初心者なりに、セキュリティについて勉強しています。
そこで疑問なのですが、ファイヤーウォールって、
自分のPCをサーバーとして公開しないかぎり必要ないんじゃ
ないのかなぁ~っと思うのですが違いますか?

TCP/IPって行きと帰りのポートとIPアドレス情報を私の指示通りに持っているわけで、単に私が
インターネットでウロウロするだけには
ファイヤーウォールは必要ないように思うのです。

これが、外からの要求に対応するには、容赦無く怪しい
要求があるかもしれないので、そこでは必要だって
ことではないのでしょうか?

どなたか、易しくご教授いただけませんか?

宜しくお願いいたします。

このQ&Aに関連する最新のQ&A

A 回答 (6件)

Q/partsさんお勧めのフリーのファイアウォール、ご紹介いただけませんか?



A/私はTinyPersonalFirewall使っていますが、S社のNシリーズと同等の性能が一応ありますので、
http://eazyfox.tripod.co.jp/
(ファイアウォールについてのサイトです)
http://www.ocn.ad.jp/security/pw/tiny.html
(ダウンロードと使い方)
http://www.geocities.co.jp/SiliconValley-Cuperti …
(日本語化は上)
ちなみに、最初から日本語がよろしければ
http://www.forest.impress.co.jp/article/2002/02/ …
(OutPost)
もある。これは、Tinyよりは多少機能性が低い。

Q/こういう複数台数持ってる場合って、みんなどうしてるのでしょうか?

A/ほんとにどうしているのでしょうね。
まあ、対策にはお金をかけて完璧に近づける方と、逆にお金をそこそこかけて、後は定期的に検査をしてセキュリティを確保する人がいますが、私は後者ですから、フリーソフトもうまく使うのが賢いかと思いますよ。
ウィルス対策はAVGのFreeEdition(完全に英語版です)もありますし、メーカーサポートはないに等しいですが、使い勝手も良いですし、製品版の有料ソフトに匹敵する能力もありますからね。

複数台のPCがあるのなら、1台は市販ソフトでもう一台はフリーソフトで賄うのは方法として最適と思いますが、まあある程度スキルができてからの話ですし、絶対に安心できる商品でもないですけどね。
要は、自分がウィルスをばらまく加害者となって周りに迷惑をかけないことと、感染しないことですから、対策ソフトは最低限で他の対処も必要ですし、感染したときに対策ソフトが発見に遅れて広がっていたという場合もあれば、フリーで定期的に検査して周りのユーザーに広がる前に駆除したということもありますから、後は利用者の気持ちやセキュリティ対処によりますから・・・
http://www.grisoft.com/html/us_index.htm
(AVGのサイト、Freeの利用には最低限のユーザー登録<利用者名と住所登録>が必要)


以上でしょう。

ウィルス感染していない上級者ほど、対策は高いソフトを入れて対処すれば十分だという人、対策ソフトはなくても観戦しないと言う人が多いですから、そういう人にならないようにしましょう。また、ソフトを入れれば終わりではなく、それが対策の第一歩ですから高いソフトで満足して対策を怠るようなら安いソフトで不安だから他の対策や気持ち(感染するかもしれないとか、侵入されるかも)などいろいろな意味で心構えは常に持ちましょう。そうすることで、最悪の事態(加害者になること)を防ぎましょう。(対策ソフトをいれて、自分のPCを守ったが加害者になっていたというのもありますので・・・)
    • good
    • 0
この回答へのお礼

partsさん~どうも詳細に説明いただき、有難うございました。

お忙しい中、恐縮です~~~~感謝

加害者とならないよう、しっかり勉強させていただきます。

よく使うPCの方でウイルスバスター2002にバージョンアップを
先日完了しました。

古いPC(Win98)の方は、HPをアップロード位しか
ネットは使わないので、仰るとおりフリーソフトで
対応してみようと思います。

どうも有難うございました。

頑張って勉強したいと思いますので、又登場したときは
是非、力になって欲しいです。←甘えてる!って怒らないでくださいね。

どうもありがとうございました。

お礼日時:2002/03/09 23:53

再び登場のaoi-sです。


そういや見方を書いてませんでしたね(^_^;)
特に重要な部分について書いておきます。
 
・現在接続している場所(現IP)
 これは「REMOTE_ADDR」という環境変数で、接続者(つまりあなた自身)が現在使用しているIPアドレス自体をさしています。これが分かることによって少なくとも接続者の利用しているプロバイダは判明します。
また常時接続で長時間接続しっぱなし、あるいは固定IPの場合にはIPアドレスがばれることによって攻撃対象になる恐れがあります。

