ネットワークエンジニアコミュのルータのTCPポートの制御について

ご存知の方いらっしゃいましたらご教授ください。

Ciscoルータを通過するトラフィックについてはACLを掛けて
あげれば良いのですが、ルータ自身が宛先になっているトラフィックを
制御する事もACL等で可能だったと記憶しているのですが、その記憶も
だいぶ曖昧で具体的なコマンドまで探しきる事ができません。
#単にローカルホスト（127.0.0.1）に対してACLを設定すれば良いんでしょうか・・

どなたかご存知だったらご教授ください。

なんでこんな事を質問しているのかというと、
「ルータに対してnmapでポートスキャンを実施し、空いている
　TCP/UDPポートについては閉塞せよ」　と至上命令が下っています。。
実際にやってみるとFTPとかPOP、SMTPなどが空いているんですよね。
#何のためにPOP、SMTPは空けているんでしょうね・・・・

コメント(9)

最初
全て
最新の40件

[2] mixiユーザー 06月27日 06:46

ルータ（インタフェイス？）にポートスキャンかけて
空いているポートがあるって事は、
そのインタフェイスのACLで許可してる可能性が高いと思います。

閉じているポートがあるという事は、
暗黙のDenyで弾かれている＝ACLが設定されているという事だと思うのですが…

Configのaclを確認してみると事をおすすめしますが、もしかして全然的外れな回答してますかね？

[4] mixiユーザー 06月27日 08:28

ACLでの制御も必要だと思いますが、そもそもコンフィグレベルで不要なサービスをストップしておくことをお勧めします。

# FTP、POP、SMTP…Ciscoってそんなサービスが立ち上がる仕様でしたっけ？
# nmapの方法が間違ってなければ良いのですが...

[5] mixiユーザー 06月27日 08:37

一部Defaultで稼働しているサービスがあり、Configでは停止出来ないのがありますね。

その場合は記載されている通りルータに定義されているIPアドレス向けへのDenyACLを書くのが常套手段です。

良く脆弱性情報を追っていると話題になる内容ですねい。

[6] mixiユーザー 06月27日 11:00

返信くださった皆さん！！

早速の回答ありがとうございます。

ちなみにnmapで実施は以下のコマンドで確認しています。
　nmap -n -sT -v ＜対象IPAddress＞
　nmap -n -sU -v ＜対象IPAddress＞

でルータでデフォルト開いているポートは下記だと思います。

PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
25/tcp open smtp
110/tcp open pop3

やはりルータに定義されているアドレスに向けてのACLを記述するのが常套手段ですかね。

＞ドライゴンさん
　　
良く脆弱性情報を追っていると話題になる内容ですねい。

　↑↑↑　まさに上記推察の通りです。
　　　　　　
　

[8] mixiユーザー 06月28日 06:06

＞#単にローカルホスト（127.0.0.1）に対してACLを設定すれば良いんでしょうか・・

宛て先IPアドレスに127.0.0.1を指定する……
この有名な話を思い出してしまいました。

http://www.rubyist.net/%7Ematz/20050420.html#p02

[9] mixiユーザー 07月05日 08:50

すでに解決してそうですけど、こんなのもあります。

http://www.cisco.com/en/US/docs/ios/12_4t/12_4t4/htcpp.html#wp1155832

ログインすると、みんなのコメントがもっと見れるよ