少々古いダイヤルアップルーター MUCHO TL/DSU を手に入れたので、使ってみることにしました。しかし、製造元の古河電工は、セキュリティには無頓着なのか、一般ユーザー向けは、こんなもんでいいと思っているのか、デフォルトの設定はずさんな物です。このままでは怖くて使えないので、色々と調べてフィルタリングの設定をしてみました。
最終更新日 : 2001.6.24
1997年くらいの、一般向けダイヤルアップルーターの走りの頃の製品のようです。一頃、秋葉原で格安で売られていたので、使っていた人も多いのではないかと思います。これは、DSU内蔵型で、ずんぐりむっくりな形状をしていますが、メイン基板にDSU基板がコネクタ挿しになっているためです。DSU無しのMUCHO
TLはスマートな形状をしています。
かなり古い製品ですが、Iナンバーに対応していたりします。サポート側の意欲は、なかなか買えるものがありますが、いざ、セキュリティからみの話となると、あまり情報がありません。デフォルトでは、NetBIOS(Windowsのファイル共有など)の信号が、外(インターネット上)に出ないようにフィルタリングしているだけで、あとは素通しです。まあ、TAと比べれば、ちょっとマシって程度のものでしょうか? でも、ルーターとして考えると失格です。もちろん、自分でフィルタ設定すれば、それなりのことは可能なので、特には問題無いのですが、少々面倒です。
問題といえば、Iナンバーの番号設定です。専用の設定ツールからは設定できないようで、アナログ電話機から設定します。しかし、MUCHOの電源を切ったり、リセットすると、Iナンバー設定を忘れてしまうようです! そのたび、電話機でおまじないを入れなくてはならないので、かなり不便です。
じゃあ、DSU基板を抜けば、外部DSUで動くかと言えば、全然だめで、メイン基板はDSU基板から出ているTTLレベル信号を受けていて、これを外すと動きません! ST点端子からフィルタを通して、TTLレベルに変換する基板が必要なようです。でも、荒技があって、そのまま、DSUから出ているラインを、MUCHOのST点端子に入れてしまうと使えるという話を聞きました。DSUの出力同士をぶつける荒技ですから、少々怖い気もしますが、そのうち、ST点の信号仕様を調べて、なんとかなりそうだったら試してみたいと思います。
いまさら、MUCHO限定の設定方法を書いても、もう、使っている人も少なそうなので、具体的な設定方法でなく、フィルタリングの考え方を簡単に解説してゆきます。
フィルタリングは、「必要な物だけ通す」という考え方と、「嫌なものだけ排除する」という考え方があります。例えば、デフォルト設定のように、NetBIOSだけ排除するのは、後者の考え方で、インターネットで、チャットしたり、ビデオみたり、ゲームしたりと色々したい人は、後者の方を選ばないと、かなりの技術力を必要とします。でも、この設定だと、事実上筒抜け状態です。ルーターをTAのように、使いたい時だけ接続して使う、Windows2000のようなサーバー設定が多い物は使わない、サービスはファイル共有くらいにしておく。というのなら、後者でも良いかもしれません。
この場合、排除したいのは、Windowsでファイル共有をしている場合、このサービスが使用しているポート番号137〜139、LAN内で使用しているアドレスと同じアドレスで外部からアクセスされないようにする設定、その他、ローカルアドレスなど、インターネット上で存在しないようなアドレスでアクセスされないようにする設定です。
具体例(準備中)
つぎは、「必要な物だけ通す」という方法です。本気でセキュリティを考えるなら、こっちの方が安心です。設定に穴が無く、ルーターに欠点がなければ、固定アドレスで繋ぎっぱなしにしても安全です。もっとも、設定の穴も、ルーターの欠点も、きっと一杯あるので、あまり過信しない方が身のためでしょう・・・
まず、最低限必要なものに、Httpのポート番号80、プロバイダのドメインサーバーを使用している場合(ってほとんどそうです)はポート番号53、メールの読み書きにポート番号25(Smtp)と110(POP)、SSHを使用したセキュリティ保護のあるWebページにアクセスする場合はポート番号443も必要です。あと、FTPを使う場合はポート番号20〜21も通した方が良いでしょう。これらは、内部(LAN)から外部(インターネット)へ接続する時だけに必要なもので、外部から内部を許可する設定する必要は、自分でサーバーでも立ち上げないかぎりありません。もっとも、サーバーを動かしていなければ、ルーターは通っても、相手は誰も居ないことになるのですが・・・
あとは、ルーターのDHCPを使用しているなら、255.255.255.255のIPアドレスをLAN側だけで有効にしなくてはなりません。チャット(IRCやICQ)したり、ビデオ見たり、ゲームしたりする場合は、必要に応じて、そのポート番号を許可してゆく必要があります。どの番号を使っているか、調べるのが少々面倒かもしれません。
困った処では、Webサーバー側が勝手にポート番号を変えて妙な処を使ったりするときです。例えば、IBMのFTPサーバーは、最初21で接続しても、その後4000〜60000あたりに振り替えて、転送はこのポート番号で行われます。上の方を全部開けてしまうと、なんのためのフィルタだか分からなくなってしまうし、困ります。
具体例(準備中)