ルータでのFW・ソフトでのFWの違いについてどうか教えてください

Question

色々調べたんですが微妙に分からないので教えてください。

ＷＡＮ → |ルータ(FW)| → ＬＡＮ内パソコン
このルータのお陰でパソコンにはアタックが来ないのですよね。
ならばトロイの木馬などのウィルス系にやられている場合や、
ＰｎＰ対応のルータを使用している場合は除いて、
特にポートを開けていないＬＡＮ内のパソコンへは
ファイアウォールソフトの導入は必要ないのでしょうか？

また、外部からルータを見ることはできるのでしょうか。

セキュリティについて、具体的な説明がされている、
良いサイトなどもあればお教え頂ければ幸いです。
宜しくお願いします。

noname#14035 · Accepted Answer

#3のJzamraiです。ゴメンなさい、みなさんのやり取りの内容を良く吟味してみたところ、意図されている質問内容にお答えしていない部分が多いと感じたので、追記させていただきます。まずは、外部（WAN側）から見たルータの様子について、下記のサイトで得られる診断結果が有用だと思います。下記サービスでは、ポートが単に「閉じているのか」（closed）、「ステルス状態」（stealth）なのかといったような細かいレベルでの診断が可能です。英語のページですが、下記の要領で操作すれば、問題なく利用できると思います。 ■Shields Up!■ ↓ http://www.grc.com/default.htm ↓ ＞上記のページから中段の"Hot Spots"というタイトルグループにある、"Shields Up!"というリンクをクリックする事で、当該サービスページに入れます。 ↓ ＞ボタンをクリックする事で、診断メニュー選択画面に入ります。 ↓ ＞中ほどののうち、をクリックすると、自動的にポートスキャンが始まり、しばらくすると診断結果（各ポートの状態）が色分けされてマッピングされる筈です。診断結果がオールグリーンであり、お話のようにトロイやワームなどの感染が無い状態であれば、外部からの不正アクセスに対する防御という意味では、ほぼ安全であるといえると思います。また、前回の書き込みで紹介した過去ログ（内の過去ログ）にもあるような、「ベンダーが勝手に作ったWAN側のサービス・ポート（バックドア的なもの）」や、その他の「仕様」など、無意識にステルス化が解かれてしまっているポートの有無を確認する事が出来ると思います。最近は、VPNサービス機能を始め、様々な付加機能を搭載したルーターも登場してきていますが、セキュリティー的な意味合いで言うと、sunny days5さんのおっしゃるような機能以上のものが実装される事は少ないでしょう。（それ以上のセキュリティー機能となると、ルーターというよりむしろファイアーウォールやIDS/IPS（アプライアンス）としての位置付けになってくると思います。）ところで、サーバーを立てているとなると（提供しているサービスによっても変わってくるのですが）、ソフトウェア（アプリケーション）によるファイアーウォールの有益性は比較的高いものになると思います。既述したように、既存の多くの攻撃はWWW（80/TCP）など、「正規の通信経路（ポート）」を利用して行われるため、特にサーバーを立てている場合、「通信を許可しながら監視も行う」という複雑な作業をしなければなりません。そのためには、ルーターのパケットフィルタリングでは限界のある「プロトコルレベルやアプリケーション・レイヤ」での監視や、日々更新されるシグネチャを利用して、特定の攻撃コード（トロイやエクスプロイトなど）を名指しで捕獲するなどの対応が必要になるケースがあります。現状では、日々新しい攻撃手法が生まれていますので、最新の脅威にタイムリーに対応し続けるためには、アップデートが容易なソフトウェアのファイアーウォールの方が有利なのは確かです。加えて、こうしたソフトウェアによるログ情報を有効活用する事も出来ると思います。一口にサーバーといっても、プラットフォームや運用形態によって必要な対策は変化すると思いますが、一般論で言うと、「ソフトウェア的な実装は、より具体的で、よりきめ細かい防御を実現するために利用される。」という傾向はあろうかと思われます。（「何を守るのか？」という部分が重要で、ただやみくもに導入すれば良いというものではありませんが。）最後に、繰り返しになりますが、個々のセキュリティー対策（機能）を寄り深く理解するためには、「TCP/IPのより深い理解」が必須になると思いますので、下記定番サイトを紹介させていただき、終わりにしたいと思います。 ■@IT　Security&Trust■ ↓ http://www.atmarkit.co.jp/fsecurity/ ■@IT　Master of IP Network■ ↓ http://www.atmarkit.co.jp/fnetwork/ それでは。

noname#14035 · Answer

こんばんは。

この手の話はネットワークの仕組みに関する基礎知識（特にTCP/IPについて）が無いと「木を見て森を見ず」といった状態になりやすいのですが、なるべく噛み砕いて書いてみますネ。

まず、「多くの市販ブロードバンド・ルータ（以下、ルータと呼びます。）が謳っているファイアーウォール機能（パケット・フィルタリング機能）」と「パーソナルファイアーウォールなどに代表されるソフトウェア（ファイアーウォール）」では、それぞれ守備範囲（監視対象）や能力に大きな違いがあり、一概に「どちらを選ぶか」という単純比較をすべきではないというのが本質だと思います。（ルータ（ハードウェア実装）のパケットフィルタリング機能も、ソフトウェアであることに変わりはありませんが、ハードウェア上に”物理的な外堀”（2つのNIC)があるという点が大きく異なります。）

