RTシリーズのSecurityに関するFAQ
Winny検出・遮断機能(Winny フィルタ)について
作成日 | 2006/Jun/01 |
最終変更日 | 2023/Aug/25 |
文書サイズ | 67KB |
Winnyの通信を検出したり、遮断したりできますか?
「Winnyフィルタ機能(Winny検出・遮断機能)」により、可能です。
[ 目次 ]
注意事項:
Internet Explorerで閲覧した場合、本FAQにおける説明図(テキスト図)が崩れた表示になることがあります。このとき、メニューの[表示(V)]→[文字のサイズ(X)]にて、文字の大きさを変更することで治ることがあります。お試しください。
参考FAQ: Windowsの位置ずれ解消 (テキストで書かれた図(構成図等)が崩れて意味がわからない)
firewall機能の不正アクセス検知機能を有効にすることにより、「Winny」が利用するパケットを検出するとともに、該当パケットを破棄し、通信を遮断します。
また、「Winny」のパケットを検出した場合、不正アクセス検知の履歴に記録するため、「Winny」を使用した端末の特定にも有効です。
「Winny version 2」です。
firewall機能の不正アクセス検知機能の履歴やログ(syslog)に記録された情報が確認できます。
不正アクセス検知機能の「メール通知機能」でも、履歴を得ることができます。
機能 | 可(○)/否(×) |
Winny検出 | ○ |
Winny遮断 | ○ |
不正アクセス検知機能の履歴 | ○ |
ログ(syslog) | ○ |
履歴のメール通知 | ○ |
[ Winnyフィルタ機能の対応 ]
機種 | 対応リビジョン |
vRX | すべてのリビジョン |
RTX5000 | |
RTX3510 | |
RTX3500 | |
RTX1300 | |
RTX1210 | |
RTX1200 | |
RTX830 | |
RTX810 | |
FWX120 | |
SRT100 | |
NVR700W | |
NVR510 | |
NVR500 | |
RT58i | |
RTX3000 | RTX3000 Rev.9.00.15以降 (2006/7/19公開) |
RTX1500 | RTX1500 Rev.8.03.46以降 (2006/9/11公開) |
RTX1100 | RTX1100 Rev.8.03.46以降 (2006/9/11公開) |
RT107e | RT107e Rev.8.03.46以降 (2006/9/11公開) |
ニュースリリースにて、対応を表明した正式版は、公開済みです。
機種 | 公開β版対応 | 正式版対応予定 | 公開実績 |
RTX3000 | - | 2006年秋以降 | 2006/7/19 |
RTX1500 | - | - | 2006/9/11 |
RTX1100 | 2006年6月1日 | 2006年秋以降 | 2006/9/11 |
RT107e | 2006年6月1日 | 2006年秋以降 | 2006/9/11 |
※RTX1500は、お客様の要望により、実装することになりました。
利用可能なファームウェアは、リリースノートにて、修正内容を確認後、 配布ページから入手していただき、ファームウェアを入れ替えてください。
[ Q and A ]
止める機能があれば、止められます。
ルーターでも、ファイアウォールでも、アンチウィルスソフトでも、UTM装置でも、
「Winnyを止める機能」があれば、止められるでしょう。逆に、
「UTMしか止められない」などの先入観を持たない方がよいです。
セキュリティポリシーを徹底するために「セキュリティは、内部と外部の境界に置くセキュリティ装置に一本化する」という考え方もありますが、そのポリシーを完全に徹底できるケースばかりではありません。ヤマハルーターが利用されるいくつかの事例のなかで「Winnyフィルタ機能」を適用してメリットのありそうな利用シーンを次に選りすぐってみました。
インターネット接続用に設置し、Winnyフィルタは使えますか? |
使えます。
|
社内LANにローカルルーターとして設置し、Winnyフィルタは使えますか? |
使えます。
|
インターネットVPNに利用しているとき、Winnyフィルタは使えますか? |
使えます。
出る方向と入る方向のそれぞれに使えます。
|
リモートアクセスVPNで接続しているPCの通信に対して、Winnyフィルタは使えますか? |
使えます。
|
「整理してわかったこと」は、セキュリティ確保やセキュリティポリシーの徹底を実現するには、「セキュリティベンダー」にまかせっきりにしないで、みんなで解決していかないといけませんね。きっと、それぞれにできることがある。
Winnyは、TCPを使って、不特定の相手と暗号通信をします。ポート番号も不定です。
このような通信を普通のIPパケットフィルタリング(静的フィルタリング)によって
遮断することはできません。まだ、簡易的な動的フィルタリングでは、確実な遮断は困難であると考えられます。
今回のヤマハルーターの「Winnyフィルタ機能」は、標準で提供しているfirewall機能の動的フィルタリング機能と不正アクセス検知機能を組み合わせて利用することにより、検知・遮断機能を実現しています。
一般的には、ステートフルインスペクション、ディープインスペクション、IDSなどと 言われるようなパケットの内容を分析して、Winnyのパケットであるかどうかを判別しています。
ヤマハルーターのWinnyフィルタ機能は、firewall機能の不正アクセス検知機能の"SMTP"を精査する方法と似ており、 動的フィルタリング機能と不正アクセス検知機能に「Winnyパケットを識別する機能」が 追加されています。
よって、Winnyの検出と遮断だけでなく、不正アクセス検知機能の標準機能である履歴、ログ、メール通知なども利用可能になっております。
機能 | 可(○)/否(×) |
Winny検出 | ○ |
Winny遮断 | ○ |
不正アクセス検知機能の履歴 | ○ |
ログ(syslog) | ○ |
履歴のメール通知 | ○ |
Winnyフィルタ機能がOFFになっていれば、速度差を検出できる程度ではありません。(実効的なスループット低下はありません。)
なお、Winnyフィルタ機能は、初期状態でOFFになっております。
Winnyフィルタを利用していない場合と利用している場合では、あまり変りません。
Winnyフィルタは、fast path(ファストパス)で動作しますので、高速に処理されます。
不正アクセス検知機能には、fast pathとnormal pathの両方で働く機能とnormal path
のみで働く機能がありますが、Winnyフィルタは、fast pathとnormal pathの両方で働く
機能の部類です。
もう少し詳しく説明すると、Winnyフィルタのチェック自体はnormal pathで実行されますが、チェックを通り「通過させてよい」と判明したトラフィックについてはfast pathで転送されます。
ヤマハルーターのfirewall機能は、入る通信と出る通信に対して、それぞれ精査する機能を持っています。firewall機能として利用する場合には、「通常は入る通信のみ(IN方向)」処理していますが、Winnyフィルタでは「出る通信(OUT方向)」に対して検知や遮断を行います。
firewall機能利用時 (IN方向) | Winnyフィルタ機能利用時 (OUT方向) |
インターネットの脅威 ↓ +---[WAN]---↓------+ | ↓ | | (((↓))) | ←firewall機能 | ↓精査 | +---[LAN]---↓------+ ↓ |
↑ +---[WAN]---↑------+ | ↑ | | (((↑))) | ←Winnyフィルタ機能 | ↑精査 | +---[LAN]---↑------+ ↑ 内部のWinny利用中のPC |
大企業向けソリューションは、どんどん整備されております。弊社製品をご利用中のSOHOや中小規模のお客様が気軽に利用できそうな「手軽で小さなソリューション」が見当たらなかったので、試験的に実装を試み目処が立ったので公開に踏み切りました。
弊社製品をご利用中のお客様に安心してインターネットをご利用いただきたいと考えております。
また、Winnyフィルタ機能のようなものは、「セキュリティ業界」が本業というイメージがあると思います。しかし、インターネットをご利用中のお客様にとって、業界はどうでもよいです。止められるか、止められないか。守れるか、守れないか。流出を防げるかどうか。
「Winny検知ソフト」は、LANに流れているパケットをモニターして判定しているようです。
ブロードキャスト通信などはモニターしやすいですが、通常利用されるすべてのユニキャスト通信の
モニターは簡単ではなく、工夫が必要であろうと思います。
ルーターで実現される「Winny検知・遮断機能」は、外部と内部の境界で機能し、通過する全ての 通信を精査し、Winnyパケットを検知・遮断するように働らかせることができます。
他には、個々のPCに実装するアンチウィルスソフトなどで、Winny対応しているものなどがあります。
RTX1100が外部ネットワーク(インターネット)と内部ネットワーク(企業ネットワーク)の 境界に設置されている環境で、RTX1100の「Winny検知・遮断機能」を働かせているイメージ図です。 内部ネットワークには、「Winny」を利用しているPCと「Winny検知ソフト」を利用しているPCが 設置されているとします。
ファイアウォール装置としての利用 (Winnyパケットの流れ方のイメージ図) |
____________________ / \ | インターネット | \ ↑ / ~~~~~~~~~||~~~~~┃~~ PPPoE || ┃ || ┃ +-----------[LAN2]---┃------+ RTX1100 Rev.8.03.42 (build 1) | ┃ | | (((┃))) | ←Winny検知・遮断機能 | ┃精査 | (ダイナミックフィルタ+不正アクセス検知) +-----------[LAN1]---┃------+ 192.168.1.1/24 | ┃ | ┃ --------+-----------+-----┃------+------------ | →┬← ←╂→ | 192.168.1.2 | │ ┃ | 192.168.1.5 +-----[LAN]-│-+ +-┃--[LAN]----+ | │ | | ┃ | | ↓ | | ◆ | | (Winny検知)| | (Winny) | | | | | +--------------+ +--------------+ <Winny検知ソフトを利用しているPC> <Winnyを利用しているPC> |
[ 利用シーン例(ルーター編) ]
ローカルルーターとしての利用 |
____________________ / \ | インターネット | \ ↑ / ~~~~||~~~~~~~~~~┃~~ +----++----+ ┃ | firewall | ┃ +----++----+ ┃ || ┃ --------------++----+-----┃------------------- | ┃ +-----------[LAN2]---┃------+ RTX1100 | ┃ | | (((┃))) | ←Winny検知・遮断機能 | ┃精査 | +-----------[LAN1]---┃------+ | ┃ --------+-----------+-----┃------+------------ | →┬← ←╂→ | 192.168.1.2 | │ ┃ | 192.168.1.5 +-----[LAN]-│-+ +-┃--[LAN]----+ | │ | | ┃ | | ↓ | | ◆ | | (Winny検知)| | (Winny) | | | | | +--------------+ +--------------+ <Winny検知ソフトを利用しているPC> <Winnyを利用しているPC> |
インターネットVPN装置としての利用 |
________________________________________________________ / \ | インターネット | \ / ~~~~~~~~~|~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~|~~~~~~~~~~ | | | VPNトンネル | | +------------------------+ | | |┏━━━━━━━━━━┓| | | |┃+------------------+┃| | RTX1100 | |┃| |┃| | RTX1100 +-----------[LAN2]--+┃+-----+ +-----+┃+--[LAN2]-----------+ | |┃| | | ┃ | | (((┃))) | | (((┃))) | | ┃精査 | | 精査┃ | +-----------[LAN1]---┃------+ +------┃---[LAN1]-----------+ | ┃ ┃ | | ┃ ←┸→ | ---------+-----┃--- --------------+--------------- | ←╂→ | | ┃ | PC +------[LAN]---┃-+ +------[LAN]------+ PC | ┃ | | | | ◆ | | | | (Winny)| | | +-----------------+ +-----------------+ |
リモートアクセスVPN装置としての利用 |
