ASUSルーターのパケットフィルタについて

あらためてASUSのRT-AC65Uを調べてみました・・・が
ASUSの公式webサイトに日本語マニュアルが公開されていたので見てみると

・ASUS RT-AC65U user's manual in Japanese
　https://dlcdnets.asus.com/pub/ASUS/wireless/RT-AC65U/J11433_RT_AC65U__Manual.pdf

セキュリティに関する事となると、P.70で記述されているDoS (Denial ofService) 攻撃からネットワークを保護する機能の有効/無効を設定する(デフォルトで有効になっている)以外は

・web閲覧を制限する「URLフィルター」「キーワードフィルター」
・LAN側からWAN側へのパケット交換、およびTelnetやFTPといった特定のWebサービスに対してのアクセスを制限するだけの「ネットワークサービスフィルター」

くらいしか存在していませんね。

135・137・138・139番ポート(NetBIOS on TCP/IPのTCPプロトコル及びUDPプロトコル)を遮断とか445番ポート(Microsoft-DSのTCPプロトコル及びUDPプロトコル)を遮断とかはやっていない模様ですね。

更にWAN側からルータに対して53番ポートを遮断してDNSオープンリゾルバ対策をするとか、WAN側からLAN側及びLAN側からWAN側への不正なIPフレームを遮断してIPアドレス スプーフィング(なりすまし)を防止したりとかは一切考慮していない様です。

ネットワークフィルターで曜日毎に設定を変更出来る様子から見ると、セキュリティというよりはwebを閲覧できる時間帯を決めるとかの家庭内でのルールを構築させるような代物にも見えてしまいますが。

ASUSが売りにしているトレンドマイクロ社から提携されているセキュリティ技術のAiProtectionに関しては、ルータ側が勝手にデータベースサーバにアクセスをして判断する様ですので、ユーザー側で細かなルールを設定する事が出来ない様です。

・ASUS FAQ：AiProtectionのメカニズム
　https://www.asus.com/jp/support/FAQ/1030831

ASUS側としてはユーザーに細かなセキュリティ設定をさせずに、メーカーで用意したモノだけで運用してほしいみたいな・・・何があってもASUSとしては保証はしないけれどもセキュリティに関しては慎重にならないで外部からのアクセスも気にしないでその代わり無線LANの性能は高いからみたいな、そんな意図も感じ取れますけどね(笑)

そういえば、NTT-MEが世に出したMN128SOHOはダイアルアップルータとしてはかなり高性能でフィルタリング設定とかもかなり細かく行えた様な記憶が・・・あの機器と今どきの安っぽい無線LANルータを比較するのはちょっと可哀そうな気もしますが。

＞今まで関わったルーターでは例外なくTCP/UDP　135,137,138,139,445などは最初から設定してありましたが

とありますが、今までかかわったルータとはYAMAHAとかの半ばセミプロが使う様なルータだったのでしょうか？

BUFFALOを始めとする家庭向けの無線LANルータは、パケットフィルタ機能が極めて雑に作り込まれていて、中にはメーカーが勝手に決めたフィルタリングルールが強制的に適用されていて設定変更が全く出来ない機種もあればフィルタリングを全くやっていない素通しの機種も存在します。

セキュリティの強化を目的とするのであれば、無線LANルータはあくまでもブリッジ(AP)モードで運用しておくのが最善なのではないでしょうか・・・管理する機器が増えてしまって手間になってしまうのですが。

機種は異なりますが、同様に「AiProtection」を搭載したRT-AX56Uの価格.comのレビューに「IPフィルタの弱さが致命的」という評価がありますね。

価格.com｜RT-AX56U
https://review.kakaku.com/review/K0001252008/ReviewCD=1427306/