ルータのステルス機能だけで侵入は防げますか？

今私の企業のネットワーク構成は、インターネット→ルータ→ハブ→ＰＣという環境です。ファイアーウォールはこれといって設けてなく、ルータのステルス機能を設定しているだけです。ルータにはＮＡＴ機能もあります。

私の解釈では公開していなければルータを設置してＮＡＴ機能やステルスを有効にしていればクラッカーの侵入は防げると考えている（ウイルスは無理ですが）のですが、この考えは間違っているのでしょうか？ご指摘ください。
また、なぜファイアウォールを設置するのか教えてください。

ベストアンサー digitalian 回答No.3

NATは、グローバルIPアドレスとプライベートIPアドレスの変換機能です。プライベートLANからの接続は、外部からはグローバルIPアドレスからアクセスしているように見えます。ですからNATによってハッカーの侵入を防ぐことはできません。

ルータによるポート遮断機能やステルス機能によって、セキュリティは向上します。通常使用しないポートはあらかじめ閉じられており、使用するポートのみ開いたりステルス状態にしたりすることによって、不正なアクセスを制限することができます。

ファイアウォールを導入すると、ポートスキャンを監視（ハッカーの攻撃の検出・阻止）したり、詳細なアクセス制御・ゾーン制御が可能になりますので、さらにセキュリティは向上します。

teltel 回答No.2

ＮＡＴ機能を有効にしていても外部⇒内部のＮＡＴがされていれば内部のホストはグローバルに接続されているものと同様になってしまいます。
ステルス機能についてはルータのＩＰを外部に見えないようにしてルータに対してのアタックを防ぐようにするものなので、ルータで何も制限をかけずに内部のホストにグローバルＩＰを割り当てていると、裸でつないでいるのと同様になってしまいます。

ルータにアクセスリストを実装することである程度のセキュリティは保てますが、
ファイアウォールを入れることによりＴＣＰのセッション情報を基に内部から張られたＴＣＰセグメントのみを通したり、ログを詳細に収集したり、ＶＰＮを張ったり、ＤＭＺを作成する等の様々なメリットがあります。

補足 2003/03/10 13:27

ルータがグローバルアドレスを取得して、ＰＣにはそれぞれローカルアドレスを割り振ってあります。
外部＝＞内部のＮＡＴとは具体的にはどういうことでしょうか？
まだ初心者なのでそういう詳しいことはわからないので…。

DrSumire 回答No.1

>ルータのステルス機能
これってICMP応答なしですよね？

インターネットのLANからの利用はWWWや外部のメールサーバ利用程度でしょうか？
それであればルータを外部から操作する手段がなければウイルスの浸入に気を使うだけで比較的安全に運用できると思います。

ただし、インターネットに対して何らかのサービスを公開している場合それだけでは不十分な場合も多いようです。
※http、smtp、pop、ftpなど
その場合はファイヤーウォールがあることで、DDOSやよく知られたバッファーオーバーフローを起こすパケットをリジェクトしてくれます。
※製品によって色々機能が変ります。

お礼 2003/03/10 13:26

ICMP応答なしの機能だと思います。（説明書をみていないもので…）
今は公開しているサービスはないので大丈夫そうですね。
でもセキュリティが弱いって言えば弱いので、もう少し勉強して対策を練ります