• 締切済み
  • 暇なときにでも

多段ルータによるセキュリティについて

初めまして。m(_ _)m セキュリティの観点で、ルータを2台以上設置することにおける意味について質問をさせていただきます。 我が家の今のネットワーク構成ですが、大まかには以下のようになっています。 (Internet) --- ADSL Modem --- Router1 --- Router2 --- PC                            |- Server1  |- Server2                               Router1の下は192.168.0.n、Router2の下は192.168.1.mのようにサブネットを分けています。 (実際にはそれぞれ複数台のPCが接続されています) 今はRouter1/2共にDefault設定(これも問題がありそうな記事を見かけました)ですが、今回、外部からもServer1にアクセスするべくRouter1にpptpとhttpを通す設定をしようとしています。 実現をしようとしていることは、  ・Internet側よりServer1上のWEB Serverへアクセス  ・Internet側よりServer1上のVPN Serverへアクセス   (認証後、Server1と同一セグメント上にある別のPCにRemoteDesktopによるアクセス)  ・PC(Router2)側より、Server1上のFile Serverへのアクセス(要Gigabit Ethernet接続) になります。 そこで気になったのはRouter2の後ろにあるPC等のセキュリティについていです。 私は「Router2のWAN側(192.168.0.n)からLAN側(192.168.1.m)に対してのアクセスは、Router2のPortが全て閉じられているので安全」だとこれまで考えていました。 実際、Internetに接続するのにRouterがあれば安心、とか言うのはよく見かけます。 私の環境、及び実現をしたいことは、実はQNo.2223452で質問者の記載されている内容と(全く?)同じ内容ではないかと思われますが、そこで回答者の方より「ルータ2の存在意義があまり意味を成していません。」との回答があり不安になりました。 いろいろと検索したところ、似たようなことを書かれているところもあることからきっとそうなのだと思いますが、セキュリティ観点だと多段ルータにしても意味がない、とされる理由がやはりありませんでした。 上記理由について教えていただきたく、よろしくお願いします。

共感・応援の気持ちを伝えよう!

みんなの回答

  • 回答No.1
  • To-rii
  • ベストアンサー率65% (547/838)

> のようにサブネットを分けています。 セグメント構成が理解できていないので的外れかもしれません。 > Router2のPortが全て閉じられているので安全」 > Internetに接続するのにRouterがあれば安心、 NAPTで変換されるのですから、私も安心だと思っています。 > 「ルータ2の存在意義があまり意味を成していません。」 該当するモデルは、次のような条件下にあると解釈できます。 (1) ルータ1 とルータ2 の間に、クライアントは存在しない (2) クライアントとサーバは、同一NW に所属していない (3) サーバは、DMZ等により隔離されている なので、提示された多段ルータには意味があると思います。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答ありがとうございました。 (返事が遅くなってしまいすいません・・・) 質問をさせていただいた後、私自身が「二段ルータは安全」と思う根拠となっていた部分に根本的な誤りがあることに気づきました。 NAPTを使っていることもそうなのですが、WAN側に対してステルス設定をしているため、Router1とRouter2の間にあるPC(Server)からはRouter2が見えない、とずっと思っていました。 先日、「ひょっとしたらデータ通信中にPortScanをすれば開いているPortが見つかるかもしれない」と思い、Router2の後ろにいるPC2とServer1の間でsambaによるファイル送受信を実施、そこをServer1と同じサブネットにあるPCからRouter2のWAN側のIP Addressに対してPort Scanをかけて試してみよう!と、とりあえずPCでwiresharkを立ち上げたところ・・・。 Router2からBroadcastでARPがバンバン出ていました・・・。 確かにpingに対して応答は返しませんが・・・、全然隠れていなかったことに驚きました。 少し考えれば当たり前のことだと分かるのですが、実際にやってみるまで気づかないものですね。(苦笑) キャプチャログを前に、自分の無知さに恥ずかしくなり、つい笑ってしまいました。 一応、nmapでPortScanをかけた結果としては、WAN側からRouterを設定するためと思われるTCPのPortが1つ見つかっただけでした。 (勿論、Closeしています) MAC AddressとIP Address(Static)を詐称すれば、通信中のPortも見えたかもしれないですが。 DMZも考えたのですが、一般家庭用Routerの場合、WAN側からのデータを何でもかんでもDMZに設定したPCに転送するだけで、LAN側から見ればその他のPCと変わらない、つまり隔離されていないように感じました。 NAPTを行うため大丈夫とは思っていますが、まだまだサーバを公開するには知識が足りないなぁ・・・、と感じました。 他にもいっぱい抜けてそうなので、もう少し勉強をしなおしてみます。 ありがとうございました。

