×

[PR]この広告は3ヶ月以上更新がないため表示されています。
ホームページを更新後24時間以内に表示されなくなります。

TOP
■ ルータによるセキュリティ強化
   接続概念図&ルータの必要性
   ルータの機能一覧
   セキュリティ強化の設定

 ■ 接続概念図&ルータの必要性
■ ルータの必要性
 ルータ使用前:
 プロバイダ <--> モデム <--> PC間で接続されています。
 このとき、グローバルIPはあなたのPCに直に割り振られています。
 外部からあなたのグローバルIPアドレスに攻撃・侵入を試みた場合、あなたのPCに直接の被害を被ります。
 しかし、プロバイダ <--> モデム <--> ルータ <-->PC間の場合は、あなたのPCの直前にルータが入ることにより直接の攻撃を受けることがなくなります(可能性が低くなります)。
 ルータが間に入ることにより、インターネットとは別のネットワークになるために、インターネットとは分離されるのです。
 上の図のLAN(Local Area Network)とWAN(Wide Area Network)の2つのネットワークになります。
 あなたのPCは、LAN内のプライベートIPになるのです。

グローバルIPアドレスをローカルIPアドレスに、ローカルIPアドレスをグローバルIPアドレスにルータが変換してくれるのです。この機能のことをNAT(Network Address Translation)と言います。

 なるほど!と、関心しましたか?
 あまいですね。
 今度は、ルータが餌食になる可能性があるのです。
 ブラウザからルータの設定が行えるのがほとんどだと思いますが、ルータの設定パスワードが初期状態のままだと設定を書き換えられる可能性があります。
 と、言うのも一般的なルータの初期パスワードは裏では出回っています。
 PCのセキュリティばかりに気をとられて、ルータのセキュリティまで気が回らない人もいるのです。

ついでに、モデムが餌食になる可能性もあります。
モデムのパスワードの設定も重要になってきます。

 ■ ルータの機能一覧
機能カタログ表記
補足説明
インターフェースWAN側:10BASE-T/100BASE-TX LAN側:10BASE-T/100BASE-TX
■10BASE:伝送速度10Mbps 100BASE:伝送速度100Mbps 早いほうが良い。
■10BASE-T/100BASE-TXとは、10BASE-Tにも対応し、100BASE-TXにも対応しているということです。
■自動的に10BASE-T、100BASE-TXを認識して切り替えてくれます。
■Yahoo!!BBのモデムは、10BASE-Tです。ルータが100BASE-TXしか対応していない場合は使えません。
LAN側ポート数1ポート、4ポート等
ポート数が1つでもハブを購入することにより複数接続できます。
ハブを購入するか、最初から複数ポートあるのを選ぶか・・・。
カスケード接続用ポート複数のハブを多段接続するときに使用するポート
個人で使用するなら使うことは無いでしょう。だいたい付いていると思います。
対応WAN回線ADSL・SDSL・CATV、FTTH/FTTO、専用線など
Yahoo!!BB対応、フレッツADSL対応などと明記されています。
プリンタポート1ポートパラレルセントロニクスD-Sub25ピン*1
個人で使用する(大掛かりなLANの構築をしない)のであれば、必要ないと思います。
ファイルの共有設定でもプリンタの共有は可能です。
DHCPクライアント/サーバ機能ISP(プロバイダ)からIPアドレスを動的に取得します。
LAN上の各PCに対してプライベートIPアドレスを自動的に割り当てます。
プライベートIPアドレスを、設定しなくていいので便利かも・・・。
DHCPリレーエージェント
DHCPサーバとDHCPクライアント間の通信を中継をする機能。
アドレス変換方式NAT/IPマスカレード
必需品です。これが無いとルータの意味が無い。
マルチNAT機能
マルチNAT機能が参考になります。
無線LAN
ケーブル不要なので、扱い易いかも。でも、値がはります。
PC1台ごとに送受信機が必要です。
IPアドレス最大割当数253
あまり気にしなくてもいいと思います。PC200台とかで、LANを組む個人はいないと思います。
スタティックマスカレード
特定のポートを固定して通信を行わなければならない場合に使用する。
[例]「ゲームサーバ側から特定のポートへ通信を始めようとする」ような通信に使用する。
サーバ機能を公開するときにも必要になります。
スループット通信速度
[例]Yahoo!!BBのADSL回線は、8Mbps。実際に8Mbps出ていたとします。
購入したモデムのスループットが1.5Mbpsだと、1.5Mbps以上の通信速度が得られなくなります。
契約している回線の通信速度以上のものを購入しましょう。
光回線の方は、特に注意してください。
いくら光回線を導入してもルータが8Mしか対応していないと、90Mとかの回線速度はでません。
PPPoE対応 
Ethernetなどのネットワーク上でダイヤルアップ接続(PPP接続)のような利用者のユーザー名、パスワードのチェックを行なうために作り出された規格。
フレッツADSLには、必要な機能です。
PPPoEで複数のグローバルIPアドレスを使用するLAN型接続
Web設定画面
ルータの設定をブラウザで設定できる。
Internet Explorer,ネットスケープ等のブラウザで設定ができます。
対応OSWindows 95,Me,2000,NT,XP
あなたが使用しているOSが対応しているものを選択します。
ファームウェアのアップグレード
モデムのファームウェアのアップグレードが可能。
モデム内のプログラム(ファームウェア)もバグ、セキュリティホールが見付かることがあります。
そういった場合に、ファームウェアの更新が必要になります。
ファームウェアの更新ができるルータにしましょう。
設定を初期化できるリセットスイッチ
リセットスイッチを押すだけで工場出荷状態に設定を戻すことができる。
リセットスイッチによる初期状態復帰、付属CD-ROMのソフトによる初期状態復帰等色々あります。
パスワードを忘れてしまったときにも強制的に工場出荷状態に戻ります。
ファイアーウォール
ステートフル・パケット・インスペクション方式
あなたのPCから外部への接続要求と外部からの接続応答の関連性をチェックします。早い話が要求していない接続に対しては、外部からの要求には答えない機能です。
出て行く通信に対応した応答以外には返事はしないということです。

