ルーターの port 80（ｈｔｔｐ） は閉じるべきなのでしょうか？

通常の家庭でのパソコン使用 [ 構成：ADSL modem -> rooter -> PC（WinXP pro) ]の場合、ルーターの port 80 は閉じるべきなのでしょうか？　現在 open 状態ですが、閉じないと不正なアクセスがあるのでしょうか？　自宅サーバー等を立ち上げている訳でなく、ISP（プロバイダー）につないで、非固定IPアドレスでWebの閲覧とMailの送受信だけで使用しております。

No.4 ベストアンサー 回答者： at121 回答日時： 2006/05/26 15:50

メーカーの機器の説明ページにて各種機能に

SPI　ステートフルパケット　インスペクション　機能があるので
自動的に動的に制御しています。
「現在 open 状態です」は自分がLAN側のパソコンから80でその確認サイトにアクセスしたのでその結果として開いているだけです。（その検査サイトに何か説明されているかも。）自動的にタイマーで閉じます。
他のメーカでは「ダイナミックポートコントロール」と言う機能名でした。

> 80 は閉じるべきなのでしょうか？
不要です。
手動でIPフィルタで80を閉じると　・・もう体験されているようですね。　

> 閉じないと不正なアクセスがあるのでしょうか？
SPIで開く時間を最小限としてリスク回避していると考えられます。
一定時間内にアクセスした以外のサイトからの80はブロックされています。
機種によってタイマーは短く設定することもできるでしょう。

この回答へのお礼

ご回答、大変有難う御座いました。また、こちらのお礼が大変遅くなり申し訳ありませんでした。

＞手動でIPフィルタで80を閉じると　・・もう体験されているようですね。　

　Corega製ルーターとBaffalo製ルーターの場合、inboundとoutboundの両方が遮断されてしまうので、通信できなくなります。何度も設定をやり直すハメになりました。

Userがいろいろな設定をする事が出来るYAMAHA製のrouter（ルーター）に買い換えました。
おかげで、inbound とoutbound の細かな設定が出来るようになりました。
corega製やBuffalo製のルーターの場合、portに関してinbound とoutboundをそれぞれ別々に設定する事が出来ず、大変不便でした。
やりたかった事は、inbound のみの port 80 の遮断でした。もっと、userの定義出来る設定を増やして欲しいと思いました。（coregaとBuffaloの両メーカーさんへ）。

お礼日時：2006/06/28 18:01

No.6 回答者： beach_wind 回答日時： 2006/05/28 17:15

ルーターに「不正アクセス防止機能」があれば安心です。

ただデフォルトの状態だと設定されて無い場合が多いので注意が必要です。（バッファロー製）
ルーターの管理画面を開いて確認しましょう。
不正アクセス防止ログ等も見れて便利です。

この回答へのお礼

ご回答、大変有難う御座いました。また、こちらのお礼が大変遅くなり申し訳ありませんでした。
Userがいろいろな設定をする事が出来るYAMAHA製のrouter（ルーター）に買い換えました。
おかげで、inbound とoutbound の細かな設定が出来るようになりました。
corega製やBuffalo製のルーターの場合、portに関してinbound とoutboundをそれぞれ別々に設定する事が出来ず、大変不便でした。
やりたかった事は、inbound のみの port 80 の遮断でした。もっと、userの定義出来る設定を増やして欲しいと思いました。（coregaとBuffaloの両メーカーさんへ）。

お礼日時：2006/06/28 17:55

No.5 回答者： neko3839 回答日時： 2006/05/28 13:57

念のための確認ですが、ルータの設定ユーティリティでいくつかの設定をされたと思いますが、

セキュリティ設定でステートフルインスペクション機能は有効にしてありますでしょうか？

参考URL：http://www.corega.co.jp/support/manual/router.ht …

この回答へのお礼

ご回答、大変有難う御座いました。また、こちらのお礼が大変遅くなり申し訳ありませんでした。

＞念のための確認ですが、ルータの設定ユーティリティでいくつかの設定をされたと思いますが、セキュリティ設定でステートフルインスペクション機能は有効にしてありますでしょうか？

はい、設定しております。


Userがいろいろな設定をする事が出来るYAMAHA製のrouter（ルーター）に買い換えました。
おかげで、inbound とoutbound の細かな設定が出来るようになりました。
corega製やBuffalo製のルーターの場合、portに関してinbound とoutboundをそれぞれ別々に設定する事が出来ず、大変不便でした。
やりたかった事は、inbound のみの port 80 の遮断でした。もっと、userの定義出来る設定を増やして欲しいと思いました。（coregaとBuffaloの両メーカーさんへ）。

お礼日時：2006/06/28 17:57

No.3 回答者： fukurou56 回答日時： 2006/05/26 09:38

外から内向けの 80番が開いていたという事ですが、色々と設定を弄った結果ですか？

それとも工場出荷時のデフォルト設定ですか？
デフォルト設定だとしたら、とんでもない事ですが、他に考えられる原因として、
WAN 側からルータの管理者用設定画面が見えている可能性はありませんか？
もしそうなら、直ちに禁止して下さいね。

