- ベストアンサー
ルータでのFW・ソフトでのFWの違いについてどうか教えてください
色々調べたんですが微妙に分からないので教えてください。 WAN → |ルータ(FW)| → LAN内パソコン このルータのお陰でパソコンにはアタックが来ないのですよね。 ならばトロイの木馬などのウィルス系にやられている場合や、 PnP対応のルータを使用している場合は除いて、 特にポートを開けていないLAN内のパソコンへは ファイアウォールソフトの導入は必要ないのでしょうか? また、外部からルータを見ることはできるのでしょうか。 セキュリティについて、具体的な説明がされている、 良いサイトなどもあればお教え頂ければ幸いです。 宜しくお願いします。
- sunny_days5
- お礼率61% (47/76)
- ネットワーク
- 回答数4
- ありがとう数6
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
#3のJzamraiです。 ゴメンなさい、みなさんのやり取りの内容を良く吟味してみたところ、意図されている質問内容にお答えしていない部分が多いと感じたので、追記させていただきます。 まずは、外部(WAN側)から見たルータの様子について、下記のサイトで得られる診断結果が有用だと思います。 下記サービスでは、ポートが単に「閉じているのか」(closed)、「ステルス状態」(stealth)なのかといったような細かいレベルでの診断が可能です。 英語のページですが、下記の要領で操作すれば、問題なく利用できると思います。 ■Shields Up!■ ↓ http://www.grc.com/default.htm ↓ >上記のページから中段の"Hot Spots"というタイトルグループにある、"Shields Up!"というリンクをクリックする事で、当該サービスページに入れます。 ↓ ><Proceed>ボタンをクリックする事で、診断メニュー選択画面に入ります。 ↓ >中ほどの<ShieldsUP!! Services>のうち、<All Service Ports>をクリックすると、自動的にポートスキャンが始まり、しばらくすると診断結果(各ポートの状態)が色分けされてマッピングされる筈です。 診断結果がオールグリーンであり、お話のようにトロイやワームなどの感染が無い状態であれば、外部からの不正アクセスに対する防御という意味では、ほぼ安全であるといえると思います。 また、前回の書き込みで紹介した過去ログ(内の過去ログ)にもあるような、「ベンダーが勝手に作ったWAN側のサービス・ポート(バックドア的なもの)」や、その他の「仕様」など、無意識にステルス化が解かれてしまっているポートの有無を確認する事が出来ると思います。 最近は、VPNサービス機能を始め、様々な付加機能を搭載したルーターも登場してきていますが、セキュリティー的な意味合いで言うと、sunny days5さんのおっしゃるような機能以上のものが実装される事は少ないでしょう。(それ以上のセキュリティー機能となると、ルーターというよりむしろファイアーウォールやIDS/IPS(アプライアンス)としての位置付けになってくると思います。) ところで、サーバーを立てているとなると(提供しているサービスによっても変わってくるのですが)、ソフトウェア(アプリケーション)によるファイアーウォールの有益性は比較的高いものになると思います。 既述したように、既存の多くの攻撃はWWW(80/TCP)など、「正規の通信経路(ポート)」を利用して行われるため、特にサーバーを立てている場合、「通信を許可しながら監視も行う」という複雑な作業をしなければなりません。 そのためには、ルーターのパケットフィルタリングでは限界のある「プロトコルレベルやアプリケーション・レイヤ」での監視や、日々更新されるシグネチャを利用して、特定の攻撃コード(トロイやエクスプロイトなど)を名指しで捕獲するなどの対応が必要になるケースがあります。 現状では、日々新しい攻撃手法が生まれていますので、最新の脅威にタイムリーに対応し続けるためには、アップデートが容易なソフトウェアのファイアーウォールの方が有利なのは確かです。 加えて、こうしたソフトウェアによるログ情報を有効活用する事も出来ると思います。 一口にサーバーといっても、プラットフォームや運用形態によって必要な対策は変化すると思いますが、一般論で言うと、「ソフトウェア的な実装は、より具体的で、よりきめ細かい防御を実現するために利用される。」という傾向はあろうかと思われます。(「何を守るのか?」という部分が重要で、ただやみくもに導入すれば良いというものではありませんが。) 最後に、繰り返しになりますが、個々のセキュリティー対策(機能)を寄り深く理解するためには、「TCP/IPのより深い理解」が必須になると思いますので、下記定番サイトを紹介させていただき、終わりにしたいと思います。 ■@IT Security&Trust■ ↓ http://www.atmarkit.co.jp/fsecurity/ ■@IT Master of IP Network■ ↓ http://www.atmarkit.co.jp/fnetwork/ それでは。