________________________________________________________ / \ | インターネット | \ / ~~~~~~~~~|~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~|~~~~~~~~~~ ↑ | VPNトンネル | ↑ ┃ | +------------------------+ | ┃ ┃ | |┏━━━━━━━━━━┓| | ┃ ┃ | |┃+------------------+┃| | ┃ RTX1100┃ | |┃| |┃| | ┃ +------┃---[LAN2]--+┃+-----+ +--+┃+--[LAN]--┃----+ | ┃ |┃| | | ┃ ┃ | | (((┃))) (((┃))) | | ┣━━━━━┛ | | 精査┃ ┃精査 | | ◆ | +------┃---[LAN1]---┃------+ | (Winny) | ┃ | ┃ +---------------------+ ←┻━━━━━━┻→ PC+VPNクライアント ---------+---------- | | +------[LAN]------+ | | | | | | +-----------------+ |
[ 設定のポイント ]
動的フィルタリングの設定 Winnyは、TCPを利用しているので、「外に出るTCPパケット」を動的フィルタリングで精査するように指定します。 |
ip filter dynamic 100 * * tcp (ip IF secure filter out ... dynamic ... 100 ...) : OUT方向に適用する |
不正アクセス検知機能の設定 「外に出るパケット」の不正アクセス検知機能を有効にします。 fast pathで動作しますので、normal pathに指定する必要はありません。 |
ip IF intrusion detection out on : 不正アクセス検知機能をON ip IF intrusion detection out winny on reject=on : winnyのみ検知&遮断 ip IF intrusion detection out default off : winny以外を検知しない。 |
静的フィルタリングの設定 通常「外に出るTCPパケット」は、全部許可します。 今回は「Winny通信を遮断したい」ので、静的フィルタリングでは遮断させて、 動的フィルタや不正アクセス検知機能によって、精査し、Winnyであるか判定し、 Winnyだけを遮断させることになります。このとき、tcp synパケットだけは全て通したいので、 "established"を利用します。 |
ip filter 1 reject-nolog * * established ip filter 2 pass * * ip IF secure filter out 1 2 dynamic 100 : OUT方向に適用する |
ポリシーフィルターの設定 ポリシーフィルターを用いてTCPパケットを精査するように指定します。 |
ip policy filter 1 pass-nolog * * * * tcp ip policy filter set 1 1 ip policy filter set enable 1 |
不正アクセス検知機能の設定 「外に出るパケット」の不正アクセス検知機能を有効にします。 fast pathで動作しますので、normal pathに指定する必要はありません。 |
ip IF intrusion detection out on : 不正アクセス検知機能をON ip IF intrusion detection out winny on reject=on : winnyのみ検知&遮断 ip IF intrusion detection out default off : winny以外を検知しない。 |
2つの実施例を用意しました。
[ Winny検知の実施例 ]
ネットワーク構成 |
____________________ / \ | インターネット | \ ↑ / ~~~~~~~~~||~~~~~┃~~ PPPoE || ┃ || ┃ +-----------[LAN2]---┃------+ RTX1100 Rev.8.03.42 (build 1) | ┃ | | (((┃))) | ←Winny検知機能 | ┃精査 | (ダイナミックフィルタ+不正アクセス検知) +-----------[LAN1]---┃------+ 192.168.1.1/24 | ┃ | ┃ --------------------+-----┃------+------------ ←╂→ | ┃ | 192.168.1.5 +-┃--[LAN]----+ | ┃ | | ◆ | | (Winny) | | | +--------------+ <Winnyを利用しているPC> |
Winny検知機能の動作確認前の設定 |
Client_RTX1100# show config # RTX1100 Rev.8.03.42 (build 1) (Thu May 11 16:02:17 2006) # MAC Address : 00:a0:de:31:42:9e, 00:a0:de:31:42:9f, 00:a0:de:31:42:a0, # Memory 32Mbytes, 3LAN, 1BRI # main: RTX1100 ver=c0 serial=N1A022491 MAC-Address=00:a0:de:31:42:9e MAC-Address=00:a0:de:31:42:9f MAC-Address=00:a0:de:31:42:a0 console prompt Client_RTX1100 console info on login timer clear ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.1/24 ip lan2 secure filter in 1 ip lan2 secure