セキュリティログに新たな仲間
もともと怪しかったPR-500KIのセキュリティログに新種が加わった。
1. 2022/8/4 18:58:15 SRC=fe80:0000:0000:0000:****:****:****:****/- DST=ff02:0000:0000:0000:0000:0000:0000:0001/- ICMPv6 table=filter
ログに残っているのはブリッジモードに設定したAterm WX3000HP2から発せられるICMPv6 Multicast Listener Queryなんだけど、1分毎に記録されるので2時間足らずで埋め尽くされログが全くもって役に立ちませんw
filter:外部から受信したパケットのうちパケットフィルタ設定の条件に一致して廃棄したパケット
PR-500KIのヘルプより
と書かれているにもかかわらずLAN→WANのフィルタに引っかかったヤツも table=filter と記録されるのはまあ、言葉のあやか何かだろうからヨシとして、ローカルのICMPv6をセキュリティリスクとしてログに残すという考えがいまいちわからん。
フィルタに何も設定していないのに table=filter のログが残るのは見えざるフィルタが設定されてんのか?
試しにICMPv6の双方向許可フィルタを設定してみたが、やはり ICMPv6 table=filter でログが残る。
なんか変なんだよね挙動が
何年越しか忘れたが、これを機に故障なのかバグなのか仕様なのか一体何なのかはっきりさせるぞと意気込むのだが、NTTの113は繋がらずweb113では失くすか燃えるかしないと受け付けて貰えないらしい・・・
web113では複数の選択肢の組み合わせを試したが機器交換or出張修理申込に帰結してしまい、具体的な問い合わせには対応して貰えないようだ。このせいで電話窓口が激混みなんじゃねーの??
AtermのIPv6 マルチキャスト
ブリッジモードに設定しているのにICMPv6を飛ばすWX3000HP2もどうなのよと思いNECに問い合わせたところ、ブリッジモードでのマルチキャスト送信は「ひかりTV」対応のためだけに送信する仕様との事だった。
NTTドコモへの忖度で止める設定は用意されない模様だ。
パケットフィルタの検証
パケットフィルタがワケワカラン、設定したとおりには動かないというのはセキュリティ上の懸念があるので、出来る範囲での検証をしてみる。
環境は、フレッツ光ネクスト+ひかり電話+PR-500KI+v6プラス
とりあえず、契約しているレンタルサーバーのIPアドレス 2403:3a00:201:1e:49:****:****:**** で拒否ルールを指定してセキュリティログの挙動を確かめる。
まずはLAN->WAN方向のブロック
- フィルタ種別 拒否
- 通信方向 LAN->IPoE
- プロトコル 全て指定
- 送信元IPv6 全て指定
- 宛先IPv6 2403:3a00:201:1e:****:****:****/128
2403:3a00:201:1e:49:****:****:**** にpingを送るとブロックされて table=filter の破棄ログが残る。期待通りだ。そりゃそうでしょうとも。
次はIPoE->LANで指定する
- フィルタ種別 拒否
- 通信方向 IPoE->LAN
- プロトコル 全て指定
- 送信元IPv6 2403:3a00:201:1e:49:****:****:****/128
- 宛先IPv6 全て指定
2403:3a00:201:1e:49:212:207:53 にpingを送るとサーバーからの応答がブロックされて通信出来ないはず・・・なのに普通に通信できるぞ??
さらにIPoE->LAN
- フィルタ種別 拒否
- 通信方向 IPoE->LAN
- プロトコル 全て指定
- 送信元IPv6 2403:3a00:201:1e:49:****:****:****/128
- 宛先IPv6 pingの送信元PCの一時IPv6アドレス
やはりpingが通ってしまう。
全ての組み合わせ条件を試したわけではないが、IN方向フィルタの送信元にブロックしたいIPアドレスを指定するとフィルタが効かないという事があるようだ。あるようだじゃねえ、ダメだろこれは・・・。
IPv4(v6プラス接続時)のフィルタでも同様の結果となった。
パケットフィルタの仕様なのかバグ的な物なのか、とにかく入ってくる通信を明示的にブロックするという事が出来ない。なんだか腑に落ちないですなあ。
つづくかも
コメント
[…] PR-500KIの動作がおかしい3 おすすめ記事 PR-500KIの動作がおかしい […]