• 締切済み

多段ルータによるセキュリティについて

初めまして。m(_ _)m セキュリティの観点で、ルータを2台以上設置することにおける意味について質問をさせていただきます。 我が家の今のネットワーク構成ですが、大まかには以下のようになっています。 (Internet) --- ADSL Modem --- Router1 --- Router2 --- PC                            |- Server1  |- Server2                               Router1の下は192.168.0.n、Router2の下は192.168.1.mのようにサブネットを分けています。 (実際にはそれぞれ複数台のPCが接続されています) 今はRouter1/2共にDefault設定(これも問題がありそうな記事を見かけました)ですが、今回、外部からもServer1にアクセスするべくRouter1にpptpとhttpを通す設定をしようとしています。 実現をしようとしていることは、  ・Internet側よりServer1上のWEB Serverへアクセス  ・Internet側よりServer1上のVPN Serverへアクセス   (認証後、Server1と同一セグメント上にある別のPCにRemoteDesktopによるアクセス)  ・PC(Router2)側より、Server1上のFile Serverへのアクセス(要Gigabit Ethernet接続) になります。 そこで気になったのはRouter2の後ろにあるPC等のセキュリティについていです。 私は「Router2のWAN側(192.168.0.n)からLAN側(192.168.1.m)に対してのアクセスは、Router2のPortが全て閉じられているので安全」だとこれまで考えていました。 実際、Internetに接続するのにRouterがあれば安心、とか言うのはよく見かけます。 私の環境、及び実現をしたいことは、実はQNo.2223452で質問者の記載されている内容と(全く?)同じ内容ではないかと思われますが、そこで回答者の方より「ルータ2の存在意義があまり意味を成していません。」との回答があり不安になりました。 いろいろと検索したところ、似たようなことを書かれているところもあることからきっとそうなのだと思いますが、セキュリティ観点だと多段ルータにしても意味がない、とされる理由がやはりありませんでした。 上記理由について教えていただきたく、よろしくお願いします。

みんなの回答

  • To-rii
  • ベストアンサー率65% (547/838)
回答No.1

> のようにサブネットを分けています。 セグメント構成が理解できていないので的外れかもしれません。 > Router2のPortが全て閉じられているので安全」 > Internetに接続するのにRouterがあれば安心、 NAPTで変換されるのですから、私も安心だと思っています。 > 「ルータ2の存在意義があまり意味を成していません。」 該当するモデルは、次のような条件下にあると解釈できます。 (1) ルータ1 とルータ2 の間に、クライアントは存在しない (2) クライアントとサーバは、同一NW に所属していない (3) サーバは、DMZ等により隔離されている なので、提示された多段ルータには意味があると思います。

onaka_pekopeko
質問者

お礼

ご回答ありがとうございました。 (返事が遅くなってしまいすいません・・・) 質問をさせていただいた後、私自身が「二段ルータは安全」と思う根拠となっていた部分に根本的な誤りがあることに気づきました。 NAPTを使っていることもそうなのですが、WAN側に対してステルス設定をしているため、Router1とRouter2の間にあるPC(Server)からはRouter2が見えない、とずっと思っていました。 先日、「ひょっとしたらデータ通信中にPortScanをすれば開いているPortが見つかるかもしれない」と思い、Router2の後ろにいるPC2とServer1の間でsambaによるファイル送受信を実施、そこをServer1と同じサブネットにあるPCからRouter2のWAN側のIP Addressに対してPort Scanをかけて試してみよう!と、とりあえずPCでwiresharkを立ち上げたところ・・・。 Router2からBroadcastでARPがバンバン出ていました・・・。 確かにpingに対して応答は返しませんが・・・、全然隠れていなかったことに驚きました。 少し考えれば当たり前のことだと分かるのですが、実際にやってみるまで気づかないものですね。(苦笑) キャプチャログを前に、自分の無知さに恥ずかしくなり、つい笑ってしまいました。 一応、nmapでPortScanをかけた結果としては、WAN側からRouterを設定するためと思われるTCPのPortが1つ見つかっただけでした。 (勿論、Closeしています) MAC AddressとIP Address(Static)を詐称すれば、通信中のPortも見えたかもしれないですが。 DMZも考えたのですが、一般家庭用Routerの場合、WAN側からのデータを何でもかんでもDMZに設定したPCに転送するだけで、LAN側から見ればその他のPCと変わらない、つまり隔離されていないように感じました。 NAPTを行うため大丈夫とは思っていますが、まだまだサーバを公開するには知識が足りないなぁ・・・、と感じました。 他にもいっぱい抜けてそうなので、もう少し勉強をしなおしてみます。 ありがとうございました。

  1. カテゴリ
  2. インターネット・Webサービス
  3. インターネット接続・通信
  4. その他(インターネット接続・通信)

関連するQ&A

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVE セレクト

質問する