filter out 1 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (*PPPoE接続ID) (*PPPoE接続パスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp secure filter in 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 200 ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * tcp ip filter dynamic 200 * * udp nat descriptor type 1 masquerade nat descriptor masquerade incoming 1 forward 192.168.1.5 syslog notice on syslog info on syslog debug on tftp host any dhcp service server dhcp scope 1 192.168.1.5-192.168.1.100/24 dns server (*DNSサーバーアドレス) dns private address spoof on |
PCでWinnyを起動する。 |
ノード情報の画面で一覧表示される。 |
Winny検知機能を有効にするためのRTX1100設定を追加する(抜粋) |
ip pp intrusion detection out on ip pp intrusion detection out winny on ip pp intrusion detection out default off |
show ip intrusion detectionの実行結果 |
Client_RTX1100# show ip intrusion detection PP[01][out] Action: pass, Winny: on(pass), Default: off 2006/05/17 10:51:49: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:51:56: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:52:13: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:52:18: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:52:22: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 〜〜〜 省略 〜〜〜 2006/05/17 10:54:47: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:54:56: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:55:00: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:55:05: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:55:08: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:55:09: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:55:15: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:55:19: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:55:22: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:55:27: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) |
ログ |
Client_RTX1100# show log 〜〜〜 省略 〜〜〜 2006/05/17 10:59:05: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):3186 > 192.168.1.5:19899 2006/05/17 10:59:05: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):2066 > 192.168.1.5:19899 2006/05/17 10:59:08: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):3186 > 192.168.1.5:19899 2006/05/17 10:59:08: [INSPECT] Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 10:59:08: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):1283 > 192.168.1.5:19899 2006/05/17 10:59:09: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):2299 > 192.168.1.5:19899 2006/05/17 10:59:10: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):3334 > 192.168.1.5:445 2006/05/17 10:59:11: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):1283 > 192.168.1.5:19899 2006/05/17 10:59:12: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):3396 > 192.168.1.5:19899 2006/05/17 10:59:12: [INSPECT] PP[01][out][100] TCP 192.168.1.5:4164 > (*グローバルIPアドレス):13786 (2006/05/17 10:58:34) 2006/05/17 