これは珍しい事で、南東カメラは機能が停止したりイニシャライズされる事が、多い日だと数回は起きていた。
南西カメラは毎日15時15分頃に機能停止していた。
中国も休みだから攻撃が止まったとか?
いや旧正月は休むが、年末年始は余り休まないと思うけどなぁ、中国は。
カメラはV6+接続用に使っているNEC製ルータをデフォルトゲートとし、外部からのパケットをフィルタする設定のみ行っていた。
通常は(NATやUPnPも設定していないので)外部からカメラへのアクセスは出来ない筈だ。
しかしカメラがどこかにアクセスすれば、その応答としてカメラはデータを受信出来る(NEC製ルータのフィルタの場合)。
中華カメラのUPnPはDisableにしているが、設定にかかわらずUPnPが動くとかDDNSが動くなどと言う事があるかも知れないので、外部からカメラ宛てのパケットを制限するフィルタを設定してみた訳だ。
しかし特段変わらなかった。
今回はカメラから外部へ出ていくパケットも制限してみる事にする。
通過させるのはF&FのWebサーバとNTPサーバとの通信だけにしている。
フィルタの設定をしてみたのだが、インターネット経由でカメラの画像を見る事が出来る。
カメラからInternetに出ていく方向も、Internet側からカメラに入ってくる方向も塞いでみてもダメなのだ。
フィルタはIPv4側で設定したのだが、実はIPv6で動いているとか?
そこでIPv4専用ルータを通してみる事にした。
IPv4用のルータとV6+のルータは言わば並列に接続されていて、IPv4のルータをスルーしてIPv6のルータにパケットが入っていく事はない。
カメラに設定するデフォルトルータを、IPv4のルータにしてv4のルータにフィルタを設定すると、画像が表示されなくなった。
カメラの設定にはIPv6に関しては何もないのだが、中華サーバあるいはアプリとはIPv6でも通信するのだ。
IPv6だとDHCP的なアドレス振り出しの仕組みがなくても、ルータがアドレスを振り出す(SLAAC)。
なのでカメラがIPv6に対応して、固定IPアドレスで無い限り、接続に必要な情報はルータから通知される。
v6側にフィルタを設定する手もあるのだが、v6側の(カメラに対する)アドレスは自動振り出しなので少々面倒だ。
で、IPv4専用ルータにカメラを接続した。
v4接続のルータはバッファロー製を使っている。
バッファローのルータのフィルタ情報ページには、そこを通過しようとしたパケット数が表示される。
ちなみにNEC製は表示されない。
バッファロー製はフィルタ設定の変更が可能だが、NEC製はいったん消してから再設定をしなければいけない。
フィルタ設定はNEC製のルータよりもバッファローの方が数段良く出来ている。
フィルタに引っかかった或いは通過したパケットを見ると、カメラからどこかに何かの情報を出そうとしている事が分かる。
どこ宛てにデータを送ろうとしているのかを調べるには、スイッチングではないHUBが必要だ。
どこかにしまってあった気がするのだが、宛先が分かった所でどうにもならないか。
家庭用ルータのフィルタ機能に関してはよく分からないのだが、NECのルータのフィルタはestablished、つまりカメラからのデータに対する応答だった場合は、暗黙的にフィルタを通す。
カメラが中華サーバにアクセスし→中華サーバが応答する場合は、カメラからのアクセスが先なのでフィルタを突破出来る。
バッファローのルータはestablishedではなく、Ackフラグがあろうがなかろうがフィルタを設定すると引っかかる。
NECのルータではカメラ→Internet方向だけポート123のUDP(NTPサーバへのアクセス)を許せば時刻同期が行われるが、バッファロー製の場合はInternet→カメラ方向の許可フィルタも設定しないとNTPサーバとの通信が出来ない。
しかし通信に使用するポートなど都度変わる訳なので、NTPサーバのIPアドレスで通過フィルタを設定する。
NTPサーバは普通はFQDNで設定し、IPアドレスを直接書く事は余り行わない。
それはNTPサーバ側で負荷分散などを行う場合があり、IPアドレスを直接指定すると不都合が起きるからだ。
ただしルータのフィルタ設定でFQDNは使えず、仕方がないのでNTPサーバのIPアドレスを書いた。
にほんブログ村
この記事へのコメント