完全にセキュアな環境を構築したいのですが、その
ために質問したいことがいくつかあります。
まず、ルーターへの外部からのアクセスをすべて
拒否するような設定というのは可能でしょうか?
また、動的パケットフィルタリング機能がついている
ルーターならば、こちらから外部にアクセスしない、
また、物理的に触られたりする心配がない、という
条件であるならば完全に安全と言えるでしょうか?
そのほかに、ルーターを直列につなぎ、安全度が
あまり高くない環境と、完全にセキュアな環境
の2段の環境を作ることは技術的に可能でしょうか?
最後に、動的パケットフィルタリングがついている、
という条件で通信のすべてをSSL通信で行い、その
暗号化強度が十分なものがあるとするならば、完全に
安全と言えるでしょうか?
上記について、どうかよろしくお願いいたします。
No.3ベストアンサー
- 回答日時:
当方、アングラ突入調査や対策ソフトなどのテストをしております。
>まず、ルーターへの外部からのアクセスをすべて
>拒否するような設定というのは可能でしょうか?
通常、ルータはデフォでWAN起点のアクセスを受け付けるようになってません。
>また、動的パケットフィルタリング機能がついている
>ルーターならば、こちらから外部にアクセスしない、
>また、物理的に触られたりする心配がない、という
>条件であるならば完全に安全と言えるでしょうか?
外部からの不正アクセスを気にされてるようですが、動的パケットフィルタリングはセッションの起点がこちら側の時のみ働きます。WAN起点の時はさっき答えました。
>また、動的パケットフィルタリング機能がついている
>ルーターならば、こちらから外部にアクセスしない、
>た、物理的に触られたりする心配がない、という
>条件であるならば完全に安全と言えるでしょうか?
そんなに気になさるのであれば、ゲートウェイ・アプライアンス+HIPSにでもすればいいと思いますけど。
>最後に、動的パケットフィルタリングがついている、
>いう条件で通信のすべてをSSL通信で行い、その
>号化強度が十分なものがあるとするならば、完全に
>安全と言えるでしょうか?
SSL通信は相手側もSSL通信が可能な状態じゃないと、一方的な片思いは通じません。
>完全にセキュアな環境を構築したいのですが
無理です。次善の策としてシンクライアントや仮想環境系などを調べてみたらいいと思います。以下のようなソリューションも予定されてるようです。
http://www.intel.co.jp/jp/business/business-pc/c …
それと、たまたま昨夜ボクはアングラ系の情報を漁っていたのですが、とあるコミュニティーでルータの各ハードウェアベンダ別かつ機種別の
攻撃に関するものと思われる情報が出てましたね。ファームの更新情報やセキュリティー情報もしっかりチェックしておいたほうがいいでしょうね。
※参考情報
http://www.itmedia.co.jp/news/articles/0801/22/n …
お答え、とてもありがとうございます。
明らかに答えられるレベルの知識をお持ちである、と
拝見しますのでもう少々追加の質問をしてもよろしいで
しょうか。
SSL通信の場合もちろん相手もSSL通信に対応している、
というのはもちろん前提として、暗号が総当りで
たまたま解読されないかぎりセッションが途中で
ハイジャックされる可能性はない、と考えても
大丈夫なのでしょうか。(除く、クライアント、サーバー、
などでのスパイウェアなどによるハイジャック)
また、ルーターはWAN側にはもともとアクセスを
受け付けない、ということでしたが機種別の
攻撃、というものは何が弱点となるのでしょうか。
この参考文献のものはフラッシュなどのプログラムの
ユーザー側での使用、などが条件となると思われるの
ですがそういった類のプログラムを使用する、という
ことを行う予定はありません。こういった条件で
あれば安全、と考えてもよいのでしょうか。
どうかよろしくお願いいたします。
No.5
- 回答日時:
#3です。
>暗号が総当りで
>たまたま解読されないかぎりセッションが途中で
>ハイジャックされる可能性はない、と考えても
>大丈夫なのでしょうか
たとえスニッフィングなどを行われたとしても、セッション自体が暗号化されてるので無理だと思います。
>機種別の攻撃、というものは何が弱点となるのでしょうか。
ボクはその時別の情報を探してたので、その情報はチラっとしか見てないのですが、確かポートに関するものだったと思います。多分、特定のポートに対して細工されたパケットを送るとかそういうことだと思いますけど。
>フラッシュなど・・・安全と考えてもよいのでしょうか
最近の攻撃で多いのはソーシャルクラッキングを用いた受動的攻撃です。ユーザー側が起点のアクセスによって攻撃を受けるパターンです。
アウトバウンドコネクションですからFWによる制限を受けにくいわけです。
で、フラッシュを使用しないと言っても、フラッシュを使うサイトなんてそれこそ珍しくないですしね。まあ、フラッシュをブロックするようなコンテンツフィルタとか使ってればリスクを低減できるとおもいますけど。今回のフラッシュを悪用する件に関してはルータのUPnP機能を無効にすることです。
あと、Trojan Goziに関してですけど、IEの脆弱性を悪用した受動的攻撃ですね。既にこのTrojanに関してはほとんどのベンダで対応済みだと思います。どこのサイトに仕掛けられてるかなんて予めわかる筈ないので、基本通り最新の状態を保つということですね。
>フラッシュなどの
>起動用プログラムをクライアントの方にインストールする予定は
>ありません
そうですか。なら、既にAdobe Flash Player等フラッシュ表示に関するプログラムが既にインストールされてないかどうか確認しておけばいいと思います。