その他の回答 (3)
こんばんは。 この手の話はネットワークの仕組みに関する基礎知識(特にTCP/IPについて)が無いと「木を見て森を見ず」といった状態になりやすいのですが、なるべく噛み砕いて書いてみますネ。 まず、「多くの市販ブロードバンド・ルータ(以下、ルータと呼びます。)が謳っているファイアーウォール機能(パケット・フィルタリング機能)」と「パーソナルファイアーウォールなどに代表されるソフトウェア(ファイアーウォール)」では、それぞれ守備範囲(監視対象)や能力に大きな違いがあり、一概に「どちらを選ぶか」という単純比較をすべきではないというのが本質だと思います。(ルータ(ハードウェア実装)のパケットフィルタリング機能も、ソフトウェアであることに変わりはありませんが、ハードウェア上に”物理的な外堀”(2つのNIC)があるという点が大きく異なります。) 簡潔に言うと、「それぞれ長所と弱点をもっていて、両者を相互補完的(同時)に利用するのがセキュリティー上は非常に効果的である。」という事になると思います。 では、それぞれの仕組みについて、もう少し詳説してみましょう。 まず、ルータの持つパケットフィルタリングの機能についてですが、最も基本となるのが、「NATとポート単位でのフィルタリング機能」ということになると思います。(もちろん、現在では各製品ともに「ステートフル・パケットインスペクション」を始めとした、より下位のレイヤでの監視機能を持つ事が増えてきましたが、この点を書き出すと話が非常に長くなってしまいますので、ここでは省きます。) ルータでセグメントが分けられていて(NATがかかっていて)、明示的にポートを開放していない場合、WAN(インターネット側)から見えるのはルータのWAN側のIPアドレスだけです。(「IPアドレス~のNICがあるが、中の様子はわからない。」という状態です。) さらに、多くのルータではWAN側のNICの存在さえ隠してしまう、「ステルス状態」に設定する事も可能です。 この状態では、外から直接内部のネットワークにアクセスする事が出来ませんし、パケット自体も内部に到達できませんから、多くのリスクを排除する事が出来、とくに常時接続環境ではルータは必須の機器となると言っても過言ではないでしょう。 ただし、ルータのファイアーウォール機能には大きな盲点があり、基本的に内部から外部への通信は全て素通りさせてしまいます。 健康な状態のLANへの外部からの直接侵入防止には高い効果を発揮しますが、一旦内部に悪意ある仕掛け(たとえば、「トロイの木馬やワーム感染」など)を施されてしまえば、危険性(悪意ある通信)を排除する事が出来ません。 「外(WAN)から内(LAN)に入れないのだから安全なのでは?」と思う方もいらっしゃるでしょうが、インターネットを利用する限り、Webやメールなどのサービス・ポート経由では発信→受信が自由なので(でなければ、意味がありませんネ。)、こうなるとルーターのファイアーウォール機能はほとんど無力になってしまいます。 そこで登場するのが、ローカルPCなどに常駐する「ソフトウェア(アプリケーション)型のファイアーウォール」という事になります。 このタイプのものも、もちろん「外→内」のパケット監視機能を持っていますが、「内→外」(自分のPCから出て行く通信)の監視をしやすいようになっています。(多くの場合、「アプリケーション制御」や「IDS機能」などと組み合わせて、より細かいチェックをしてくれます。) ただし、ルータのようにWAN側(NIC)で不要なパケットを無条件で排除できるわけではありませんので、バグや未知の脆弱性などにより、防壁を迂回されてしまうリスクは否定できませんし、パケット自体が到達してしまう以上、余計なアラートが頻発する可能性も高くなってしまいます。 結局のところ、どちらを選ぶかではなく、お互いの長所を活かして併用する事がセキュリティー上効果的であるというポイントがお解りいただけたでしょうか? ただ、現実的にはルーターを導入して「Windows Updateなどによるパッチ管理とウィルス対策」がきちんと出来ている状態ならば、パーソナル・ファイアーウォールの必要性はそれ程高くないというのも事実だと思います。(リスクはユーザーの利用の仕方(内容)でも大きく上下しますし、既述の内容はあくまで理屈の上での話という事ですね。) 最後に、今回の話に関係ありそうな、私の書き込みがある過去ログURLを貼り付けて起きますので、興味があれば、参照なさってみてください。(下記過去ログ内に、さらなる情報へのリンクもみつかるはずです。) http://okweb.jp/kotaeru.php3?q=827204 以上、参考になれば、幸いです。 それでは。
- popesyu
- ベストアンサー率36% (1782/4883)
仰るとおり必要ありません。 ただソフトウェアファイヤーウォールはそれ専用の特化しており、ログなどが残ったり、設定その他が細かくできたりが可能です。 ※ルーターでもFW機能が豊富なものであれば、同等のものがありますが、安物ルーターの場合は最低限度のものしかついていません。またルーターの場合は中から外への通信は殆どノーチェックなのでトロイに感染していても気づかない可能性も高いです。 外部からルーターにログインする?ということでしょうか。ルーターの機能・設定次第で出来るのもありますし、そもそも仕様として外から幾らでも触れるような恐ろしい欠陥をもったルーターも普通に市販されていたりします。 http://www.tatsuyoshi.net/toyota/tech/elecom/
