« 凧揚げで空中撮影! | トップページ | 印刷コスト削減にちょっと役立つかもしれないソフト »

2009年10月13日 (火)

連休中のファイヤーウォール遮断ログをみてみると…

私の仕事の日課にブロードバンドルータのログ(記録)の確認があるのですが、連休前後は、いつも以上によく確認しています。
というのも不正侵入を試みる輩にとって、連休は管理が手薄で絶好のチャンスだから。
(もっとも最近は連休とか関係ないのですが・・・。)

で、連休最終日(2009/10/12)に典型的なポート番号へのアクセス&遮断があったので、ちょっとご紹介。

Photo

  1. 3389: Windows標準搭載の「リモートデスクトップ」で使用するポート。
    リモートデスクトップを使うなら絶対に変更すべきで、下手すると完全にPCを乗っ取られてちゃう。
    (レジストリエディタを使用して、このポート番号を変更可能です。)
  2. 445: Windowsで共有フォルダや共有プリンタなどの共有機能(ダイレクトホスティングサービス)で使用するポート。
    今となっては古典的ですが、お約束というか定番の攻撃ターゲットです。
    (ちなみに同じ共有機能でも古くからあるNetBIOSを使う場合は、137、138、139ポートを使用。)
  3. 135: 同じくWindows系OSのRPC(リモートプロシージャーコール)で利用されるポート。
    昔、感染が大流行して、猛威を振るったワーム「MSブラスト」はこのポートを悪用。
  4. 1434: SQLServerの監視用に使うSQLモニターで使用するポート。
  5. 22: Linux標準搭載の「SSH」で使用するポート。
    「SSH」はLinuxサーバーのリモートメンテナンスによく利用されています。
    通常は公開鍵認証を使うので、鍵の合わないユーザからのアクセスは、はじいてくれるので問題ないはずなのですが、やはりデフォルトの22ポートは攻撃のターゲットになりやすいのでポート番号の変更が望ましいと思います。
  6. 8080: 主にプロキシサーバーを稼動している環境で使用するポート。
    ちなみにP-ぽけっと で使用しているネットワークカメラ「BL-C131」のWebサーバーに携帯電話からアクセスする時のポート番号はデフォルトで8080になっています。
    (もちろんポート番号は変更済み。)
  7. ICMP: 主に「エラー通知」と「問い合わせ」につかうプロトコル。
    インターネット側からICMPがある場合は、十中八九「pingフラッド」や「スマーフアタック」などの攻撃目的。
  8. 1433: SQLServerに接続してデータ取得・検索で使用するポート。
    P-ぽけっと では、学習テスト用にSQLServer 2005 Expressを稼動させているのですが、リスク回避のためポート番号は変更。
  9. 3306: MySQL(オープンソースのデータベース管理ソフト)へ接続する時に使用するポート。

と、メジャーなポート番号が網羅されています。
もっとも一方的に外部から接続してくるインバウント攻撃の大多数が、スピア攻撃(狙い撃ち)ではなく、無差別に仕掛けてくるものなので、それほど神経質にならなくてもいいんだけども。
きっと皆さんのブロードバンドルータのログも同じように遮断しているログが多数あると思います。
ただ、いったん進入されてしまうと、しばらくはそのポートからしつこく進入を試みてくるので、何かと面倒です。
(セキュリティ対策ソフトなどのパーソナルファイヤーウォール頼みですなぁ~。)

「ほぼ毎日休まずブロードバンドルータは裏方で頑張ってすごいなぁ~。」と勝手にひとりで感心している私…(^_^;)

ご自宅のルータが遮断(deniedとかrejectedなどと記載されています。)しているポート番号を調べてみると、IPネットワークに興味がでてくるかもしれませんね。

ポート番号については、ネットや書籍なども沢山でています。

サーバ管理者のための―ポート番号早引き・活用事典 Book
サーバ管理者のための―ポート番号早引き・活用事典
Amazonで確認する

出版社: 日本実業出版社
発売日: 2003/05/22

|

« 凧揚げで空中撮影! | トップページ | 印刷コスト削減にちょっと役立つかもしれないソフト »

コメント

この記事へのコメントは終了しました。