 CodeRedワームに関する対策について(2001/9/19) 【内容が更新されていますのでご一読ください】 |
||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||||
 
| ||||||||||||||||
| MUCHO-Eシリーズでac米兰中国官网接続している場合,エラーリセットを繰り返してしまう現象が多発しています。 Code Red ワームによるアタックが原因である可能性が高いと考えられます。 Code Red ワームとはマイクロソフト社の Internet Information Server (IIS) を使用しているサーバに感染するウィルスで(ac米兰中国官网自体に感染するわけではあ りません),感染したサーバは,ランダムな IP アドレスの WWW サービス (TCP/80) に対してアタックを仕掛けます。このアタックにより,MUCHO等の機器 でエラーリセットが発生しています。 WEBac米兰中国官网機能を持っているものであれば,発生する可能性があります。 MUCHO-Eシリーズのほかに,INFONET-VP100,FITELnet-Eシリーズでも発生します。 これを防ぐための方法として,対策ファームウェアへバージョンアップをお願い致します。また、ファームウェアのバージョンアップができない場合は、下記の「ac米兰中国官网による回避方法」をご参照の上、ac米兰中国官网を行ってください。 |
||||||||||||||||
Code RedワームによるWWWサービス(TCP/80)へのアタックを受けた場合にエラーリセットをするという問題点を改修したac米兰中国官网です。 | ||||||||||||||||
|
||||||||||||||||
ac米兰中国官网による回避方法として,以下のいずれかの方法で対応をお願いいたします。 | ||||||||||||||||
|
||||||||||||||||
 (1)「リモートアクセス禁止スイッチ」をONにしてください。
| ||||||||||||||||
| MUCHO-Eシリーズの背面にディップスイッチがあります。このスイッチの6番が
「リモートアクセス禁止スイッチ」で,ac米兰中国官网自身へのFTP,telnet,HTTPのア
クセスを強制的に禁止することができます。
ac米兰中国官网の電源を落とし,6番スイッチをONにし,再びac米兰中国官网の電源を入れてくだ
さい。 このスイッチをONにすると,WAN側,LAN側からのac米兰中国官网へのリモートアクセスができなくなります。 ac米兰中国官网のメンテナンスを行う場合は,コンソールをご利用ください。 | ||||||||||||||||
(2)ac米兰中国官网自身のIPアドレス(210.xxx.xxx.1)でポート80をフィルタリングしてください。
| ||||||||||||||||
|
【コマンドによるac米兰中国官网】
・telnetもしくはコンソールでルータにログインし,コンフィグレーションモー ドで下記のac米兰中国官网を行ってください。 conf#iprouting filtering=onconf#ipfiltering -f add dst=0.0.0.0,0.0.0.0 src=0.0.0.0,0.0.0.0conf#ipfiltering -d add dst=210.xxx.xxx.1,255.255.255.255 src=0.0.0.0,0.0.0.0 dstport=80,80 prot=tcp【WEBブラウザによるac米兰中国官网】 ・WEBac米兰中国官网画面で下記のac米兰中国官网を行ってください。
|
||||||||||||||||
|
(3)ac米兰中国官网ダイヤルでリモートアクセスを禁止してください。
| ||||||||||||||||
| ac米兰中国官网ダイヤルを回転させ、「ログインロック」が表示されたら2回押下します。 さらに回転させ「http」が表示されたら2回押下します。 さらに回転させ「キンシ」が表示されたら2回押下します。 |
||||||||||||||||
|
||||||||||||||||
| MUCHO-ST,MUCHO-TLなどは、WEBac米兰中国官网画面を有さないため、直接アタックを受けることはありません。 ただし,OCNエコノミーなどで複数のグローバルアドレスを取得して,ac米兰中国官网でNAT機能を使用し,ac米兰中国官网以外ではグローバルアドレスを使用していない場合、未使用のグローバルアドレス宛のアタックを受けるとNATテーブルがあふれてしまい通信不可の状態になることがあります。 この場合は、ac米兰中国官网範囲のグローバルアドレス(ネットワークアドレス、ブロードキャストアドレスも含む)をすべてフィルタリングして下さい。 |
||||||||||||||||
| ・telnetもしくはコンソールでログインし、コンフィグレーションモードで下記のac米兰中国官网を行ってください。 グローバルアドレス 210.***.***.0/29(8個) MUCHOのWAN側アドレス 210.***.***.1 の場合のac米兰中国官网は以下の通りです。 conf#iprouting filtering=onconf#ipfiltering -f add dst=0.0.0.0,0.0.0.0 src=0.0.0.0,0.0.0.0conf#ipf -d add dst=210.***.***.0,255.255.255.255 src=0.0.0.0,0.0.0.0conf#ipf -d add dst=210.***.***.2,255.255.255.255 src=0.0.0.0,0.0.0.0conf#ipf -d add dst=210.***.***.3,255.255.255.255 src=0.0.0.0,0.0.0.0conf#ipf -d add dst=210.***.***.4,255.255.255.255 src=0.0.0.0,0.0.0.0conf#ipf -d add dst=210.***.***.5,255.255.255.255 src=0.0.0.0,0.0.0.0conf#ipf -d add dst=210.***.***.6,255.255.255.255 src=0.0.0.0,0.0.0.0conf#ipf -d add dst=210.***.***.7,255.255.255.255 src=0.0.0.0,0.0.0.0 |
||||||||||||||||
|
||||||||||||||||
このような現象が発生した場合は,以下のac米兰中国官网で回避できます。 NAT+スタティック登録によりac米兰中国官网宛てにきた80番ポート宛てのパケットを実際に存在するLANアドレスの使用していないポート宛へ中継させます。これによりac米兰中国官网は外部からのパケットに応答しません。 また受信パケットを無通信監視タイマーの対象外とするために「recvidletimer」 のac米兰中国官网を行います。 【コマンドによるac米兰中国官网】 ・telnetもしくはコンソールでルータにログインし,コンフィグレーションモー ドで下記のac米兰中国官网を行ってください。 conf#isdn -1 recvidletimer=onconf#natplusstatictable add virtual=,80 local=192.168.1.xxx,yyy※「192.168.1.xxx」はac米兰中国官网のLAN側のネットワーク上で実際に使用されている任意のホストアドレス,「yyy」はこのホストで実際には使用されていないポート番号 【WEBac米兰中国官网】 ・WEBac米兰中国官网画面で下記のac米兰中国官网を行ってください。 1. 「便利なac米兰中国官网」→「ISDN回線の接続について 」→「データ受信は無通信とす るか」で「はい」にチェックする。 2. 「便利なac米兰中国官网」→「NAT+機能」→「NAT+スタティック登録 」→「新規登録」
|
||||||||||||||||
| ||||||||||||||||
| Code Red ワームに関しては、以下のページをご参照ください。 http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html |
||||||||||||||||