- sin11
- ベストアンサー率32% (21/65)
ルータを導入していれば外からの浸入をほとんど防げると思います。でも万が一ルータにセキュリティホールが見つかった場合や、何らかの理由でルータを突破されたときのためにFWソフトを導入しておくのも効果的だと思います。 またルータを導入していたとしても、自分の意思でダウンロードしてきたものにウイルスが入っていた場合にその浸入を防ぐことはできません。この場合に、そのウイルスが外と接続しようとしたさいに、FWソフトをいれておけば勝手に外に出ていこうとするのを検出できるし、防ぐこともできるのでいざってときのためにFWをいれておくのはいいことだと思います。
お礼
ありがとうございます!
関連するQ&A
- ルーターとFWソフト
いつもはファイアウォールソフト(Blackice)を使ってセキュリティを固めているのですが、週末は無線LANを使う為、ルーターを通した有線LANをPCに繋ぐことになり、ルーターのFW機能とFWソフトが重複しているような感じになります。 この環境ですと、全てルーターで遮断される為かFWソフトの方は全く反応しないのですが、これは2重に防御していると考えて宜しいのでしょうか? さて本題なんですが、実はこのルーターの環境になると、ポートが塞がってしまい、FWソフトでポートを開放しても特定のポートを使うアプリが使用できません。そこでルーターの設定でポートの設定を試みたいのですが、結構な量で一つ一つ設定することができないので、1~30000ぐらいのポートをまとめて開放しよう思っています。もちろんこれはルーターで開放しても、FWソフトが守ってくれるからという考えの下で行うのですが、別に問題ないですよね? 夜中に書きなぐったのでまとまりのない文になってしまいましたが、何か分かる方がいらっしゃればご教授下さい。
- 締切済み
- ウィルス・マルウェア
- ルーターとFWについて
最近のネットワーク機器にはルーターの機能を有したFWやL3スイッチなどがございます。 どの機器をどのようにして使うべきかについて、3点質問をさせてください。 1.ルーターとルーター機能のあるFWを併用する(ルーターでインターネットの出入り口を受けて、FWに転送する)メリットはございますでしょうか。 2.1つのルーターにWANポートが2つあった場合、2つの回線(グローバルIP)を持たせることは可能でしょうか。 3.拠点間との接続にIP-WANを設定している場合、VPNとインターネット回線を1つのルーターで併用することは技術上は可能でしょうか。(機能が備わっていたとして)また、その場合注意すべき点(パフォーマンス低下、1台壊れるとなにもつなげなくなる)が他にございましたら、教えて頂ければと思います。 アドバイスの程、宜しくお願い致します。
- 締切済み
- ネットワーク
- ルータとパーソナルファイアウォールとの組み合わせ
ノートンINS2003がうまく機能しなかったので、ゾーンアラームPRO3(体験版)をとりあえず導入しました。 ところが、常にポート137(NetBIOS)に1,2分おきにアタックのログが… 全てブロックしてますし、シマンテックのオンラインスキャンでは、ポートは一応ステルス状態になってました。 そのあまりの攻撃の激しさに、ルータを導入しました。 ルータを導入したところ、まったく静かです。ルータ側のログにも攻撃らしきものも何もなく、ゾーンのログも特に何もないです。 ルータは、簡易的なファイアウォールと聞きましたが、それでも威力を実感しました。 で、みなさんはルータと、どのファイアウォールソフトを組み合わせていますか? 良かった点、悪かった点、お薦めのソフト、教えていただいて参考にしたいと思います。 あと、アクティブXを使って送り込まれるトロイの木馬の防ぎ方を知りたいです。アクティブXを無効にすると、不便ですが反面怖いです… よろしくお願いします。 ちなみに、ゾーンは軽くて初心者でも使いやすい気がします。モデム直結の時は働き者でした(笑
- 締切済み
- ネットワーク
- FWのポリシー
FWのポリシーで疑問があります。 TCP時の動作で、LAN→WANの80番を禁止にするとhttpのアクセスができません。 ではダウンロードを禁止したいとき。 データの流れ的にはWAN→LANになりますが、ポリシーをWAN→LANを禁止にしてもDLできます。 FWのポリシーとは、TCPのコネクション確立後のデータの方向でのポリシーではないのですか? WAN→LANの80番ポートを禁止にするとWANからの80番ポートへのTCPの確立を禁止するのであって、確立後のデータの流れを禁止することではないと思っていいのでしょうか? うまく説明ができませんが、ご存知のかたおりましたらご教授願えれば幸いです。
- ベストアンサー
- ネットワーク
- ルータがある場合、FWソフトがなくても外部攻撃は防げる?