10:59:14: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):3186 > 192.168.1.5:19899 2006/05/17 10:59:15: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):4156 > 192.168.1.5:19899 2006/05/17 10:59:17: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):1283 > 192.168.1.5:19899 2006/05/17 10:59:17: [INSPECT] PP[01][out][100] TCP 192.168.1.5:4165 > 219.96.54.168:16592 (2006/05/17 10:58:39) 2006/05/17 10:59:18: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):4156 > 192.168.1.5:19899 2006/05/17 10:59:19: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):1846 > 192.168.1.5:19899 2006/05/17 10:59:22: same message repeated 1 times 2006/05/17 10:59:22: [INSPECT] PP[01][out][100] TCP 192.168.1.5:4166 > (*グローバルIPアドレス):20945 (2006/05/17 10:58:43) 2006/05/17 10:59:24: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):4156 > 192.168.1.5:19899 |
Winny検知機能が動作中の設定 |
Client_RTX1100# show config # RTX1100 Rev.8.03.42 (build 1) (Thu May 11 16:02:17 2006) # MAC Address : 00:a0:de:31:42:9e, 00:a0:de:31:42:9f, 00:a0:de:31:42:a0, # Memory 32Mbytes, 3LAN, 1BRI # main: RTX1100 ver=c0 serial=N1A022491 MAC-Address=00:a0:de:31:42:9e MAC-Address=00:a0:de:31:42:9f MAC-Address=00:a0:de:31:42:a0 console prompt Client_RTX1100 console info on login timer clear ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.1/24 ip lan2 secure filter in 1 ip lan2 secure filter out 1 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (*PPPoE接続ID) (*PPPoE接続パスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp secure filter in 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 200 ip pp intrusion detection out on ... 不正アクセス検知機能をON ip pp intrusion detection out winny on ... winnyのみ検知 (遮断しない) ip pp intrusion detection out default off ... winny以外を検知しない ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * tcp ip filter dynamic 200 * * udp nat descriptor type 1 masquerade nat descriptor masquerade incoming 1 forward 192.168.1.5 syslog notice on syslog info on syslog debug on tftp host any dhcp service server dhcp scope 1 192.168.1.5-192.168.1.100/24 dns server (*DNSサーバーアドレス) dns private address spoof on |
[ Winny検知と遮断の実施例 ]
ネットワーク構成 |
____________________ / \ | インターネット | \ ↑ / ~~~~~~~~~||~~~~~┃~~ PPPoE || ┃ || ┃ +-----------[LAN2]---┃------+ RTX1100 Rev.8.03.42 (build 1) | ┃ | | (((┃))) | ←Winny検知・遮断機能 | ┃精査 | (ダイナミックフィルタ+不正アクセス検知) +-----------[LAN1]---┃------+ 192.168.1.1/24 | ┃ | ┃ --------------------+-----┃------+------------ ←╂→ | ┃ | 192.168.1.5 +-┃--[LAN]----+ | ┃ | | ◆ | | (Winny) | | | +--------------+ <Winnyを利用しているPC> |
Winny検知・遮断機能の動作確認前の設定 |