関連するQ&A

  • ルータの「PPTPサーバ」機能によるVPN接続について

    ルータの「PPTPサーバ」機能によるVPN接続について 「PPTPサーバ」機能付きルータでPPTPによるVPN接続を検討しています。 ClientPC側のRouterは、「PPTPサーバ」や「PPTPパススルー」機能など が付いていない通常のルータでも可能でしょうか? (どなたか実際やってみたかたいらっしゃますか?) SV---Router(PPTPサーバ機能)--------Internet-----Router---ClientPC(別の場所) 以上

  • HUBとルーターのセキュリティ

    PC初心者です。 現在、インターネットに 光回線->BNCケーブル->HUB->10base-Tケーブル->PC といった接続をしています。 (BNCケーブルは端子も元々BNC端子としてくっついているため変更できません) そこで質問なのですが・・ 1.HUBはルーターのようなセキュリティ機能は全くないのでしょうか? 2.以前セキュリティの観点からルーターを勧められたのですが、 (1):光回線->BNCケーブル->HUB->ルーター->10base-Tケーブル->PC (2):光回線->BNCケーブル->ルーター->10base-Tケーブル->PC (2)の接続のほうが通信速度が速そうだと思うのですが、BNCケーブル->ルーターの接続はできるのでしょうか? 質問が多く申し訳ありませんが何卒よろしくお願いいたします。

  • ルーター上PC同士のセキュリティについて

    現在1つのルーターに1台有線接続、2台無線接続をしています。 有線接続しているPCが親のようなもので、ルーターの設定をしているようです。 さて、この場合に無線接続している私のコンピュータ(マック)の親PCからのセキュリティ(不正アクセス/サイト閲覧/ファイル交換等)はどのくらい確保されているもの、分かってしまうものなのでしょうか?またセキュリティを高める方法はありますでしょうか? ちなみに、MACアドレスをルーター設定時に教えてあります。 宜しくおねがいします。

  • ルーターの多段設置について

    現在フロアのLANには、何台かのPCと複数のプリンタと1台のルーターが接続されNATでインターネット利用しています。 そのLANの中にXP-Proでファイル共有用PCを設置していますが、最近フロアのPCが15台になり、10台を超えたとアクセス拒否されるようになりました。 ただ、HASPを使ったソフトが動作しているため、すべてのPCがこの共有PCを利用する必要があるので、分散も出来ず、かつWindowsServerやLinuxに変更できずに困っています。 InterNet   |              ルーター(既存)  |||+-----------ファイル共有PC  ||+--HUB-------PC4台&プリンタ3台  |+---ルーター(購入)--PC5台  +----ルーター(購入)--PC5台 という接続にしたとき ファイル共有PCからはルーター(購入)のIPマスカレード機能によって、PC1台という見方で、合計6台の接続と見えるでしょうか? (現状は「ルーター(購入)」位置がHUBになっています。) それと、同じようなネットを別フロアもすべて組んであり、ルーター(購入)に接続している10台のノートPCは別フロアに持って行くこともあり、そのときもLANケーブルを挿すだけでインターネットが出来るようにしています。 (IPの重複が無いように割り振っています) ちなみに共有PCで動作しているHASPを使っているソフトの関係で、DHCPにしてIPアドレスが変わると問題があるため現在全フロアIP固定で利用しています。 すべてのフロアのルーター(既存)はLAN側192.168.1.1になっています。

