2020-06-01

最近話題nuro光セキュリティ 10Gs版

下記の記事に10Gsで提供されたルータ情報が載ってなかったので利用中の自分が調べてみた。

https://qiita.com/notoken3331/items/ca228e2ac28ac7ea4879

ルータ情報

メーカーHuawei
製品型番HN8255Ws

まず情報として、ONUに割り当てられたIPv6プレフィックスは/56だった。

ルータ機能でのWANインターフェースではおそらくそれより細かく切ったプレフィックスIPv6アドレスが割り当てられてるはずだが

HN8255Wsの管理画面では確認する方法がないように見受けられる。

簡素管理画面のどこを見てもそのような項目がない。

セキュリティ関連の設定については、詳細設定 → セキュリティ設定 → DoS設定に下記のチェックボックスがありデフォルト有効

SYNフラッド攻撃の防止:

ICMP ECHO攻撃の防止:

ICMPリダイレクト攻撃の防止:

LAND攻撃の防止:

Smurf攻撃の防止:

WinNuke攻撃の防止:

Pingスイープ攻撃の防止:

端末へのグローバルからの疎通検証環境

グローバル ー HN8255Ws(ONUルータ) ー NetGear GS110MX ー PC(Windows10)

疎通確認端末

iphone X (au) Wifi無効設定で iNetToolsアプリにて疎通確認及びポートスキャン

ちなみにauLTE契約のみでテザリングPCをぶら下げる場合PCにはIPv4プライベートアドレス

IPv6リンクローカルアドレスしか振られないので、テザリングPC端末からIPv6疎通確認は実行不可。

LET NET for DATAを契約すればテザリングPC端末側にもIPv6グローバルIP振られるらしいんだが、

わざわざこのためだけに契約変更する気にはならんのでテザリングでの検証却下

そのため、iphoneアプリで疎通確認可能なiNetToolsを疎通確認プログラムとして選定。

iNetToolsというアプリだとポートスキャンの時にプロトコル指定が出来そうにないのでポート番号のみを指定した。

TCPUDP両方チェックしているのか、どちらか片方しかチェックしていないのかは情報が見当たらなかった。

両方チェックして両方疎通した場合のみOpen判定なのか、どちらか片方でも開いていればOpen判定なのかも不明

なのでOpen/Close判定あくまで参考情報

確認結果

疎通確認端末のiphoneXがWifi経由でなく単独IPv6グローバルアドレスに疎通確認できる事の証明として

www.google.co.jp」のIPv6アドレスに対してpingで疎通確認し、その後ポートスキャンで各ポートが開いているかどうかを見た。

確認項目とその結果は下記の通り。

iphoneXからwww.google.co.jpIPv6アドレスへのicmpv6疎通確認アプリで疎通OK
WinPC割当IPv6グローバルアドレスへのicmpv6疎通確認アプリで疎通NG
WinPC割当IPv6グローバルアドレスへのポートスキャン(53)アプリでClose判定(Open欄に出てこない)
WinPC割当IPv6グローバルアドレスへのポートスキャン(80)アプリOpen判定
WinPC割当IPv6グローバルアドレスへのポートスキャン(135)アプリでClose判定(Open欄に出てこない)
WinPC割当IPv6グローバルアドレスへのポートスキャン(139)アプリでClose判定(Open欄に出てこない)
WinPC割当IPv6グローバルアドレスへのポートスキャン(443)アプリOpen判定
WinPC割当IPv6グローバルアドレスへのポートスキャン(445)アプリでClose判定(Open欄に出てこない)

ちなみにルータWANインターフェースが握ってるIPv4アドレス宛にも同じポートスキャンをしたが、同じように80と443がOpen判定だった。

ダイナミックパケットフィルタリングとかしてないんですかね?

フレッツ光回線使ってた時にポートスキャンテストとかしてなかったので他の光回線ポートスキャンの結果がどうなるかは知らない。

結論

10Gsはそれなりにマシっぽいが、HTTP/HTTPSのポートが空いてるとすると、HTTP/HTTPSの改竄パケット受け取っただけで問題が発生する脆弱性が端末搭載OSに発覚した場合危険かもしれない。

ただ、アプリ側のOpen判定が微妙なので誰かちゃんIPv6環境から真っ当なポートスキャン試してみて。俺はこれ以上検証しない。

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん