【へたれエンジニア】せくしーえんじにあ目指してw -14ページ目

【へたれエンジニア】せくしーえんじにあ目指してw

開業して丸3年経過しました。
いちおー実績のある内容しかアップしませんが、あくまで自分の仕事用メモなのでまねして失敗しても保証しません(笑)
尚、なるべく安価に構築するのが最近の命題なので、フリーのツールも多用していきますw

RTX1200用

GUIインターフェイスを起動すると不正アクセス検知でLand attackの情報が。。。
以下の設定が効いていた模様
ip pp intrusion detection in on

1.Logを確認

> show ip intrusion detection

PP[01][in]
---------------------------------------------------------------------
Configuration:
IP: on (pass)
IP Option: on (pass)
Fragment: on (pass)
ICMP: on (pass)
UDP: on (pass)
TCP: on (pass)
FTP: on (pass)
Winny: on (pass)
Share: on (pass)
Default: on (pass)
Log:
2010/11/25 15:53:15: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 12:24:53: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 12:26:07: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 12:29:48: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 12:34:01: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 12:36:01: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 12:42:14: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 13:33:40: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 13:39:11: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 13:40:12: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 13:42:26: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 13:44:31: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 13:58:27: Land attack 133.176.200.xxx > 133.176.200.xxx

2.攻撃に対処するフィルタ定義投入
ip filter 60 reject 133.176.200.0/24 * * * *
ip filter 61 reject 10.0.0.0/8 * * * *
ip filter 62 reject 172.16.0.0/12 * * * *
ip filter 63 reject 192.168.0.0/16 * * * *
ip filter 70 reject * 133.176.200.0/24 * * *
ip filter 71 reject * 10.0.0.0/8 * * *
ip filter 72 reject * 172.16.0.0/12 * * *
ip filter 73 reject * 192.168.0.0/16 * * *
ip filter 99 pass 133.176.200.0/24 * * *
ip filter 100 pass * 133.176.200.0/24 * * *

3.前項設定の定義をフィルタに追加

pp select PP番号(WAN側インターフェイスを指定)
ip pp secure filter in 60 61 62 63 100
ip pp secure filter out 70 71 72 73 99

4.インターネット側へのoutboundの不正アクセス検知機能も有効化
ip pp intrusion detection out on

5.以下のコマンドを投入(取りあえず "Land attack"と"ICMP source quench"のみ)
ip pp intrusion detection in on
ip pp intrusion detection in ip on reject=on
ip pp intrusion detection in ip-option on reject=off
ip pp intrusion detection in fragment on reject=off
ip pp intrusion detection in icmp on reject=on
ip pp intrusion detection in udp on reject=off
ip pp intrusion detection in tcp on reject=off
ip pp intrusion detection in default off
ip pp intrusion detection out on
ip pp intrusion detection out ftp on reject=off
ip pp intrusion detection out winny on reject=on
ip pp intrusion detection out share on reject=on
ip pp intrusion detection out default off

Logを確認
> show ip intrusion detection

PP[01][in]
---------------------------------------------------------------------
Configuration:
IP: on (reject)
IP Option: on (pass)
Fragment: on (pass)
ICMP: on (reject)
UDP: on (pass)
TCP: on (pass)
FTP: off
Winny: off
Share: off
Default: off
Log:
(no intrusions are detected)

PP[01][out]
---------------------------------------------------------------------
Configuration:
IP: off
IP Option: off
Fragment: off
ICMP: off
UDP: off
TCP: off
FTP: on (pass)
Winny: on (reject)
Share: on (reject)
Default: off
Log:
(no intrusions are detected)

不正アクセスがあったときのLog

2010/11/25 15:53:15: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 12:24:53: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 12:26:07: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 12:29:48: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 12:34:01: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 12:36:01: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 12:42:14: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 13:33:40: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 13:39:11: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 13:40:12: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 13:42:26: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 13:44:31: Land attack 133.176.200.xxx > 133.176.200.xxx
2010/12/01 13:58:27: Land attack 133.176.200.xxx > 133.176.200.xxx









【へたれエンジニア】せくしーえんじにあ目指してw-不正アクセス検知02【へたれエンジニア】せくしーえんじにあ目指してw-不正アクセス検知01
startコマンド

start .
カレントディレクトリをエクスプローラで表示

以下のように指定したフォルダを表示することも可能
start C:\WINDOWS\system32\drivers
事前に以下をダウンロード
WindowsInstaller-KB893803-v2-x86.exe
WindowsServer2003-KB967715-x86-JPN.exe

テキストエディタに以下を記述して拡張子を.batで保存
任意の名前.bat

記述内容↓

@echo on
echo.
WindowsInstaller-KB893803-v2-x86.exe /quiet /norestart
echo.
WindowsServer2003-KB967715-x86-JPN.exe /quiet /norestart
echo.
echo.
echo.
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /t REG_SZ /d @SYS:DoesNotExist /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveAutoRun /t REG_BINARY /d 01100100 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v HonorAutoRunSetting /t REG_DWORD /d 1 /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f
echo.
SHUTDOWN -R -T 15
echo.
exit

先にダウンロードしたファイルと同一フォルダにbatファイルを格納

当該サーバにて実行
着呼側Roosterの設定

相手先名称:任意の識別子
 相手先電話番号1:データカードの回線番号
[発信]
 送信ユーザID
 送信パスワード
 認証プロトコル 相手先に合わせる
 DNSサーバアドレス -
 通信チャネル1 1B (PIAFS Ver.2.1)
 使用するチャネル チャネル1、以下の時間帯のみチャネル2に変更
  通信チャネル2 1B (PIAFS Ver.2.1)
  通信チャネル2の時間帯 任意の時間
 接続モード LAN型接続
 コールバック発信 なし
  折り返し電話番号 発呼側回線番号
[自動切断]
 最大接続時間 任意の時間
 自動切断タイマ9999 秒
 使用するタイマ 常にタイマ1
  自動切断タイマ0 秒
  タイマ2の時間帯 任意の時間
  終了時刻で強制切断 しない
[自動接続制限]
 料金による制限 3000/7 円/日
 接続回数による制限 1000/60回/分
 最大接続時間経過後の自動接続 許可
 時間帯による制限 制限なし
  自動接続可能な時間帯 任意の時間
  終了時刻で強制切断 しない
[着信]
 相手からの着信 応じる
 受信ユーザID
 受信パスワード
 認証プロトコル 相手先に合わせる
 コールバック着信 不許可
  折り返し電話番号 -
 通信チャネル 2B(128Kbps)まで許可
 時間帯による着信制限 制限なし
  着信を許可する時間帯 任意の時間
  終了時刻で強制切断 しない
[暗号化]
 暗号化 しない
 鍵配送鍵
 データ鍵更新時間 30分ごと
《送料無料》サン電子 モバイルカード対応高信頼性アクセスルータRooster-RW Pro(S...

¥46,302
楽天


要件
1.VPNルータの納期や設定が間に合わない場合に一時的にデータカードを使用して拠点にアクセス可能にしたい
2.PSTN網で電話番号及びID/パスワードによる認証を併用するため、コールバック要求による認証を行わない

下記のコンパクトフラッシュ型/PCカード型等各種モバイルデータ通信カード対応のアクセスルータを使用(Rooster-RW Pro)

WILLCOM:AIR-EDGE PRO/AIR-EDGE/Two LINT
NTT docomo:FOMAデータ通信専用機種
SoftBank Mobile:コネクトカード
KDDI:CDMA1XWIN高速データ通信カード

実際に設定したのはWILLCOMのAX420S(SII製)のみ


1.Rooster-RW ProのLANポートに設定用パソコンを接続
2.モバイルカードをRooster-RW Proのカード差し込み口に挿入
3.Rooster-RW Proの電源投入(電源スイッチは無いのでACアダプタをコンセントに接続)
4.設定用パソコンの電源投入
5.設定用パソコンのローカルエリア接続のプロパティをDHCPに設定(「DNSサーバアドレスを自動取得に設定)
6.Webブラウザ起動
7.Webブラウザのアドレス入力欄に、Rooster-RW ProのLAN側IPアドレス「http://192.168.62.1/」(工場出荷時状態)を入力し、Enter Key押下
8.ログインダイアログボックスが表示されるので以下を入力後「OK」BTN押下
 ユーザー名:admin
 パスワード:1234(工場出荷時状態)
9.設定ツールが表示されたら、メニュータブの[モバイルカード]を押下
10.基本設定の「モバイルカードを使用する」を選択
11.接続方法の「RASとして使用する」のラジオBTNにチェックを入れ、以下を入力後「設定」BTNを押下
  ユーザ名:着信を受けるための任意のユーザ名
  パスワード:着信を受けるための任意のパスワード
12.再起動を促すダイアログが表示されるので、「後で再起動する」BTNを押下
13.メニュータブの[設定]タブを選択し、以下を設定
LANIPアドレス:
    LANIPアドレス
    サブネットマスク
IPアドレスを指定するラジオBTNにチェックを入れる
WAN/RAS IPアドレス:
    WAN IPアドレス
    サブネットマスク
    ゲートウェイ/クライアント割り当てIPアドレス(対向ルータまたはDSU)
14.「設定」BTNを押下し、Rooster-RW Proを再起動
15.再起動後、設定ツールを起動
16.[基本設定] の[モバイルカード] を選択
17. [電話番号認証の設定]で[制限する]ラジオBTNにチェックを入れる
18.[電話番号の指定]BTNを押下
19.「電話番号認証 リスト」 ウィンドウに発呼側電話番号を入力し、[設定] を押下

発呼側MN128SOHOの設定


《送料無料》サン電子 モバイルカード対応高信頼性アクセスルータRooster-RW Pro(S...

¥46,302
楽天