■ ルータによるセキュリティ強化 |
接続概念図&ルータの必要性 |
ルータの機能一覧 |
セキュリティ強化の設定 |
■ ルータの必要性 |
ルータ使用前: プロバイダ <--> モデム <--> PC間で接続されています。 このとき、グローバルIPはあなたのPCに直に割り振られています。 外部からあなたのグローバルIPアドレスに攻撃・侵入を試みた場合、あなたのPCに直接の被害を被ります。 しかし、プロバイダ <--> モデム <--> ルータ <-->PC間の場合は、あなたのPCの直前にルータが入ることにより直接の攻撃を受けることがなくなります(可能性が低くなります)。 ルータが間に入ることにより、インターネットとは別のネットワークになるために、インターネットとは分離されるのです。 上の図のLAN(Local Area Network)とWAN(Wide Area Network)の2つのネットワークになります。 あなたのPCは、LAN内のプライベートIPになるのです。 |
グローバルIPアドレスをローカルIPアドレスに、ローカルIPアドレスをグローバルIPアドレスにルータが変換してくれるのです。この機能のことをNAT(Network Address Translation)と言います。 |
なるほど!と、関心しましたか? あまいですね。 今度は、ルータが餌食になる可能性があるのです。 ブラウザからルータの設定が行えるのがほとんどだと思いますが、ルータの設定パスワードが初期状態のままだと設定を書き換えられる可能性があります。 と、言うのも一般的なルータの初期パスワードは裏では出回っています。 PCのセキュリティばかりに気をとられて、ルータのセキュリティまで気が回らない人もいるのです。 |
ついでに、モデムが餌食になる可能性もあります。 モデムのパスワードの設定も重要になってきます。 |
機能 | カタログ表記 |
補足説明 | |
インターフェース | WAN側:10BASE-T/100BASE-TX LAN側:10BASE-T/100BASE-TX |
■10BASE:伝送速度10Mbps 100BASE:伝送速度100Mbps 早いほうが良い。 ■10BASE-T/100BASE-TXとは、10BASE-Tにも対応し、100BASE-TXにも対応しているということです。 ■自動的に10BASE-T、100BASE-TXを認識して切り替えてくれます。 ■Yahoo!!BBのモデムは、10BASE-Tです。ルータが100BASE-TXしか対応していない場合は使えません。 | |
LAN側ポート数 | 1ポート、4ポート等 |
ポート数が1つでもハブを購入することにより複数接続できます。 ハブを購入するか、最初から複数ポートあるのを選ぶか・・・。 | |
カスケード接続用ポート | 複数のハブを多段接続するときに使用するポート |
個人で使用するなら使うことは無いでしょう。だいたい付いていると思います。 | |
対応WAN回線 | ADSL・SDSL・CATV、FTTH/FTTO、専用線など |
Yahoo!!BB対応、フレッツADSL対応などと明記されています。 | |
プリンタポート | 1ポートパラレルセントロニクスD-Sub25ピン*1 |
個人で使用する(大掛かりなLANの構築をしない)のであれば、必要ないと思います。 ファイルの共有設定でもプリンタの共有は可能です。 | |
DHCPクライアント/サーバ機能 | ISP(プロバイダ)からIPアドレスを動的に取得します。 |
LAN上の各PCに対してプライベートIPアドレスを自動的に割り当てます。 プライベートIPアドレスを、設定しなくていいので便利かも・・・。 | |
DHCPリレーエージェント | |
DHCPサーバとDHCPクライアント間の通信を中継をする機能。 | |
アドレス変換方式 | NAT/IPマスカレード |
必需品です。これが無いとルータの意味が無い。 | |
マルチNAT機能 | |
マルチNAT機能が参考になります。 | |
無線LAN | |
ケーブル不要なので、扱い易いかも。でも、値がはります。 PC1台ごとに送受信機が必要です。 | |
IPアドレス最大割当数 | 253 |
あまり気にしなくてもいいと思います。PC200台とかで、LANを組む個人はいないと思います。 | |
スタティックマスカレード | |
特定のポートを固定して通信を行わなければならない場合に使用する。 [例]「ゲームサーバ側から特定のポートへ通信を始めようとする」ような通信に使用する。 サーバ機能を公開するときにも必要になります。 | |
