Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM X-Mailer: Message Editor Version 2.3.2 Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit Message-ID: <200008110336.3397EABE045A000.hama.ME@thinkpot.sunny.co.jp> Date: Fri, 11 Aug 2000 12:36:02 +0900 Reply-To: hama@SUNNY.CO.JP Sender: BUGTRAQ-JP List From: hama@SUNNY.CO.JP Subject: MN128SOHO=?ISO-2022-JP?B?GyRCJTclaiE8JTokSyQqJDEkayEiJV4lSyVlJSIbKEI=?= =?ISO-2022-JP?B?GyRCJWs1LTpcMzAkTjUhRz0kSyREJCQkRhsoQg==?= To: BUGTRAQ-JP@SECURITYFOCUS.COM 濱田淳一と申します 今週初めMN128 SOHO Slotinに妙な挙動が見受けられる、という事で調査した 結果、マニュアルには記載のない機能がある事が判りました。これらの点に ついてご報告したいと思い、筆をとりました。 対象機種: 現行最新バージョンのfirmwareを搭載するMN128SOHOルータシリーズ全モデル (注) 私はMN128SOHO Slotinのみを調査しました。NTT-ME MN128サポートに よるとこの件は現行firmware全てに共通するとの説明を頂きました。 問題点: マニュアルに記載のない機能が存在し、暗黙にNATがおこなわれる。 詳細: MN128SOHO Slotinをはじめとする現行バージョンのFirmwareを搭載するルータ において、次の機能がNAPT(IPマスカレード)動作時に自動的に作動している、 次の機能があります(MN128SOHOにおいてNAPTはAutoNATと呼ばれていますが、 混乱の元であるためAutoNATという名称の使用は避けます)。 ・NAPTによってLAN側からWAN側に接続を行ったホストの一覧をキャッシュする。 ・アクセスがあったLAN側ホストに対して一部のポート(80,137-139等)を除いて WAN側からルータに到達したパケットを全てアドレス変換のみ行い転送する。 この機能はオンラインゲームにおいて設定操作を行う事なく暗黙にNAPTをNATに 切り替え、スムーズにアクセスが出来る事を期待した機能であり、最近搭載し たものである事をNTT-MEのMN128サポートからご説明いただきました。 この機能が有効になっている間は、一般に知られている「NAPT(IPマスカレー ド)を使用すると、外部のホストからプライベートアドレスへパケットを到達 させる事が比較的難しい」という前提が成立せず、例えば最後にアクセスした マシンに対して容易にポートスキャンを行い、利用可能な機能を調査してアク セスできる事を実験で確認しました。 実験で判明したことでは、 ・ポートスキャンにおいてport 80を除く1番から97番までのTCP SYNフラグ付 パケットが実際にLAN上のホストに到着した事を確認した。 ・WAN側からRPCポートマッパーに対してアクセスし、RPCポートマッパー自身に LAN側からWAN側に向かってコネクションを確立できる事を確認した。 ・UDP PORT 53にアクセスし、LAN上のbindからLAN上のホスト名一覧の取得を  行えることを確認した。 なお、この機能はNAPT(IPマスカレード)機能の一部であり、単独で無効にする ことはできないとの事です。 対策: この問題の対策としては、ip filterを設定してくださいと説明を頂きました。 設定例を紹介します。実際に適用する場合にはマニュアルを参照し、適切な 形に修正して適用してください。 ip filter 10 reject in * * tcpest * * remote * ip filter 11 reject in * * udp * * remote * なお、現時点ではこの問題を回避しながら、なおかつルータ自身のAutoDNS、 nslookup、ntpを併用する事はできないそうです。また、PPTPはLAN側でのみ 利用可能であり、これはNATテーブルを設定することでWAN側から利用する ことは可能であると説明を頂きました。 現在の状況: NTT-ME MN128SOHOサポートでは、これは重大な問題であるとは認識していな いと説明を頂きました。現時点では対応する予定はなく留保中である事、 有償での個別対応には応じるとのことです。 なお多くのユーザーから要望が上がった場合には、速やかな対応を検討する そうで、この問題を懸念する方はサポートに連絡し要望をあげて欲しいとの ことです。 NTT-ME MN128シリーズサポートの連絡先はこちらに記載があります。 http://www.ntt-me.co.jp/mn128/info.html なおこの報告を行う事、サポートを受けた結果を第三者に公開する事について NTT-ME MN128SOHOサポート様より承諾を頂きました。 * 本報告に含まれる記載の会社名、商品名は、各社の商標または登録商標です。 濱田淳一