・現在接続している場所(元IP)
 これはプロクシ(代理サーバー)を通しているときにプロクシから吐き出される「FORWARDED_FOR」という環境変数です。

プロクシを通したときの動きは
 あなた   →  プロクシ  →  サイト
 (この範囲はあなたのIP)(ここからはプロクシのIP)

という感じでして、本来サイト側は接続してきた直のIPしか分からないのですが、このFORWARDED_FOR変数にあなたのIPが出てしまうことがあります。
あなたのIPがばれることによる危険性は先に書いたとおりです。

・クライアントホスト名
 これはあなたのIPアドレスをDNS引きを行って、あなたが使っているプロバイダのサーバー名を出力しています。もちろんプロクシを通していた場合、プロクシのホスト名が出てきます。

・ポート番号
 これはあなたが接続してきたときに利用したポートを「REMOTE_PORT」変数で表しています。IPアドレス+ポート番号が判明すると、PCへの侵入の足がかりにされることがあります。

・使用ブラウザ
 これがばれることによってブラウザ特有のセキュリティホールを突く攻撃をされる恐れがあります。

・閲覧者のWeb Browserの種別(どこのURLから来たか)
 一つ前のURLがばれます。危険性は薄いですが、このURLをたどって個人情報を抜き出そうとする輩もいます。また気分的にも自分の閲覧したURLを知られるというのは・・・って人もいますよね(^_^;)

・・・とまぁめっちゃかいつまんでますが、こんな具合です。
長文にならないように言葉を選んだのですが、あいまいな表現になっちゃいましたので、お詫び代わりにセキュリティ関係のサイトを載せておきます。
僕もしょっちゅう目を通しています。

情報がかなり詰まったサイトなので、ぜひ一度ごらんになってください。
必要なリンクもほぼ網羅されてます。

参考URL:http://www02.u-page.so-net.ne.jp/ya2/njkson/higa …
    • good
    • 0
この回答へのお礼

aoi-sさん、何度もおよびたてすみませんでした。
仕事でもないのに、詳しくカキコミ有難うございました。

じっくり読んで、勉強させていただきます。

いろんなことをココで、教えていただいてますが、
いいサイトですね。

チョクチョク登場しますので、又ご協力をお願いいたします。←私の勉強の…

ありがとうございました。

お礼日時:2002/03/09 23:46

すでに、解答がありますが、一応解答です。



まずは、ネット接続の仕組みですね。
ネットに接続すると、アドレスが割り振られます。
いわゆるIPアドレスですね。
一度ネットに接続すればこのアドレスは変わることがありません。ネット接続を切断するまでアドレスは同じと言うことです。(グローバルの場合・・・プライベートは除く)
IPアドレスは扉にすぎません。扉から外に出られるなら、内に入ることもできると言うことですよね。
IPアドレスは、ただの住所ですからそこに何の警備や鍵もなければ入れます。
ネットワークに接続されているPCはサーバー(ホスト)で管理されており、ファイアウォールを使っていない場合は簡単にそのアドレスが特定できます。

しかも、この接続には複数の用途に応じたポート(出入り口)がありますから、使われていないポートを利用すれば侵入が容易。

さて本題はここからです。
外部からの侵入方法はどういう方法を使うかですね。
まず、あなたがネットに接続します。
アドレスが割り振られます。そして、ネットワークでいろいろなサイトを閲覧する。使う送信/受信のポートでデータをやりとりするポートが開いているのは当然ですが、ファイアウォールがなければそれ以外の使わないポートも全開です。137~139番はファイルの共有、Telnetが23番のポートという具合にたくさんのポートがあります。
それはどれも、あなたが監視しているわけでもなく、もしかしたらソフトが見向きもしないで、ただ開いているだけのポートがあるかもしれません。
そこに接続中のクライアントを検索して、クラッカーが悪質なパケット(データ)を送り込みます。データが送り込まれると、そのデータはメモリとCPUを介し処理されます。その処理がパソコンを外部から制御する物であれば・・・クラッカーが外からPCを制御できます。
制御されれば、こちらからネット接続を解除することもできません。ケーブルを抜いて切断するか電源を強制で切る以外の方法ができなくなることもあります。