簡潔に言うと、「それぞれ長所と弱点をもっていて、両者を相互補完的（同時）に利用するのがセキュリティー上は非常に効果的である。」という事になると思います。

では、それぞれの仕組みについて、もう少し詳説してみましょう。

まず、ルータの持つパケットフィルタリングの機能についてですが、最も基本となるのが、「NATとポート単位でのフィルタリング機能」ということになると思います。（もちろん、現在では各製品ともに「ステートフル・パケットインスペクション」を始めとした、より下位のレイヤでの監視機能を持つ事が増えてきましたが、この点を書き出すと話が非常に長くなってしまいますので、ここでは省きます。）

ルータでセグメントが分けられていて（NATがかかっていて）、明示的にポートを開放していない場合、WAN（インターネット側）から見えるのはルータのWAN側のIPアドレスだけです。（「IPアドレス～のNICがあるが、中の様子はわからない。」という状態です。）

さらに、多くのルータではWAN側のNICの存在さえ隠してしまう、「ステルス状態」に設定する事も可能です。

この状態では、外から直接内部のネットワークにアクセスする事が出来ませんし、パケット自体も内部に到達できませんから、多くのリスクを排除する事が出来、とくに常時接続環境ではルータは必須の機器となると言っても過言ではないでしょう。

ただし、ルータのファイアーウォール機能には大きな盲点があり、基本的に内部から外部への通信は全て素通りさせてしまいます。

健康な状態のLANへの外部からの直接侵入防止には高い効果を発揮しますが、一旦内部に悪意ある仕掛け（たとえば、「トロイの木馬やワーム感染」など）を施されてしまえば、危険性（悪意ある通信）を排除する事が出来ません。

「外（WAN）から内（LAN)に入れないのだから安全なのでは？」と思う方もいらっしゃるでしょうが、インターネットを利用する限り、Webやメールなどのサービス・ポート経由では発信→受信が自由なので（でなければ、意味がありませんネ。）、こうなるとルーターのファイアーウォール機能はほとんど無力になってしまいます。

そこで登場するのが、ローカルPCなどに常駐する「ソフトウェア(アプリケーション）型のファイアーウォール」という事になります。

このタイプのものも、もちろん「外→内」のパケット監視機能を持っていますが、「内→外」（自分のPCから出て行く通信）の監視をしやすいようになっています。（多くの場合、「アプリケーション制御」や「IDS機能」などと組み合わせて、より細かいチェックをしてくれます。）

ただし、ルータのようにWAN側（NIC）で不要なパケットを無条件で排除できるわけではありませんので、バグや未知の脆弱性などにより、防壁を迂回されてしまうリスクは否定できませんし、パケット自体が到達してしまう以上、余計なアラートが頻発する可能性も高くなってしまいます。

結局のところ、どちらを選ぶかではなく、お互いの長所を活かして併用する事がセキュリティー上効果的であるというポイントがお解りいただけたでしょうか？

ただ、現実的にはルーターを導入して「Windows Updateなどによるパッチ管理とウィルス対策」がきちんと出来ている状態ならば、パーソナル・ファイアーウォールの必要性はそれ程高くないというのも事実だと思います。（リスクはユーザーの利用の仕方（内容）でも大きく上下しますし、既述の内容はあくまで理屈の上での話という事ですね。）

最後に、今回の話に関係ありそうな、私の書き込みがある過去ログURLを貼り付けて起きますので、興味があれば、参照なさってみてください。（下記過去ログ内に、さらなる情報へのリンクもみつかるはずです。）

http://okweb.jp/kotaeru.php3?q=827204

以上、参考になれば、幸いです。

それでは。

popesyu · Answer

仰るとおり必要ありません。
ただソフトウェアファイヤーウォールはそれ専用の特化しており、ログなどが残ったり、設定その他が細かくできたりが可能です。
※ルーターでもFW機能が豊富なものであれば、同等のものがありますが、安物ルーターの場合は最低限度のものしかついていません。またルーターの場合は中から外への通信は殆どノーチェックなのでトロイに感染していても気づかない可能性も高いです。

外部からルーターにログインする？ということでしょうか。ルーターの機能・設定次第で出来るのもありますし、そもそも仕様として外から幾らでも触れるような恐ろしい欠陥をもったルーターも普通に市販されていたりします。
http://www.tatsuyoshi.net/toyota/tech/elecom/

sin11 · Answer

ルータを導入していれば外からの浸入をほとんど防げると思います。でも万が一ルータにセキュリティホールが見つかった場合や、何らかの理由でルータを突破されたときのためにFWソフトを導入しておくのも効果的だと思います。
またルータを導入していたとしても、自分の意思でダウンロードしてきたものにウイルスが入っていた場合にその浸入を防ぐことはできません。この場合に、そのウイルスが外と接続しようとしたさいに、FWソフトをいれておけば勝手に外に出ていこうとするのを検出できるし、防ぐこともできるのでいざってときのためにFWをいれておくのはいいことだと思います。

ルータでのFW・ソフトでのFWの違いについてどうか教えてください

#3のJzamraiです。

こんばんは。

仰るとおり必要ありません。

ルータを導入していれば外からの浸入をほとんど防げると思います。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング