遠隔操作パソコンウィルス対策 ルーターのパケットフィルタ設定をしてポートを閉じる方法

スポンサーリンク

遠隔操作パソコンウィルス対策 ポートを閉じる

当サイトはポート開放を案内するサイトなのですが、ブロードバンドルータを活用していただきたく、近年問題となっているパソコンウイルスによる、第三者の不正アクセスによる遠隔操作対策をブロードバンドルータで対策する手順を説明したいと思います。(詳細、エフセキュアセキュリティブログhttp://blog.f-secure.jp/archives/50625847.html / 情報処理推進機構 コンピュータ・ウイルス不正アクセス届出8月の記事)。備考、自動書き込みされない対策としてiフィルタ等のproxyを導入し、大手BBSへアクセスブロック設定も有効な対策となるのでご検討下さい。又はWindowsVISTA以上ご利用でしたらファミリーセーフティーによるブロックも可能です。MobileFree提供の筑波大学ベンチャー企業ソフトイーサー様よりパケット警察 for Windowsが提供開始されました。遠隔操作制御された詳細の通信記録を保存するので、もしも万が一の場合冤罪を防止することが可能です。
備考、当サイトで案内しているポート開放設定は使用するアプリケーション又はサーバツールもしくはソフトウェアが使用するポートを開く案内になるので、その辺をパソコンウイルスに悪用されることはありませんのでご理解の程お願い致します。またPS3のDMZ設定なども、PS3へは外部から直接接続できない仕様となっており、必ずプレイステーションネットワークを中継しないと改ざんはされませんのでその辺の所もご理解の程お願い致します。詳しくは不正アクセス DMZやポート開放は大丈夫でしょうか
ルータ側のポートを閉じる設定をしたら、必ずポートが閉じているかを確認して下さい。

リモートデスクトップのポート3389を閉じる

その前に、UPnPユニバーサルプラグアンドプレイと言うサービスをご存知でしょうか?これはブロードバンドルータがアプリケーション側で必要なポートを自動的に開いてしまうサービスです。これは取り込んでしまったトロイの木馬等(外部アタックではありません)に悪用される場合があるので本来使うべきではありません。なので可能であれば、ブロードバンドルータのUPnPサービスを止めたほうがより安全と言えます。一般的に販売又はレンタルされるブロードバンドルータは、内側から(パソコンのある側)から外へは出してくれるのですが、外側から内側への(第三者側から、ご利用のパソコン)通信は破棄されます。
これがルータの言うところのファイヤーウォール機能と言う訳なのですが、何らかの理由で例えばUPnPが生きていて、トロイの木馬によってユーザーの意図しないポートが開かれて外部アクセスされて、不正コントロールや乗っ取り等がされてしまう事になります。
備考、上級者向けです。下手にUPnP含めてポートを閉じると、使いたいアプリケーション、クラウドサービス、リモートコントロールサービスをうけられなくなります。またここではIPv4環境と言うことで説明します。IPv6環境はご契約プロバイダさんのサポートを受けて下さい。
備考、古いブロードバンドルータだと操作設定方法が異なる場合があるので、もし操作方法等がわからない場合はBBSまで気軽に問い合わせ下さい。
備考2、フレッツ光でぷららをご契約ならルータで制御する必要なく、ぷららのネットバリアーベーシック(無料利用可)でこうした不正アクセから簡単に保護できるので適用して置くのも一つの手段です。
備考3、リモートデスクトップ使えなくなると困る方は、こちらのIPv6プロトコルを使う個人向け無料提供TEAMVIEWERをご利用下さい。セットアップ不要です。kagemaruもこのツールを使ってサポートしております。使い方はポート開放設定 リモートサポートのご案内をご覧下さい。

ルーターメーカー別パケットフィルタ設定方法

バッファロー

バッファロールータのポートを閉じる設定の説明です。WHR-G301N ポート開放を参考にルータの設定画面を表示して下さい。(表示できない場合は、本体の裏側にAUTO/ON/OFFスイッチがありますこれをONにすれば192.168.11.1で開きます)。2010年以降発売のモデルは殆ど同じ機能を持ち、同手順で設定できます。下記設定を行うことで、バッファロールータに繋いでいる端末全てに対して有効となります。
セキュリティからIPフィルターメニューを開きます。IPフィルターに次の4つを追加するだけです。備考、一部拠点間通信のモデルは192.168.11.0/24ではなく192.168.12.0/24とする必要があります。例、BHR-4GRV
ルータの設定画面が開いたら、セキュリティからIPフィルタを開きます。まず一つ目、インターネット側からのアタックを拒否する設定です。

