっています。
対策を実施してください。
# LAN configuration ipv6 lan2 secure filter in 101034 101035 ipv6 lan2 secure filter out 101099 dynamic 101099 # IP filter configuration ipv6 filter 101034 pass * * tcp,udp * domain ipv6 filter 101035 pass * * udp domain * ipv6 filter 101099 pass * * * * * # IP dynamic filter configuration ipv6 filter dynamic 101099 * * udp |
⇒オープンリゾルバーとなっています。
対策を実施してください。
※トップ画面から「詳細設定と情報」→ファイアフォール設定の「設定」→WAN側に接続されているインターフェースの「IPv4フィルタ」の「設定」の順にクリックし、「IPv4ファイアウォールの設定」で表示される一覧からフィルター設定を確認することもできます。 (IPv6で接続している場合は、「IPv6フィルタ」の「設定」をクリックしてください。)
※上記フィルター設定例以外の設定であっても、WAN側からのDNSの問い合わせを破棄しない設定となる場合があります。
※フィルター設定の詳細については、YAMAHA RTシリーズのIPパケット・フィルタをご参照ください。
以下の項目を確認し、全てに該当する場合は対策を実施してください。
⇒オープンリゾルバーの可能性があります。
ルーターをDNSリカーシブサーバーとして使用しない場合は対策を実施してください。そうでない場合は「DNSホスト設定の確認」に進んでください。
⇒オープンリゾルバーの可能性があります。
DNSリカーシブサーバーへの問い合わせがLAN内からのみである場合は対策を実施してください。そうでない場合は「NAT設定・フィルター設定の確認」に進んでください。
⇒オープンリゾルバーの可能性があります。
「フィルター設定の確認」に進んでください。
⇒次の手順に進んでください。
⇒オープンリゾルバーの可能性があります。
「フィルター設定の確認」に進んでください。
※NAT設定の詳細についてはYAMAHA RTシリーズのFAQ / NATとIPマスカレードをご参照ください
⇒オープンリゾルバーとなっています。
対策を実施してください。
⇒次の手順に進んでください。
[IN方向]
[OUT方向]
⇒オープンリゾルバーとなっています。 対策を実施してください。
※上記フィルター設定例以外の設定であっても、WAN側からのDNSの問い合わせを破棄しない設定となる場合があります。
※フィルター設定の詳細については、YAMAHA RTシリーズのIPパケット・フィルタをご参照ください。
※RTX810、RTX1200以外の機種のGUIから確認する場合、同タイプのGUIを参考にご確認いただくか、RTX810の「configからの確認」を参考にconfig設定のご確認をお願い致します。
[ FAQ for RT-Series ]
[ FAQ for Security / Intro / Install / Config ]