  • ルータのセキュリティについて

    いままで、モデムに直結でネットをしていたのですが、PCの不正アクセスなどに対するセキュリティを高めようと思い、有線ブロードバンドルータを購入しました。 近くの電器店に行ったのですが無線LANルータはいくつもあるのに対し、有線ルータは3種しかありませんでした。 その中で、一番安価であった、 BAFFALOのBBR-4MGを購入しました。 しかし、BAFFALOの下のサイトを見ると、 http://buffalo.jp/products/catalog/network/router.html ルータセキュリティ BHR-4RV: VPN アタックブロック SPI BBR-4HG: アタックブロック SPI BBR-4MG: SPI となっており、自分が購入したBBR-4MGはVPNとアタックブロックという物がありません。VPN・アタックブロック・SPIというのは、簡単にそれぞれどのような機能でしょうか?BBR-4MGには無い、VPNとアタックブロックの2つの機能がないとセキュリティとして危険なのでしょうか? セキュリティ機能の内容がわからず、一番、安価なルータを選んでしまい、失敗してしまったのでしょうか? よろしくお願いします。

  • 超基本ですが、無線ルータのケーブルのつなぎ方

    会社でCentOSの入ったPCを1台、有線でつなぎたいのですが教えて下さい。 「Wireless Router」と書かれてあるD-Linkというものですが、添付の写真の通り、裏に「LAN」と書かれたポートが4つ、その隣に(写真では見えにくいですが)「INTERNET」と書かれたポートが1つあります。Webで調べると、「どのポートにさしてもいい」と書かれているのですが、「INTERNET」の口についての説明は、見つけられません。 今、大元(ルータ?)から1本LANケーブルが来ていて、なんとなくですがそれを「INTERNET」のポートにつなげています。また、CentOSマシンは、「LAN」のポートにつなげています。ですがこれだとインターネットにアクセスできませんでした。(CentOS側の有線設定は、eth0に設定済みです。) 大元から来ているLANケーブルに他のPCをつなぐと、インターネットに接続できています。(物理的な距離の都合で、このケーブルにCentOSマシンをつないで確認することはできません。) 正直、いろいろな組合せでつなぎ変えたり、PCやルータを再起動したりしているうち、何をやってもつながらなくなりました。何か間違ったことをしていでば、教えて下さい。マニュアルも見当たらず、詳しい人は1週間いないため、こちらで質問させていただきました。よろしくお願いします。

  • ルーターの多段接続について

    ルーターの多段接続について IOデータの地デジチューナー(GV-MVP/VZ)の予約を、外出先のPCから行いたいと思っています。 うちはマンションでem-netですが、プライベートIPアドレスが5つしかふられません。 接続する機器がたくさんあるため、やむなくバッファローのブロードバンドルーター(BBR-4MG)を接続してそのDHCPサーバー機能を使って10数台の機器をつないでいます。 しかし、これだとルーターが多段接続になってしまいます。 そのため、地デジチューナー附属の、どこでもmAgicTV Digitalサーバーで設定を行っていくと、「ルーターのWANIPがローカルアドレスになっている可能性があります」と出て、ルーターが多段になっている可能性や、インターネットプロバイダーがグローバルIPの付与を行っていない可能性がある、という警告が出てしまいます。 この多段接続のままに、うまくやる方法(設定)はあるでしょうか。 ちなみにこのサーバーソフトの設定項目では、通信ポートの指定と、ルーターの設定としてUPnPを自動設定することができます。またダイナミックDNSサービス(iobb.net)を使用しており、定期的に自動でWANIPアドレスをUPnPで取得する事になっています。 正直言って、書いていて自分でもだんだん何を言っているのか分からなくなってきていますが(^^;、もし何かヒントがあれば教えて下さい。 (複数の機器を同じLAN内で同時に扱いたいため、このPCだけルーターを通さずに直接つなげることでは解決にならないのが残念です)