これにも問題点はあります。
トロイの木馬が仕込まれた場合には、トロイが外部へ接続要求、悪意あるものが応答すると接続されてしまいます。
あなたが訪問要求していない営業マンに対しては、玄関先(ルータ)でお断り。飛び込み営業は遮断すると言う感じですね。
強盗(トロイの木馬)が仲間を呼んだときは、侵入をさせてしまうといったとこでしょうか。
Dos Attack Protection
Dos攻撃を受けたときに、特定メールアドレスに攻撃を受けていることを通知する機能
パケットフィルタリング
特定のサービスポート番号を塞ぎます。
特定URLへの接続を防ぎます。

ステートフル・パケット・インスペクション方式、パケットフィルタリングは必需品です。
購入時には、要チェック!

 ■ セキュリティ強化の設定
こここでは、ルータ購入後の塞ぐポートとフィルタリングの方法を取り上げました。
ポート番号プロトコルサービス名用途
23TCPTELNET仮想端末
135TCP/UDPRPCプロシジャーコール
137UDPnbNameコンピュータ名を解決
138UDPnbDatagramネットワークコンピュータの検索
139TCPnbSessionファイルの共有、ユーザの認証
445TCP/UDPdhSMBWindows2000のファイルの共有、ユーザ認証
パケットフィルタリング
WAN -> LANプライベートIPアドレス 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16に対するアクセスを全て遮断する。
IPスプーフィング防止のため
WAN -> LAN
WAN <- LAN
ポート番号 137 -> 139 へのアクセスを全て遮断する。
ファイルの共有を外部から覗かれないようにするため
パスワードの変更
ルータの設定用パスワードは、初期値(root等)から変更してください。
無線LANを利用されている方へ
■セキュリティ規格IEEE802.1xがお勧めです。
■WEPキーの設定とMACアドレスによる接続の制限の設定を必ず行ってください。
■WEPキーの設定は、最大入力可能文字数(英数字)を入力してください。
■盗聴された場合に、解読が困難になります。