現在ルータを使用していて、パソコン側にはファイアウォールソフトを入れています。基本的な質問なのですがちょっと疑問点があり質問させて頂きます。 ルータがなければファイアウォールソフトを入れなければ非常に危険な状態ですが、ルータがあればどうなんでしょうか?。というのはルータがあれば外部からの攻撃はファイアウォールソフトがなくても防げるのですよね?。ということはルータがある場合、ファイアウォールソフトを入れる目的は内部から外部に漏れるのを防ぐということですよね?。それなら別に入れなくてもウイルス対策やスパイウェア対策をしていれば、別にファイアウォールソフトは入れなくても良いのでは、Windows標準のファイアウォールで十分賄えるような気がするのです。ファイアウォールソフトを入れると、わざわざ許可、拒否するという手間が面倒で、もしファイアウォールソフトを入れなくてもそれなりに安全レベルであるならばファイアウォールソフトをアンインストールしてWindows標準のファイアウォールソフトを使用しようと思っています。ルータがある場合は、ファイアウォールソフトがなくても「外部からの攻撃」はきちんと防げるでしょうか?。また、内部からの漏れもウイルス対策やスパイウェア対策などで大体は防げるでしょうか?。やっぱりどうしてもファイアウォールソフトは入れたほうがいいのでしょうか?。回答宜しくお願い致します。
- ベストアンサー
- その他(ソフトウェア)
- ルーターのFirewall機能とNISのFirewall機能の違いがよく分からないのですが。
ADSLでインターネットをしています。Norton Internet Securityを入れてウィルス対策、トロイの木馬等の対策をしています。 友人にルーターを使用した方がより安全と言われたのですが、購入した方が良いでしょうか?インターネットにつないでいるPCは1台だけです。 ルーターのFirewall機能とNISのFirewall機能の違いは、ルーターはプライベートIPを使用するということが違うだけで、ポートをふさぐ役割については同じですか? ルーターのFirewall機能とNISのFirewall機能の違いがよく分からないのですが。
- ベストアンサー
- ウィルス・マルウェア
- 2台のルーターを繋いでネットワークを構築します
こんにちは。 私は現在ネットワーク構築について勉強しています。 以下のようにパソコンとルーターを繋ぎ、それぞれにIPアドレスを設定して2台のPCを繋げたいと思っていますが、PC1からルーター2のLANポートにpingは飛ぶのですが、PC2に飛ばすことができません。また、PC2からはルーター2にpingが飛ぶのみでルーター1には飛ばせませんでした。インターネットには接続していません。 [PC1]-----[ルーター1]-----[ルーター2]-----[PC2] IPアドレスは次のようにしました。 PC1:192.168.1.109 ルーター1(LANポート):192.168.1.1 ルーター2(WANポート):192.168.1.254 ルーター2(LANポート):192.168.2.1 PC2:192.168.2.2 ポートの接続ですが、PC1とルーター1の接続はルーター1のLAN2ポート、ルーター1とルーター2の接続にはルーター1のLAN1ポートとルーター2のWANポート、ルーター2とPC2の接続にはルーター2のLAN1ポートを使用しています。 ルーター1,2にはそれぞれLANポートが4つずつありますが、4つのLANポートそれぞれに別のIPアドレスを割り当てることはできず、同じIPアドレスを割り当てることしかできません。 ルーターはルーター1がヤマハのRT57i、ルーター2がヤマハのRT58iを使用しています。 また、ゲートウェイも次のように設定しましたが状況は変わりませんでした。 PC1:192.168.1.1 ルーター1(LANポート):192.168.1.109 192.168.1.254 ルーター2(WANポート):192.168.1.1 ルーター2(LANポート):192.168.2.2 PC2:192.168.2.1 この場合はどこがダメでPC2台が繋がらないのでしょうか。 あるいはルーターとPCの接続にはそれぞれLANポートを使い、ルーター同士の接続ではWANポート同士を繋いでを以下のようにIPアドレスを設定した場合はどうでしょうか。 PC1:192.168.1.109 ルーター1(LANポート):192.168.1.1 ルーター1(WANポート):192.168.10.1 ルーター2(WANポート):192.168.10.2 ルーター2(LANポート):192.168.2.1 PC2:192.168.2.2 ご回答を宜しくお願いいたします。