  • セグメントを超えてインターネットにアクセスするためのルータ設定について

    初めて質問させていただきます。 有識者の皆様のお知恵を貸してください。 社内インフラ環境をISDN->FTTH(固定IPアドレス8個)に切替えるにあたり、ルータを購入しました。 その際、ルーティングの設定がうまくいかず、クライアントPCからインターネットにアクセスできなくなってしまいました。 正しくルーティングさせるにはどのような設定が必要でしょうか・・? 構成は以下のようになっております。(見辛くてすみません) [Internet] | (211.xxx.xxx.111) [router] (192.168.0.1) | |-----www(192.168.0.3) | |NW:192.168.0.0/28 | (192.168.0.2) [Firewall] (192.168.1.1) | |NW:192.168.1.0/25 | [PC](192.168.1.2-126) 【現状】 ・[PC]から[www]は参照できる ・[PC]から[router]は参照できる ・[Firewall]からインターネットは参照できる ・[PC]からインターネットは参照できない 【実現したいこと】 ・[Internet]に[www]を公開したい(NAT?IPマスカレード?) ・[PC]からインターネットを参照したい ちなみにファイアウォールは他部署の管轄のため、設定をいじることも参照することもできません。 よろしくご教授お願いします。

  • 無線LANのセキュリティについて教えて下さい

    無線LANのセキュリティについて教えて下さい 先日、無線LANを使いたいと思ってLogitecのLAN-W300N/DRを購入しました。 ただまったく知識がないので、ルーターとは何かとかよくわかっていません。 そこでとりあえず、ONUにつないであるホームゲートウェイAtermBL190HWから、これまで有線で接続していたPCをとりはずし、かわりにアクセスポイントに切替えた(ルータ機能をオフにした)W300N/DRを接続してみました。 これで、ひとまずはアクセスポイントとしてのW300N/DRに、ノートPC内蔵の無線LAN機能で接続できるようになりました。 ただし、無線LANは傍受が容易で、なりすましやPCの中のデータへのアクセスが容易だと聞きます。 そこで質問なのですが、この状態からセキュリティを高めるにはどうしたらよいでしょうか? W300N/DRへの接続にはMACアドレスが必要ですが、これはあまり効果がないという話も耳にしました。 また、暗号化方式はWPA2-PSKになっていて、ノートPCとW300N/DRとの通信が暗号化されているのはわかるのですが、ほかのPCからアクセスポイントW300N/DRを経由してPCに侵入することができるのなら(可能なのでしょうか?)、あまり意味が無いようにも思えます。 ルーターの機能とかがよくわかっていないので(そもそもホームゲートウェイにルーター機能はあるのでしょうか?)、もしかしたら的外れな質問をしているかもしれません。 接続のために何らかのパスワードを設定するとか、暗号化方式を変えるとか、あるいはそもそもそのやりかたは危険だから変えたほうがいいとか、何かできる対策がありましたらお教え下さい。 どうかよろしくお願いします。

  • ルータを通したネット接続のセキュリティについて

    「セキュリティ保護あり」のルーターを通してhttpsのサイト又はhttpsでアドレスバーの左端に緑の文字で企業名が出るサイトに接続します。その際のセキュリティについて教えてください。 1.httpsのサイトでアドレスバーの左端に緑の文字で企業名が出る/出ないは暗号化などのセキュリティに差があるのでしょうか? 2.「セキュリティ保護あり」のルーターとはルーターにアクセスする際にパスワードが必要なだけで、そのルータを介して行う通信のセキュリティに差はないのでしょうか? 例:クライアントPCとルータのやり取りをする電波、ルータでのアクセスログ読み取りなど 3.httpsのサイトにアクセスする限り、クライアントPCとサイトの間で暗号通信されるので、その途中がフリーwifiでも「セキュリティ保護あり」のwifiでも差はないという事でよろしいのでしょうか? 4.「セキュリティ保護あり」のルーターを通してhttpsのサイトにアクセスする場合、ルーターでログや通信データを受けてアクセス先や送受信内容を読み取ることができるのでしょうか? 今更聞けない内容で申し訳ありませんが、よろしくお願いします。