Client_RTX1100# show config # RTX1100 Rev.8.03.42 (build 1) (Thu May 11 16:02:17 2006) # MAC Address : 00:a0:de:31:42:9e, 00:a0:de:31:42:9f, 00:a0:de:31:42:a0, # Memory 32Mbytes, 3LAN, 1BRI # main: RTX1100 ver=c0 serial=N1A022491 MAC-Address=00:a0:de:31:42:9e MAC-Address=00:a0:de:31:42:9f MAC-Address=00:a0:de:31:42:a0 console prompt Client_RTX1100 console info on login timer clear ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.1/24 ip lan2 secure filter in 1 ip lan2 secure filter out 1 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (*PPPoE接続ID) (*PPPoE接続パスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp secure filter in 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 200 ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * tcp ip filter dynamic 200 * * udp nat descriptor type 1 masquerade nat descriptor masquerade incoming 1 forward 192.168.1.5 syslog notice on syslog info on syslog debug on tftp host any dhcp service server dhcp scope 1 192.168.1.5-192.168.1.100/24 dns server (*DNSサーバーアドレス) dns private address spoof on |
PCでWinnyを起動する。 |
ノード情報の画面で一覧表示される。 |
Winny検知と遮断機能を有効にするためのRTX1100設定を追加する(抜粋) |
ip pp intrusion detection out on ip pp intrusion detection out winny on reject=on ip pp intrusion detection out default off ip filter 300 reject * * established ... さらにOUT方向に適用する |
PCでWinnyの動作状況を確認する。 |
ノード情報画面で ダウン情報及びバージョンなどの欄で何も表示しない。 ファイル検索の画面で検索単語(任意の単語)を入力しても、何も表示しない。 |
show ip intrusion detectionの実行結果 |
Client_RTX1100# show ip intrusion detection PP[01][out] Action: pass, Winny: on(reject), Default: off 2006/05/17 17:16:17: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 17:16:21: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 17:16:24: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 17:16:27: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 17:16:28: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 17:16:29: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 17:16:39: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 17:16:48: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 17:16:49: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 〜〜〜 省略 〜〜〜 2006/05/17 17:20:00: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 17:20:07: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 17:20:08: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 17:20:13: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 17:20:18: Winny version 2 192.168.1.5 > (*グローバルIPアドレス) |
ログ |
Client_RTX1100# show log 〜〜〜 省略 〜〜〜 2006/05/17 16:19:39: [INSPECT] Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 16:19:39: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):15143 > 192.168.1.5:3177 2006/05/17 16:19:40: PP[01] Rejected at OUT(300) filter: TCP 192.168.1.5:3159 > (*グローバルIPアドレス):6293 2006/05/17 16:19:40: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):15143 > 192.168.1.5:3177 2006/05/17 16:19:40: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):6293 > 192.168.1.5:3159 2006/05/17 16:19:40: PP[01] Rejected at OUT(300) filter: TCP 192.168.1.5:3179 > (*グローバルIPアドレス):27021 2006/05/17 16:19:40: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):27021 > 192.168.1.5:3179 2006/05/17 16:19:42: