自宅 YAMAHA ルータの「不正アクセス検知」機能を有効にしてみたら「ICMP too large」なる内容で大量に検知されてしまって、対処に割と苦戦した。
まとめ
- (今回の) ICMP too large の原因は iOS デバイスらしく、ググるとよくあることらしい
- コマンドで有効にした不正アクセス検知設定を GUI で無効にしたところ、対象範囲が違っていたようで無効にできておらずハマった
- それはそうと ICMP の検知設定をすべて無効にする対応はちょっと雑すぎるので、より良い方法があるなら知りたい
自宅環境
- YAMAHA NVR700W (Rev.15.00.23)
- IPoE で IPv6 インターネットに接続
- MAP-E トンネルくぐって IPv4 インターネットに接続
やったことログ
(ルータの Web GUI をポチポチしているとき)
「不正アクセス検知」機能使ったことなかったな、有効にしてみるか
ip lan1 intrusion detection in on reject=on
ip lan1 intrusion detection out on reject=on
tunnel select 1
ip tunnel intrusion detection in on reject=on
ip tunnel intrusion detection out on reject=on
(※ MAP-E トンネル使ってるのでインタフェースが tunnel になっている)
→ 数分後、ルータがピーピー鳴り出す
ダッシュボードみると「ICMP too large」なる不正アクセス検知履歴が大量に
送信元 IP (ローカル IP) を調べる
→ iPhone っぽい
送信先 IP を調べる
→ Apple の IP っぽい
「ICMP too large」 でググる
→ iOS ではよくあることらしいが、有効な対処方法を見つけられず
MAP-E インタフェースで検出されているから MAP-E の ICMP 検出を止めれば良いんじゃろ? (GUI で無効化)
→ 止まらない
ダッシュボードには「不正アクセス検知」とエラーが出てピーピー鳴っているが、各インタフェースの検出履歴を見てもどこにも検出履歴がない
→ ???
めんどくさいので、GUI の「不正アクセス検知」設定画面から全 ICMP の検知止めてやろ
→ 止まらない
サポートに泣きつく
→ 「OUT 方向も止めるんやで」
なるほど〜 (それはそう)
ip lan1 intrusion detection out icmp off
tunnel select 1
ip tunnel intrusion detection in icmp off
→ 止まった〜〜〜
ハマりポイント
「GUI だと検知対象のプロトコルごとに IN/OUT が決まっておりいずれかの設定しか操作できないが、コマンドだと両方設定できる」
例えば ICMP の不正アクセス検知は GUI から設定できるのは「IN 方向」と決まっており、GUI からだと IN 方向の設定しか操作できないが、コマンドからだと OUT 方向の設定もできる。
今回は、最初にコマンドで type を指定せずに (= 全種類の) IN/OUT の検出を有効にして、さらに GUI から無効化を試みたため、ICMP OUT 方向は有効化されたままになった。
→ GUI ですべて無効化したつもりが無効化できておらず、検出され続けるという事態に
まぁ確かに、インタフェースの IN/OUT どちらかで検出できればいいもんな...
コマンドでの設定例
コマンドで GUI と同様に設定するには、下記のようにひとつひとつ有効化していくしかなさそう。
ip lan1 intrusion detection in on
ip lan1 intrusion detection in ip on reject=on
ip lan1 intrusion detection in ip-option on reject=on
ip lan1 intrusion detection in fragment on reject=on
#ip lan1 intrusion detection in icmp on reject=on
ip lan1 intrusion detection in udp on reject=on
ip lan1 intrusion detection in tcp on reject=on
ip lan1 intrusion detection in default off