目次
| 対象機種 | ☑ AG10 ☑ AG20 ☑ AR10 ☑ AR20 ☑ AC10 ☑ AC15 ☑ AC25 ☑ AX11 ☑ AX21 ☑ AX30 ☐ AB11 ☐ AB12 |
| ファームウェアバージョン | N/A |
外部からの不正なログイン試行(ブルートフォース攻撃など)を確認した場合、以下の 2 つの対策を組み合わせることで、デバイスの安全性を大幅に高めることができます。
❶ ポート番号の変更(推奨)
デフォルトの 22 番ポートは、常に攻撃対象としてスキャンされています。ポート番号を推測されにくい値に変更することで、簡易的な攻撃の大部分を回避できます。
避けるべきポート番号
| ポート番号 | 理由 |
|---|---|
22 番 | デフォルトのため、最も攻撃を受けやすいです。 |
2222 番 | 22 番の代替として広く知られているため、スキャンの標的になりやすいです。 |
「22」を含む番号(例:10022、22000 など) | 管理者が覚えやすいため設定しがちですが、攻撃者もそれを予見してスキャンします。 |
502 番 | 特定の IoT 機器を狙った攻撃の対象となるケースがあります。 |
CLI での設定例(例:51538 番に変更する場合)
amnimo(cfg)# ssh amnimo(cfg-ssh)# port 51538 amnimo(cfg-ssh)# enable amnimo(cfg-ssh)# exit
ℹ️ 補足:ポート番号を変更した後は、次回以降のログイン時にその番号を指定する必要があります。
❷ フィルター設定による接続制限
特定のインターフェース(モバイルなど)からの接続に対し、接続回数や頻度を制限する「レートリミット」を設定します。これにより、短時間での大量のログイン試行を遮断できます。
設定の概要
モバイルネットワーク経由の SSH 接続に対し、以下の制限をかけます。
- 同一接続元からの連続接続は 3 回まで許可します。
- 4 回目以降の接続は、最初の接続から 1 分経過するまで拒否されます。
- 不正なパケットフラグの組み合わせによる攻撃も同時に防御します。
フィルター設定内容
| フィルター種別 | インデックス番号 | 設定内容 |
|---|---|---|
| 入力 | デフォルトポリシー | 破棄 |
| 入力 | 10 | 既存の接続に属しているパケット(established)や、既存の接続に関連付けられたパケット(related)を許可します(LAN 側から接続し、WAN 側からの戻りパケットなど)。 |
| 入力 | 20 | 内部の通信を許可します。 |
| 入力 | 100 |
SSH ポートへの接続制限を設定します。
|
CLI での設定例
# 1. デフォルトポリシーを「破棄(drop)」に設定 amnimo(cfg)# filter input default-policy drop # 2. 既存の通信(戻りパケット等)を許可 amnimo(cfg)# filter input 10 amnimo(cfg-fin-10)# match conntrack state related,established amnimo(cfg-fin-10)# policy accept amnimo(cfg-fin-10)# enable amnimo(cfg-fin-10)# exit # 3. 内部通信(ループバック)を許可 amnimo(cfg)# filter input 20 amnimo(cfg-fin-20)# match in-interface lo amnimo(cfg-fin-20)# policy accept amnimo(cfg-fin-20)# enable amnimo(cfg-fin-20)# exit # 4. SSH 接続の制限設定(ポート番号を 51538 に変更している前提) amnimo(cfg)# filter input 100 amnimo(cfg-fin-100)# match protocol tcp dst-port 51538 # SSHポート指定 amnimo(cfg-fin-100)# match protocol tcp flags syn,rst,ack,fin syn # 異常パケットの遮断 amnimo(cfg-fin-100)# match conntrack state new # 新規接続を対象 amnimo(cfg-fin-100)# match hashlimit mode srcip # 同一送信元IPごとに制限 amnimo(cfg-fin-100)# match hashlimit upto 1/minute # 1分間に1回の頻度 amnimo(cfg-fin-100)# match hashlimit burst 3 # 連続3回まで許可 amnimo(cfg-fin-100)# match in-interface ecm0 # モバイル回線のみに適用 amnimo(cfg-fin-100)# policy accept amnimo(cfg-fin-100)# enable amnimo(cfg-fin-100)# exit
🚨 注意:フィルター設定を誤ると、管理者自身もアクセスできなくなる可能性があります。設定時は慎重に確認してください。
コメント
0件のコメント
サインインしてコメントを残してください。