これだけです。あなたからすればこっちは見るだけだから・・・でしょうが、見ることができるなら外から入ることも簡単という裏返しです。

ちなみに、もう一つあります。これは、トロイの木馬を使った場合、トロイはウィルススキャンでかからない場合も多々あります。このトロイには種類によってデータを流出させる物があります。これも、ファイアウォールの監視がなければ外部からのアクセスではなく内部から外部に知らずの内に送り出される場合があります。

では、ファイアウォールは何をするか?
この使われていないポートを閉じます。入り口のドアに門番を付け、さらに不審な人が出入りするときに、管理人(あなた)の指示を得ます。
これによって、不正なデータの侵入を防ぐのです。
トロイの木馬も同じで、アプリケーション層での流出防止なら、ある特定のソフトが外部にアクセスしようとすると、ルール警告がでます。これによって外部へのデータ流出が防げます。

内側から出られるなら、外からも入られるこれは常識ですよね。例えば自分の家に鍵をかけないで外に出て、家族以外がこの家に入ることはないから鍵はかけないという人はほとんどいないでしょう。それと同じことです。
特に、インターネット接続中は鍵が開いているどころか、扉が開いているのと同じです。IPアドレスは逆に接続中のアドレスを探知することもできますから、相手がこのパソコンを狙ってと思えば私たちがインターネットに接続するのと同じぐらい簡単にできると言うことです。

ただ、ファイアウォールを使えば、それが一気に簡単ではなくなる。後は、あなたがどう感じるか・・・まあ最近はフリーのファイアウォールが某製品版のファイアウォールを圧倒する時代ですから、お金もかからないですが・・・
どうします?

この回答への補足

ミルです。ご返事有難うございます。

すっごく分かりやすい説明有難うございます。

やっぱし本当に早くに正規にソフト導入をします。

partsさんお勧めのフリーのファイアウォール、ご紹介いただけませんか?

我が家にPCが2台あって、1台はウィルスバスターを
買って入れてあるんです。更新料金を払わなくっちゃ…(涙)
っで、今回導入のノートPC用にも買い足すのに躊躇してたんです、私。

こういう複数台数持ってる場合って、みんなどうしてるのでしょうか?
私のように、後でPCを買い足してる人達って…

宜しければおしえていただけませんか?

よろしくお願いいたします。

補足日時:2002/03/01 08:57
    • good
    • 0

>これが、外からの要求に対応するには、容赦無く怪しい要求があるかも


>しれないので、そこでは必要だってことではないのでしょうか?

そこでは?
大変失礼ですが「そこでは=ウェブ全体」とぜひ考え直していただくようにお願いします。

>TCP/IPって行きと帰りのポートとIPアドレス情報を私の指示通りに持っているわけで・・・

これはあなたのPCからのパケット情報に関してだけいえることであって、外部からは「どんなパケットがあなたのPCに飛んでくるかは一切保証されていない」のです。

たとえば、もしクラッカーがあなたのIPアドレスを知っていた(あるいはランダムでIPをあてがわれて発見された)ならば、そのIPアドレスに対してポートスキャンをかまし、内向きに開放されているポートを探し出して、判明したポートの片っ端からtelnetなどで接続要求することも出来ます。
セキュリティホールがある状態だと最悪不正アクセスの餌食になります。

ファイヤーウォールは不必要なポートを遮断(隠蔽)することによって、IPアドレスを知られた場合でも簡単には侵入を許さないために、そして内部から不必要な情報を漏洩しないためにもあるのです。
ただしファイヤーウォールがあってもウェブに繋いでいる以上、開放しているポートも存在しているため、100%回避できるというわけではありません。なお最近のファイヤーウォールの場合、ポートスキャンされていることを知らせて防御するものもあります。