スループット | 通信速度 |
[例]Yahoo!!BBのADSL回線は、8Mbps。実際に8Mbps出ていたとします。 購入したモデムのスループットが1.5Mbpsだと、1.5Mbps以上の通信速度が得られなくなります。 契約している回線の通信速度以上のものを購入しましょう。 光回線の方は、特に注意してください。 いくら光回線を導入してもルータが8Mしか対応していないと、90Mとかの回線速度はでません。 | |
PPPoE対応 | |
Ethernetなどのネットワーク上でダイヤルアップ接続(PPP接続)のような利用者のユーザー名、パスワードのチェックを行なうために作り出された規格。 フレッツADSLには、必要な機能です。 | |
PPPoEで複数のグローバルIPアドレスを使用するLAN型接続 | |
Web設定画面 | |
ルータの設定をブラウザで設定できる。 Internet Explorer,ネットスケープ等のブラウザで設定ができます。 | |
対応OS | Windows 95,Me,2000,NT,XP |
あなたが使用しているOSが対応しているものを選択します。 | |
ファームウェアのアップグレード | |
モデムのファームウェアのアップグレードが可能。 モデム内のプログラム(ファームウェア)もバグ、セキュリティホールが見付かることがあります。 そういった場合に、ファームウェアの更新が必要になります。 ファームウェアの更新ができるルータにしましょう。 | |
設定を初期化できるリセットスイッチ | |
リセットスイッチを押すだけで工場出荷状態に設定を戻すことができる。 リセットスイッチによる初期状態復帰、付属CD-ROMのソフトによる初期状態復帰等色々あります。 パスワードを忘れてしまったときにも強制的に工場出荷状態に戻ります。 | |
ファイアーウォール | |
ステートフル・パケット・インスペクション方式 | |
あなたのPCから外部への接続要求と外部からの接続応答の関連性をチェックします。早い話が要求していない接続に対しては、外部からの要求には答えない機能です。 出て行く通信に対応した応答以外には返事はしないということです。 これにも問題点はあります。 トロイの木馬が仕込まれた場合には、トロイが外部へ接続要求、悪意あるものが応答すると接続されてしまいます。 あなたが訪問要求していない営業マンに対しては、玄関先(ルータ)でお断り。飛び込み営業は遮断すると言う感じですね。 強盗(トロイの木馬)が仲間を呼んだときは、侵入をさせてしまうといったとこでしょうか。 | |
Dos Attack Protection | |
Dos攻撃を受けたときに、特定メールアドレスに攻撃を受けていることを通知する機能 | |
パケットフィルタリング | |
特定のサービスポート番号を塞ぎます。 特定URLへの接続を防ぎます。 |
ポート番号 | プロトコル | サービス名 | 用途 |
23 | TCP | TELNET | 仮想端末 |
135 | TCP/UDP | RPC | プロシジャーコール |
137 | UDP | nbName | コンピュータ名を解決 |
138 | UDP | nbDatagram | ネットワークコンピュータの検索 |
139 | TCP | nbSession | ファイルの共有、ユーザの認証 |
445 | TCP/UDP | dhSMB | Windows2000のファイルの共有、ユーザ認証 |
パケットフィルタリング | |||
WAN -> LAN | プライベートIPアドレス 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16に対するアクセスを全て遮断する。 IPスプーフィング防止のため | ||
WAN -> LAN WAN <- LAN | ポート番号 137 -> 139 へのアクセスを全て遮断する。 ファイルの共有を外部から覗かれないようにするため | ||
パスワードの変更 | |||
ルータの設定用パスワードは、初期値(root等)から変更してください。 | |||
無線LANを利用されている方へ | |||
■セキュリティ規格IEEE802.1xがお勧めです。 ■WEPキーの設定とMACアドレスによる接続の制限の設定を必ず行ってください。 ■WEPキーの設定は、最大入力可能文字数(英数字)を入力してください。 ■盗聴された場合に、解読が困難になります。 |