  • 動作:拒否
  • 方向:Internet→LAN(外側から内側)
  • IPアドレス:送信元空欄→宛先192.168.11.0/24
  • プロトコル任意のTCPポート:3389
  • 追加

これで、リモート・デスクトップは使えなくなります。またバッファローに繋いでいる全てのPCにアタックできなくなります。またアドレス変換に3389のポート開放設定が存在しても、こちらのIPフィルタサービスが優先されブロックされますのでご安心下さい。

念の為、LAN側からInternet側方向も閉じてしまいましょう。念には念を入れます。

  • 動作:拒否
  • 方向:LAN→Internet(内側から外側)
  • IPアドレス:送信元192.168.11.0/24→宛先空欄です
  • プロトコル任意のTCPポート:3389
  • 追加

以上で作業完了です。このように閉じるポートを3389以外に設定することで、任意のポートを閉じることが出来ます。新種のワームウイルス等が出現した場合は対応ポートをこの手順で閉じてもらえれば全てのパソコンはセキュアな状態でインターネット出来ます。

Aterm WARPSTAR

NEC提供のAterm関連、au、イー・アクセス、WiMAX、それに市販のWARPSTARのブロードバンドルータでポートを閉じる手順です。市販モデルはAP/RTモードとあるのですが、APモードは適用出来ません。必ずRT(ルータモード)で設定及びポートを閉じる事が可能になります。
手順、Aterm WR8600Nを参考に設定画面を開いて、詳細設定からパケットフィルタ設定を開きます。古い機種は少し画面違うかもしれませんが、設定手順は同じです。一応11-20番までのデフォルト設定の優先順位確認しておいて下さい。デフォルトは18番まで優先適用済だと思います。優先順位を確認したら右下追加ボタンを開きます。

まず一つ目、Internet側(WAN)側からLAN側へのポートを閉じる設定です。Atermルータの割り当てIPアドレス範囲は192.168.0.0/24の範囲とします。

  • 種別:破棄
  • 方向:inにチェック
  • プロトコル:TCP
  • 送信元IPアドレスはそのまま
  • 送信元ポート番号もそのまま
  • 宛先IPアドレスは192.168.0.0/24にして下さい。
  • 宛先ポート番号:3389-右側は空欄で
  • 優先度は19から使えると思います。もし使用済ですと表示される場合は30番辺りに設定下さい。
  • 設定


次に、LAN側からInternet側への通信も閉じてしまいましょう。

  • 種別:破棄
  • 方向:putにチェック
  • プロトコル:TCP
  • 送信元IPアドレス:192.168.0.0/24
  • 送信元ポート番号もそのまま
  • 宛先IPアドレスはそのまま
  • 宛先ポート番号:3389-右側は空欄で
  • 優先度は20
  • 設定


最後に、こんな感じで設定が追加されているので念の為確認して、保存です。以上で作業完了です。これでAtermに繋いでいるパソコンがリモートデスクトップで不正アクセスされることはありません。後は可能でしたら高度な設定からUPnPも無効にしておいたほうが望ましいです。

ロジテック エレコム

2010年以降発売のモデルなら概ね同じ作業で設定できます。備考、必ずルータモードと言う事が条件です。LAN-WH450N/GR ポート開放を参考に上級者設定を開きます。
ロジテック/エレコムさんのブロドバンドルータのフォリたリングサービスは少々変わっていて、通信を許可したサービスだけ以外のポートは閉じることが可能です。拒否設定は内部から外部となる様子です。(拒否設定を何度か試すもポートチェック時ポートが開いてしまう事を改善できず。恐らく外からのものは拒否できず、内部から拒否と言う形になると思います)
設定手順、上級者設定を開いたら、ファイアウォールメニューを開いて有効であることを確認下さい。無効状態なら有効に切り替えて適用から更新作業を行なって下さい。

次にアクセスコントロールを開きます。アクセスコントロールが開いたら、IPフィルタリングにチェックを入れ、許可にチェックを入れ替えて下さい。その上でPCを追加するを開きます。

