F/Wバージョン | V1.12 Mar. 29, 2004 |
ステートフルインスペクション | 有効 |
VPN パススルー | 無効 |
パケット・フィルタリング | 無効 |
2005/04/07 19:33:45 Attack was detected Port Scanning has been detected from counter.thebugs.ws (scanned ports:TCP (2424, 2422, 2418, 2417, 2402, 2397)) 2005/03/30 16:52:13 Port scanned 202.108.249.134 TCP (1766, 1762, 1761, 1760, 1759, 1758) 2005/01/23 9:01:31 Port scanned 211.120.51.138 TCP (1144, 1143, 1142, 1141, 1140, 1138) 2005/01/04 16:18:49 Port scanned 61.120.150.25 TCP (1833, 1832, 1831, 1830, 1829, 1841) 2004/12/22 15:41:40 Port scanned 218.16.125.81 TCP (1328, 1327, 1326, 1319, 1315, 1314) 15:41:41 Attack was detected Port Scanning has been detected from down.actpie.com (scanned ports:TCP (1328, 1327, 1326, 1319, 1315, 1314)) 2004/12/18 11:04:55 Process network access blocked NEKO57.EXE modified memory of SVCHOST.EXE 004/10/26 22:51:50 Rst attack 166.111.172.8 -> 166.111.172.8 22:50:08 Rst attack 211.99.18.101 -> 211.99.18.101 22:39:54 Rst attack 166.111.172.8 -> 166.111.172.8 22:23:41 Rst attack 166.111.172.8 -> 166.111.172.8 22:17:17 Rst attack 211.99.18.101 -> 211.99.18.101 8:28:36 Port scanned 222.28.170.44 TCP (3221, 3219, 3213, 3205, 3202, 3197) 8:28:36 Rst attack 222.28.170.44 -> 222.28.170.44 8:24:19 Rst attack 222.28.170.12 -> 222.28.170.12 8:18:46 Port scanned 222.28.170.12 TCP (3035, 3024, 3021, 3020, 3019, 3017) 8:13:13 Rst attack 222.28.170.12 -> 222.28.170.12 8:06:49 Port scanned 222.28.170.12 TCP (2824, 2812, 2809, 2807, 2805, 2804) 8:00:25 Port scanned 222.28.170.44 TCP (4409, 2723, 2719, 2716, 2707, 2706) 8:00:22 Rst attack 222.28.170.44 -> 222.28.170.44 7:54:49 Port scanned 222.28.170.12 TCP (2618, 2617, 2613, 4080, 4079, 4078) 7:51:48 Rst attack 222.28.170.12 -> 222.28.170.12 7:44:05 Port scanned 222.28.170.12 TCP (2397, 2396, 2395, 2392, 2391, 2390) 7:35:32 Port scanned 222.28.170.44 TCP (2569, 2686, 2840, 4015, 2313, 2253) 7:35:31 Rst attack 222.28.170.44 -> 222.28.170.44 2004/10/26 7:32:56 Port scanned 222.28.170.12 TCP (2210, 2354, 1840, 2196, 2193, 2192) 2004/10/26 7:32:05 Rst attack 222.28.170.12 -> 222.28.170.12 2004/10/24 23:49:09 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 23:28:40 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 23:18:00 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 23:07:45 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 22:57:31 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 22:37:27 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 22:16:58 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 22:06:18 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 21:56:04 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 21:45:49 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 21:35:09 