＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

アプリケーションディテクションシステム（P2P Filter）

WAN側およびLAN側からのWinny通信を検知/破棄できるようにするアプリケーションディテクションシステム（P2P Filter）の設定例です。この例ではPPPoE による端末型インターネット接続環境を例としています。

Note - 本機能で検知できるP2P通信は、Winny Ver 2.0 β7.1です。

表 1：ISPから提供された情報

PPPユーザー名	user@isp
PPPパスワード	isppasswd
PPPoEサービス名	指定なし
IPアドレス	グローバルアドレス1個（動的割り当て）
DNSサーバー	接続時に通知される

• 事前に購入時に含まれている初期設定を削除します（設定例1を参照してください）。
  
  
• ファイアウォール（アクセスリスト）を利用して、外部からの不正アクセスを遮断しつつ、内部からはWinny通信以外は自由にインターネットへのアクセスができるようにします。
  
  
• Winnyパケットを検知した場合は、Winny通信のみを遮断する設定をします。
  
  
• LAN内に設置したsyslogサーバーへWinny検知ログ等を出力します。
  

表 2：ルーターの基本設定

WAN側物理インターフェース	gigabitEthernet 0
WAN側（gigabitEthernet 0.1）IPアドレス	接続時にISPから取得する
LAN側（vlan 1）IPアドレス	192.168.1.1/24

ルーターの設定

1. ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。
   

   ppp profile pppoe0 ↓
    my-username user@isp password isppasswd ↓
       

   
   
2. WAN0インターフェース（gigabitEthernet 0）を有効にします。
   

   interface gigabitEthernet 0 ↓
    no shutdown ↓
       

   
   
3. WAN0インターフェース上にPPPoEインターフェース（gigabitEthernet 0.1）を作成し、インターフェースを使用できるようにします。
   接続時にIPアドレス割り当ての要求を行うように設定し、このインターフェース上で使用するPPP設定情報を括り付けます。
   また、LAN側ネットワークに接続されているすべてのコンピューターがENAT（NAPT）機能を使用できるよう設定します。
   外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。
   

   interface gigabitEthernet 0.1 ↓
    ip address ipcp ↓
    ip tcp mss auto ↓
    no shutdown ↓
    pppoe enable ↓
     ppp bind-profile pppoe0 ↓
    ip napt inside any ↓
    ip ids in protect ↓
       

   
   
4. Winny通信を遮断するように設定します。
   

    ip ads protect ↓
       

   Note - Winny通信を遮断せず、検出のみとする場合はprotectパラメータを省略します。

   
   
5. LAN側インターフェース（vlan 1）にIPアドレスを設定します。
   

   interface vlan 1 ↓
    ip address 192.168.1.1/24 ↓
       

   
   
6. IPインターフェースがリンクダウンしているときでも、そのインターフェース宛の通信に応答できるように設定します。
   

   ip address-up-always ↓
       

   
   
7. デフォルトルートを設定します。
   

   ip route default gigabitEthernet 0.1 ↓
       

   
   
8. 外側からの通信を遮断しつつ、内側からの通信は自由に行えるようにするファイアウォール機能の設定をし、PPPoEインターフェース上に割り当てます。
   

   access-list ip extended pppoe0-in ↓
   access-list ip extended pppoe0-out ↓
    dynamic permit ip any any ↓
   interface gigabitEthernet 0.1 ↓
    ip traffic-filter pppoe0-in in ↓
    ip traffic-filter pppoe0-out out ↓
       

   
   
   
9. DNSリレー（プロキシーDNS）機能を有効にします。
   

   proxydns ip enable ↓
       

   
   
10. ログ出力先のsyslogサーバーを指定します。
    syslogパケットのソースアドレスはvlan 1インターフェースのIPアドレスを設定します。
    

    logging ip source vlan 1 ↓
    logging host 192.168.1.10 ↓
        

    
    
11. 設定は以上です。設定内容をstartup-configに保存します。
    

    copy running-config startup-config ↓
        

メモ

まとめ

ルーターのコンフィグ

! service password-encryption ! clock timezone JST 9 ! ! ip address-up-always ppp profile pppoe0 my-username user@isp password 8 e$QNKMe2ohmPDFnghyVppETegAA ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address ipcp ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ip ads protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown ! interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface vlan 1 ip address 192.168.1.1/24 no shutdown ! ip route default gigabitEthernet 0.1 ! access-list ip extended pppoe0-in access-list ip extended pppoe0-out dynamic permit ip any any ! proxydns ip enable ! ! logging ip source vlan 1 logging host 192.168.1.10 ! ! end

(C) 2011-2014 アライドテレシスホールディングス株式会社

PN: 613-001568 Rev.E

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）