クライアントPC情報に、ALLPC等分かりやす名前を入力、クライアントPCIPアドレス、192.168.2.2-192.168.2.254とします。全範囲をカバーできます。これでロジテックに繋いでいる前端末は強固なファイアウォールで固められます。
次に重要なのが許可する通信ポートのみチェックを入れます。必ず必要なポート、WWW
/ POP3 / HTTPS 443 これは必ず必要です。後は必要に応じて任意のポート等は下のポート範囲で許可設定を追加してください。チェックを入れたら追加を選んで下さい。

設定が追加されていることを確認して、適用

更新ボタンを選んで、ルータを再起動します。これで作業完了です。許可した以外の通信ポートはこれで全て閉じることが出来ます。

NTTルータ 末尾SE/ HI / KI モデル

NTTフレッツ光等で設置される末尾SE(例、RT-S300SE RV-230SE / RV-440KI / RV-440MI)
各種ブロードバンドルータ型番別ポート開放説明を参考に、ルータの設定画面を開きます。詳細設定からパケットフィルタ設定を開きます。(IPv4とIPv6あると思うのですが、可能なら両方設定するのが望ましいです。基本的にはIPv4のみ設定してください。)、エントリ番号下の方、設定していないエントリ番号を開きます。

次の様に一つ設定を追加してください。IPv6パケットフィルタも同様の設定で可能だと思います。

  • ルールNo、使ってないルール番号、15以降は使えると思います。
  • 通信方向両方向をしてい
  • 接続インターフェース名は全て
  • TCPフラグはTCPを選択
  • 送信元IPアドレス、宛先IPアドレスはそれぞれany(全ての範囲を指定となります)
  • 送信元ポートはanyで構いません。
  • 宛先ポートを3389指定
  • フィルタの種類、拒否です。←注意、必ず確認下さい。
  • 最後に設定ボタンを選んで下さい。

これでWANとLAN両方の規制を行うことが出来るはずです。実機もってないので未確認。もし問題があれば御連絡頂けますでしょうか。

NTTルータ 末尾NEモデル

NTTブロードバンドルータ型番末尾NEが付加するルータです。(例、RT-S300NE / PR-200NE
ポート開放説明を参考にルータの設定画面を開いたら、まずどの接続先番号が有効なのかを確認下さい。接続中と言う接続先番号が該当します。

接続先を確認できたら詳細設定からパケットフィルタを開いて下さい。こちらもIPV4とIPv6のパケットフィルタが存在する場合両方同様に設定を追加下さい。
手順、必ず上の接続先番号が、上記で確認した接続中の番号であることを確認して下さい。もしここを間違えていると役に立ちません。問題なければ下の17-32辺りを開いて、未設定の編集から追加可能です。又は、エントリ番号のチェックボックスが無いものは利用されていないのでそれの右側の編集からその設定をカスタマイズして有効化でも構いません。

次の様に一つまず設定を作ります。

  1. フィルタ種別、拒否
  2. 送信元IPアドレス、* 記号のアスタリスクです。けキの場所にあります。any全てとします。
  3. 宛先IPアドレス、192.168.1.0/24
  4. プロトコル種別、TCP
  5. 送信元ポート、* 記号のアスタリスクです。けキの場所にあります。any全てとします。
  6. 宛先ポート、3389
  7. 方向、順方向、Internet→LAN方向です。
  8. 設定から前のページに戻る


これで合っていると思うのですが、ちょっと自信ないかもです。すみません。送信元IPアドレスも*anyとした方がいいのかも、何れにしてもこれは逆方向で、LANからInternet方向ですので、外部アタック対策としては無意味です。内部に取り込んだパソコンウイルスに対しては一定的な効果が期待出来ます。

  1. フィルタ種別、拒否
  2. 送信元IPアドレス、192.168.1.0/24
  3. 宛先IPアドレス、* 記号のアスタリスクです。けキの場所にあります。any全てとします。
  4. プロトコル種別、TCP
  5. 送信元ポート、* 記号のアスタリスクです。けキの場所にあります。any全てとします。
  6. 宛先ポート、3389
  7. 方向、逆方向、LAN→Internet方向です。
  8. 設定から前のページに戻る


前のページに戻ったら、必ず追加したエントリにチェックを入れて保存です。そうしないとポートを閉じることが出来ません。

CTU

フレッツ光プレミアムのCTUルータの設定は簡単です。https://ctu.fletsnet.comにアクセスか、フレッツユーティリティーから設定変更を開きます。