- 締切済み
- ネットワーク
- Firewallを導入する意味
初歩的な質問で恐縮です。 ホームオフィスのような環境で個人で仕事を始めた友人にFirewall導入の要否を質問されたのですが、、Firewallを導入する意味がよくわからなくなってきました。 例えば、個人宅でインターネット契約する時にISPから提供されるルータでインターネットをしますが、その状態だけでも外からのアタックは防げますよね?ルータがあれば外(WAN側)から内(LAN側)へアクセスはできないはずなので(外ー内のルーティングを設定しない限り)。 となると、Firewallを導入する理由は、 -内←→外へのアクセスでPort制限する -DMZ上に置いたWebサーバを外部に公開する とか、そのような状況のみに必要で上記の友人のような環境では、不要でしょうか? または、Firewallを導入しないでルータだけだと実はLAN内のPCに不正アクセスされる可能性が高いとか、かなり危険なのでしょうか?
- ベストアンサー
- ネットワーク
- ルーターネットワークを分けるにはどのポートにさす
こんにちは。ネットワークを勉強しているものです。ルーターについてお教えください。 私の持っているルーターはWANのポートが1つ、LANのポートが4つあります。XというネットワークとYというネットワークをルーターで区切る場合、どのポートへLANケーブルをさしたらいいのでしょうか? インターネットに出ない場合はWANポートにささずに、LAN1、LAN2にケーブルをさして、設定でLAN1はX、LAN2はYというように設定するのでしょうか? 本を読んでいて、ルーターはネットワークを分けるもの。と書かれているのはわかりましたが、では具体的にどこのポートにさせばいいのか?という疑問があり質問させていただきました。
- ベストアンサー
- ネットワーク
- アライドルーターの、FW/NAT設定
こんにちは 最近自宅サーバーを始めようと思い、アライドテレシスのルーター(AR260S V2)を購入して設定しているのですが、FW/NATの設定のところで、 「eth0(wan)」、「pppoe0(wan)」、「pppoe1(wan)」といったタブがあり、切り替えてそれぞれの設定をするようになっているのですが、それらの違いがわかりません。 とりあえずは、メーカーホームページの設定例集を見ながらなんとか外部から自宅のサーバー機へアクセスする事は出来たのですが、設定自体の意味がわかってないとあまり意味がないなと思い、質問させて頂きました。 自分で検索してみた結果、「eth0」はnic、「pppoe」はpppがイーサネット上でも使える、という意味だろうという事はわかったのですが、その2つそれぞれに対してFW/NATの設定をする、という場合には、また違った意味で捉えなければいけないのかなと思いました。 的外れな質問でしたらすみません よろしくお願い致します。
- ベストアンサー
- ネットワーク
お礼
ご丁寧にありがとうございます。参考になります。 考え方としては間違っていないことが分かったのですが、 >ルータのFW機能が豊富なものもあれば‥ これは具体的にはどのような機能なのでしょうか。 私が自作サーバで使用しているのは5,000円前後のもので、ポートフォワーディングやステルス機能、 アタックブロックにパケットフィルタで十分だと思っていました‥。 また、外部からルータにもアクセスできるのですね、驚きです。 もしよろしければ方法もお教え頂ければと思います。 とにかくありがとうございました。参考にさせて頂きます。