本当にいろいろありがとうございました。
大変高度な知識をお持ちなようで大変勉強になりました。
また、いい刺激にもなりました。
こちらの疑問もあらかた氷解したのでこの質問に
ついては締め切ろうと思います。
ありがとうございました。
No.4
- 回答日時:
いろいろと助かります。
この件はトロイの木馬、ということでしたが
これはスパイウェアに感染していることが
前提となるものなのでしょうか。
>>調査の結果、このウイルスはInternet Explorerの脆弱性を悪用して>>感染するものであると確認され
とありましたが、そのようなプログラムをあらかじめ仕込まれた
HPなどをIEで閲覧した場合に感染してしまう、ということで
しょうか。その場合閲覧するHPが特定箇所のみに限定されている
ならば安全、と判断しても問題ないでしょうか。
あとちょっと先ほどの再質問で補足なのですが、フラッシュなどの
起動用プログラムをクライアントの方にインストールする予定は
ありません。基本的にそういったプログラムはすべてインストール
しない、という前提で話をしてもらってかまいません。
どうか宜しくお願いいたします。
No.1
- 回答日時:
windowsファイアーウォールでも十分外部からの不正アクセスを防げます。
参考
http://itpro.nikkeibp.co.jp/article/NEWS/2008012 …
「通信のすべてをSSL通信」
どうやってやるのかわかりません。
アクセスされるよりは、アクセスすることに安全を求めるのが重要だと思いますよ。当方はサイトアドバイザーとノースクリプトでやっています。
この回答への補足
この回答への補足、というのではないのですが、
上記の条件として、自分からのプログラムなどの
実行はない、あらかじめスパイウェアなどの
混入もない、新たなプログラムなどのダウンロード
などもない、という条件を書き忘れていました。
申し訳ありません。
回答ありがとうございます。ちょっと事情があって外部からの
不正アクセスされる可能性を0にするにはどうすればいいか、
と考えていたんです。回答ありがとうございます。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- VPN フリー wi-fi は安全ですか 自宅での wi-fi VPNを使用したら良い? 2 2022/05/31 04:12
- ルーター・ネットワーク機器 transix回線で契約、外部からIPv6でNASにアクセスしたい 1 2023/01/26 15:07
- Wi-Fi・無線LAN メッシュWi-Fi環境の構築について 2 2022/09/07 15:45
- Wi-Fi・無線LAN WiFiについて教えてください。 1Fに無線ルーターを設置しており、2Fの1番離れた私の部屋だと、W 8 2023/07/30 08:19
- ルーター・ネットワーク機器 ネットワークの機器(ルーター、スイッチ)選びについて 2 2023/03/16 22:12
- その他(IT・Webサービス) ホームページにカウント数を表示する 2 2022/10/28 10:37
- FTTH・光回線 テレワークでの作業。回線の上りが遅いと結局全体が遅いのですか。 3 2023/02/09 09:35
- その他(インターネット接続・インフラ) オフラインでネットワークオーディオはできますか? 1 2022/05/04 15:56
- 環境・エネルギー資源 SDGsの本質は人間の完全管理!異論ありますでしょうか? 6 2022/12/07 10:16
- その他(ブラウザ) このページは動作していません HTTP ERROR 401 2 2022/11/28 12:11
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ログを取るソフトはあるのでし...
-
規則性があるファイアーウォー...
-
tracetコマンド
-
スイッチングハブ
-
DHCPで0.0.0.xxのアドレス取得
-
ルーターのセキュリティログにて
-
「239.255.255.250:1900」宛の...
-
ルータでPCのセキュリティはど...
-
8個のグローバルIPをRTX1200に...
-
ICMPは通るのにTCP/UDPが通らない
-
telnetの時にタイムアウトが発...
-
ノートンインターネットセキュ...
-
内部ネットワークからのメール...
-
「MIB」「SNMP」について、解り...
-
PCに携帯を接続してFAX
-
新宿マルイ屋上庭園
-
年号表示を和暦ではなく西暦に...
-
ポート開放
-
Wake On Lanのセキュリティにつ...
-
ルータとL3スイッチの違い
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
「239.255.255.250:1900」宛の...
-
同セグメント内に流れているパ...
-
マルチキャストのExcludeモード...
-
NT Kernel System(ntoskrnl.exe...
-
ルータとブリッジの違い?
-
ログを取るソフトはあるのでし...
-
Overlapping Fragment Attackに...
-
DHCPで0.0.0.xxのアドレス取得
-
侵入検知
-
シーケンス番号の許容範囲について
-
基本的なことですが、『ポート...
-
ルーターへの外部からの不正ア...
-
ブラウザからのSSL通信の動きに...
-
tracetコマンド
-
ルータのファイヤウォール機能...
-
IPマスカレードのセキュリティ
-
tracerouteコマンドとポート番号
-
WEBサーバーなど公開しているサ...
-
スイッチングハブ
-
Dummy Hub について教えてください
おすすめ情報