フレッツ光プレミアム契約時にNTTからCTU操作のIDとパスワードをログイン画面に入力し設定画面を開いたら、ファイヤーウォール設定を開きます。UPnPを無効

プラネックス

プラネックスの製品はポートフィルタと言うサービスがあるのですが、Internet→LAN(外側から内側)への防御は出来ません。LAN→Internet(パソコンからインターネット方向)への防御のみ可能になります。なので、外部アタックを防ぐにはIPマスカレードサービスのみとなってしまいます。ただ、ポートフィルタを有効にすることでトロイの木馬を取り込んでしまってもデータが流出する恐れはないので時間稼ぎは可能です。
備考、必ずルータモードではないとポートフィルタは働かないので注意下さい。アクセスポイントモード、コンバータモードでは働きません。
設定手順、MZK-W300NH3 / MZK-RP150Nを参考にルータの設定画面を開いて頂いて、セキュリティメニューからポートフィルタを開きます。次の最低限4つのポート番後の通信許可を追加して、後は必要に応じてアプリケーション通信ポートを追加してください。

  • まずポートフィルタを有効にするにチェック
  • ポート範囲 80-80 / 443-443 / 21-21 / 110-110 / 587-587 この5つのアプリケーション通信ポートは最低限必要です。(ここに登録しないと通信できなくなる仕組みです。)
  • コメントは任意か空欄で構いません。
  • 追加出来たら適用。

以上で作業完了です。これでプラネックスルータに繋いでいる全PC他端末は登録以外の通信ポート上り方向は使えなくなります。もちろん不正に入ってこられても、応答しなくなるので遠隔操作はされなくなります。

コレガ

コレガのブロードバンドルータのアクセス制限サービスを使う手順の説明です。アクセスサービスフィルタですが、LAN側からInternet方向、上りのみの制限となる様子です。外部アタックをフィルタすることは出来ません(下り方向)。外部侵入されても、上り方向へのデータ送信はできないので、アクセス制限を行うことで一概に遠隔操作される事は低減できると思います。
手順、WLR300NM / BARMX3を参考にルータの設定画面を開きます。セキュリティ設定からアクセス制限を開きます。

次の様に必要に応じて追加します。全部で一度に5範囲を登録する事が出来るのですが、今回はリモートデスクトップ遠隔操作問題と言うことで3389番を使って説明します。

  • 制限するIPアドレスは、2-254とします。
  • 制限するサービスはユーザー定義のままで
  • プロトコルはTCPにチェックです。
  • 制限するポート範囲は、3389-3389です。
  • スケジューリングは、常に制限
  • 適用を選んで下さい。


制限ルールが登録されると下の方に状態有効となっていることを確認します。

最後に左メニューの管理メニューを開き、再起動を選んでルータを再起動すれば設定は適用されるはずです。(何度か正しくフィルタ動作しなかったので、再起動する事で確実性がアップしました。)以上で作業完了です。

備考、3389で説明しましたが、遠隔系パソコンウイルスがリモートデスクトップのポート番号を変更してしまう恐れもあります。その場合は上記フィルタだけでは足りません。今一度しっかりとしたパソコンウイルス対策も併用で対応下さい。また、遠隔操作ではなく、proxy能力等を持っている場合も想定しなくてはならないかもしれません。
備考2、ブロードバンドルータ本体に侵入されると上記フィルタ機能は解除されてしまう恐れがあるのでブロードバンドルータのアクセスパスワードはしっかりとしたものを設定しておいて下さい。
備考3、遠隔操作被害は、インターネット側からのみの問題ではありません。無線LANから侵入されて被害にあうケースもあります。なので、本来なら安易な無線LAN環境の導入は避けるべき(有線LAN環境が望ましい)ですが、そうも行かないのが現在の端末事情です。もし無線LANを導入された場合は、なるべくならMACアドレスフィルタリングも設定頂いたほうが望ましいです。無線の不正アクセスを防止する方法
備考4、外部アタックに強いファイヤーウォール(COMODO等、HIPSサービス搭載製品)をパソコンに適用もおすすめかも知れません。但し端末一台に付き一つ設定する作業が発生するのでものすごく初期設定が手間と時間がかかります。

コメント

タイトルとURLをコピーしました