$Date: 2025/11/12 15:57:07 $
不正アクセス検知機能を有効にすることにより、P2Pソフト「Share」が利用するパケットを検出し、通信を遮断します。
また、検知した情報を不正アクセス検知時のメール通知機能で通知します。
Shareには以下の2種類が存在しますが、本機能ではEX2にのみ対応します。
| 機種 | リビジョン |
|---|---|
| RTX840 | すべてのリビジョン |
| RTX3510 | |
| RTX1300 | |
| RTX1220 | |
| RTX830 | |
| NVR510 | |
| NVR700W | |
| RTX1210 | |
| RTX5000 | |
| RTX3500 | |
| FWX120 | |
| RTX810 | |
| NVR500 | |
| RTX1200 | |
| SRT100 | Rev.10.00.38以降 |
Shareフィルター機能は"ip I/F intrusion detection"コマンドで有効にします。
rejectオプションがoffの場合はパケットの検知のみ行い、onの場合は通信を遮断します。
注意:内側から外側へ送信されるパケットのみが検知対象になります。
Shareフィルター機能でShareパケットを検知および破棄すると、以下のログをdebugレベルで出力します。
また、同様のログが"show ip intrusion detection"コマンドにも表示されます。
# show log
2008/01/18 11:17:14 Share version 1 (*グローバルIPアドレス) > 192.168.100.2
# show ip intrusion detection
LAN1[out]
---------------------------------------------------------------------
Configuration:
IP: on (pass)
IP Option: on (pass)
Fragment: on (pass)
ICMP: on (pass)
UDP: on (pass)
TCP: on (pass)
FTP: on (pass)
Winny: on (pass)
Share: on (pass)
Default: on (pass)
Log:
2008/01/18 11:17:14 Share version 1 (*グローバルIPアドレス) > 192.168.100.2
不正アクセス検知メール通知機能 の設定がある場合、Shareパケットを検知および破棄すると、以下のようなメールが通知されます。
Model: SRT100
Revision: Rev.10.00.xx
Name: yamaha-srt100-00a0de07fc07
Time: 2008/01/18 11:17:14
Template ID: 1
ID 時刻 インタフェース 不正アクセス検知内容
------------------------------------------------------------------------------
0001 2008/01/18 11:17:14 LAN1 [ out] Share version 1
((*グローバルIPアドレス) -> 192.168.100.2)
入力遮断フィルター・ポリシーフィルター
に記述されているように、Shareパケットの検知および破棄を契機にして、自動的にポリシーセットを切り替えることができます。
詳細は、ip policy filter set switchコマンドの仕様を参照してください。
ここではSRT100、RTX1200のGUIについて説明します。
1. 不正アクセス検知の設定画面(ids/ids.html)
設定画面に"Share"の項目が表示され、不正アクセス検知の設定を行います。
上図で設定されるコマンドは以下。
2. 不正アクセス検知の状態画面(ids/status.html)
状態画面に"Share"の項目が表示され、検知状態が表示されます。
3. ポリシーセットの切り替えの設定画面(policy/pswitch_conf.html)
「切り替えのトリガー」に"Shareの検知"の項目を追加し、ポリシーセットの切り替えの設定を行います。
上図で設定されるコマンドは以下。
____________________
/ \
| インターネット |
\ ↑ /
~~~~~~~~~||~~~~~┃~~
PPPoE || ┃
|| ┃
+-----------[LAN2]---┃------+ SRT100
| ┃ |
| (((┃))) | ←Shareフィルター検知機能
| ┃精査 | (ポリシーフィルタ+不正アクセス検知)
+-----------[LAN1]---┃------+
192.168.100.1/24 | ┃
| ┃
--------------------+-----┃------+------------
←╂→ |
┃ | 192.168.100.2
+-┃--[LAN]----+
| ┃ |
| ◆ |
| (Share) |
| |
+--------------+
<Shareを利用しているPC>
# show config # SRT100 Rev.10.00.29 (build 2) (Thu Jan 17 13:39:07 2008) # MAC Address : 00:a0:de:07:fa:8f, 00:a0:de:07:fa:90 # Memory 32Mbytes, 2LAN # main: SRT100 ver=c0 serial=X00000332 MAC-Address=00:a0:de:07:fa:8f MAC-Addre ss=00:a0:de:07:fa:90 # Reporting Date: Jan 18 11:04:24 2008 ip route default gateway pp 1 ip lan1 address 192.168.100.1/24 pp select 1 description pp PRV/PPPoE/0: pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname xxxxxxx xxxxxxx ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp inbound filter list 1001 1002 1003 1004 1005 1006 1007 1008 ip pp nat descriptor 1000 pp enable 1 ip inbound filter 1001 reject-nolog * * tcp,udp * 135 ip inbound filter 1002 reject-nolog * * tcp,udp 135 * ip inbound filter 1003 reject-nolog * * tcp,udp * netbios_ns-netbios_ssn ip inbound filter 1004 reject-nolog * * tcp,udp netbios_ns-netbios_ssn * ip inbound filter 1005 reject-nolog * * tcp,udp * 445 ip inbound filter 1006 reject-nolog * * tcp,udp 445 * ip inbound filter 1007 reject-nolog 192.168.100.0/24 * * * * ip inbound filter 1008 pass-nolog * * * * * ip policy service group 101 name="Open Services" ip policy service group 102 name=General dns ip policy service group 103 name=Mail pop3 smtp ip policy filter 1100 reject-nolog lan1 * * * * ip policy filter 1110 pass-nolog * * * * 102 ip policy filter 1122 static-pass-nolog * lan1 * * * ip policy filter 1123 static-pass-nolog * local * * * ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http ip policy filter 1140 pass-nolog * pp1 * * * ip policy filter 1500 reject-nolog pp* * * * * ip policy filter 1520 pass-log * lan1 * * 101 ip policy filter 1700 pass-nolog local * * * * ip policy filter 1710 static-pass-nolog * lan1 * * * ip policy filter 2000 reject-nolog * * * * * ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 114 0] 1500 [1520] 1700 [1710] 2000 ip policy filter set enable 101 nat descriptor type 1000 masquerade syslog notice on syslog debug on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.191/24 dns server pp 1 dns server select 500001 pp 1 any . restrict pp 1 dns private address spoof on snmp sysname yamaha-srt100-00a0de07fa8f statistics cpu on statistics memory on
ip pp intrusion detection out on ip pp intrusion detection out share on ip pp intrusion detection out default off
# show log
2008/01/18 11:17:14: [POLICY] Share version 1 xxx.xxx.xxx.xxx > 192.168.100.2
# show ip intrusion detection
PP[01][out]
---------------------------------------------------------------------
Configuration:
IP: off
IP Option: off
Fragment: off
ICMP: off
UDP: off
TCP: off
FTP: off
Winny: off
Share: on (pass)
Default: off
Log:
2008/01/18 11:17:14: Share version 1 xxx.xxx.xxx.xxx > 192.168.100.2