ブリッジ接続とファイヤーウォール

インターネット　－　（ａ）ルーター（ｂ）　－　（ｃ）ＮＩＣ１（＋）ＰＣ－１（＋）ＮＩＣ２（ｄ）　－　ＨＵＢ
ＨＵＢ－（ｅ）ＮＩＣ３（＋）ＰＣ－２
ＨＵＢ－（ｆ）ＮＩＣ４（＋）ＰＣ－３


IPアドレス
a:グローバルアドレス
b:192.168.001.***
c:192.168.001.001(ルーターによるDHCP)
d:192.168.000.001(NIC-1共有による固定IP)
e:192.168.000.***(PC1によるDHCP)
f:192.168.000.***(PC1によるDHCP)
デフォルトゲートウェイ
c:192.168.001.***
d:192.168.000.001
e:192.168.001.001
f:192.168.001.001
OS
PC-1 Win-2K(Pro) + ウイルスセキュリティ2005EX
　 (ネットワーク通信設定:リモートポート 80を開放に設定)
PC-2 Win-2K(Pro) *ファイヤーウォール無し
PC-3 Win-98SE * ファイヤーウォール無し

上記の構成により、PC-1.2.3でインターネットを共有して、Winや
ファイヤーウォールのアップデートをしていましたが、ある日、気がついたら
PC-2.3からインターネットに接続できなくなりました(PC-1は問題なし)。
再インストールや設定の見直し等を試みましたが、行き詰まりました。
ネットワーク素人なんですが、セキュリティの一元管理と思って、
このような構成にしました。ご指導の程よろしくお願いします。

No.2 ベストアンサー 回答者： suzui 回答日時： 2005/04/07 07:23

ソースネクストのサイトのQ&A(速答くん)で検索すると、

　【ウイルスセキュリティ】パソコンにLANカードを複数取り付けている環境で使用できますか？
　Q. 【ウイルスセキュリティ】パソコンにLANカードを複数取り付けている環境で使用できますか？
　A. 複数のネットワークカードが取り付けてある環境では使用できません。
と出てきます。

PC-1で「インターネット接続の共有(ICS)」をされていると思うので、ウィルスセキュリティをご利用になるのはやめたほうがいいでしょう。アンインストールしたほうがいいと思います。

そもそもPC-1はすでにルータで一度NATされた先に接続されており、インターネットに直結した状態ではないので、
いわゆるソフトウェアのファイアウォールは必須とまでは言えません。
ウィルス対策ソフトウェアは必要なので、ウィルス対策兼ファイアウォールのような製品ではなく、
ウィルス対策に機能を限定した製品を使うほうがいいでしょう。
例えばSymantecのNorton AntiVirusなど。

とりあえずいったんソースネクストのソフトウェアをアンインストールし、試してみてください。


さらに可能であれば、「インターネット接続の共有(ICS)」を使うのをやめて、PC1,2,3全てをルータの先に接続した方がいいです。
ルータ - Hub - PC1
　　　　　　 - PC2
　　　　　　 - PC3
という感じですね。

現在の構成はNATを2回かけていて、このようなトラブルが起きたときに面倒になりがちですし、セキュリティの一元管理といっても、結局ウィルス対策ソフトウェアは全てのPCに必要になるので、そういう意味ではあまり効果的ではありません。
できるだけシンプルなネットワーク構成で、シンプルに管理したほうが何か起きたときに理解もしやすいし、解決も早いです。

この回答へのお礼

回答ありがとうございます。
とりあえずソフトウェアのアンインストールで問題は解決しました。単にファイヤーウォールの強度を上げようと、このような構成にしたのですが、ルーターの簡易ファイヤーウォールは、どの程度、効果があるのでしょうか？ちなみに、以前、ノートンインターネットセキュリティをソフトファイヤーウォールとして使おうとしましたが、あまりに重過ぎて実用化できませんでした。

お礼日時：2005/04/07 18:00

No.4 回答者： suzui 回答日時： 2005/04/07 22:13

＞ルーターの簡易ファイヤーウォールは、どの程度、効果があるのでしょうか？

ルータの機種にもよります。
家庭用のルータであれば、ステートフル・パケット・インスペクションと呼ばれる機能を備えていることが多いですが、おそらく業務用ファイアウォールのステートフル・パケット・インスペクション機能と同レベルのチェックまでは行っていないと思われます。(推測)
http://www.checkpoint.co.jp/products/others/stat …
また、ベンダーによってはパケットの奥深くまで見ている場合、ディープ・パケット・インスペクションと呼んで区別しているところもあります。
http://enterprise.watch.impress.co.jp/cda/topic/ …

家庭用ルータなどの(簡易)ファイアウォールは、インターネットからのポートスキャンなど、無差別型の攻撃からはある程度守ってくれる可能性がありますが、パケットの奥深くまで見ているわけではないので、明らかに相手を狙いすました攻撃には耐えられないと考えてよいでしょう。

それからルータが対応できるとしても外からの攻撃に限られる点には注意が必要です。

ウィルスやワームの侵入路はルータ経由だけではなく、内部に持ち込まれたPCやメディアで持ち込まれることが多いです。また、家庭ではあまりないかもしれませんが、データを盗んだり破壊したりという活動も、内部犯行のほうが容易なため実態としては多いです。
そのため、ある程度のセキュリティ要件を定めている組織では、インターネットとの境界にファイアウォールを設置するだけでなく、内部のPC全てにソフトウェアベースのファイアウォールを導入しているケースがあります。

今回の質問の構成を見る限り、言い方が悪いかもしれませんが、対策として中途半端なように見えます。

ルータによるNAT環境下にICSを入れて、NATを2重にかけても有効とは思えません。
攻撃する側から見たら、特定のPCに依存している構成のほうがかえって楽だとも言えます。

また、明記されていないので推測ですが、ウィルス対策ソフトウェアを全PCに入れていないのであれば、入れるべきです。

ソフトウェアベースのファイアウォールを入れるのであれば全てのPCに入れるべきだと思います。
管理されていないPCを接続させない、出所不明のメディアは持ち込まない、という運用を徹底するのであれば、ソフトウェアベースのファイアウォールは不要かもしれません。

この回答へのお礼

いろいろと勉強になります。ありがとうございました。

お礼日時：2005/04/08 19:43

No.3 回答者： nobody2004 回答日時： 2005/04/07 07:45

e と f のデフォルトゲートウェイは、

192.168.0.1
では？
（DHCP で割り当てられたのが、記述の値なのでしょうか）

なお、「インターネット接続の共有」は、いまいち安定していない（正しい設定のはずなのに動作しなかったり、２０分くらい時間がかかったり）という話もあるそうなので、使わないほうが幸せかと。
No.2 の方も言われているように、質問者さんの環境ではあんまり意味が無いですし。

この回答へのお礼

回答ありがとうございます。
デフォルトゲートウェイ　192.168.0.1です、失礼しました。

お礼日時：2005/04/07 17:52

No.1 回答者： kuma-ku 回答日時： 2005/04/06 21:08

こんばんは

ルータに192.168.0.0/24 のルート設定はされていますか？
それとも”PC-1”でNAT していますか？

この回答へのお礼

回答ありがとうございます。NATはPC-1でしています。

お礼日時：2005/04/07 17:49