ブログパーツ レンタルCGI
TAKAさんの毎日が発見・ブログ
アマチュア無線の機器製作を中心にした日常の活動記録です (by Taka JA2GRC、このブログはFC2_BLOGを使わせていただいてます。)
≪05月   2017年06月   07月≫
1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17  18  19  20  21  22  23  24  25  26  27  28  29  30  
オープンリゾルバー対策
 契約しているeo光サービスよりネット接続に関する警告を頂きましたので、その対策をやってみました。
 eo光サービスから頂いた警告は以下の様な物でした。 「オープンリゾルバー」と言う言葉自体を目にしたのも初めてでしたし、サイバー攻撃の踏み台にされると言う文面も、なかなか刺激的な物でした。

160530_open_resolver_01.jpg

 で「サイバー攻撃の踏み台」にされちゃ、かなわないと、早速、対策をすることにしました。 まずは、ネットで「オープンリゾルバー」とはなんぞや?と言うのを調べて、勉強しておきます。 どうも、DNSサーバーとして動く時に、標準的には53番ポートを開くみたいですが、このポートの開放に関して、セキュリティの脆弱性が有るみたいで、それを足がかりにして、乗っ取られる可能性が有るみたいです。

 ネット上には、このオープンリゾルバー状況を確認できるサイトが有るみたいです。 早速、試してみましたが、特に問題有る様な結果になりませんでした。

160530_open_resolver_02.jpg

 Linuxで動いているサーバーでも調べてみましたが、問題なさそうな結果です。

160530_open_resolver_03.jpg

 で、訳が分からなくなって、eo光サービスのサポートに、こちらの測定結果など状況を添付して質問しましたら、丁寧な回答がありました。 ポイントは、

 ・ eo光サービスでは、DDoS攻撃の負荷軽減対策として、ネットワーク外からの53番ポートへのアクセスを
   制限している。
 ・ 従って、eo光サービスのチェックサイトと、ネット上にあるチェックサイトでは判定結果が異なる。
 ・ オープンリゾルバーのチェックにはeo光サービスのチェックサイトで判定して欲しい。

との事でした。 で、早速、eo光サービスのチェックサイトで試してみましたら、確かに、問題有りとの判定が出ました。

160530_open_resolver_04.jpg

 確かに、一時期、eo光サービスがDDoS攻撃に晒されて、eo光サービスのDNSが全然使い物にならなくなってしまった時期がありました。 そのため、こうした対策が取られたのでしょうね。

 で、質問の時に、同時にこちらで使っているブロードバンドルーターの構成などを添付しておきましたら、当方が使っているブロードバンドルーターでは、オープンリゾルバー対策が施されていない様で、ファームウエアのバージョンアップが必要との指摘がありました。 我が家のルーターは、少し事情(ヘアピンNAT対応が必要)があって、あえて、最新のブロードバンドルーターを使わずに、古い機種の中から、我が家の要求仕様に合う実績のある物を探して手に入れた物です。

 早速、ルーターにログインしてバージョンを確認しましたら、ファームウエアバージョン1.08でした。 メーカーのサイトにアクセスして、最新のファームを確認した所、最新バージョンは1.26みたいです。 こうした、ネット機器の場合は、安定性を考慮して、新しいファームが出ても敢えて更新しない場合も多いようですが、このファームの場合、2014.10.10にリリースされていますので、もう充分に実績がある様なので、更新しても大丈夫でしょう。 それに、今回の件で切迫した要求もありますからね。

160530_open_resolver_05.jpg

 と言う事で、早速、メーカーのサイトから、最新ファームをダウンロードして、更新することにしました。 Windows Update なんかと違って、こうしたファームの更新は失敗すると自分では修復できない場合が多いので、事前にダウンロードしたパッケージに付いている説明文を良く読んで失敗しない様に気をつけて実施しました。

160530_open_resolver_06.jpg

 少し時間が掛かりましたが、無事、ファームの更新も出来て、ルーターが再起動され、ファームウエアバージョンも1.26になっていることが確認できて、一安心です。

160530_open_resolver_07.jpg

 早速、eo光サービスのチェックサイトにつなげて、確認してみた所、今度は、オープンリゾルバーではないとの判定です。 やっぱり、古いファームで有った事が原因だったようです。

160530_open_resolver_08.jpg

 念のため、ポート確認サイトでチェックしてみましたら、53番ポートはアクセスできないとの判定でした。 これで、大丈夫そうですね。 早速、丁寧に対応していただいたeo光サービスのサポートの方に経過と結果、および、お礼をしておきました。 何せ、事前に指摘を受けたおかげで、サイバー攻撃の加害者にならずに済んだみたいですからね。

160530_open_resolver_09.jpg
コメント
この記事へのコメント
URL :
コメント :
パスワード :
管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
Template designed by アクセラと+αな生活

Powered by まとめ .