この回答へのお礼

ご回答、大変有難う御座いました。また、こちらのお礼が大変遅くなり申し訳ありませんでした。

＞外から内向けの 80番が開いていたという事ですが、色々と設定を弄った結果ですか？それとも工場出荷時のデフォルト設定ですか？

　デフォルト設定では閉じられている様です。記憶があいまいですが．．．．．。

＞WAN 側からルータの管理者用設定画面が見えている可能性はありませんか？

　これは、ありませんでした。

Userがいろいろな設定をする事が出来るYAMAHA製のrouter（ルーター）に買い換えました。
おかげで、inbound とoutbound の細かな設定が出来るようになりました。
corega製やBuffalo製のルーターの場合、portに関してinbound とoutboundをそれぞれ別々に設定する事が出来ず、大変不便でした。
やりたかった事は、inbound のみの port 80 の遮断でした。もっと、userの定義出来る設定を増やして欲しいと思いました。（coregaとBuffaloの両メーカーさんへ）。

お礼日時：2006/06/28 18:05

No.2 回答者： yutakamk2 回答日時： 2006/05/26 02:37

どのようなルータをご使用なのか分かりませんが、通常家庭用のルータであれば、外（インターネット側）から内（PC側）へのport80はデフォルトで閉じているはずです。

この番号は既にご存知のようですがWebサーバを立ち上げてよそからの通信を受け入れるためのものなので、閉じてしまっても問題ありません。

逆に内から外へについてもWebブラウザがWebサーバへアクセスする際にこちらから出て行くポート番号は８０番でありませんので、閉じてしまって問題ないです。

実際になにを使っているかを調べるには（Windowsの場合）
１．コマンドプロンプトを起動
２．Webアクセスを実行
３．すかさずコマンドプロンプトでnetstat -nを実行で
こんな感じの表示が出て分かると思います
C:\Documents and Settings\Administrator>netstat -n

Active Connections

Proto Local Address Foreign Address State
TCP 192.168.1.117:2660 203.141.38.126:80 ESTABLISHED
TCP 192.168.1.117:2664 203.216.243.237:80 ESTABLISHED

この回答へのお礼

早速のご回答有難う御座います。

>どのようなルータをご使用なのか分かりませんが、通常家庭用のルータであれば、外（インターネット側）から内（PC側）へのport80はデフォルトで閉じているはずです。

ルーターは、「corega BAR Pro3」ですが、なぜか、WAN側からの開いているポート番号をcheckするサイトからcheckしてもらうと、「httpサービスのport番号(80)がopen開いているので、危険」と表示され、「閉じるようにしろ」と警告されるのです。

>この番号は既にご存知のようですがWebサーバを立ち上げてよそからの通信を受け入れるためのものなので、閉じてしまっても問題ありません。

私もそう思うのですが、自信がなかったので、再確認の為、ご相談しました。　私が「ISDN・ADSL・CATVで入られない・盗まれないインターネットセキュリティ強化テクニック（著者：村嶋修一、メディアテック出版社）」の第３部７章「サービスとポート番号」の７－２「ポート番号には宛先ポート番号と送信元ポート番号がある」を読んだ後、ポート番号（80）が開いているのは、どうもおかしいと感じたからです。

>逆に内から外へについてもWebブラウザがWebサーバへアクセスする際にこちらから出て行くポート番号は８０番でありませんので、閉じてしまって問題ないです。

私も前述の本の「インターネットサーバとクライアントの通信の仕組み」の説明から、全くそのように思います。再確認が出来て有難う御座います。

ご親切な回答有難う御座いました。これから、ポート番号８０をcloseしてさらにセキュリティを強化します。

お礼日時：2006/05/26 04:56

No.1 回答者： ramoke 回答日時： 2006/05/26 02:13

もう今後はWebの閲覧をしないと言う事でしょうか？

でしたら、WWWへのポート80を閉鎖してしまえば
閲覧は出来なくなりますので安心ですね。

必要な通信の為にポートは開けておかざるを得ませんので
開いているポートにどのような通信が行われているか
監視するべきでしょうね。

参考URL：http://y-kit.jp/inet/page/port.htm

この回答へのお礼

早速の回答有難う御座います。

>もう今後はWebの閲覧をしないと言う事でしょうか？
いいえ、そうではありません。「Webの閲覧」も今後も続ける予定です。

>でしたら、WWWへのポート80を閉鎖してしまえば閲覧は出来なくなりますので安心ですね。

いいえ、質問の意図は、クライアント側のネットワークのルーターの「ポート80(http)」は、rooter（corega BAR Pro3 ）で開けておく必要性が「あるか」、それとも「ないか」という事です。なぜこのような質問をしたかといえば、「ISDN・ADSL・CATVで入られない・盗まれないインターネットセキュリティ強化テクニック（著者：村嶋修一、メディアテック出版社）」の第３部７章「サービスとポート番号」の７－２「ポート番号には宛先ポート番号と送信元ポート番号がある」を読むと、インターネットサーバとクライアントの通信の仕組みが説明してあり、クライアント（自分）の PC の Web Browser (IE6)から、ISP（プロバイダ）のインターネットサーバに接続する時、宛先ポート番号はhttpサービス(80)で送信元ポート番号(1248：1025以上のランダムな数字)となっており、返信時は、この逆になり、ISPのインターネットサーバから、クライアント（自分）へのパケット信号では、送信元ポート番号(80)、宛先ポート番号(1248：1025以上のランダムな数字)で送出されるので、クライアント側のルーターには、ポート番号(80)を開ける必要性が全く無いと判断されるからです（この場合、ポート番号1025以上しか使用していない）。この本に書かれている事の検証の為、御質問させて頂きました。

>必要な通信の為にポートは開けておかざるを得ませんので開いているポートにどのような通信が行われているか監視するべきでしょうね。

全くその通りと思います。今後、監視用のソフトウェアーを購入して監視を強化するつもりです。
ご回答有難う御座いました。

お礼日時：2006/05/26 04:40