まぁ一度ファイヤーウォールなしで下記のURLに行ってみてください。怪しいサイトではありません、「普通に取得できる限りの」情報をブラウザで確認できるサイトです。
いかにあなたのネット環境が丸見えなのかが恐ろしいほど目に見えるはずです。逆に言えば侵入が成功されてしまった場合、その情報を元にしてさらなる攻撃の参考にされることを示します。

今のネット環境は自分のパソコンを守る意味合いだけでなく、他人のパソコンへの攻撃を知らず知らず行ってしまうことのないように、アンチウィルスソフト・ファイヤーウォール(ルータのパケットフィルタリングなども)・IDS(トラフィックを常に監視して異常があった場合に通知などを行うアプリ)などでセキュア環境を構築することが肝要です。

さらなる向上を期待しています。

参考URL:http://www.ugtop.com/spill.shtml

この回答への補足

ミルです。ご返事有難うございました。

ご紹介いただいたWebページに行って見たんですが、
すみません!表示されたものの何が怖いのか理解できないんです。自覚が無くってすみません。

nonっとなっていた所が多かったんですが、表示されていたところはIPアドレスとポートとIEのバージョン、それと、Webページの履歴(1つ前に訪れたページのURL)
だったと思います。

今、ウィルスバスター2002のお試し版を入れてみた状態です。

よろしければ、何がどう怖いのか教えていただけませんか?

宜しくお願いいたします。

補足日時:2002/03/01 08:50
    • good
    • 0

TCPという専門用語を使っていらっしゃるのですから、私よりお詳しいみたいですね。



 私の経験からすると、いろいろなところから拡張子(exe等)をもったのが、パソコンに入り込もうとします。ノートンのインターネットセキュリティが出てすぐに入れましたが、2、3日に一度は、拡張子がアクセスしようとしていますという警告が出ました。ケーブルテレビを使っています。ですから、危険性が高かったのかもしれません。ルーターを入れてから大分少なくなりました。

 インターネットに接続していると言うことは、世界中とつながっていると言うことです。世界のどこからあなたのパソコンに進入しようとする人がいるか分かりません。

 知り合いの電気屋の店員さんがアクセス先を追跡してみたらインドから来たのもあったようです。

 このようなアクセスは、機械的に情報を取得し、売ろうという目的がほとんどだと思います。重要な情報を盗まれたら一大事です。また、拡張子の中には、パソコンの制御を妨害したりするのもあります。更に怖いのは、他の企業等を攻撃するのに自分のパソコンから直接攻撃すれば身元が明らかになります。そこで、他人のパソコンを踏み台にして他のパソコンに進入しようとする場合があります。進入された相手方には、あなたのパソコンしか分かりません。莫大な損害賠償を要求される危険があります。

 なお、私は、単にパソコンとして使っているだけです。サーバーをして使っているわけではありません。
    • good
    • 0
この回答へのお礼

ミルです。ご丁寧に有難うございました。

全然専門用語、理解してないんです。恥ずかしい限りです。
覚えたくってセッセと勉強してるんですが、正確に理解できないんで困ってます。

我が家もADSL常時接続環境にした為、よりセキュリティについて
勉強することにあせってます。(汗)

そうですね。世界とつながってるんですよね。
より自覚するようにします。

最近ノートPCを買い足したため、その為に又
セキュリティソフトを買い足すのに躊躇してた為に
【本当に必要なの?】って疑問が沸いて来たわけです。
しょうがない!やっぱし早急に購入するようにします。私もルーターが欲しいなぁ~

有難うございました。

お礼日時:2002/03/01 08:50

サーバーなんて公開していないパソコンへの外からのアクセスなんて、ないと思えますが、実は外からの変なアクセス(攻撃)が来ます。



これは、ランダムに世界中のパソコンをアタックしているようなパソコンが世界中にたくさんあるためです。特定のウイルスに感染したPCなどは、ランダムに世界中のパソコンへのアタックを繰り返します。

攻撃の方法としては、たとえばファイル共有や、IEの機能などのバグ(セキュリティホール)に合うような変な要求を送ります。すると自分のPCが予期しない行動をしてしまいます。たとえば、攻撃者が送ってきたプログラムを自動的に実行する事です。

つまり、変な要求に対して変な動作をしてしまうようなOSのバグがなく、
またユーザーも変な対応をしてしまわなければ、ファイヤーウォールは必要ありませんね。
また、ランダムにアタックするようなウイルスみたいなものがなければ、普通のユーザーに、変な要求がくることもめったにないはずでしょうねえ。

NIMDAなんか、初めてネットに接続してから1時間もたたないうちにアタックされることもあったくらいです。
    • good
    • 0
この回答へのお礼

miruです。
早いご返事有難うございました。

変な攻撃…あるんですねぇ~…
なんだかとっても怖くなってきました。

またお金かかりますが、ワクチンソフト(ファイヤーウォール付)を
購入することを早急に検討します。
できればルーターも欲しいけど…

有難うございました。

お礼日時:2002/03/01 08:45

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aと関連する良く見られている質問

QファイヤーウォールとIP tablesの違いについて

ファイヤーウォールとIP tablesの違いについて


ファイヤーウォールとIP tablesの違いは何になるのでしょうか?
すっかり同じだと思ったいたのですが、HWのファイヤーウォールが売っていたりして、
「なんでこんなものがあるのか?」と思ってしまいました。

あるいは、HWを買うファイヤーウォールは、IP tablesよりも高いセキュリティ機能があるのでしょうか?

どなたかお詳しい方がおられましたら、
どうぞよろしくお願い致します。

Aベストアンサー

前の方も仰っているようにHWのファイアーウォール(以下、FW)製品は基本業務向けかと。
iptablesよりも必ずしも高いセキュリティ機能があるというわけではないと思いますが、
サポート体制に大きく差が出る場合があります。

iptablesによるFWの構築・設定は普通自分(自社)で行うことになりますよね?
そうすると自前でPCを用意した上で、PCメーカーとサポート契約を行い、
OSも別途購入、OSメーカーとサポート契約を結び、
自社でiptablesのノウハウを持った人材を確保、あるいは教育し、さらに
そのiptablesで作ったFWで障害が発生した場合には、自分で障害原因の特定、
復旧作業をしなければなりません。
PCのハードウェアに障害があった場合には迅速な復旧ができないこともあるかもしれません。
例えPCメーカーとサポート契約をしていたとしても面倒をみてくれるのはHWだけです。
しかも障害の原因がiptables/OS/HWのどこにあるのかといった原因の切り分けまでは自分で
調査しなければ、PCメーカーのサポート担当は動いてくれません。OSのサポートもやはり同様です。

iptables/OS/HWのノウハウを持った人材を自社で安価に確保することが困難な場合や
ハイアベイラビリティが求められるような場面では、
HWのFWのほうが有利になります。
HWのFWはその上で動くSWもトータルに一社のメーカーがサポートしてくれますから、
(サポートサービスのグレードによっては)電話一本で数時間以内に訪問修理に来てくれます。

サポート以外にも、PCとOSとiptablesを別々に用意した場合、当初期待していた性能が出ないかもしれません。
対してHWのFWは、大抵は性能が公表されていたり、高価な製品であれば、
検証機の無償貸出を行っているところもありますので、
購入前に自社環境で性能測定を行うことも可能です。

前の方も仰っているようにHWのファイアーウォール(以下、FW)製品は基本業務向けかと。
iptablesよりも必ずしも高いセキュリティ機能があるというわけではないと思いますが、
サポート体制に大きく差が出る場合があります。

iptablesによるFWの構築・設定は普通自分(自社)で行うことになりますよね?
そうすると自前でPCを用意した上で、PCメーカーとサポート契約を行い、
OSも別途購入、OSメーカーとサポート契約を結び、
自社でiptablesのノウハウを持った人材を確保、あるいは教育し、さらに
そのiptab...続きを読む

Qファイヤーウォールについて

さっそく質問ですが、fire wallって一台のパソコンに何個もインストールできますか?

というのも、海外も基本的にはカットしているので、あるとき必要にせまられて見るときに、いちいちfire wallを切らないと逝けないから不便だし、その間なんとなくイヤなんです。
ですので
一個目には自分のソフトのルール。
二個目には外に対しての壁。
を考えています。

ただいま、KPF/TPFをいれていますが、ゾーンアラームもしくは、outpostを追加できますか?
また、単純にKPFを二台搭載できますか?
よろしくお願いします。

Aベストアンサー

基本的に、FWを2個以上インストールするのはいかがと思います。
普通は、やらないと思います。(トラブルが起きるだけと思います)
それだったら、ソフトに対してはOutpost導入しルールウィザードでルール
設定し、外から内へはルーターを導入のすればいいのでは?
(ルーターにはFW機能があるので)

WIN9X系(ME含む)でないとあまり関係ないですが、Outpostはシステムリソースの消費が比較的小さいので、私的には好きです。
画像サイズによる、広告ブロックとか、ポップアップウィンドウの無効化など
設定できる点も便利ですね。

Qノートンファイヤーウォールの設定変更

あるHPのフォームを利用して
送信したいのですが、
受け付けてもらえません。
過去に質問されていたので
http://oshiete1.goo.ne.jp/kotaeru.php3?q=331009
参考にして、サイトを追加、まではできました。

ブラウザについての情報
表示したサイトについての情報
アニメーション画像
スクリプト
flashアニメーション
の、それぞれについて遮断or許可を選択するのは
どうしたら良いのでしょう?

利用環境はIE6.0/WinXPです

Aベストアンサー

NPFでのトラブルなら大方リファラ問題だと思いますが。

リファラを出すときは「表示したサイトについての情報」を許可しておきます。面倒ならデフォルトで許可に変えておいても良いと思いますが。


そこまでできたのならそれぞれ許可・遮断を切り替えてどこに問題があるか調べることはできると思います。

参考URL:http://www.geocities.jp/bruce_teller/npf2003/interfc.htm

Qファイヤーウォールの設定の仕方

XPのパソコンをyahooBBで使ってます。ウィルスソフトはウィルスチェイサーでファイヤーウォールはついてません。
XPに搭載されているファイヤーウォールの設定の仕方が分かりません。

ローカルエリアのプロパティの詳細設定→インターネットからのこのコンピュータへのアクセスを・・・にチェックした後からどのように設定してチェックしていいのか分かりません。

私は超初心者です。よろしくお願いします。

Aベストアンサー

XPのファイアウォールの設定をもう少し詳しく知りたければこちらをご覧ください。
http://www.khibi.com/sekyu2/fai/fai004.htm

#1さんの言われるようにBBルータを導入されるのが何かと安心ですよ。
有線BBルータは実売4000円を切ったものが結構あります。
http://www.iodata.jp/prod/network/bbrouter/2003/np-bbrp/index.htm

こちらも時間があればご覧になってください。
セキュリティについて解説されています。
http://www.geocities.jp/bruce_teller/security/index.htm

参考URL:http://www.khibi.com/sekyu2/fai/fai004.htm

Qファイヤーウォール・ログでacceptと出ているのに通っていない

CHECK POINTのVPN-1/FireWall-1 NGのLog Viewerでacceptと出ているのに、外から中にPolicy Editorで許可したポートが通っていないことがあります。
NATの設定もDNSの設定を見直してもおかしいところが見当たらないのです。
このような経験をした方、あるいはほかに原因が思い当たる方がいましたら教えていただけると助かります。

Aベストアンサー

「ポートが通っていない」とはどういう意味ですか?
パケットが通らないという意味でしょうか。
またそれはそうなることもあるしならないこともあるのか?特定のルールか不特定のルールか?
一番大切なことは、「通っていない」ように見えるというのがどういう現象をいっているのかです。
パケットが明らかにフォワードされていないことをスニファで確認した上でのことなのか、それともあるアプリが通信できないというだけなのか??
ということで、質問文章のみからは何も判りませんが、
確認するべきことは以下です。
FireWall-1のInspect EngineはIP層の下に位置し、accept後はパケットをIP層に渡すだけです。よってIP層の問題もあるかもしれません。これはOSの設定なので、ルーティングテーブルが問題になることがあります。特にNAT設定もしてあれば尚更です。


人気Q&Aランキング

おすすめ情報