今朝、いつものようにネットを見ていたら以下のような報道を目にした。
既に事前調査めいたポートスキャンもされているらしく、データを取られている方もいる。
自分でも調べてみるとNICTではなく総務省の報道資料に今回から実施される「特定アクセス行為」(と呼称するそうな)についての資料があった。
上記資料の別紙1で「特定アクセス行為の送信元の電気通信設備に割り当てられるアイ・ピー・アドレス」も明記されている。
もっとこう、フィルタ書く側の身にもなれよ!と言いたくなるような歯抜け具合であるが、ともあれ資料を信じる限りここに記載されているIPアドレスから「特定アクセス行為」なる合法不正アクセスがなされるようだ。
人それぞれ思うところもあるだろうが、私個人として家庭内LANに侵入されてくるのはいい気持ちがしない。
というわけで、フィルタルールを書いて上記からの通信を遮断する。
現在自宅ではYAMAHAのRTX1200を利用している。
以下のようにフィルタルールを記述し、上記41個のIPアドレスからの通信を遮断する。もう面倒だからプロトコルの指定はしない。アクセスがあったら問答無用でブロックだ。
サブネットマスクでまとめるのが美しい記述なのだろが、これも計算が面倒だったので全て32bitで記述する。
#ip filter 4001 reject 153.231.215.11/32 * * * *
#ip filter 4002 reject 153.231.215.12/32 * * * *
#ip filter 4003 reject 153.231.215.13/32 * * * *
#ip filter 4004 reject 153.231.215.14/32 * * * *
#ip filter 4005 reject 153.231.216.179/32 * * * *
#ip filter 4006 reject 153.231.216.180/32 * * * *
#ip filter 4007 reject 153.231.216.181/32 * * * *
#ip filter 4008 reject 153.231.216.182/32 * * * *
#ip filter 4009 reject 153.231.216.187/32 * * * *
#ip filter 4010 reject 153.231.216.188/32 * * * *
#ip filter 4011 reject 153.231.216.189/32 * * * *
#ip filter 4012 reject 153.231.216.190/32 * * * *
#ip filter 4013 reject 153.231.216.219/32 * * * *
#ip filter 4014 reject 153.231.216.220/32 * * * *
#ip filter 4015 reject 153.231.216.221/32 * * * *
#ip filter 4016 reject 153.231.216.222/32 * * * *
#ip filter 4017 reject 153.231.226.163/32 * * * *
#ip filter 4018 reject 153.231.226.164/32 * * * *
#ip filter 4019 reject 153.231.226.165/32 * * * *
#ip filter 4020 reject 153.231.226.166/32 * * * *
#ip filter 4021 reject 153.231.226.171/32 * * * *
#ip filter 4022 reject 153.231.226.172/32 * * * *
#ip filter 4023 reject 153.231.226.173/32 * * * *
#ip filter 4024 reject 153.231.226.174/32 * * * *
#ip filter 4025 reject 153.231.227.195/32 * * * *
#ip filter 4026 reject 153.231.227.196/32 * * * *
#ip filter 4027 reject 153.231.227.197/32 * * * *
#ip filter 4028 reject 153.231.227.198/32 * * * *
#ip filter 4029 reject 153.231.227.211/32 * * * *
#ip filter 4030 reject 153.231.227.212/32 * * * *
#ip filter 4031 reject 153.231.227.213/32 * * * *
#ip filter 4032 reject 153.231.227.214/32 * * * *
#ip filter 4033 reject 153.231.227.219/32 * * * *
#ip filter 4034 reject 153.231.227.220/32 * * * *
#ip filter 4035 reject 153.231.227.221/32 * * * *
#ip filter 4036 reject 153.231.227.222/32 * * * *
#ip filter 4037 reject 153.231.227.226/32 * * * *
#ip filter 4038 reject 153.231.227.227/32 * * * *
#ip filter 4039 reject 153.231.227.228/32 * * * *
#ip filter 4040 reject 153.231.227.229/32 * * * *
#ip filter 4041 reject 153.231.227.230/32 * * * *
YAMAHAのネットワーク機器の場合、フィルタルールを記述する際に番号をつける。
ルールを適用する場合はNICに対してフィルタルールの番号を記述すればよい。慣れれば楽だしCUIでも見通しがよくなるので好きだ。
RTX1200ユーザの場合、LAN2をWAN側のポートとするのが一般的だろう。我が家もそのようにしている。
というわけで、フィルタを適用するため最後に以下のように記述する。
#ip lan2 secure filter in 4001 4002 4003 4004 4005 4006 4007 4008 4009 4010
4011 4012 4013 4014 4015 4016 4017 4018 4019 4020 4021 4022 4023 4024 4025 4026
4027 4028 4029 4030 4031 4032 4033 4034 4035 4036 4037 4038 4039 4040 4041
後はsaveして終了。
IoT機器に対してセキュリティレベルをあげるべき、という課題については十分理解できる。とはいえ今回のやり方については正直いかがなものかと思っている。いくらなんでも乱暴すぎるではないか。