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 21:24:54 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 21:04:25 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 20:53:45 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 20:43:31 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/24 20:25:10 Rst attack 166.111.121.3 -> 166.111.121.3 2004/10/22 15:21:34 Port scanned 211.93.137.139 TCP (1743, 1742, 1741, 1740, 1739, 1738) |
BAR Pro3には、WAN側からアタックを防ぐ設定は
「ステートフルインスペクション・SPI」を「有効」する設定しかない。 「ステートフルインスペクション」機能は、ルータを通過するパケットのデータを読み取り、内容を判断して動的にポートを開放・閉鎖する機能である。 パケットフィルタリングでは、不正なパケットは適切に処理できないことがあるため、SPI が搭載された。 SPI の詳しい仕様は、セキュリティの都合上非公開である。 |
上表のアタック情報も添えて、「こんな侵入を防ぐ機能をもったコレガ製品を紹介してほしい」と依頼したところ、
「コレガには該当する製品はない」とあっさりリジェクトされてしまった。
この回答からコレガのブロードバンドルータの SPI はどれも同じものが搭載されているらしいとわかった。
もっと高額のルータも発売しているのでもっと高機能
なものがあるだろうと考え、依頼したがあてが外れた。
あ
れば当然に紹介するはずで、できないところを見るとこれ以上のもの性能のものはなく、もうあきらめるしかない。
ということで、コレガに SPI を期待するのは無理という結論になった。
4.コレガ BAR Pro3 の評価試験
ネット上で
コレガ BAR Pro3 の評価試験 をされているかたがいらっしゃって、その評価試験は実に克明にされており信頼に値するものと判断している。そのページによると SPI をON にしてもしなくても処理速度が変化しないとのデータがあり、その結果と今回の侵入事件もつながりがあるとみている。
というのは SPI が ON になれば当然のことルータ内部の CPU はそのための余分な仕事が増え全体のスループットが低下するのは当然のことで、数十パーセントぐらい遅くなるのはなんら不思議はない。むしろそれが理屈にあっている。
なのに コレガ BAR Pro3 では変化がないということは 「実はほとんどなにもやってないのではないか!??」という率直な疑問が沸いてくる。もしそうだとしたらコレガがいうように「パケットフィルタリングでは、不正なパケットは適切に処理できないことがあるため、SPI が搭載された。」という説明もその信憑性に疑問符がつき、現実の侵入事件も説明がつかないのではと思われる。
もっとも100%ブロックというのはとても無理としても、「侵入ログを提供しているので前向きに対処する」ぐらいな姿勢があってもいいのではないかと今回の事件で思った。「セキュリティの都合上非公開である。」の一点張りで逃げないで弱点が見つかったわけなのでそれを補強するぐらいな姿勢がないととてもユーザの信頼は得られない。
5.ブロードバンドルータの現状
SPI (ステートフル・パケット・インスペクション)は従来あるパケットフィルタリングでは不可能な機能を実現するために考案されたものだが、一定の水準があるわけでもなし、各社の秘密のベールに包まれているしろものである。ようするに訳のわからないものだ。
極端なことをいえば、外箱に「高機能な SPI 搭載!」と印刷されるいるだけのルータも売られているかもしれない。
その仕様が「セキュリティの都合上非公開」などという便利な口実で一切公表されない以上、それを確かめる方法がないのだから消費者にとってはまことにもって厄介なものである。
本物か偽者か、高機能か劣悪かを判断すらできないのがいまの現状である。
前述したように、
このことがきっかけでルータの SPI がいかほどのものか調べたが各社とも詳細は不明でことごとくわからないものだった。
まぁ、安いルータに SPI が付いていること自体が驚きで「はじめから付いていないもの!」と割り切ればそれはそれで納得できる・・・その程度のものではないかと思うようになった。
でも、消費者をだまくらかすような誇大広告はいけない。会社の信用が疑われる。
6.ついに選手交代となった
クラッカー達に浸入される問題と、よく落ちる潜在的な問題があるので結局アイオーデータ・NP-BBRLに交代した。 -->ここのページ と ここ
関連ページ
■ ルーターがダウン I/O Data・アイオーデータNP-BBRL 2008.1.1
■ コレガ BAR Pro3 接続できなくなる、落ちる --> こちら
■ 「 クラッカー侵入がなくなった」I-O DATA アイ・オーデータ NP-BBRL 「コレガ BAR Pro3 接続できなくなる、落ちる」が嘘のよう --> こちら 2006.11.24
■ BAR Pro3 Webサーバを公開するための設定 --> こちら
■ コレガ BAR Pro3 ルータ内臓の SPI は機能しているか? --> こちら
■ コレガ BAR Pro3のファームウェアアップデート 2004.10.27 --> こちら 2004.10.27
■ もくじ ・・・Webサーバを公開するための設定
ブログ
■ コレガ Corega BAR Pro3 アイオーデータNP-BBRL と選手交代 切り替えに躓いた (ブログ) 2006.7.11
■ 注意!!システム認証に失敗しました・・・のエラー その2 ---Safeモードで立ち上げるとOK --> こちら
■ 注意!!システム認証に失敗しました・・・のエラー ---コレガ BAR Pro3 --> こちら
■ ブログ、ページが見えなくなっていました ----気がつかず失礼しました --> こちら
なぜ私が収監されるのか 〜高知白バイ事故の真相〜--> こちらまとめサイト |