PP[01] Rejected at OUT(300) filter: TCP 192.168.1.5:3160 > (*グローバルIPアドレス):29402 2006/05/17 16:19:42: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):29402 > 192.168.1.5:3160 2006/05/17 16:19:42: PP[01] Rejected at OUT(300) filter: TCP 192.168.1.5:3180 > (*グローバルIPアドレス):10184 2006/05/17 16:19:42: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):10184 > 192.168.1.5:3180 2006/05/17 16:19:43: [INSPECT] Winny version 2 192.168.1.5 > (*グローバルIPアドレス) 2006/05/17 16:19:43: [INSPECT] PP[01][out][100] TCP 192.168.1.5:3181 > (*グローバルIPアドレス):11245 (2006/05/17 16:19:00) 2006/05/17 16:19:44: PP[01] Rejected at OUT(300) filter: TCP 192.168.1.5:3161 > (*グローバルIPアドレス):12977 2006/05/17 16:19:47: [INSPECT] PP[01][out][100] TCP 192.168.1.5:3182 > (*グローバルIPアドレス):4268 (2006/05/17 16:19:04) 2006/05/17 16:19:48: PP[01] Rejected at OUT(300) filter: TCP 192.168.1.5:3181 > (*グローバルIPアドレス):11245 2006/05/17 16:19:49: PP[01] Rejected at IN(2000) filter: TCP (*グローバルIPアドレス):11245 > 192.168.1.5:3181 2006/05/17 16:19:50: PP[01] Rejected at OUT(300) filter: TCP 192.168.1.5:3178 > (*グローバルIPアドレス):28123 2006/05/17 16:19:50: PP[01] Rejected at OUT(300) filter: TCP 192.168.1.5:3178 > (*グローバルIPアドレス):28123 2006/05/17 16:19:50: [INSPECT] Winny version 2 192.168.1.5 > (*グローバルIPアドレス) |
Winny検知・遮断機能が動作中の設定 |
Client_RTX1100# show config # RTX1100 Rev.8.03.42 (build 1) (Thu May 11 16:02:17 2006) # MAC Address : 00:a0:de:31:42:9e, 00:a0:de:31:42:9f, 00:a0:de:31:42:a0, # Memory 32Mbytes, 3LAN, 1BRI # main: RTX1100 ver=c0 serial=N1A022491 MAC-Address=00:a0:de:31:42:9e MAC-Address=00:a0:de:31:42:9f MAC-Address=00:a0:de:31:42:a0 console prompt Client_RTX1100 console info on login timer clear ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.1/24 ip lan2 secure filter in 1 ip lan2 secure filter out 1 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (*PPPoE接続ID) (*PPPoE接続パスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp secure filter in 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 300 3000 dynamic 100 200 ip pp intrusion detection out on ... 不正アクセス検知機能をON ip pp intrusion detection out winny on reject=on ... winnyのみ検知&遮断 ip pp intrusion detection out default off ... winny以外を検知しない ip pp nat descriptor 1 pp enable 1 ip filter 1 pass-log * * * * * ip filter 300 reject * * established ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1030 pass * 192.168.1.0/24 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * tcp ip filter dynamic 200 * * udp nat descriptor type 1 masquerade syslog host 192.168.1.6 syslog notice on syslog info on syslog debug on tftp host any dhcp service server dhcp scope 1 192.168.1.5-192.168.1.100/24 dns server (*DNSサーバーアドレス) dns private address spoof on |
[ 関連情報 ]
[ Winny問題に関する報告 ]
[ Webニュース(抜粋) ]
[ Web意見(抜粋) ]
[ FAQ for RT-Series ]
[ FAQ for Security / IP-Filter / VPN(IPsec) / Intro / Install / Config ]
[ 技術資料 / firewall機能 / DHCP認証機能 / SSHサーバー機能 ]