ルーターへの外部からの不正アクセス

Question

完全にセキュアな環境を構築したいのですが、その
ために質問したいことがいくつかあります。

まず、ルーターへの外部からのアクセスをすべて
拒否するような設定というのは可能でしょうか？

また、動的パケットフィルタリング機能がついている
ルーターならば、こちらから外部にアクセスしない、
また、物理的に触られたりする心配がない、という
条件であるならば完全に安全と言えるでしょうか？

そのほかに、ルーターを直列につなぎ、安全度が
あまり高くない環境と、完全にセキュアな環境
の２段の環境を作ることは技術的に可能でしょうか？

最後に、動的パケットフィルタリングがついている、
という条件で通信のすべてをSSL通信で行い、その
暗号化強度が十分なものがあるとするならば、完全に
安全と言えるでしょうか？

上記について、どうかよろしくお願いいたします。

wamos101 · Accepted Answer

当方、アングラ突入調査や対策ソフトなどのテストをしております。

>まず、ルーターへの外部からのアクセスをすべて
>拒否するような設定というのは可能でしょうか？

通常、ルータはデフォでWAN起点のアクセスを受け付けるようになってません。

>また、動的パケットフィルタリング機能がついている
>ルーターならば、こちらから外部にアクセスしない、
>また、物理的に触られたりする心配がない、という
>条件であるならば完全に安全と言えるでしょうか？

外部からの不正アクセスを気にされてるようですが、動的パケットフィルタリングはセッションの起点がこちら側の時のみ働きます。WAN起点の時はさっき答えました。

>また、動的パケットフィルタリング機能がついている
>ルーターならば、こちらから外部にアクセスしない、
>た、物理的に触られたりする心配がない、という
>条件であるならば完全に安全と言えるでしょうか？

そんなに気になさるのであれば、ゲートウェイ・アプライアンス+HIPSにでもすればいいと思いますけど。

>最後に、動的パケットフィルタリングがついている、
>いう条件で通信のすべてをSSL通信で行い、その
>号化強度が十分なものがあるとするならば、完全に
>安全と言えるでしょうか？

SSL通信は相手側もSSL通信が可能な状態じゃないと、一方的な片思いは通じません。

>完全にセキュアな環境を構築したいのですが

無理です。次善の策としてシンクライアントや仮想環境系などを調べてみたらいいと思います。以下のようなソリューションも予定されてるようです。

http://www.intel.co.jp/jp/business/business-pc/catalog-solution/symantec02.htm

それと、たまたま昨夜ボクはアングラ系の情報を漁っていたのですが、とあるコミュニティーでルータの各ハードウェアベンダ別かつ機種別の
攻撃に関するものと思われる情報が出てましたね。ファームの更新情報やセキュリティー情報もしっかりチェックしておいたほうがいいでしょうね。


※参考情報
http://www.itmedia.co.jp/news/articles/0801/22/news075.html

wamos101 · Answer

#3です。

>暗号が総当りで
>たまたま解読されないかぎりセッションが途中で
>ハイジャックされる可能性はない、と考えても
>大丈夫なのでしょうか

たとえスニッフィングなどを行われたとしても、セッション自体が暗号化されてるので無理だと思います。

>機種別の攻撃、というものは何が弱点となるのでしょうか。

ボクはその時別の情報を探してたので、その情報はチラっとしか見てないのですが、確かポートに関するものだったと思います。多分、特定のポートに対して細工されたパケットを送るとかそういうことだと思いますけど。

>フラッシュなど・・・安全と考えてもよいのでしょうか

最近の攻撃で多いのはソーシャルクラッキングを用いた受動的攻撃です。ユーザー側が起点のアクセスによって攻撃を受けるパターンです。
アウトバウンドコネクションですからFWによる制限を受けにくいわけです。

で、フラッシュを使用しないと言っても、フラッシュを使うサイトなんてそれこそ珍しくないですしね。まあ、フラッシュをブロックするようなコンテンツフィルタとか使ってればリスクを低減できるとおもいますけど。今回のフラッシュを悪用する件に関してはルータのUPnP機能を無効にすることです。

あと、Trojan Goziに関してですけど、IEの脆弱性を悪用した受動的攻撃ですね。既にこのTrojanに関してはほとんどのベンダで対応済みだと思います。どこのサイトに仕掛けられてるかなんて予めわかる筈ないので、基本通り最新の状態を保つということですね。

>フラッシュなどの
>起動用プログラムをクライアントの方にインストールする予定は
>ありません

そうですか。なら、既にAdobe Flash Player等フラッシュ表示に関するプログラムが既にインストールされてないかどうか確認しておけばいいと思います。

wamos101 · Answer

#3です。追記で以下の情報をご紹介します

http://journal.mycom.co.jp/news/2007/03/26/383.html

bungetsu · Answer

どこのメーカーのルーターを使っているのでしょうか？
例えば、バッファローのルーターですと、Wapに暗証番号を入力しないと、アクセス（つながらない）ようになっています。
wapに暗証番号を設定したらいかがでしょうか。

FMVNB50GJ · Answer

windowsファイアーウォールでも十分外部からの不正アクセスを防げます。

参考
http://itpro.nikkeibp.co.jp/article/NEWS/20080123/291817/

「通信のすべてをSSL通信」
どうやってやるのかわかりません。

アクセスされるよりは、アクセスすることに安全を求めるのが重要だと思いますよ。当方はサイトアドバイザーとノースクリプトでやっています。

ルーターへの外部からの不正アクセス

当方、アングラ突入調査や対策ソフトなどのテストをしております。

#3です。

#3です。

どこのメーカーのルーターを使っているのでしょうか？

windowsファイアーウォールでも十分外部からの不正アクセスを防げます。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング