- ベストアンサー
パーソナルファイアーウォールの必要性
現在ブロードバンドルータのNAPT機能を使用して、インターネットへアクセスしています。 別の記事で、「ルータのファイアーウォールが破られたとき、PCにパーソナルファイアーウォールがあると不正な侵入がそこで防げる・・・・・」というような記述がありました。 NAPT機能の記事を読む限りでは、外から内部のプライベートアドレスを持つPCへのアクセスは不可能なように思えるのですが、「ルータのファイアーウォールを破って内部のPCにアクセスする」とは、どういうことなのでしょうか。 また、本当に「ルータのファイアーウォールが破られ」るような強力な攻撃を受けた際に「PCにパーソナルファイアーウォールがあると不正な侵入がそこで防げる」ことがあるのでしょうか。 「玄関の鍵が破られても、机の引き出しに鍵がかかっていれば中のものは盗られません」と言われているようで、信用できかねるのですが・・・
- JLLY
- お礼率62% (10/16)
- その他(インターネット接続・通信)
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
これほどまで質問されると言うことは、ルータがあるのでファイアウォールを使われていないか、止めたいと思っているのでしょうか? まあ、それはそれでも結構ですが・・・もしそうなら、もう一歩説得します。 Q/これらはPCのパーソナルファイアーウォールでも同じなのではありませんか? A/まず、トロイの木馬により流出はファイアウォールの種類によっては、クライアント側から未然に防ぐことが可能です。これは、木馬側から外部にデータを出力するために何らかのアクションをブラウザやその他の外部接続可能なアプリケーション、または木馬そのものに対して働きかけるためです。これらの機能は無償のファイアウォールにても搭載されていますので、高価な製品でなくとも身近に提供されています。 その際に、ファイアウォールは設定さえ適正に行っていれば、そのプログラムが外部接続を行うか否かの確認をクライアントユーザーに求めてきます。 例え、ブラウザなど一度許可されているプログラムを介したものであっても、ある新しいプログラムから指示が出ている場合は、OKかNOかを確認するのが最近のファイアウォールです。 ここで、外部アクセスを遮蔽すれば外部にデータが漏れることはありません。ただし、システムの脆弱性を狙ったもの、および新手のファイアウォールを介さない接続方法を用いる場合を除きます。 これだけで、パーソナルファイアウォールは多少なりとも効果を持っていると言えます。 尚、ウィルス対策ソフト付属のものは、素人向けであり、ウィルス対策と一緒に扱うことで、よりトロイの木馬の亜種などへの対応が行われております。同型の亜種でウィルス対策ソフトで駆除できないものであっても、危険ならアクセスを許さないでしょう。 q/それほどのスキルを持っている人の攻撃を、PCのパーソナルファイアーウォールごときで防げるのか?あくまでも、NAPT機能の中にもう一つ必要か A/防ぐことが目的だと考えては結果は同じですね。ファイアウォールは英語のFirewall(防火壁)です。質問者さんは火事の時に防火壁があるからと、防火壁の隣の部屋でくつろぎますか?仕事をしますか?Firewallは防火壁ですが、壁は崩れる前に逃げるための時間を稼ぐという意味もあります。 そこで重要な点があります。 ルータのログは1日に何回確認しますか? ファイアウォールのログは、何らかのアタックが生じた場合は、必ず確認するという人は多いはずですが、ルータはどうでしょうか?アタックがあったら確認しますか?では、そのルータにはアタックに対してクライアントに警告を発する機能がそのルータにはあり、あった場合にその都度切断して対処をしていますか? 強度だけがファイアウォールの仕事ではなく、重要なのはAlarmが出ているときに、それを見つける術がすぐにあるという点にもあります。ルータのログをすぐに参照するのはモデルによっては困難ですし、場合によってはルータを破られたことさえ気づかないでしょう。しかし、ルータを超えたすぐその先に防護壁があれば、そこで、アタックログが生じる可能性は極めて高いと言えます。 ファイアウォールを崩すには、それの特性を調べる必要がありますから、いくらプロでも、何らかのデータを送り反応を調べる可能性が大です。まあ、一発でくぐり抜ける場合もあるでしょうが、潜られる確率は大幅に低下します。ルータを超える確率が仮に1%なら、その先は0.01%になるかもしれません。 警告がファイアウォールに出れば、さらに確率はその1/10になるかもしれません。私ならファイアウォールの警告が出た次点でルータとの接続を外しルータの電源を速やかに落とすでしょう。ネットワーク接続を切断することでIPアドレスを振り換え、場合によってはセキュリティ対策を見直します。 まあ、人によってはないよりあった方がまし程度にしか考えない人もいるかもしれませんが、すぐそばにある壁は遠くにある壁よりより詳しい情報を提供します。そのため、そばに来ている不審者を察知し切断する時間ぐらいなら何とかなるかもしれません。 これらは、コストパフォーマンスや業務上の運用で考えた場合には、意味がない物と切り捨てられる可能性はあります。しかし、家庭など台数が限られ、尚かつ運用上の相性などが運用コストに響かない状況下でセキュリティを重視するならば、有効にして置いた方が良いという結果になります。例え、IPマスカレード搭載のルータを所有していても、そもそも最終的に生じる効果や情報は違いますからね。 どうでしょうか?尚、ルータにアタックがあれば警告が端末に出るよというなら、それでも良いでしょう。ただ、やはり内部からの外部アクセスを監視する力は乏しくなります。その点が重要です。
その他の回答 (3)
- okg00
- ベストアンサー率39% (1322/3338)
>玄関の鍵が破られた時点で引出の鍵など既に無力ではないでしょうか。 「ある」ということに意味がありますが。 >あくまでも、NAPT機能の中にもう一つ必要か、という観点で申し上げました。 >#但し、本気の専門ファイアーウォールソフトではなく、Windowsやウィルス対策ソフトのおまけとしてついているものを前提としています。 無いよりまし、程度ですね。意味がまったく無いことはないです。 #フリーソフトでも本格的なものはありますが... なので >ルータのファイアーウォールが破られたとき、PCにパーソナルファイアーウォールがあると不正な侵入がそこで防げる というのは程度の問題を話題にしていなく、防げるかどうかを話題にしています。言っていることは間違いではないですね。引き出しの鍵であっても、鍵がついていることに間違いはないわけで。
- parts
- ベストアンサー率62% (6364/10149)
q/「ルータのファイアーウォールを破って内部のPCにアクセスする」とは、どういうことなのでしょうか。 A/例えば、安全なソフトウェアに見せかけたトロイの木馬やスパイウェアを使いルータを抜ければ、内側から外側に招待状を送ることが可能です。これは、VNCやリモートデスクトップなどのリモートウェアのようなソフトウェアに似た機能を持たせること、または、IEなどのアプリケーションの脆弱性を使えばよりアクセスは安易に行えますが、それにしても必ずその不正ウェアの処理が介されますので、必ず端末内のファイアウォールに備わるMD5署名確認やアプリケーションフィルタリングが機能します。 では、それがない場合はどうなるかというと、ルータではソフトウェアの動向まで確認する製品はかなり高価格な製品でなければ難しいと言えます。そのため、内側から外側へ不正なデータが出ていることを関知しない可能性が高いのです。もし、外に端末の情報を出せば、外側から今度は脆弱性を狙うことが可能になり入り口を開放することが可能です。プライベートネットワーク内で問題が発生すればその端末個々にセキュリティ機能がなければ、手に負えません。 また、ルータのファイアウォールでも確実に破られない保証はありません。他にもルータにもセキュリティ上の不具合(バグ)がある可能性は否定できません。何せ、ルータも一つのコンピュータに過ぎませんからね。ファームウェアなどに不備があれば、それを攻撃されれば見事に破られるでしょう。 尚、NATやNAPTは単純にIPアドレスをコンピュータの内部で別の1つのアドレスに集約したり、ポートの変換を行う作業です。分かりやすく言えば、パソコンにLANカードを2枚付けて2つに別々のアドレスを付ける作業や、ポート変換を端末内で行うのと同じ作業。 そのため、逆に言えばその変換用の端末となるルータを乗っ取れば、端末へのアクセスは自由にできます。 そんなことが万が一でもあれば・・・ いかがでしょうか? 完璧があるなら、それは繋がないことか、やられることを覚悟してもう何もかも見せてしまうかどちかでしょう。だからこそ、出来る限りのセキュリティによる防壁を作ることが重要なのです。そして、絶対に流出を防止したいデータは外部ネットワーク接続されたPCには保存しない方が無難です。
お礼
詳しいご説明、ありがとうございました。 後出しで申し訳ありませんでしたが、私の質問理由のようなものを補足として書かせていただきました。 ご一読いただければ幸いです。
補足
ご回答ありがとうございます。 トロイの木馬等は、内部からの発信がある為防御できないのはわかります。 ただ、これらはPCのパーソナルファイアーウォールでも同じなのではありませんか? また、外部からブロードバンドルータのセキュリティホールをつけば、無力化できる可能性があることもわかりました。 問題なのは、それほどのスキルを持っている人の攻撃を、PCのパーソナルファイアーウォールごときで防げるのかということなのです。 そこで、鍵のたとえを持ち出しました。 確かに究極の防御法は、最後に書かれておられることだと思います。 ただ、常識的な経費負担と現実的な装備を前提としてとらえたとき、PCのパーソナルファイアーウォールが実用的意義があるのかと言うことが知りたかったのです。 もちろん、PCにグローバルアドレスを付与してインターネットにアクセスしている人にとっては、PCのパーソナルファイアーウォールが唯一の砦になることは承知しています。 あくまでも、NAPT機能の中にもう一つ必要か、という観点で申し上げました。 #但し、本気の専門ファイアーウォールソフトではなく、Windowsやウィルス対策ソフトのおまけとしてついているものを前提としています。
- okg00
- ベストアンサー率39% (1322/3338)
>「玄関の鍵が破られても、机の引き出しに鍵がかかっていれば中のものは盗られません」 まさにこれなんですが。 たとえばLAN内の別の機器が乗っ取られてしまえばLAN内からのアタックに有効です。また、内部から外部へスパイウェアでデータが送信されている場合でもファイアウォールによっては検知できます。ルータのパスワードを破られて設定を自由に変えられてしまっても最後の砦になりますしね。 鍵が1つだけの自転車よりは2つある自転車の方が盗られにくい、ということです。どちらも盗られるという意味では同じですけどね。
補足
ご回答ありがとうございます。 鍵のことは、有り得ない喩えとして申し上げたつもりなのですが・・・。 玄関の鍵に比べれば、引出の鍵などは稚拙なもので、逆ならともかく玄関の鍵が破られた時点で引出の鍵など既に無力ではないでしょうか。 その意味で、「ルータのファイアーウォールが破られたとき、PCにパーソナルファイアーウォールがあると不正な侵入がそこで防げる」と言うのは説得力が無いような・・・。 但し、本気の専門パーソナルファイアーウォールではなく、Windowsやウィルス対策ソフトのおまけとしてついているものを前提としています。 また、「LAN内の別の機器が乗っ取られてしまう」というのも、NAPT機能の説明からは理解できません。 そして、「ルータのパスワードを破られ」るのも、LAN内の他のPCからなら可能でしょうが、ブロードバンドルータの場合、WAN側からは通常アクセスすらできないと思うのですが・・・。 「ルータのファイアーウォールを破って内部のPCにアクセスする」の疑問が解決すれば理解できるかもしれませんね。
関連するQ&A
- パーソナルファイアウォールについて
パソコンをたちあげると、「パーソナルファイアウォールが無効になっています」というメッセージがでてきます。ウイルスバスター2006を使っているのですが、そのメイン画面を起動して“不正侵入対策/ネットワーク管理”をクリックすると、パーソナルファイアウォールの文字がカラーではなく、クリックしてもやはり何の応答もありません。この場合、パーソナルファイアウォールを有効にするにはどうすればよいのでしょうか? パソコンに関する知識は全くなく、このような変な説明で申し訳ないのですが、ぜひ教えてください。
- 締切済み
- スパイウェア
- パーソナルファイアウォールの設定
ウイルスバスター2006を使用しています。 パーソナルファイアウォールの設定で 家庭内ネットワーク1 ダイヤルアップ接続やCATVなど、ブロードバンドルータを使用しないでインターネットに直接接続している場合 家庭内ネットワーク2 ルータタイプのADSLモデムやブロードバンドルータなどを介してインターネットに接続している場合 とありますが、現在CATVで接続しているので、家庭内ネットワーク1に設定しています。 不正アクセス等を防ぐのにルータを用いたほうが良いというのを聞いたのでルータを導入しようと思います。 その場合、設定は家庭内ネットワーク2になるのですか?それとも回線はCATVなので家庭内ネットワーク1のままですか?
- ベストアンサー
- ウィルス・マルウェア
- パーソナルファイアウォールって?
PCに関しては全くと言っていい程無知なのでどなたか教えてください。 OSはWin98を使っていて、ウイルスバスターをインストールしていますが パーソナルファイアウォールのログにたくさん時間などが表示されているのですが これはPCの情報を見られているって事なんですか? よく不正アクセスって言葉をよく聞きますがわかりやすく教えていただけませんか? また、何か良い対策があればアドバイス下さい。 宜しくお願いします。
- ベストアンサー
- ネットワーク
- Windows ファイアウォールの有効性について
お世話になります。 WindowsXP標準のWindowsファイアウォールがありますが、このファイアウォールの有効性について質問いたします。 市販のセキュリティソフト(ウィルスバスターやノートン)などには、パーソナルファイアウォール機能が付いているのですが、このパーソナルファイアウォール機能とWindowsファイアウォール機能に違いがありますでしょうか? 今までは2007年バージョンまでウィルスバスターを使っていたのですが、2008になってからはPCの挙動がおかしくなり、また、勝手に動作をブロックするなどの状況が起こり、現在はAVGフリー版でウィルス対策を行っています。 AVGフリー版にはファイアウォール機能が付いていませんので、Windowsファイアウォールを使用し、外部からのアクセスをブロックしたいと考えています。 インターネット接続は、光回線にてONUからNECのブロードバンドルーターからPCに繋げています。 外部からの大体の不正アクセスはルーター側で防げているとは思いますが、ルーター+Windowsファイアウォールの組み合わせで大丈夫でしょうか? PCの用途は主にインターネット接続とオフィス操作で、メールはWebメール(Gmail)での送受信で、P2Pはやりません。 セキュリティに関してご存じの方、ご教示くださいませ。 補足が必要でしたら、補足要求があり次第補足させていただきます。
- ベストアンサー
- Windows XP
- ファイアーウォールソフト必要ですか?
これまでルーターを使ってインターネット接続をしていたのですが(Bフレッツ)、住んでいるマンションで無料でインターネットが使えるようになったので、LANケーブルを直接つないでインターネット接続しています。 直接LANケーブルをつないでる場合は、やはり不正侵入される可能性が高くなるのでしょうか? ファイアーウォールソフトは必要ですか? もし必要な場合はウィルスバスターのパーソナルファイアーウォールでは大丈夫ですか? 初歩的な質問ですが、詳しい方教えてください。 宜しくお願いします。
- ベストアンサー
- スパイウェア
- ファイアウォールソフト
質問です。ADSL接続で、セキュリティ機能つきのルータとWindowsXP付属のファイアウォール機能を併用していますが、これで不正アクセスは防げているのでしょうか? PCの方にもファイアウォールソフトの導入は必要でしょか?
- ベストアンサー
- ネットワーク
- ウイルスバスター2011はパーソナルファイアウォールはないようで、Wi
ウイルスバスター2011はパーソナルファイアウォールはないようで、Windowsのファイアウォールの機能強化のみのようですが、内部の通信を監視出来ないのでしょうか?
- ベストアンサー
- ネットワーク
- ルータとファイアーウォール
私の自宅ではルータ一台をWAN側(インターネット)に接続し、それにLinuxPCとWindowsPCを一台ずつ接続しています。 疑問に思ったのですが、ルータとファイアーウォールはパケットフィルタリングする部分では一緒ですよね。 では私のこの環境ではPCにファイアーウォールを導入しなくてもいいのでしょうか? 私の考えでは内部からの不正アクセスを防ぐためには必要だと思うのですが、自宅では一人暮らしで内部からの不正アクセスの危険性は皆無なので必要ないと思うのですが、どうなんでしょう。 ちなみに使っているルータはBUFFALOのWZR-RS-G54です。Linuxでは外部向けにWEBサーバを公開しています。
- 締切済み
- ウィルス・マルウェア
- ファイアウォールについてお教えください
初心者の質問ですみません。現在、CATVでインターネットをやっています。無線LANを構築してフォルダの共有をしたいのですがうまくいかず、ファイアウォールをはずせば共有できるようになりました。それはいいのですが、セキュリティーが心配ですのでファイアウォールのことを少し勉強しています。よろしくお願い致します。 (1) Windows XPにはいっているファイアウォールと、セキュリティーソフトにはいっているファイアウォールは同じことをやっているのでしょうか? (2) ファイアウォールについて、以下の理解でよろしいでしょうか? ・LANをやる前の状態は モデム→a→PC となっていて、PCの直前のaのところでファイアウォールが働いている。 ・LANを構築した場合 モデム→ブロードバンドルーター→a→PC1 ↓ 無線 PC2 aでブロックされてしまうので、PC1とPC2の間でフォルダの共有ができないから、ファイアウォールをはずす。 ・ファイアウォールの機能はブロードバンドルーターについていて、下記のようにbのところでブロックされる。 モデム→b→ブロードバンドルーター→PC1 ↓ 無線 PC2 ・PC1とPC2間のやりとりのセキュリティーについても、ブロードバンドルーターについてきたユティリティで設定すれば大丈夫 (3) もし(2)の考えで正しいとすれば、フォルダの共有をしたい時には必ずファイアウォールをはずさないといけないはずだと思うのですが、フォルダの共有がうまくいかない場合、ファイアウォールが入っているための「可能性がある」というのが理解できません。
- ベストアンサー
- その他(インターネット接続・通信)
お礼
ご回答ありがとうございます。 > ルータがあるのでファイアウォールを・・・止めたいと思って・・・ も良いかどうかを知りたかったのです。 > ・・・トロイの木馬により・・・ は、ウィルス対策ソフトでそれ自体の侵入を防げると考えています(勿論パターンファイルに反映されていない新規のものは除く)。 PCのファイアーウォールが警告等を発行する件は、おっしゃるとおりだと思いました。 > ルータのログは・・・ とる方法を知りません。通常の方法ではできないのかもしれません。たぶん不正アタックの警告もPCには出さないでしょう(NEC Aterm BL150HV)。 ※後半のご説明により、PCのファイアーウォールの意義が少し見えてきたような気がします。 ネットワーク技術に関してはまだまだ未熟な為、ピントのはずれた質問等もあったと思いますが、再度にわたり懇切丁寧なご説明をいただき、感謝いたします。